zoukankan      html  css  js  c++  java

  • nginx限制请求之一:(ngx_http_limit_conn_module)模块

    相关文章:

    高可用服务设计之二:Rate limiting 限流与降级

    nginx限制请求之一:(ngx_http_limit_conn_module)模块

    nginx限制请求之二:(ngx_http_limit_req_module)模块

    nginx限制请求之三:Nginx+Lua+Redis 对请求进行限制

    nginx限制请求之四:目录进行IP限制

    对应nginx接入层限流可以使用Nginx自带的两个模块:

    • 连接数限流模块ngx_http_limit_conn_module:
    • 漏桶算法实现的请求限流模块ngx_http_limit_req_module

    ngx_http_limit_conn_module 对于一些服务器流量异常、负载过大,甚至是大流量的恶意攻击访问等,进行并发数的限制;该模块可以根据定义的键来限制每个键值的连接数,只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才会被计数。

    该模块提供了两个配置参数,limit_conn_zone 和 limit_conn ,

    其中 limit_conn_zone 只能配置在 http{} 段,而 limit_conn 则可以配置于http{},server{},location{} 区段中。

    三方模块编译安装参数:

    这里写图片描述

    、 limit_conn_zone

    语法:limit_conn_zone $variable zone=name:size; 
    配置段:http

    参数说明:

    • $variable:定义键,要限流的维度;
    • zone=name: 定义区域名称(名称随意起名),主要作用与后面的 limit_conn中对应就好。
    • size: 定义各个键共享内存空间大小。

    该指令描述会话状态存储区域。键的状态中保存了当前连接数,键的值可以是特定变量的任何非空值(空值不会被考虑)。

    如:

    #限制连接数
limit_conn_zone $binary_remote_addr zone=showjoy_conn:20m;

    注释:

    客户端的IP地址作为键。注意,这里使用的是 binary_remote_addr 变量,而不是 remote_addr 变量。 
    remote_addr变量的长度为7字节到15字节,而存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。 
    binary_remote_addr变量的长度是固定的4字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。 
    1M共享空间可以保存3.2万个32位的状态,1.6万个64位的状态。 
    如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503 (Service Temporarily Unavailable) 错误。

    、limit_conn

    语法:limit_conn zone_name number 
    配置段:http,server,location

    参数说明:

    • zone_name是上面limit_conn_zone中的zone定义的;
    • number:是并发连接数量;

    该指令指定每个给定键值的最大同时连接数,当超过这个数字时返回503(Service )错误。limit_conn是对某个key对应的总的网络连接数进行限流。可以按照IP来限制IP维度的总连接数,或者按照服务域名来限制某个域名的总的连接数。(只有那些被nginx处理的且已经读取了整个请求头的请求连接才会被计数器统计)。

    如(同一IP同一时间只允许有20个连接):

    这里写图片描述

    、配置使用示例

    limit_conn_zone $binary_remote_addr zone=showjoy_conn:20m; 
    主要用来定义变量、zone名称、共享内存大小

    limit_conn showjoy_conn 20; 
    将前面定义的showjoy_conn进行配置,并且限制同一IP并发连接数为20

    这里写图片描述

    配置方法如下:

    1、在nginx.conf里的http{}里加上如下代码:

    1. #ip limit
    2. limit_conn_zone $binary_remote_addr zone=perip:10m;
    3. limit_conn_zone $server_name zone=perserver:10m;

    2、在需要限制并发数下载带宽的网站配置server{}里加上如下代码:

    1. limit_conn perip 2;
    2. limit_conn perserver 20;
    3. limit_rate 100k;

    补充说明下参数:

      • $binary_remote_addr是限制同一客户端ip地址;
      • $server_name是限制同一server最大并发数;
      • limit_conn为限制并发连接数;
      • limit_rate为限制下载速度;

    注意:
    nginx 1.1.8 之后的版本的语法改为limit_conn_zone $binary_remote_addr zone=NAME:10m;
    NAME 就是 zone 的名字详情请看这里 http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
    限制连接数:
    要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码:
    "zone=" 给它一个名字,可以随便叫,这个名字要跟下面的 limit_conn 一致
    $binary_remote_addr = 用二进制来储存客户端的地址,1m 可以储存 32000 个并发会话
    ... 省掉 N 字
    http
    {
        limit_conn_zone $binary_remote_addr zone=addr:10m;
        接下来需要对server不同的位置(location段)进行限速,比如限制每个IP并发连接数为1,则
    server
    {
        listen 80;
        server_name 192.168.11.128;
        index index.html index.htm index.php;
        limit_conn addr 1; #是限制每个IP只能发起1个连接 (addr 要跟 limit_conn_zone 的变量对应)
        limit_rate 100k; #限速为 100KB/秒
        root html;
    注意事项:
    limit_rate 100k; //是对每个连接限速100k。这里是对连接限速,而不是对IP限速!如果一个IP允许两个并发连接,那么这个IP就是限速limit_rate *

     

    、使用注意事项

    事务都具有两面性的。ngx_http_limit_conn_module 模块虽说可以解决当前面临的并发问题,但是会引入另外一些问题的。如前端如果有做LVS或反代,而我们后端启用了该模块功能,那不是非常多503错误了?这样的话,可以在前端启用该模块,要么就是设置白名单。

    模块地址:https://yunpan.cn/cqSKP6BrJ2AeT 访问密码 4f50
  • 相关阅读:
    Jenkins构建时间Poll Scm的设置(常用设置)
    jenkins对测试脚本的构建步骤
    jemeter排至数据库时报:Access denied for user 'root'@'localhost' (using password:YES) 解决方案
    接口测试总结
    linux gitlab-ctl reconfigure报错问题修复 502
    Linux Redis 开机启动
    CentOS7安装iptables防火墙
    linux mongodb开机启动(服务的方式)
    Linux服务器使用XShell上传下载文件
    推荐.Net、C# 逆向反编译四大工具利器
  • 原文地址:https://www.cnblogs.com/duanxz/p/3977756.html
Copyright © 2011-2022 走看看