详解Nginx 对访问量的控制

目的

了解 Nginx 的 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块,对请求访问量进行控制。

Nginx 模块化

nginx 的内部结构是由核心模块和一系列的功能模块所组成。模块化架构使得每个模块的功能相对简单,实现高内聚,同时也便于对 Nginx 进行功能扩展。

针对 web 请求,Nginx 所有开启的模块会组成一条链,类似于闯关游戏中的一道道关卡,每个模块负责特定的功能,例如实现压缩的 ngx_http_gzip_module 模块,实现验证的 ngx_http_auth_basic_module 模块和实现代理的 ngx_http_proxy_module 模块等。连接到服务器的请求,会依次经过Nginx各个模块的处理,只有通过这些模块处理之后的请求才会真正的传递给后台程序代码进行处理。

Nginx 并发访问控制

对于 web 服务器而言,当遇到网络爬虫,或者恶意大流量攻击访问时,会造成服务器内存和 CPU 爆满,带宽也会跑满,所以作为成熟的服务器代理软件,需要可以对这些情况进行控制。

Nginx 控制并发的方法有两种,一种是通过IP或者其他参数控制其并发量;另外一种是控制单位时间内总的请求处理量。即对并发和并行的控制,这两个功能分别由 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块负责实现。

ngx_http_limit_conn_module 模块

说明

该模块主要用于对请求并发量进行控制。

参数配置

limit_conn_zone

指令配置 limit_conn_zone key zone=name:size
配置的上下文:http
说明:key 是 Nginx 中的变量,通常为 binaryremoteaddr|server_name;name 为共享内存的名称,size 为该共享内存的大小;此配置会申请一块共享内存空间 name,并且保存 key 的访问情况

limit_conn_log_level

语法:limit_conn_log_level info|notice|warn|error
默认值:error
配置上下文:http,server,location
说明:当访问达到最大限制之后,会将访问情况记录在日志中

limit_conn

语法:limit_conn zone_name number
配置上下文:http,server,location
说明:使用 zone_name 进行访问并发控制,当超过 number 时返回对应的错误码

limit_conn_status

语法:limit_conn_status code
默认值:503
配置上下文:http,server,location
说明:当访问超过限制 number 时,给客户端返回的错误码,此错误码可以配合 error_page 等参数,在访问超量时给客户返回友好的错误页面

limit_rate

语法:limit_rate rate
默认值:0
配置上下文:http,server,location
说明:对每个链接的速率进行限制,rate 表示每秒的下载速度;

limit_rate_after

语法:limit_rate_after size
配置上下文:http,server,location
说明:此命令和 limit_rate 配合,当流量超过 size 之后,limit_rate 才开始生效

简单配置示例

limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
  listen    80;
  server_name www.domain.com;
  root  /path/;
  index index.html index.htm;
  location /ip {
   limit_conn_status 503; # 超限制后返回的状态码;
   limit_conn_log_level warn; # 日志记录级别
   limit_rate 50; # 带宽限制
   limit_conn addr 1; # 控制并发访问
  }
  # 当超过并发访问限制时,返回503错误页面
  error_page 503 /503.html;
}

ngx_http_limit_req_module 模块

说明

该模块主要控制单位时间内的请求数。使用 “leaky bucket” (漏斗)算法进行过滤,在设置好限制 rate 之后,当单位时间内请求数超过 rate 时,模块会检测 burst 值,如果值为0,则请求会依据 delay|nodelay 配置返回错误或者进行等待;如果 burst 大于0时,当请求数大于 rate 但小于 burst 时,请求进入等待队列进行处理。

参数配置

limit_req_zone

语法:limit_req_zone key zone=name:size rate=rate
配置上下文:http
说明:key 是 Nginx 中的变量,通常为 binaryremoteaddr|server_name;name 为共享内存的名称,size 为该共享内存的大小;rate 为访问频率,单位为 r/s 、r/m 。此配置会申请一块共享内存空间 name,并且保存 $key 的访问情况;

limit_req

语法: limit_rate zone=name [burst=number] [nodelay|delay=number]
配置上下文:http,server,location
说明:开启限制,burst设置最多容量,nodelay决定当请求超量是,是等待处理还是返回错误码;

limit_req_log_level 和 limit_req_status 配置参数左右与ngx_http_limit_conn_module模块一致;

简单配置示例

limit_req_zone $binary_remote_addr zone=req:10m rate=2r/m;
server {
  listen    80;
  server_name www.domain.com;
  root  /path/;
  index index.html index.htm;
  location /limit {
   limit_req zone=req burst=3 nodelay;
  }
  # 当超过并发访问限制时,返回503错误页面
  error_page 503 /503.html;
}

注意

这两种访问控制都需要申请内存空间,既然有内存空间,当然会存在内存耗尽的情况,这时新的请求都会被返回错误,所以当开启访问量限制时,需要通过监控防止此类情况发生。

小结

通过对 Nginx 模块化架构的简单介绍,重点了解 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块的功能和配置参数,实现 Nginx 对请求的并发控制。如有不对,还请指教

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Docker容器化部署尝试——多容器通信(node+mongoDB+nginx)

    原因是这样的 想要部署一个mocker平台,就在朋友的推荐下选择了 api-mocker 这个现成的项目 该项目分为服务端node.客户端vue.以及数据库mongoDB 在尝试直接部署的时候发现需要装一大堆的环境,node.mongo.nginx啊,特别的麻烦,之前简单的使用过docker,就在想能不能用docker免环境直接部署呢?于是就有了这次的尝试 多容器通信 该项目分为3个部分,于是就要建立3个容器(node.mongo.nginx) 那容器之间怎么实现通信呢? # 通过link指令建

  • Nginx 实现灰度发布的三种方法总结

    Nginx 实现灰度发布的三种方法总结 灰度发布的主要原理是访问路由的控制,重点是保证每次访问的是同一个节点. 方式一:通过调节负载均衡权重 负载均衡 建立在现有网络结构之上,它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽.增加吞吐量.加强网络数据处理能力.提高网络的灵活性和可用性. 负载均衡,英文名称为Load Balance,其意思就是分摊到多个操作单元上进行执行,例如Web服务器.FTP服务器.企业关键应用服务器和其它关键任务服务器等,从而共同完成工作任务. 简单配置如下: ht

  • 浅析nginx刚刚发布的JavaScript能力nginScript

    背景 2015年9月,nginx宣布支持类JavaScript语言.这意味着开发者可以更轻松.自由的控制全球最优秀的HTTP及反向代理服务器,并在此之上可以衍生出更多有用.好玩的创意.Nginx也更开发的走向了动态配置化的下一个阶段.大家可以点击查看 官方介绍链接 . 先简单说说nginx Nginx [engine x]是全球最受欢迎,也是最优秀的web服务器.反向代理服务器.通过第三方公司的统计,目前全球至少有23%的服务器采用了nginx,当然这个数字还在不断的扩大.目前也是国内BAT首选

  • nginx安装到指定目录的方法示例

    公司需求,需要在同一台机器上装两个不同位置的 nginx.what!我之前都是直接装在 /user/local/ 下的啊, 或者 yum install nginx 装在 /etc/nginx 啊,这怎么办 经过我的一番寻找终于看到的一些靠谱的答案. ./configure \ --prefix=你想要安装的目录 \ --sbin-path=/你想要安装的目录/nginx \ --conf-path=/你想要安装的目录/nginx.conf \ --pid-path=/你想要安装的目录/ngin

  • Nginx之proxy_redirect使用详解

    今天在做nginx反向代理apache的时候出了一点点问题,原来后端apache用的端口是8080通过反向代理后,使用wireshark抓包发现location头域数值为http://192.168.1.154:8080/wuman/  如果把这个返回给客户端肯定是不可以的,看起来别扭而且还暴露了apache的具体信息 所以在这里用到了nginx的proxy_redirect指定修改被代理服务器返回的响应头中的location头域跟refresh头域数值 以下是截取nginx的一小段配置文档 s

  • 详解Asp.Net Core 发布和部署( MacOS + Linux + Nginx )

    前言 在上篇文章中,主要介绍了 Dotnet Core Run 命令,这篇文章主要是讲解如何在Linux中,对 Asp.Net Core 的程序进行发布和部署. 目录 新建一个 WebApp 项目 发布到 Linux,Mac OS 使用 Nginx 进行反向代理 新建一个 WebApp 项目 在 Asp.Net Core 项目中,我们使用 dotnet new -t WebApp 命令和创建一个新的空的 Web 应用程序. 以下是我在 Mac 中的截图: 主要是用以下几个命令: mkdir He

  • 使用nginx模拟进行金丝雀发布的方式

    这篇文章介绍一下蓝绿部署以及使用nginx如何最简单地模拟一下金丝雀发布的方式 金丝雀发布/灰度发布 金丝雀发布的重点在于:试错.金丝雀发布的来历本身就是自然界的美丽生物在人类工业发展过程中的一个悲惨的故事.金丝雀就是用它的生命来为矿工的安全来试错的.用很小的成本来换取整体的安全,在持续部署的实践中,金丝雀就是流量控制,用很少的流量比如百分之一或者十分之一用于检证某个版本是否正常,如果不正常则就用最低的成本实现了其作用,降低了风险.如果正常,则可以逐渐加大权重直至百分之百,将所有的流量都平稳地切

  • 使用nginx设置代理服务器

    nginx可以利用其反向代理的功能来进行负载均衡的实现,同时也可以使用其正向代理的功能设置代理服务器,比如在内网的环境中,在可以连接外网的机器上运行nginx作为代理服务器,其他机器通过设定此台机器的IP和port即可通过其连接上网,本文使用nginx官方镜像,通过如下步骤即可简单实现代理服务器. Step 1: 启动nginx [root@devops ~]# docker run -p 8888:8888 --name proxy-nginx -d nginx c7baab8ea9da0a1

  • 详解基于Vue,Nginx的前后端不分离部署教程

    有小伙伴私信问我vue项目是如何进行前后端不分离打包发布的,那我岂能坐视不管,如此宠粉的我肯定是要给发一篇教程的,话不多说,开始操作 前端假如我们要发布我们的Vue项目,假设我们前端用的是history路由(要发就发个全套的),并且在后端带有一个二级目录,以便于可以在服务器上部署N个项目,在这里后台服务器的话,我用Nginx服务器来给大家模拟,接下来就面对疾风吧: 一.在这里我前端vue项目使用vue cli脚手架进行搭建的,后台使用Nginx,首先是前端配置: 1.前端配置,在这里假如后端访问

  • Linux系统下Nginx支持ipv6配置的方法

    一.查看现有nginx是否支持ipv6 需要执行以下命令,查看现有nginx是否支持ipv6,如果参数中具有--with-ipv6,则支持,如 果没有,则不支持,需要重新编译nginx. # 此处的nginx路径以您实际的nginx启动文件路径为准 /usr/local/nginx-1.14.0/sbin/nginx -V 二. 重新编译nginx支持ipv6 1.下载相对应的nginx安装包: 2.解压nginx的安装包: 3.进入nginx解压后的安装文件中,先执行 ./configure

随机推荐