Nginx 限流和流量控制的实现

Nginx 提供了强大的流量控制功能。限制客户端在特定时间段内的请求次数,以保护服务器资源,防止因过载而导致的性能下降甚至服务不可用。限流在防止DDoS攻击、爬虫过度抓取和滥用API等方面有着重要作用。这里将详细介绍Nginx限流的工作原理、配置方法、各种限流策略以及实际应用。

一、Nginx限流的工作原理

Nginx的限流功能主要通过limit_reqlimit_conn模块实现:

  • limit_req模块: 用于限制每秒的请求次数。该模块基于令牌桶(Token Bucket)算法,每个请求在处理前必须从令牌桶中获取一个令牌,如果没有令牌可用,则请求被延迟或拒绝。
  • limit_conn模块: 用于限制同时连接数。该模块控制每个特定键(如IP地址或用户)允许的最大并发连接数。

二、limit_req模块配置

limit_req模块通过定义共享内存区域来存储限流信息,并在特定的上下文中应用限流策略。

1. 定义共享内存区域

首先,需要定义一个共享内存区域来存储请求的计数信息。可以使用limit_req_zone指令来完成。

语法:

limit_req_zone $variable zone=name:size rate=rate;

示例:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

在上面的示例中:

  • $binary_remote_addr:以二进制格式表示的客户端IP地址。
  • zone=one:10m:定义名为one的共享内存区域,大小为10MB。
  • rate=1r/s:限制每秒最多1个请求。

2. 应用限流策略

在定义共享内存区域后,可以在serverlocation上下文中使用limit_req指令来应用限流策略。

语法:

limit_req zone=name [burst=number] [nodelay];

示例:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

在上面的示例中:

  • zone=one:指定使用名为one的共享内存区域。
  • burst=5:允许突发5个请求。
  • nodelay:立即处理突发请求,不进行延迟。

3. 示例配置详解

以下是一个完整的示例配置:

http {
    # 定义共享内存区域
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        listen 80;
        server_name example.com;

        location / {
            # 应用限流策略
            limit_req zone=one burst=5 nodelay;

            # 代理到后端服务器
            proxy_pass http://backend;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

在这个示例中,Nginx会限制每个客户端每秒最多发送一个请求,并允许最多5个突发请求。

三、limit_conn模块配置

limit_conn模块用于限制每个特定键(如IP地址或用户)的并发连接数。

1. 定义共享内存区域

首先,需要定义一个共享内存区域来存储连接计数信息。可以使用limit_conn_zone指令来完成。

语法:

limit_conn_zone $variable zone=name:size;

示例:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        location / {
            limit_conn addr 10;
            proxy_pass http://backend;
        }
    }
}

在上面的示例中:

  • $binary_remote_addr:以二进制格式表示的客户端IP地址。
  • zone=addr:10m:定义名为addr的共享内存区域,大小为10MB。

2. 应用限流策略

在定义共享内存区域后,可以在serverlocation上下文中使用limit_conn指令来应用限流策略。

语法:

limit_conn zone_name number;

示例:

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        location / {
            limit_conn addr 10;
            proxy_pass http://backend;
        }
    }
}

在上面的示例中:

  • zone_name:指定使用的共享内存区域名称。
  • number:允许的最大并发连接数。

3. 示例配置详解

以下是一个完整的示例配置:

http {
    # 定义共享内存区域
    limit_conn_zone $binary_remote_addr zone=addr:10m;

    server {
        listen 80;
        server_name example.com;

        location / {
            # 应用限流策略
            limit_conn addr 10;

            # 代理到后端服务器
            proxy_pass http://backend;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
        }
    }
}

在这个示例中,Nginx会限制每个客户端最多允许10个并发连接。

四、高级限流策略

1. 多级限流

在实际应用中,可以根据不同的需求设置多级限流策略。例如,可以根据客户端IP地址限制每秒请求数,同时根据用户ID限制每分钟请求数。

示例:

http {
    limit_req_zone $binary_remote_addr zone=ip_zone:10m rate=1r/s;
    limit_req_zone $cookie_userid zone=user_zone:10m rate=30r/m;

    server {
        location / {
            limit_req zone=ip_zone burst=5 nodelay;
            limit_req zone=user_zone burst=10;

            proxy_pass http://backend;
        }
    }
}

在上面的示例中:

  • ip_zone:限制每个IP地址每秒最多1个请求,允许5个突发请求。
  • user_zone:限制每个用户每分钟最多30个请求,允许10个突发请求。

2. 动态限流

通过Lua脚本和ngx_lua模块,可以实现更复杂的动态限流策略。例如,可以根据用户的VIP等级动态调整限流阈值。

示例:

http {
    lua_shared_dict my_limit_req_store 10m;

    server {
        location / {
            access_by_lua_block {
                local limit_req = require "resty.limit.req"
                local lim, err = limit_req.new("my_limit_req_store", 200, 100)
                if not lim then
                    ngx.log(ngx.ERR, "failed to instantiate a resty.limit.req object: ", err)
                    return ngx.exit(500)
                end

                local key = ngx.var.binary_remote_addr
                local delay, err = lim:incoming(key, true)
                if not delay then
                    if err == "rejected" then
                        return ngx.exit(503)
                    end
                    ngx.log(ngx.ERR, "failed to limit req: ", err)
                    return ngx.exit(500)
                end

                if delay >= 0.001 then
                    ngx.sleep(delay)
                end
            }

            proxy_pass http://backend;
        }
    }
}

在上面的示例中,使用了OpenResty的resty.limit.req模块,通过Lua脚本实现了动态限流策略。

五、实际应用场景

1. 防止DDoS攻击

限流可以有效地防止DDoS攻击。通过限制每个IP地址的请求频率,可以防止恶意攻击者发送大量请求导致服务器过载。

示例:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

2. 防止爬虫过度抓取

通过限

流,可以防止爬虫过度抓取网站内容,从而保护服务器资源。

示例:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5 nodelay;
            proxy_pass http://backend;
        }
    }
}

3. 保护API服务

对于API服务,限流可以防止滥用,确保API的可用性和稳定性。

示例:

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=10r/m;

    server {
        location /api {
            limit_req zone=one burst=20 nodelay;
            proxy_pass http://api_backend;
        }
    }
}

六、限流日志和监控

为了更好地管理和监控限流策略,可以配置Nginx的日志记录限流事件,并使用监控工具进行分析。

1. 配置日志

可以通过Nginx的日志模块记录限流事件。

示例:

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for" '
                      '$request_time $upstream_response_time $pipe';

    access_log /var/log/nginx/access.log main;

    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

    server {
        location / {
            limit_req zone=one burst=5 nodelay;

            error_log /var/log/nginx/error.log warn;

            proxy_pass http://backend;
        }
    }
}

2. 使用监控工具

可以使用Prometheus、Grafana等监控工具来监控Nginx的限流情况。通过配置Nginx的VTS模块,可以导出Nginx的各种统计信息,并在Grafana中进行可视化展示。

到此这篇关于Nginx 限流和流量控制的实现的文章就介绍到这了,更多相关Nginx 限流和流量控制内容请搜索恩蓝小号以前的文章或继续浏览下面的相关文章希望大家以后多多支持恩蓝小号!

原创文章,作者:EKTOX,如若转载,请注明出处:http://www.wangzhanshi.com/n/941.html

(0)
EKTOX的头像EKTOX
上一篇 2024年12月17日 18:00:08
下一篇 2024年12月17日 18:00:10

相关推荐

  • Nginx动态压缩gzip的实现示例

    1、开启gzip模块 要压缩哪个网站就在相对的网站下开启gzip模块 在nginx.conf中设置 location / { gzip on ; # 开启gzip压缩 gzip_b…

    2024年12月17日
  • Nginx配置支持WebSocket功能详解

    Nginx配置支持WebSocket功能 刚部署一个项目需要使用到WebScoket实现。但通过域名指向NG做了反向代理,发现通过域名访问不了,通过查找资料后发现需要在Nginx添…

    nginx 2024年12月17日
  • Nginx中轮询机制的实现

    Nginx 是一个高性能的 Web 服务器和反向代理服务器,在大规模并发场景下表现尤为突出。在使用 Nginx 进行反向代理时,负载均衡是一个关键功能,而轮询机制(Round Ro…

    nginx 2024年12月17日
  • 使用Nginx部署前端Vue项目的实现

    在这篇文章中,我们将深入探讨如何使用 Nginx 部署一个 Vue.js 前端项目。Vue 是一个流行的前端 JavaScript 框架,而 Nginx 则是一个性能卓越的 Web…

    nginx 2024年12月17日
  • Nginx请求转发配置指南

    1. 简介 Nginx 是一款高性能的 HTTP 和反向代理服务器,也是一个 IMAP/POP3/SMTP 代理服务器。本文档将介绍如何使用 Nginx 配置请求转发,并解释一些常…

    nginx 2024年12月17日
  • 查看nginx是否已经启动的几种方法总结

    在 Ubuntu 或其他 Linux 系统上,要查看 Nginx 是否已经启动,您可以使用以下几种方法之一: 方法一:使用 systemctl 命令 Nginx…

    nginx 2024年12月17日
  • Nginx设置响应超时配置的实现

    1、找配置文件 要查找Nginx的配置文件,通常有几个地方需要查看,因为Nginx的配置文件可以分布在多个位置。以下是一些常见的步骤和位置来查找Nginx的配置文件: 全局配置文件…

    nginx 2024年12月17日
  • Nginx获取客户端真实IP(real_ip_header)的实现

    在使用 Nginx 作为反向代理或负载均衡器时,我们常常需要获取客户端的真实 IP 地址。然而,默认情况下,Nginx 的 $remote_addr 变量记录的…

    nginx 2024年12月17日
  • nginx 部署前端vue项目的方法实践

    一、🍓什么是nginx? Nginx是一款轻量级的HTTP服务器,采用事件驱动的异步非阻塞处理方式框架,这让其具有极好的IO性能,时常用于服务端的反向代理和负载均衡。优点: 支持海…

    2024年12月17日
  • 深入理解Nginx中的sites-enabled目录

    Nginx 是一个高性能的 HTTP 服务器和反向代理服务器,广泛用于网站和应用的部署中。在 Nginx 的配置管理中,sites-enabled 目录扮演了一个重要角色…

    nginx 2024年12月17日

发表回复

登录后才能评论