使用 Nginx 限流模块 limit_req_zone 来限制单位时间内的请求数目/速度/连接数

根据 nginx 官网提供的说法,有两种算法,一种是漏桶算法,一种是令牌桶算法。limit_req_zone 用来限制单位时间内的请求数目,以及速度限制;limit_req_conn 用来限制同一时间连接数,即并发限制。

1. 限流算法介绍

1.1 令牌桶算法

令牌桶:

  • 令牌以固定速率产生,并缓存到令牌桶中;
  • 令牌桶放满时,多余的令牌被丢弃;
  • 请求要消耗等比例的令牌才能被处理;
  • 令牌不够时,请求被缓存或者被拒绝

1.2 漏桶算法

漏桶算法:

  • 水(请求)从上方倒入水桶,从水桶下方流出(被处理);
  • 来不及流出的水存在水桶中(缓冲),以固定速率流出;
  • 水桶满后水溢出(丢弃)。
  • 这个算法的核心是:缓存请求、匀速处理、多余的请求直接丢弃。

相比漏桶算法,令牌桶算法不同之处在于它不但有一只“桶”,还有个队列,这个桶是用来存放令牌的,队列才是用来存放请求的。

从两者的作用上赖看,漏桶算法比较直接,限制实时限制数据的传输速率与频率,对于突发流量不管那么多就是规定死的,而令牌桶能够在限制的数据的平均传输速率的同时允许某种程度高并发的突发传输。

2. 参数配置

2.1 limit_req_zone 参数配置

//放在http{} 内
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
  • 第一个参数:$binary_remote_addr 表示通过 remote_addr 这个标识来做限制,“binary_”的目的是缩写内存占用量,是限制同一客户端 ip 地址。
  • 第二个参数:zone=mylimit:10m 表示生成一个大小为 10M,名字为 one 的内存区域,用来存储访问的频次信息。
  • 第三个参数:rate=1r/s 表示允许相同标识的客户端的访问频次,这里限制的是每秒 1 次,还可以有比如 30r/m 的。

//放在server{}内
limit_req zone=mylimit burst=1 nodelay;
  • 第一个参数:zone=one 设置使用哪个配置区域来做限制,与上面limit_req_zone 里的name对应。
  • 第二个参数:burst=5,重点说明一下这个配置,burst爆发的意思,这个配置的意思是设置一个大小为5的缓冲区当有大量请求(爆发)过来时,超过了访问频次限制的请求可以先放到这个缓冲区内。
  • 第三个参数:nodelay,如果设置,超过访问频次而且缓冲区也满了的时候就会直接返回503,如果没有设置,则所有请求会等待排队。

我这里存放在 php 中,对于静态资源全部都会走 cdn 所以没必要,只有动态资源,才会走这里,所以,我这里直接在 php 模块里面设置

设置搜索引擎例外:

limit_req_zone  $anti_spider  zone=one:10m   rate=10r/s;
limit_req zone=one burst=100 nodelay;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
    set $anti_spider $http_user_agent;
}

2.2 http_limit_conn_module 参数配置

这个模块用来限制单个IP的请求数。并非所有的连接都被计数。只有在服务器处理了请求并且已经读取了整个请求头时,连接才被计数。

Syntax: limit_conn zone number;
Default:    —
Context:    http, server, location
limit_conn_zone $binary_remote_addr zone=addr:10m;

server {
    location /download/ {
        limit_conn addr 1;
    }

一次只允许每个IP地址一个连接。

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

server {
    ...
    limit_conn perip 10;
    limit_conn perserver 100;
}

可以配置多个 limit_conn 指令。例如,以上配置将限制每个客户端 IP 连接到服务器的数量,同时限制连接到虚拟服务器的总数。

Syntax: limit_conn_zone key zone=name:size;
Default:    —
Context:    http
limit_conn_zone $binary_remote_addr zone=addr:10m;

这里,客户端 IP 地址作为关键。请注意,不是 $ remote_addr,而是使用 $ binary_remote_addr 变量。 $ remote_addr 变量的大小可以从 7 到 15 个字节不等。存储的状态在 32 位平台上占用 32 或 64 字节的内存,在 64 位平台上总是占用64字节。

对于 IPv4 地址,$ binary_remote_addr 变量的大小始终为4个字节,对于 IPv6 地址则为 16 个字节。存储状态在 32 位平台上始终占用 32 或 64 个字节,在 64 位平台上占用 64 个字节。一个兆字节的区域可以保持大约 32000 个 32 字节的状态或大约 16000 个 64 字节的状态。如果区域存储耗尽,服务器会将错误返回给所有其他请求。

Syntax: limit_conn_log_level info | notice | warn | error;
Default:    
limit_conn_log_level error;
Context:    http, server, location

当服务器限制连接数时,设置所需的日志记录级别。

Syntax: limit_conn_status code;
Default:    
limit_conn_status 503;
Context:    http, server, location

设置拒绝请求的返回值。

3. 实战

3.1 限制访问速率

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit;
    }
}

上述规则限制了每个 IP 访问的速度为 2r/s,并将该规则作用于根目录。如果单个 IP 在非常短的时间内并发发送多个请求,结果会怎样呢?

监测服务器 nginx 日志

tail -f host.access.log 

压测前后的对比,这里是压测工具是 ab 压测工具,具体用法看这篇文章 https://www.321dz.com/1491.html

使用单个 IP 在 10ms 内发并发送了 6 个请求,只有 1 个成功,剩下的 5 个都被拒绝。我们设置的速度是 2r/s,为什么只有 1 个成功呢,是不是 Nginx 限制错了?当然不是,是因为 Nginx 的限流统计是基于毫秒的,我们设置的速度是 2r/s,转换一下就是 500ms 内单个 IP 只允许通过 1 个请求,从 501ms 开始才允许通过第二个请求。

3.2 burst缓存处理

我们看到,我们短时间内发送了大量请求,Nginx 按照毫秒级精度统计,超出限制的请求直接拒绝。这在实际场景中未免过于苛刻,真实网络环境中请求到来不是匀速的,很可能有请求“突发”的情况,也就是“一股子一股子”的。Nginx 考虑到了这种情况,可以通过 burst 关键字开启对突发请求的缓存处理,而不是直接拒绝。

来看我们的配置:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4;
    }
}

我们加入了 burst=4,意思是每个key(此处是每个IP)最多允许 4 个突发请求的到来。如果单个 IP 在 10ms 内发送 6 个请求,结果会怎样呢?

相比实例一成功数增加了 4 个,这个我们设置的 burst 数目是一致的。具体处理流程是:1 个请求被立即处理,4 个请求被放到 burst 队列里,另外一个请求被拒绝。通过 burst 参数,我们使得 Nginx 限流具备了缓存处理突发流量的能力。

但是请注意:burst 的作用是让多余的请求可以先放到队列里,慢慢处理。如果不加 nodelay 参数,队列里的请求不会立即处理,而是按照 rate 设置的速度,以毫秒级精确的速度慢慢处理。

3.3 nodelay降低排队时间

实例二中我们看到,通过设置 burst 参数,我们可以允许 Nginx 缓存处理一定程度的突发,多余的请求可以先放到队列里,慢慢处理,这起到了平滑流量的作用。但是如果队列设置的比较大,请求排队的时间就会比较长,用户角度看来就是RT变长了,这对用户很不友好。有什么解决办法呢?nodelay参数允许请求在排队的时候就立即被处理,也就是说只要请求能够进入burst队列,就会立即被后台worker处理,请注意,这意味着 burst 设置了 nodelay 时,系统瞬间的 QPS 可能会超过 rate 设置的阈值。nodelay 参数要跟 burst 一起使用才有作用。

延续实例二的配置,我们加入 nodelay 选项:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4 nodelay;
    }
}

单个 IP 10ms 内并发发送 6 个请求,结果如下:

跟实例二相比,请求成功率没变化,但是总体耗时变短了。这怎么解释呢?实例二中,有4个请求被放到 burst 队列当中,工作进程每隔 500ms(rate=2r/s) 取一个请求进行处理,最后一个请求要排队 2s 才会被处理;实例三中,请求放入队列跟实例二是一样的,但不同的是,队列中的请求同时具有了被处理的资格,所以实例三中的 5 个请求可以说是同时开始被处理的,花费时间自然变短了。

但是请注意,虽然设置 burst 和 nodelay 能够降低突发请求的处理时间,但是长期来看并不会提高吞吐量的上限,长期吞吐量的上限是由 rate 决定的,因为 nodelay 只能保证 burst 的请求被立即处理,但 Nginx 会限制队列元素释放的速度,就像是限制了令牌桶中令牌产生的速度。

看到这里你可能会问,加入了 nodelay 参数之后的限速算法,到底算是哪一个“桶”,是漏桶算法还是令牌桶算法?当然还算是漏桶算法。考虑一种情况,令牌桶算法的 token 为耗尽时会怎么做呢?由于它有一个请求队列,所以会把接下来的请求缓存下来,缓存多少受限于队列大小。但此时缓存这些请求还有意义吗?如果 server 已经过载,缓存队列越来越长,RT越来越高,即使过了很久请求被处理了,对用户来说也没什么价值了。所以当 token 不够用时,最明智的做法就是直接拒绝用户的请求,这就成了漏桶算法。

3.4 自定义返回值

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4 nodelay;
        limit_req_status 598;
    }
}

默认情况下 没有配置 status 返回值的状态:

自定义 status 返回值的状态:

相关推荐

Nginx 对 IP 和 URL 进行访问频率的限制

Nginx 对 IP 和 URL 进行访问频率的限制

HttpLimitReqModul 为 nginx 官方自带的限制单位时间内请求次数的功能模块,通过 limit_req_zone 和 limit_req 命令配合使用来达到限制。一旦对应的累计连接超过指定数量,就会返回 503 错误。可以利用该规则对 IP 和 URL 进行访问频率的限制。 1. 限制规则 limit_req_zone $binary_remote_addr zone=ip_second:10m rate=10 ...

Nginx 如何对单个 url 的访问频率进行限制

Nginx 如何对单个 url 的访问频率进行限制

近期有不法人员针对公司的登录地址进行非法暴力破解,所以本人加上了登录页面的单个 ip 的频率限制写法如下! http 模块中加入: http { #定义一个名为allips的limit_req_zone用来存储session,大小是10M内存, #1M能存储16000个状态,rete的值必须为整数, #限制两秒钟一个请求,设置成30r/m ...... limit_req_zone $binar ...

解析 Nginx limit_req 模块的 burst 参数,实现限制 IP 地址 URL 访问频率

解析 Nginx limit_req 模块的 burst 参数,实现限制 IP 地址 URL 访问频率

漏斗算法(Leaky Bucket),该算法有两种处理方式 Traffic Shaping 和 Traffic Policing 在桶满水之后,常见的两种处理方式为: 将水看作网络通信中数据包的抽象,则 方式1 起到的效果称为 Traffic Shaping ,方式2 起到的效果称为 Traffic Policing。由此可见,Traffic Shaping的核心理念是"等待",Traffic Policing 的核 ...

Nginx 资源请求限制:链接数/请求速率/宽带

Nginx 资源请求限制:链接数/请求速率/宽带

前置条件: nginx 需要有 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块,可以使用命令 2>&1 nginx -V | tr ' ' '\n'|grep limit 检查有没有相应模块,如果没有请重新编译安装这两个模块。 测试版本为:nginx 版本为 1.15+ 1. 限制链接数 1.使用 limit_conn_zone 指令定义密钥并设置共享内存区域的参数( ...

微信扫一扫,分享到朋友圈

使用 Nginx 限流模块 limit_req_zone 来限制单位时间内的请求数目/速度/连接数