Nginx官方版本限制IP的連接和併發分別有兩個模塊:
limit_req_zone 用來限制單位時間內的請求數,即速率限制,採用的漏桶算法 "leaky bucket"。
limit_req_conn 用來限制同一時間連接數,即併發限制。
limit_req_zone 參數配置
Syntax: limit_req zone=name [burst=number] [nodelay];
Default: —
Context: http, server, location
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
第一個參數:$binary_remote_addr 表示通過remote_addr這個標識來做限制,“binary_”的目的是縮寫內存佔用量,是限制同一客戶端ip地址。
第二個參數:zone=one:10m表示生成一個大小爲10M,名字爲one的內存區域,用來存儲訪問的頻次信息。
第三個參數:rate=1r/s表示允許相同標識的客戶端的訪問頻次,這裏限制的是每秒1次,還可以有比如30r/m的。
limit_req zone=one burst=5 nodelay;
第一個參數:zone=one 設置使用哪個配置區域來做限制,與上面limit_req_zone 裏的name對應。
第二個參數:burst=5,重點說明一下這個配置,burst爆發的意思,這個配置的意思是設置一個大小爲5的緩衝區當有大量請求(爆發)過來時,超過了訪問頻次限制的請求可以先放到這個緩衝區內。
第三個參數:nodelay,如果設置,超過訪問頻次而且緩衝區也滿了的時候就會直接返回503,如果沒有設置,則所有請求會等待排隊。
例子:
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
server {
location /search/ {
limit_req zone=one burst=5 nodelay;
}
}
下面配置可以限制特定UA(比如搜索引擎)的訪問:
limit_req_zone $anti_spider zone=one:10m rate=10r/s;
limit_req zone=one burst=100 nodelay;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
set $anti_spider $http_user_agent;
}
其他參數
Syntax: limit_req_log_level info | notice | warn | error;
Default:
limit_req_log_level error;
Context: http, server, location
當服務器由於limit被限速或緩存時,配置寫入日誌。延遲的記錄比拒絕的記錄低一個級別。例子:limit_req_log_level notice延遲的的基本是info。
Syntax: limit_req_status code;
Default:
limit_req_status 503;
Context: http, server, location
設置拒絕請求的返回值。值只能設置 400 到 599 之間。
ngx_http_limit_conn_module 參數配置
這個模塊用來限制單個IP的請求數。並非所有的連接都被計數。只有在服務器處理了請求並且已經讀取了整個請求頭時,連接才被計數。
Syntax: limit_conn zone number;
Default: —
Context: http, server, location
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
location /download/ {
limit_conn addr 1;
}
一次只允許每個IP地址一個連接。
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
...
limit_conn perip 10;
limit_conn perserver 100;
}
可以配置多個limit_conn指令。例如,以上配置將限制每個客戶端IP連接到服務器的數量,同時限制連接到虛擬服務器的總數。
Syntax: limit_conn_zone key zone=name:size;
Default: —
Context: http
limit_conn_zone $binary_remote_addr zone=addr:10m;
在這裏,客戶端IP地址作爲關鍵。請注意,不是$ remote_addr,而是使用$ binary_remote_addr變量。 $ remote_addr變量的大小可以從7到15個字節不等。存儲的狀態在32位平臺上佔用32或64字節的內存,在64位平臺上總是佔用64字節。對於IPv4地址,$ binary_remote_addr變量的大小始終爲4個字節,對於IPv6地址則爲16個字節。存儲狀態在32位平臺上始終佔用32或64個字節,在64位平臺上佔用64個字節。一個兆字節的區域可以保持大約32000個32字節的狀態或大約16000個64字節的狀態。如果區域存儲耗盡,服務器會將錯誤返回給所有其他請求。
Syntax: limit_conn_log_level info | notice | warn | error;
Default:
limit_conn_log_level error;
Context: http, server, location
當服務器限制連接數時,設置所需的日誌記錄級別。
Syntax: limit_conn_status code;
Default:
limit_conn_status 503;
Context: http, server, location
設置拒絕請求的返回值。
實戰
實例一 限制訪問速率
limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
server {
location /login/ {
limit_req zone=ip_limit;
proxy_pass http://login_upstream;
}
}
$binary_remote_addr 針對客戶端ip限流;
zone=ip_limit:10m 限流規則名稱爲ip_limit,允許使用10MB的內存空間來記錄ip對應的限流狀態;
rate=10r/s 限流速度爲每秒10次請求
location /login/ 對登錄進行限流
漏桶漏出請求是勻速的。10r/s是怎樣勻速的呢?每100ms漏出一個請求。
在這樣的配置下,桶是空的,所有不能實時漏出的請求,都會被拒絕掉。
所以如果10次請求同時到達,那麼只有一個請求能夠得到執行,其它的,都會被拒絕。
這不太友好,大部分業務場景下我們希望這10個請求都能得到執行。
實例二 burst緩存處理
limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
server {
location /login/ {
limit_req zone=ip_limit burst=12;
proxy_pass http://login_upstream;
}
}
burst=12 漏桶的大小設置爲12
邏輯上叫漏桶,實現起來是FIFO隊列,把得不到執行的請求暫時緩存起來。
這樣漏出的速度仍然是100ms一個請求,但併發而來,暫時得不到執行的請求,可以先緩存起來。只有當隊列滿了的時候,纔會拒絕接受新請求。
這樣漏桶在限流的同時,也起到了削峯填谷的作用。
在這樣的配置下,如果有10次請求同時到達,它們會依次執行,每100ms執行1個。
雖然得到執行了,但因爲排隊執行,延遲大大增加,在很多場景下仍然是不能接受的。
實例三 nodelay降低排隊時間
延續實例二的配置,我們加入nodelay選項:
limit_req_zone $binary_remote_addr zone=ip_limit:10m rate=10r/s;
server {
location /login/ {
limit_req zone=ip_limit burst=12 nodelay;
proxy_pass http://login_upstream;
}
}
nodelay 把開始執行請求的時間提前,以前是delay到從桶裏漏出來才執行,現在不delay了,只要入桶就開始執行。
要麼立刻執行,要麼被拒絕,請求不會因爲限流而增加延遲了。
提高了處理效率,提高了“瞬時處理速度”,平均速度還是受rate限制。當burst滿了後不會繼續排隊等待,直接丟
————————————————
版權聲明:本文爲CSDN博主「Gashina」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/wota5037/article/details/110127486