前置條件：nginx 需要有 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模塊，可以使用命令 2>&1 nginx -V | tr ' ' '\n'|grep limit 檢查有沒有相應(yīng)模塊，如果沒有請重新編譯安裝這兩個模塊。

測試版本為：nginx版本為1.15+

限制鏈接數(shù)

1.使用 limit_conn_zone 指令定義密鑰并設(shè)置共享內(nèi)存區(qū)域的參數(shù)（工作進(jìn)程將使用此區(qū)域來共享密鑰值的計數(shù)器）。第一個參數(shù)指定作為鍵計算的表達(dá)式。第二個參數(shù) zone 指定區(qū)域的名稱及其大小：

limit_conn_zone $binary_remote_addr zone=addr:10m;

2.在 location {} , server {} 或者 http {} 上下文中使用 limit_conn 指令來應(yīng)用限制，第一個參數(shù)為上面設(shè)定的共享內(nèi)存區(qū)域名稱，第二個參數(shù)為每個key被允許的鏈接數(shù):

location /download/ {
 limit_conn addr 1;
}

使用 $binary_remote_addr 變量作為參數(shù)的時候，是基于 IP 地址的限制，同樣可以使用 $server_name 變量進(jìn)行給定服務(wù)器連接數(shù)的限制：

http {
 limit_conn_zone $server_name zone=servers:10m;

 server {
 limit_conn servers 1000;
 }
}

限制請求速率

速率限制可用于防止 DDoS，CC 攻擊，或防止上游服務(wù)器同時被太多請求淹沒。該方法基于 leaky bucket 漏桶算法，請求以各種速率到達(dá)桶并以固定速率離開桶。在使用速率限制之前，您需要配置 "漏桶" 的全局參數(shù)：

• key - 用于區(qū)分一個客戶端與另一個客戶端的參數(shù)，通常是變量
• shared memory zone - 保留這些密鑰狀態(tài)的區(qū)域的名稱和大小（即 "漏桶"）
• rate - 每秒請求數(shù)（r/s）或每分鐘請求數(shù)（r/m）（"漏桶排空"）中指定的請求速率限制。每分鐘請求數(shù)用于指定小于每秒一個請求的速率。

這些參數(shù)使用 limit_req_zone 指令設(shè)置。該指令在 http {} 級別上定義 - 這種方法允許應(yīng)用不同的區(qū)域并請求溢出參數(shù)到不同的上下文:

http {
 #...

 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
}

使用此配置，將創(chuàng)建大小為 10m 字節(jié)，名稱為 one 的共享內(nèi)存區(qū)域。該區(qū)域保存使用 $binary_remote_addr 變量設(shè)置的客戶端 IP 地址的狀態(tài)。請注意， $remote_addr 還包含客戶端的 IP 地址，而 $binary_remote_addr 保留更短的 IP 地址的二進(jìn)制表示。

可以使用以下數(shù)據(jù)計算共享內(nèi)存區(qū)域的最佳大小： $binary_remote_addr IPv4 地址的值大小為 4 個字節(jié)，64 位平臺上的存儲狀態(tài)占用 128 個字節(jié)。因此，大約 16000 個 IP 地址的狀態(tài)信息占用該區(qū)域的 1m 字節(jié)。

如果在 NGINX 需要添加新條目時存儲空間耗盡，則會刪除最舊的條目。如果釋放的空間仍然不足以容納新記錄，NGINX 將返回 503 Service Unavailable 狀態(tài)代碼，狀態(tài)碼可以使用 limit_req_status 指令重新定義。

一旦該區(qū)域被設(shè)置，你可以使用 NGINX 配置中的任何地方使用 limit_req 指令限制請求速率，尤其是 server {} , location {} 和 http {} 上下文：

http {
 #...

 limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

 server {
 #...

 location /search/ {
  limit_req zone=one;
 }
 }
}

使用如上配置，nginx 在 /search/ 路由下將每秒處理不超過 1 個請求，延遲處理這些請求的方式是總速率不大于設(shè)定的速率。NGINX 將延遲處理此類請求，直到 "存儲區(qū)"（共享存儲區(qū) one）已滿。對于到達(dá)完整存儲桶的請求，NGINX 將響應(yīng) 503 Service Unavailable 錯誤(當(dāng) limit_req_status 未自定義設(shè)定狀態(tài)碼時)。

限制寬帶

要限制每個連接的帶寬，請使用以下 limit_rate 指令：

location /download/ {
 limit_rate 50k;
}

通過此設(shè)置，客戶端將能夠通過單個連接以最高 50k/秒 的速度下載內(nèi)容。但是，客戶端可以打開多個連接跳過此限制。因此，如果目標(biāo)是阻止下載速度大于指定值，則連接數(shù)也應(yīng)該受到限制。例如，每個 IP 地址一個連接（如果使用上面指定的共享內(nèi)存區(qū)域）:

location /download/ {
 limit_conn addr 1;
 limit_rate 50k;
}

要僅在客戶端下載一定數(shù)量的數(shù)據(jù)后施加限制，請使用該 limit_rate_after 指令。允許客戶端快速下載一定數(shù)量的數(shù)據(jù)（例如，文件頭 - 電影索引）并限制下載其余數(shù)據(jù)的速率（使用戶觀看電影而不是下載）可能是合理的。

limit_rate_after 500k;
limit_rate 20k;

以下示例顯示了用于限制連接數(shù)和帶寬的組合配置。允許的最大連接數(shù)設(shè)置為每個客戶端地址 5 個連接，這適用于大多數(shù)常見情況，因?yàn)楝F(xiàn)代瀏覽器通常一次最多打開 3 個連接。同時，提供下載的位置只允許一個連接：

http {
 limit_conn_zone $binary_remote_address zone=addr:10m

 server {
 root /www/data;
 limit_conn addr 5;

 location / {
 }

 location /download/ {
  limit_conn addr 1;
  limit_rate_after 1m;
  limit_rate 50k;
 }
 }
}

內(nèi)容翻譯自 nginx 請求限制部分文檔 ，稍微調(diào)整了一點(diǎn)語義。

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論