快捷導(dǎo)航

Nginx實現(xiàn)流量控制的示例代碼

更新時間：2024年05月14日 10:20:46 作者：云計算-Security

本文主要介紹了Nginx實現(xiàn)流量控制的示例代碼,可以用來限制用戶在給定時間內(nèi)HTTP請求的數(shù)量,保護(hù)服務(wù)器,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧

前言

流量限制 (rate-limiting)，我們可以用來限制用戶在給定時間內(nèi)HTTP請求的數(shù)量。流量限制可以用作安全目的，比如可以減慢暴力密碼破解的速率，更常見的情況是該功能被用來保護(hù)上游應(yīng)用服務(wù)器不被同時太多用戶請求所壓垮。

一、Nginx如何限流？

Nginx的流量限制使用漏桶算法(leaky bucket algorithm)，就好比，一個桶口在倒水，桶底在漏水的水桶。如果桶口倒水的速率大于桶底的漏水速率，桶里面的水將會溢出；同樣，在請求處理方面，水代表來自客戶端的請求，水桶代表根據(jù)**先進(jìn)先出調(diào)度算法(FIFO)**等待被處理的請求隊列，桶底漏出的水代表離開緩沖區(qū)被服務(wù)器處理的請求，桶口溢出的水代表被丟棄和不被處理的請求。

二、Nginx限流實戰(zhàn)

ngx_http_limit_req_module模塊實現(xiàn)。
流量限制配置兩個主要的指令，limit_req_zone和limit_req，**limit_req_zone 指令設(shè)置流量限制和內(nèi)存區(qū)域的參數(shù)，但實際上并不限制請求速率。**所以需要通過添加 limit_req 指令啟用流量限制,應(yīng)用在特定的 location 或者 server 塊。limit_req_zone指令通常在HTTP塊中定義，它需要以下三個參數(shù)。

Key：定義應(yīng)用限制的請求特性。通過 Nginx 的內(nèi)置變量**$binary_remote_addr**，可以獲取到訪問你的客戶端IP地址，即其作用就是保存客戶端IP地址的二進(jìn)制形式。
Zone：定義用于存儲每個IP地址狀態(tài)以及被限制請求URL訪問頻率的內(nèi)存區(qū)域（也就是說它是用來存儲我獲取的這些IP地址）。通過 zone=keyword 標(biāo)識區(qū)域的名字（自定義），以及冒號后面跟區(qū)域大小。
16000個IP地址的狀態(tài)信息，大約需要1MB。
Rate：連接請求。速率不能超過每秒1個請求。

2.1 實戰(zhàn)1

測試環(huán)境：三臺機器，一臺作為客戶端進(jìn)行訪問、一臺作為代理服務(wù)器、最后一臺作為后端服務(wù)器。

（1）在代理服務(wù)器上進(jìn)行配置

在實際生產(chǎn)中，我們一般都會在代理服務(wù)器上做流量控制，因為我們客戶端的請求是都是要經(jīng)過代理服務(wù)器的，如果是在后端服務(wù)器做限流，那么當(dāng)有多臺后端服務(wù)器的時候，就意味著每臺后端服務(wù)器都得做限流配置，會浪費很多時間。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;  #定義流量限制，每秒處理一個請求limit_req_zone在此，只用作定義和分配存儲空間，并不做限流，限流需要limit_req 指令來啟用
upstream test {
       server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                limit_req zone=mylimit;  #啟用流量限制
                proxy_pass http://test;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（2）后端服務(wù)器配置測試頁面

server {
       listen 80;
       server_name localhost;
       location / {
                root    /var/www/nginx;
                index   index.html index.html;
                }
}

在這里插入圖片描述

（3）客戶端訪問（壓力測試）

客戶端安裝壓力測試工具

[root@nginx-yum ~]# yum install httpd-tools
[root@nginx-yum ~]# ab -n1000 -c2 http://192.168.0.103/
-n 請求數(shù)
-c 并發(fā)數(shù)

在這里插入圖片描述

（4）查看代理服務(wù)器錯誤日志

[root@nginx-server ~]# tail -f /var/log/nginx/error.log

在這里插入圖片描述

日志字段解釋

limiting requests：表明日志條目記錄的是被流量限制請求；
excess：每毫秒超過對應(yīng)“流量限制”配置的請求數(shù)量；
zone：定義實施“流量限制”的區(qū)域；
client：發(fā)起請求的客戶端IP地址；
server：服務(wù)器IP地址或主機名；
request：客戶端發(fā)起的實際HTTP請求；
host：HTTP報頭中host的值。

（5）查看代理服務(wù)器訪問日志

查看訪問日志出現(xiàn)503

[root@nginx-server nginx]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

2.2 實戰(zhàn)2

（1）在代理服務(wù)器上進(jìn)行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    limit_req zone=mylimit burst=5;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}
# burst=5 表示最大延遲請求數(shù)量不大于5。超出的請求返回503狀態(tài)碼。
# 客戶端測試--burst

（2）客戶端訪問（壓力測試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

（3）查看代理服務(wù)器訪問日志

[root@nginx-proxy ~]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

（4）當(dāng)我加上nodelay參數(shù)時

nodelay：不延遲轉(zhuǎn)發(fā)請求，速度變快。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    #limit_req zone=mylimit burst=5;
			    limit_req zone=mylimit burst=5 nodelay;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（5）客戶端訪問（壓力測試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

2.3 擴展

發(fā)送到客戶端的錯誤代碼

一般情況下，客戶端超過配置的流量限制時，Nginx響應(yīng)狀態(tài)碼為503(Service Temporarily Unavailable)。可以使用limit_req_status指令來設(shè)置為其它狀態(tài)碼（例如下面的404狀態(tài)碼）。

（1）在代理服務(wù)器上進(jìn)行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream test {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
      listen 80;
      server_name localhost;
		
      location / {
	          limit_req zone=mylimit;
	          limit_req_status 404;
              proxy_pass http://test;
              proxy_set_header Host $host:$server_port;
	          proxy_set_header X-Real-IP $remote_addr;
              proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
}

（2）查看代理服務(wù)器訪問日志狀態(tài)碼

在這里插入圖片描述