nginx 限制 IP 的连接和并发用到两个模块
HttpLimitReqModul 用来限制连单位时间内连接数,使用limit_req_zone和limit_req 命令配合使用来达到限制。一旦并发连接超过指定数量,就会返回503错误。HttpLimitConnModul用来限制单个ip的并发连接数,使用limit_zone和limit_conn指令
这两个模块的区别前一个是对一段时间内的连接数限制,后者是对同一时刻的连接数限制.
limit_req_zone 用来限制单位时间内的请求数,即速率限制,采用的漏桶算法 “leaky bucket”
limit_req_conn 用来限制同一时间连接数,即并发限制
其中limit_req_conn模块可以根据源IP限制单用户并发访问的连接数或连接到该服务的总并发连接数
什么是漏桶算法?
假设系统是一个漏桶,当请求到达时,就是往漏桶里“加水”,而当请求被处理掉,就是水从漏桶的底部漏出。水漏出的速度是固定的,当“加水”太快,桶就会溢出,也就是“拒绝请求”。从而使得桶里的水的体积不可能超出桶的容量。主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。
示例代码如下
1
2
3
4
5
6
7
8
9
10
11
12
13
14
| http {
limit_conn_log_level error;
limit_conn_status 503;
limit_req_zone $binary_remote_addr zone=one:30m rate=20r/s;
limit_req_zone $binary_remote_addr $uri zone=two:30m rate=20r/s;
limit_req_zone $binary_remote_addr $request_uri zone=three:30m rate=20r/s;
server {
limit_conn one 50;
limit_conn perserver 1000;
limit_req zone=one burst=5 nodelay;
}
}
|
参数解释
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| limit_req_zone $binary_remote_addr zone=one:30m rate=20r/s;
- $binary_remote_addr 是限制同一客户端ip地址不同URL
- zone:区域名one 存放session30M
- rate: 每秒钟请求数
limit_req_zone $binary_remote_addr $uri zone=two:30m rate=20r/s;
- $binary_remote_addr $uri 是限制同一客户端ip地址 相同URL
- zone:区域名two 存放session30M
- rate: 每秒钟请求数
limit_req_zone $binary_remote_addr $request_uri zone=three:30m rate=20r/s;
- $binary_remote_addr $request_uri 是限制同一客户端ip地址 相同URL
- zone:区域名two 存放session30M
- rate: 每秒钟请求数
limit_req zone=one burst=5 nodelay;
- zone: 区域one 表示设置了名为“one”或“allips”的limit_req_zone存储区用来存储session,大小为20M
- burst:设置一个大小为15的缓冲区,当有大量请求(爆发)过来时,访问超过了上面的限制可以先放到缓冲区内。
- nodelay: 一般是和burst一起使用的,如果设置了nodelay,当访问超过了频次而且缓冲区也满的情况下会直接返回503,如果设置了,则所有大的请求会等待排队
limit_conn one 50 限制每ip每秒不超过50个请求,漏桶数burst为5.
limit_conn perserver 1000表示该服务提供的总连接数不得超过1000,超过请求的会被拒绝
|