腳本之家服務器常用軟件

快捷導航

Nginx實現(xiàn)流量控制的示例代碼

更新時間：2024年05月14日 10:20:46 作者：云計算-Security

本文主要介紹了Nginx實現(xiàn)流量控制的示例代碼,可以用來限制用戶在給定時間內HTTP請求的數(shù)量,保護服務器,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧

前言

流量限制 (rate-limiting)，我們可以用來限制用戶在給定時間內HTTP請求的數(shù)量。流量限制可以用作安全目的，比如可以減慢暴力密碼破解的速率，更常見的情況是該功能被用來保護上游應用服務器不被同時太多用戶請求所壓垮。

一、Nginx如何限流？

Nginx的流量限制使用漏桶算法(leaky bucket algorithm)，就好比，一個桶口在倒水，桶底在漏水的水桶。如果桶口倒水的速率大于桶底的漏水速率，桶里面的水將會溢出；同樣，在請求處理方面，水代表來自客戶端的請求，水桶代表根據(jù)**先進先出調度算法(FIFO)**等待被處理的請求隊列，桶底漏出的水代表離開緩沖區(qū)被服務器處理的請求，桶口溢出的水代表被丟棄和不被處理的請求。

二、Nginx限流實戰(zhàn)

ngx_http_limit_req_module模塊實現(xiàn)。
流量限制配置兩個主要的指令，limit_req_zone和limit_req，**limit_req_zone 指令設置流量限制和內存區(qū)域的參數(shù)，但實際上并不限制請求速率。**所以需要通過添加 limit_req 指令啟用流量限制,應用在特定的 location 或者 server 塊。limit_req_zone指令通常在HTTP塊中定義，它需要以下三個參數(shù)。

Key：定義應用限制的請求特性。通過 Nginx 的內置變量**$binary_remote_addr**，可以獲取到訪問你的客戶端IP地址，即其作用就是保存客戶端IP地址的二進制形式。
Zone：定義用于存儲每個IP地址狀態(tài)以及被限制請求URL訪問頻率的內存區(qū)域（也就是說它是用來存儲我獲取的這些IP地址）。通過 zone=keyword 標識區(qū)域的名字（自定義），以及冒號后面跟區(qū)域大小。
16000個IP地址的狀態(tài)信息，大約需要1MB。
Rate：連接請求。速率不能超過每秒1個請求。

2.1 實戰(zhàn)1

測試環(huán)境：三臺機器，一臺作為客戶端進行訪問、一臺作為代理服務器、最后一臺作為后端服務器。

（1）在代理服務器上進行配置

在實際生產中，我們一般都會在代理服務器上做流量控制，因為我們客戶端的請求是都是要經(jīng)過代理服務器的，如果是在后端服務器做限流，那么當有多臺后端服務器的時候，就意味著每臺后端服務器都得做限流配置，會浪費很多時間。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;  #定義流量限制，每秒處理一個請求limit_req_zone在此，只用作定義和分配存儲空間，并不做限流，限流需要limit_req 指令來啟用
upstream test {
       server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                limit_req zone=mylimit;  #啟用流量限制
                proxy_pass http://test;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（2）后端服務器配置測試頁面

server {
       listen 80;
       server_name localhost;
       location / {
                root    /var/www/nginx;
                index   index.html index.html;
                }
}

在這里插入圖片描述

（3）客戶端訪問（壓力測試）

客戶端安裝壓力測試工具

[root@nginx-yum ~]# yum install httpd-tools
[root@nginx-yum ~]# ab -n1000 -c2 http://192.168.0.103/
-n 請求數(shù)
-c 并發(fā)數(shù)

在這里插入圖片描述

（4）查看代理服務器錯誤日志

[root@nginx-server ~]# tail -f /var/log/nginx/error.log

在這里插入圖片描述

日志字段解釋

limiting requests：表明日志條目記錄的是被流量限制請求；
excess：每毫秒超過對應“流量限制”配置的請求數(shù)量；
zone：定義實施“流量限制”的區(qū)域；
client：發(fā)起請求的客戶端IP地址；
server：服務器IP地址或主機名；
request：客戶端發(fā)起的實際HTTP請求；
host：HTTP報頭中host的值。

（5）查看代理服務器訪問日志

查看訪問日志出現(xiàn)503

[root@nginx-server nginx]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

2.2 實戰(zhàn)2

（1）在代理服務器上進行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    limit_req zone=mylimit burst=5;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}
# burst=5 表示最大延遲請求數(shù)量不大于5。超出的請求返回503狀態(tài)碼。
# 客戶端測試--burst

（2）客戶端訪問（壓力測試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

（3）查看代理服務器訪問日志

[root@nginx-proxy ~]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

（4）當我加上nodelay參數(shù)時

nodelay：不延遲轉發(fā)請求，速度變快。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    #limit_req zone=mylimit burst=5;
			    limit_req zone=mylimit burst=5 nodelay;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（5）客戶端訪問（壓力測試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

2.3 擴展

發(fā)送到客戶端的錯誤代碼

一般情況下，客戶端超過配置的流量限制時，Nginx響應狀態(tài)碼為503(Service Temporarily Unavailable)?？梢允褂?code>limit_req_status指令來設置為其它狀態(tài)碼（例如下面的404狀態(tài)碼）。

（1）在代理服務器上進行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream test {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
      listen 80;
      server_name localhost;
		
      location / {
	          limit_req zone=mylimit;
	          limit_req_status 404;
              proxy_pass http://test;
              proxy_set_header Host $host:$server_port;
	          proxy_set_header X-Real-IP $remote_addr;
              proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
}

（2）查看代理服務器訪問日志狀態(tài)碼

在這里插入圖片描述