Nginx限流和黑名單配置的策略
1 背景介紹
為了防止一些搶票助手所發(fā)起的一些無用請求,我們可以使用 nginx 中的限流策略進行限流操作。
常見的限流算法:計數(shù)器、漏桶算法、令牌桶算法
從作用上來說,漏桶和令牌桶算法最明顯的區(qū)別就是是否允許突發(fā)流量(burst)的處理,漏桶算法能夠強行限制數(shù)據(jù)的實時傳輸(處理)速率,對突發(fā)流量不做額外處理;而令牌桶算法能夠在限制數(shù)據(jù)的平均傳輸速率的同時允許某種程度的突發(fā)傳輸。
2 Nginx 的限流策略
Nginx 的限流主要是兩種方式: 限制訪問頻率
和限制并發(fā)連接數(shù)
。
Nginx 按請求速率限速模塊使用的是漏桶算法,即能夠強行保證請求的實時處理速度不會超過設置的閾值。
Nginx 官方版本限制 IP 的連接和并發(fā)分別有兩個模塊:
1、limit_req_zone:用來限制單位時間內的請求數(shù),即速率限制 , 采用的漏桶算法 “leaky bucket”。
2、limit_conn_zone:用來限制同一時間連接數(shù),即并發(fā)限制。
2.1 limit_req_zone限制訪問頻率
使用語法:limit_req_zone key zone rate
key :定義限流對象,binary_remote_addr 是一種 key,表示基于 remote_addr(客戶端 IP) 來做限流,binary_ 的目的是壓縮內存占用量。
zone:定義共享內存區(qū)來存儲訪問信息, myRateLimit:10m 表示一個大小為 10M,名字為 myRateLimit 的內存區(qū)域。1M 能存儲 16000 IP 地址的
訪問信息,10M 可以存儲 16W IP 地址訪問信息。
rate: 用于設置最大訪問速率,rate=10r/s 表示每秒最多處理 10 個請求。Nginx 實際上以毫秒為粒度來跟蹤請求信息,因此 10r/s 實際上是限制:每 100 毫秒處理一個請求。這意味著,自上一個請求處理完后,若后續(xù) 100 毫秒內又有請求到達,將拒絕處理該請求。
舉例:
http { # 定義限流策略 limit_req_zone $binary_remote_addr zone=rateLimit:10m rate=1r/s ; # 搜索服務的虛擬主機 server { location / { # 使用限流策略,burst=5,重點說明一下這個配置,burst 爆發(fā)的意思,這個配置的意思是設置一個大小為 5 的緩沖區(qū)(隊列)當有大量請求(爆發(fā))過來時, # 超過了訪問頻次限制的請求可以先放到這個緩沖區(qū)內。nodelay,如果設置,超過訪問頻次而且緩沖區(qū)也滿了的時候就會直接返回 503,如果沒有設置,則所 # 有請求會等待排隊。 limit_req zone=rateLimit burst=5 nodelay; proxy_pass http://train-manager-search ; } } }
頻繁訪問:
2.2 limit_conn_zone限制最大連接數(shù)
使用語法:limit_conn_zone key zone
key :定義限流對象,binary_remote_addr 是一種 key,表示基于 remote_addr(客戶端 IP) 來做限流,binary_ 的目的是壓縮內存占用量。
zone:定義共享內存區(qū)來存儲訪問信息, myRateLimit:10m 表示一個大小為 10M,名字為 myRateLimit 的內存區(qū)域。1M 能存儲 16000 IP 地址的
訪問信息,10M 可以存儲 16W IP 地址訪問信息。
舉例:
http { # 定義限流策略 limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; # 搜索服務的虛擬主機 server { location / { # 對應的 key 是 $binary_remote_addr,表示限制單個 IP 同時最多能持有 1 個連接。 limit_conn perip 1; # 對應的 key 是 $server_name,表示虛擬主機(server) 同時能處理并發(fā)連接的總數(shù)。注意,只有當 request header 被 后端 server 處理后,這個連接才進行計數(shù)。 limit_conn perserver 10 ; proxy_pass http://train-manager-search ; } } }
3 黑名單設置
有時候會有一些惡意IP攻擊服務器,會基于程序頻繁發(fā)起請求對服務器造成巨大壓力,我們此時可以使用Nginx的黑名單功能實現(xiàn)黑名單過濾操作。我們首先需要配置黑名單IP,黑名單IP我們可以記錄到一個配置文件中,比如配置到blockip.conf
文件中:
配置固定IP為黑名單:
deny 192.168.100.1;
在nginx.conf
中引入blockip.conf
,可以放到http, server, location語句塊,配置如下:
#黑名單 include blockip.conf;
此時在192.168.100.1
的IP上訪問服務器,會報如下錯誤:
屏蔽ip的配置文件既可以屏蔽單個ip,也可以屏蔽ip段,或者只允許某個ip或者某個ip段訪問。
# 屏蔽單個ip訪問 deny IP; # 允許單個ip訪問 allow IP; # 屏蔽所有ip訪問 deny all; # 允許所有ip訪問 allow all; #屏蔽整個段即從123.0.0.1到123.255.255.254訪問的命令 deny 123.0.0.0/8 #屏蔽IP段即從123.45.0.1到123.45.255.254訪問的命令 deny 124.45.0.0/16 #屏蔽IP段即從123.45.6.1到123.45.6.254訪問的命令 deny 123.45.6.0/24 1234567891011121314
如果你想實現(xiàn)這樣的應用,除了幾個IP外,其他全部拒絕,那需要你在blockip.conf中這樣寫:
allow 192.168.100.1; allow 192.168.100.2; deny all; 123
但是這種手動配置的方式可能太過繁瑣,我們也可以配置動態(tài)黑白名單。
配置動態(tài)黑白名單,我們可以采用Lua+Redis實現(xiàn),將黑名單存入到Redis緩存,每次執(zhí)行請求時,通過lua腳本先獲取用戶IP,匹配IP是否屬于黑名單,如果是,則不讓請求,如果不是,則放行。
到此這篇關于Nginx限流和黑名單配置的文章就介紹到這了,更多相關nginx限流配置內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
相關文章
解決nginx報錯信息 client intended to send too large body: 1331696
這篇文章主要介紹了解決nginx報錯 client intended to send too large body: 1331696 bytes的相關資料,需要的朋友可以參考下2017-02-02Nginx可視化管理工具結合cpolar實現(xiàn)遠程訪問的步驟詳解
Nginx Proxy Manager 是一個開源的反向代理工具,本文將給大家介紹在Linux 安裝Nginx Proxy Manager并且結合 cpolar內網(wǎng)穿透工具實現(xiàn)遠程訪問管理界面,同等,當我們使用Nginx Proxy Manager配置其他本地服務,并且需要遠程訪問,也是同樣的方式,需要的朋友可以參考下2023-09-09WordPress與Drupal的Nginx配置rewrite重寫規(guī)則示例
這篇文章主要介紹了WordPress與Drupal的Nginx配置重寫規(guī)則示例,文中介紹的rewrite寫法簡單而突出配置重點,需要的朋友可以參考下2016-01-01Kubernetes中Nginx服務啟動失敗排查流程分析(Error:?ImagePullBackOff)
這篇文章主要介紹了Kubernetes中Nginx服務啟動失敗排查流程(Error:?ImagePullBackOff),本文給大家介紹的非常詳細,對大家的學習或工作具有一定的參考借鑒價值,需要的朋友可以參考下2023-03-03