Nginx 限流
目录
系统设计时一般会预估负载,当系统暴露在公网中时,恶意攻击或正常突发流量等都可能导致系统被压垮,而限流就是保护措施之一。限流即控制流量。
- 控制速率
- 控制并发连接数
ngx_http_limit_req_module 控制速率
ngx_http_limit_req_module 模块提供限制请求处理速率能力,使用了漏桶算法(leaky bucket)。
|
|
- key :定义限流对象,binary_remote_addr 是一种key,表示基于 remote_addr(客户端IP) 来做限流,binary_ 的目的是压缩内存占用量。
- zone:定义共享内存区来存储访问信息, one:10m 表示一个大小为10M,名字为one的内存区域。1M能存储16000 IP地址的访问信息,10M可以存储16W IP地址访问信息。
- rate 用于设置最大访问速率,rate=10r/s 表示每秒最多处理10个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每100毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续100毫秒内又有请求到达,将拒绝处理该请求。
- burst 译为突发、爆发,表示在超过设定的处理速率后能额外处理的请求数。平均每秒允许不超过 1 个请求,突发不超过 5 个请求。
ngx_http_limit_conn_module 限制连接数
ngx_http_limit_conn_module 模块用于限制每个定义的 key 的连接数,特别是来自单个 IP 地址的连接数。并非所有连接都被计算在内。只有当服务器正在处理一个请求并且已经读取了整个请求标头(request header)时,才计算一个连接。
|
|
key 是 $binary_remote_addr,表示限制单个IP同时最多能持有1个连接。
ngx_http_geo_module 和 ngx_http_map_module
限流主要针对外部访问,内网访问相对安全,可以不做限流,通过设置白名单即可。
- ngx_http_geo_module 模块根据客户端 IP 地址创建具有值的变量。
- ngx_http_map_module 模块创建其值取决于其他变量的值的变量。
|
|
geo 对于白名单(子网或IP都可以) 将返回0,其他IP将返回1。
map 将 $limit 转换为 $limit_key,如果是 $limit 是0(白名单),则返回空字符串;如果是1,则返回客户端实际IP。
limit_req_zone 限流的key不再使用 $binary_remote_addr,而是 $limit_key 来动态获取值。如果是白名单,limit_req_zone 的限流key则为空字符串,将不会限流;若不是白名单,将会对客户端真实IP进行限流。
limit_rate
除限流外,ngx_http_core_module 还提供了限制数据传输速度的能力(即常说的下载速度)。
|
|
这个限制是针对每个请求的,表示客户端下载前20M时不限速,后续限制100kb/s。