1 背景介紹

為了防止一些搶票助手所發(fā)起的一些無用請求，我們可以使用 nginx 中的限流策略進行限流操作。
常見的限流算法：計數(shù)器、漏桶算法、令牌桶算法

Java高并發(fā)系統(tǒng)限流算法的應用

從作用上來說，漏桶和令牌桶算法最明顯的區(qū)別就是是否允許突發(fā)流量(burst)的處理，漏桶算法能夠強行限制數(shù)據(jù)的實時傳輸（處理）速率，對突發(fā)流量不做額外處理；而令牌桶算法能夠在限制數(shù)據(jù)的平均傳輸速率的同時允許某種程度的突發(fā)傳輸。

2 Nginx 的限流策略

Nginx 的限流主要是兩種方式： 限制訪問頻率和限制并發(fā)連接數(shù)。
Nginx 按請求速率限速模塊使用的是漏桶算法，即能夠強行保證請求的實時處理速度不會超過設置的閾值。

Nginx 官方版本限制 IP 的連接和并發(fā)分別有兩個模塊：
1、limit_req_zone：用來限制單位時間內(nèi)的請求數(shù)，即速率限制 , 采用的漏桶算法 “leaky bucket”。
2、limit_conn_zone：用來限制同一時間連接數(shù)，即并發(fā)限制。

2.1 limit_req_zone限制訪問頻率

使用語法：limit_req_zone key zone rate
key ：定義限流對象，binary_remote_addr 是一種 key，表示基于 remote_addr(客戶端 IP) 來做限流，binary_ 的目的是壓縮內(nèi)存占用量。
zone：定義共享內(nèi)存區(qū)來存儲訪問信息， myRateLimit:10m 表示一個大小為 10M，名字為 myRateLimit 的內(nèi)存區(qū)域。1M 能存儲 16000 IP 地址的
訪問信息，10M 可以存儲 16W IP 地址訪問信息。
rate: 用于設置最大訪問速率，rate=10r/s 表示每秒最多處理 10 個請求。Nginx 實際上以毫秒為粒度來跟蹤請求信息，因此 10r/s 實際上是限制：每 100 毫秒處理一個請求。這意味著，自上一個請求處理完后，若后續(xù) 100 毫秒內(nèi)又有請求到達，將拒絕處理該請求。

舉例：

http {
# 定義限流策略
limit_req_zone $binary_remote_addr zone=rateLimit:10m rate=1r/s ;
# 搜索服務的虛擬主機
server {
location / {
# 使用限流策略，burst=5，重點說明一下這個配置，burst 爆發(fā)的意思，這個配置的意思是設置一個大小為 5 的緩沖區(qū)（隊列）當有大量請求（爆發(fā)）過來時，

# 超過了訪問頻次限制的請求可以先放到這個緩沖區(qū)內(nèi)。nodelay，如果設置，超過訪問頻次而且緩沖區(qū)也滿了的時候就會直接返回 503，如果沒有設置，則所

# 有請求會等待排隊。
limit_req zone=rateLimit burst=5 nodelay;
proxy_pass http://train-manager-search ;
   }
  }
}

頻繁訪問:

2.2 limit_conn_zone限制最大連接數(shù)

使用語法：limit_conn_zone key zone
key ：定義限流對象，binary_remote_addr 是一種 key，表示基于 remote_addr(客戶端 IP) 來做限流，binary_ 的目的是壓縮內(nèi)存占用量。
zone：定義共享內(nèi)存區(qū)來存儲訪問信息， myRateLimit:10m 表示一個大小為 10M，名字為 myRateLimit 的內(nèi)存區(qū)域。1M 能存儲 16000 IP 地址的
訪問信息，10M 可以存儲 16W IP 地址訪問信息。
舉例:

http {
# 定義限流策略
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
# 搜索服務的虛擬主機
server {
location / {
# 對應的 key 是 $binary_remote_addr，表示限制單個 IP 同時最多能持有 1 個連接。
limit_conn perip 1;
# 對應的 key 是 $server_name，表示虛擬主機(server) 同時能處理并發(fā)連接的總數(shù)。注意，只有當 request header 被
后端 server 處理后，這個連接才進行計數(shù)。
limit_conn perserver 10 ;
proxy_pass http://train-manager-search ;
    }
  }
}

3 黑名單設置

有時候會有一些惡意IP攻擊服務器，會基于程序頻繁發(fā)起請求對服務器造成巨大壓力，我們此時可以使用Nginx的黑名單功能實現(xiàn)黑名單過濾操作。我們首先需要配置黑名單IP，黑名單IP我們可以記錄到一個配置文件中，比如配置到blockip.conf文件中：

配置固定IP為黑名單：

deny 192.168.100.1;

在nginx.conf中引入blockip.conf，可以放到http, server, location語句塊,配置如下：

#黑名單
include blockip.conf;

此時在192.168.100.1的IP上訪問服務器，會報如下錯誤：

屏蔽ip的配置文件既可以屏蔽單個ip，也可以屏蔽ip段，或者只允許某個ip或者某個ip段訪問。

# 屏蔽單個ip訪問
deny IP;
# 允許單個ip訪問
allow IP;
# 屏蔽所有ip訪問
deny all;
# 允許所有ip訪問
allow all;
#屏蔽整個段即從123.0.0.1到123.255.255.254訪問的命令
deny 123.0.0.0/8
#屏蔽IP段即從123.45.0.1到123.45.255.254訪問的命令
deny 124.45.0.0/16
#屏蔽IP段即從123.45.6.1到123.45.6.254訪問的命令
deny 123.45.6.0/24
1234567891011121314

如果你想實現(xiàn)這樣的應用，除了幾個IP外，其他全部拒絕，那需要你在blockip.conf中這樣寫:

allow 192.168.100.1;
allow 192.168.100.2;
deny all;
123

但是這種手動配置的方式可能太過繁瑣，我們也可以配置動態(tài)黑白名單。

配置動態(tài)黑白名單，我們可以采用Lua+Redis實現(xiàn)，將黑名單存入到Redis緩存，每次執(zhí)行請求時，通過lua腳本先獲取用戶IP，匹配IP是否屬于黑名單，如果是，則不讓請求，如果不是，則放行。

到此這篇關于Nginx限流和黑名單配置的文章就介紹到這了,更多相關nginx限流配置內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

最新評論