快捷導(dǎo)航

Nginx實(shí)現(xiàn)流量控制的示例代碼

更新時(shí)間：2024年05月14日 10:20:46 作者：云計(jì)算-Security

本文主要介紹了Nginx實(shí)現(xiàn)流量控制的示例代碼,可以用來(lái)限制用戶在給定時(shí)間內(nèi)HTTP請(qǐng)求的數(shù)量,保護(hù)服務(wù)器,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧

前言

流量限制 (rate-limiting)，我們可以用來(lái)限制用戶在給定時(shí)間內(nèi)HTTP請(qǐng)求的數(shù)量。流量限制可以用作安全目的，比如可以減慢暴力密碼破解的速率，更常見的情況是該功能被用來(lái)保護(hù)上游應(yīng)用服務(wù)器不被同時(shí)太多用戶請(qǐng)求所壓垮。

一、Nginx如何限流？

Nginx的流量限制使用漏桶算法(leaky bucket algorithm)，就好比，一個(gè)桶口在倒水，桶底在漏水的水桶。如果桶口倒水的速率大于桶底的漏水速率，桶里面的水將會(huì)溢出；同樣，在請(qǐng)求處理方面，水代表來(lái)自客戶端的請(qǐng)求，水桶代表根據(jù)**先進(jìn)先出調(diào)度算法(FIFO)**等待被處理的請(qǐng)求隊(duì)列，桶底漏出的水代表離開緩沖區(qū)被服務(wù)器處理的請(qǐng)求，桶口溢出的水代表被丟棄和不被處理的請(qǐng)求。

二、Nginx限流實(shí)戰(zhàn)

ngx_http_limit_req_module模塊實(shí)現(xiàn)。
流量限制配置兩個(gè)主要的指令，limit_req_zone和limit_req，**limit_req_zone 指令設(shè)置流量限制和內(nèi)存區(qū)域的參數(shù)，但實(shí)際上并不限制請(qǐng)求速率。**所以需要通過添加 limit_req 指令啟用流量限制,應(yīng)用在特定的 location 或者 server 塊。limit_req_zone指令通常在HTTP塊中定義，它需要以下三個(gè)參數(shù)。

Key：定義應(yīng)用限制的請(qǐng)求特性。通過 Nginx 的內(nèi)置變量**$binary_remote_addr**，可以獲取到訪問你的客戶端IP地址，即其作用就是保存客戶端IP地址的二進(jìn)制形式。
Zone：定義用于存儲(chǔ)每個(gè)IP地址狀態(tài)以及被限制請(qǐng)求URL訪問頻率的內(nèi)存區(qū)域（也就是說(shuō)它是用來(lái)存儲(chǔ)我獲取的這些IP地址）。通過 zone=keyword 標(biāo)識(shí)區(qū)域的名字（自定義），以及冒號(hào)后面跟區(qū)域大小。
16000個(gè)IP地址的狀態(tài)信息，大約需要1MB。
Rate：連接請(qǐng)求。速率不能超過每秒1個(gè)請(qǐng)求。

2.1 實(shí)戰(zhàn)1

測(cè)試環(huán)境：三臺(tái)機(jī)器，一臺(tái)作為客戶端進(jìn)行訪問、一臺(tái)作為代理服務(wù)器、最后一臺(tái)作為后端服務(wù)器。

（1）在代理服務(wù)器上進(jìn)行配置

在實(shí)際生產(chǎn)中，我們一般都會(huì)在代理服務(wù)器上做流量控制，因?yàn)槲覀兛蛻舳说恼?qǐng)求是都是要經(jīng)過代理服務(wù)器的，如果是在后端服務(wù)器做限流，那么當(dāng)有多臺(tái)后端服務(wù)器的時(shí)候，就意味著每臺(tái)后端服務(wù)器都得做限流配置，會(huì)浪費(fèi)很多時(shí)間。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;  #定義流量限制，每秒處理一個(gè)請(qǐng)求limit_req_zone在此，只用作定義和分配存儲(chǔ)空間，并不做限流，限流需要limit_req 指令來(lái)啟用
upstream test {
       server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                limit_req zone=mylimit;  #啟用流量限制
                proxy_pass http://test;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（2）后端服務(wù)器配置測(cè)試頁(yè)面

server {
       listen 80;
       server_name localhost;
       location / {
                root    /var/www/nginx;
                index   index.html index.html;
                }
}

在這里插入圖片描述

（3）客戶端訪問（壓力測(cè)試）

客戶端安裝壓力測(cè)試工具

[root@nginx-yum ~]# yum install httpd-tools
[root@nginx-yum ~]# ab -n1000 -c2 http://192.168.0.103/
-n 請(qǐng)求數(shù)
-c 并發(fā)數(shù)

在這里插入圖片描述

（4）查看代理服務(wù)器錯(cuò)誤日志

[root@nginx-server ~]# tail -f /var/log/nginx/error.log

在這里插入圖片描述

日志字段解釋

limiting requests：表明日志條目記錄的是被流量限制請(qǐng)求；
excess：每毫秒超過對(duì)應(yīng)“流量限制”配置的請(qǐng)求數(shù)量；
zone：定義實(shí)施“流量限制”的區(qū)域；
client：發(fā)起請(qǐng)求的客戶端IP地址；
server：服務(wù)器IP地址或主機(jī)名；
request：客戶端發(fā)起的實(shí)際HTTP請(qǐng)求；
host：HTTP報(bào)頭中host的值。

（5）查看代理服務(wù)器訪問日志

查看訪問日志出現(xiàn)503

[root@nginx-server nginx]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

2.2 實(shí)戰(zhàn)2

（1）在代理服務(wù)器上進(jìn)行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    limit_req zone=mylimit burst=5;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}
# burst=5 表示最大延遲請(qǐng)求數(shù)量不大于5。超出的請(qǐng)求返回503狀態(tài)碼。
# 客戶端測(cè)試--burst

（2）客戶端訪問（壓力測(cè)試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

（3）查看代理服務(wù)器訪問日志

[root@nginx-proxy ~]# tail -f /var/log/nginx/access.log

在這里插入圖片描述

（4）當(dāng)我加上nodelay參數(shù)時(shí)

nodelay：不延遲轉(zhuǎn)發(fā)請(qǐng)求，速度變快。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
       listen 80;
       server_name localhost;

       location / {
                #limit_req zone=mylimit;
			    #limit_req zone=mylimit burst=5;
			    limit_req zone=mylimit burst=5 nodelay;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        }
}

（5）客戶端訪問（壓力測(cè)試）

[root@zrs ~]# ab -n1000 -c50 http://192.168.0.103/

在這里插入圖片描述

2.3 擴(kuò)展

發(fā)送到客戶端的錯(cuò)誤代碼

一般情況下，客戶端超過配置的流量限制時(shí)，Nginx響應(yīng)狀態(tài)碼為503(Service Temporarily Unavailable)?？梢允褂?code>limit_req_status指令來(lái)設(shè)置為其它狀態(tài)碼（例如下面的404狀態(tài)碼）。

（1）在代理服務(wù)器上進(jìn)行配置

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream test {
         server 192.168.0.102:80 weight=1 max_fails=1 fail_timeout=1;
}
server {
      listen 80;
      server_name localhost;
		
      location / {
	          limit_req zone=mylimit;
	          limit_req_status 404;
              proxy_pass http://test;
              proxy_set_header Host $host:$server_port;
	          proxy_set_header X-Real-IP $remote_addr;
              proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
      }
}

（2）查看代理服務(wù)器訪問日志狀態(tài)碼

在這里插入圖片描述

總結(jié)

如果不加nodelay只有burst的時(shí)候只會(huì)延遲轉(zhuǎn)發(fā)請(qǐng)求超過限制的請(qǐng)求出現(xiàn)503錯(cuò)誤；
如果nodelay和burst參數(shù)都有不會(huì)延遲轉(zhuǎn)發(fā)請(qǐng)求并且超出規(guī)定的請(qǐng)求次數(shù)會(huì)返回503狀態(tài)碼。

到此這篇關(guān)于Nginx實(shí)現(xiàn)流量控制的示例代碼的文章就介紹到這了,更多相關(guān)Nginx 流量控制內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: