系統(tǒng)設(shè)計時一般會預(yù)估負載，當系統(tǒng)暴露在公網(wǎng)中時，惡意攻擊或正常突發(fā)流量等都可能導(dǎo)致系統(tǒng)被壓垮，而限流就是保護措施之一。限流即控制流量，本文將記錄 Nginx 的二種限流設(shè)置。

生活中的 “限流”？

限流并非新鮮事，在生活中亦無處不在，下面例舉一二：

博物館：限制每天參觀總?cè)藬?shù)以保護文物

高鐵安檢：有若干安檢口，旅客依次排隊，工作人員根據(jù)安檢快慢決定是否放人進去。遇到節(jié)假日，可以增加安檢口來提高處理能力(橫向拓展)，同時增加排隊等待區(qū)長度(緩存待處理任務(wù))。

辦理銀行業(yè)務(wù)：所有人先領(lǐng)號，各窗口叫號處理。每個窗口處理速度根據(jù)客戶具體業(yè)務(wù)而定，所有人排隊等待叫號即可。若快下班時，告知客戶明日再來(拒絕流量)。

水壩泄洪：水壩可以通過閘門控制泄洪速度(控制處理速度)。

以上"限流"例子，可以讓服務(wù)提供者穩(wěn)定的服務(wù)客戶。

Nginx 限流

Nginx 提供兩種限流方式，一是控制速率，二是控制并發(fā)連接數(shù)。

控制速率

正常限流

ngx_http_limit_req_module 模塊提供限制請求處理速率能力，使用了漏桶算法(leaky bucket)。下面例子使用 nginx limit_req_zone 和 limit_req 兩個指令，限制單個IP的請求處理速率。

在 nginx.conf http 中添加限流配置：

格式：limit_req_zone key zone rate

http {
 limit_req_zone $binary_remote_addr zone=myRateLimit:10m rate=10r/s;
}

配置 server，使用 limit_req 指令應(yīng)用限流。

server {
 location / {
 limit_req zone=myRateLimit;
 proxy_pass http://my_upstream;
 }
}

key ：定義限流對象，binary_remote_addr 是一種key，表示基于 remote_addr(客戶端IP) 來做限流，binary_ 的目的是壓縮內(nèi)存占用量。

zone：定義共享內(nèi)存區(qū)來存儲訪問信息， myRateLimit:10m 表示一個大小為10M，名字為myRateLimit的內(nèi)存區(qū)域。1M能存儲16000 IP地址的訪問信息，10M可以存儲16W IP地址訪問信息。

rate 用于設(shè)置最大訪問速率，rate=10r/s 表示每秒最多處理10個請求。Nginx 實際上以毫秒為粒度來跟蹤請求信息，因此 10r/s 實際上是限制：每100毫秒處理一個請求。這意味著，自上一個請求處理完后，若后續(xù)100毫秒內(nèi)又有請求到達，將拒絕處理該請求。

處理突發(fā)流量

上面例子限制 10r/s，如果有時正常流量突然增大，超出的請求將被拒絕，無法處理突發(fā)流量，可以結(jié)合 burst 參數(shù)使用來解決該問題。

server {
 location / {
 limit_req zone=myRateLimit burst=20;
 proxy_pass http://my_upstream;
 }
}

burst 譯為突發(fā)、爆發(fā)，表示在超過設(shè)定的處理速率后能額外處理的請求數(shù)。當 rate=10r/s 時，將1s拆成10份，即每100ms可處理1個請求。

此處，**burst=20 **，若同時有21個請求到達，Nginx 會處理第一個請求，剩余20個請求將放入隊列，然后每隔100ms從隊列中獲取一個請求進行處理。若請求數(shù)大于21，將拒絕處理多余的請求，直接返回503.

不過，單獨使用 burst 參數(shù)并不實用。假設(shè) burst=50 ，rate依然為10r/s，排隊中的50個請求雖然每100ms會處理一個，但第50個請求卻需要等待 50 * 100ms即 5s，這么長的處理時間自然難以接受。

因此，burst 往往結(jié)合 nodelay 一起使用。

server {
 location / {
 limit_req zone=myRateLimit burst=20 nodelay;
 proxy_pass http://my_upstream;
 }
}

nodelay 針對的是 burst 參數(shù)，burst=20 nodelay 表示這20個請求立馬處理，不能延遲，相當于特事特辦。不過，即使這20個突發(fā)請求立馬處理結(jié)束，后續(xù)來了請求也不會立馬處理。burst=20 相當于緩存隊列中占了20個坑，即使請求被處理了，這20個位置這只能按 100ms一個來釋放。

這就達到了速率穩(wěn)定，但突然流量也能正常處理的效果。

限制連接數(shù)

ngx_http_limit_conn_module 提供了限制連接數(shù)的能力，利用 limit_conn_zone 和 limit_conn 兩個指令即可。下面是 Nginx 官方例子：

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

server {
 ...
 limit_conn perip 10;
 limit_conn perserver 100;
}

limit_conn perip 10 作用的key 是 $binary_remote_addr，表示限制單個IP同時最多能持有10個連接。

limit_conn perserver 100 作用的key是 $server_name，表示虛擬主機(server) 同時能處理并發(fā)連接的總數(shù)。

需要注意的是：只有當 request header 被后端server處理后，這個連接才進行計數(shù)。

設(shè)置白名單

限流主要針對外部訪問，內(nèi)網(wǎng)訪問相對安全，可以不做限流，通過設(shè)置白名單即可。利用 Nginx ngx_http_geo_module 和 ngx_http_map_module 兩個工具模塊即可搞定。

在 nginx.conf 的 http 部分中配置白名單：

geo $limit {
 default 1;
 10.0.0.0/8 0;
 192.168.0.0/24 0;
 172.20.0.35 0;
}

map $limit $limit_key {
 0 "";
 1 $binary_remote_addr;
}

limit_req_zone $limit_key zone=myRateLimit:10m rate=10r/s;

geo 對于白名單(子網(wǎng)或IP都可以) 將返回0，其他IP將返回1。

map 將 limit **轉(zhuǎn)換為** limit_key，如果是 $limit 是0(白名單)，則返回空字符串；如果是1，則返回客戶端實際IP。

limit_req_zone 限流的key不再使用 而是 **limit_key 來動態(tài)獲取值。如果是白名單，limit_req_zone 的限流key則為空字符串，將不會限流；若不是白名單，將會對客戶端真實IP進行限流。

拓展閱讀

除限流外，ngx_http_core_module 還提供了限制數(shù)據(jù)傳輸速度的能力(即常說的下載速度)。

例如：

location /flv/ {
 flv;
 limit_rate_after 20m;
 limit_rate 100k;
}

這個限制是針對每個請求的，表示客戶端下載前20M時不限速，后續(xù)限制100kb/s。

以上這篇淺談Nginx 中的兩種限流方式就是小編分享給大家的全部內(nèi)容了，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論