使用ngx_http_limit_req_module 模块可以限制某一 IP 在一段时间内对服务器发起请求的连接数,该模块为内置模块
(1) 不加burst 和 不加 nodelay
Nginx 配置截图:
ab压测截图:
ab -n 10 -c 10 http://10.129.159.159/
不加burst 和不加 nodelay 的情况下,rate=1r/s 1 秒钟只能处理 1 个请求,剩余的所有请求都会直接返回 503
(2) 加burst 和 不加 nodelay
Nginx配置截图
ab压力测试截图
ab -n 10 -c 10 http://10.129.159.159/
Nginx日志截图:
加burst 和 不加 nodelay 的情况下,rate=1r/s burst=5 处理 1 个,缓存 5 个后续 1 秒一个的处理,其他的全部丢弃
(3) 加burst 和 加 nodelay
nginx配置截图:
ab压力测试截图:
ab -n 10 -c 10 http://10.129.159.159/
Nginx日志截图:
加burst 和 加 nodelay 的情况下,第一次处理 rate+burst个连接请求,剩余的请求全部返回 503
(4) 测试$clientRealIp配置同 加burst 和 加 nodelay
root@Centos8:~# seq 1 10|while read line;do curl -IX GET http://10.129.159.159/ -H “User-Agent: IOS”;done && seq 1 10|while read line;do curl -IX GET http://10.129.159.159/ -H “User-Agent: Android”;done
根据$ clientRealIp值的ip进行限制是生效的
总结 :
通过测试的三种情况,返回了不同的结果 。
(1)不加 burst 和 不加 nodelay 的情况:按照 rate 设定的规则,严格执行。例如:rate=1r/s ,则1秒只处理1个请求,其他的全部返回连接503
(2)加 burst 和 不加 nodelay 的情况:首先按照 rate 规则处理,并且缓存 burst 个连接,剩余的全部返回503,后续缓存的 burst 按照 rate 规则进行处理
(3)加 burst 和 nodelay 的情况:第一次处理 rate+burst 个连接请求,剩余的请求全部返回 503
参数注释:
$ clientRealIp :表示通过clientRealIp 这个标识来做限制.
rate=1r/s:表示允许相同标识的客户端的访问频次,这里限制的是每秒1次
burst=5 :设置一个大小为5的缓冲区
nodelay:如果设置,会在瞬间提供处理(rate+burst)个请求的能力,请求超时(rat+burst)的时候直接返回503
zone=zone:10m 表示创建10M共享内存
$ clientRealIp变量的长度为7字节到15字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。估算1 M共享空间可以保存3.2万个32位的状态,1.6万个64位的状态。
指令名称:limit_req_zone
语法:limit_req_zone key zone=name:size rate= number r/s
默认值:no
区域:http
使用示例:limit_req_zone $binary_remote_addr zone=addr:10m rate=1r/s
对于上面的示例:
$binary_remote_addr :表示通过remote_addr 这个标识来做限制.
zone=addr:10m:表示生成一个 10M ,名字为 addr 的内存区域,用来存储访问的频次信息
rate=1r/s:表示允许相同标识的客户端的访问频次,这里限制的是每秒1次,即每秒只处理一个请求,还可以有比如 30r/m , 即限制每 2秒 访问一次,即每 2秒 才处理一个请求。
指令名称:limit_req
语法:limit_req zone=name [burst=number] [nodelay | delay=number];
默认:no
区域:http、server、location
使用示例:limit_req zone=zone burst=5 nodelay;
zone=zone:设置使用哪个配置名来做限制,与上面 limit_req_zone 里的 name 对应
burst=5 :这个配置的意思是设置一个大小为5的缓冲区,当有大量请求过来时,超过访问频次限制 rate=1r/s 的请求可以先放到这个缓冲区内等待,但是这个缓冲区只有5个位置,超过这个缓冲区的请求直接报503并返回。
nodelay:如果设置,会在瞬间提供处理(rate+burst)个请求的能力,请求超时(rat+burst)的时候直接返回503,永远不存在请求需要等待的情况。如果没有设置,则所有请求会依次等待排队;
指令名称:limit_req_status
语法:limit_req_status code;
默认:limit_req_status 503;
区域:http、server、location
功能:设置要返回的状态码以响应被拒绝的请求。
指令名称:limit_req_log_level
(该指令出现在版本0.8.18中)
语法:limit_req_log_level info | notice | warn | error;
默认:limit_req_log_level error;
区域:http、server、location
功能:该指令用于设置日志的错误级别,当达到连接限制时,将会产生错误日志。
上面的示例内容没有显式写明 limit_req_status 、limit_req_log_level 两个配置项,所以采用默认值。
Nginx 限制ip并发数及请求速度
1. 限制单IP并发访问数量
nginx中ngx_http_limit_conn_module模块用于限制连接数量,特别是来自单个IP地址的连接数量。并非所有的连接都被计数。只有当服务器处理了请求并且已经读取了整个请求头时,连接才被计数。
http {
limit_conn_zone $binary_remote_addr zone=addr:10m;
...
server {
...
location / {
limit_conn addr 10;
...
}
}
$binary_remote_addr对于IPv4地址,变量的大小始终为4个字节,对于IPv6地址则为16个字节。存储状态在32位平台上始终占用32或64个字节,在64位平台上占用64个字节。一个兆字节的区域可以保持大约32000个32字节的状态或大约16000个64字节的状态。如果区域存储耗尽,服务器会将错误返回 给所有其他请求。10M可存储160000个状态
2. 限制单IP访问速度
nginx中ngx_http_limit_req_module模块用于限制每一个请求的处理速率,特别是从一个单一的IP地址的请求的处理速率。
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;
...
server {
...
location / {
limit_req zone=one burst=50;
...
}
}
3. 测试
我们可以用ab工具测试一下。
yum -y install httpd-tools
并发测试
并发数50,总共执行次数100
ab -c 50 -n 100 http://127.0.0.1:6688/
无限制时
> ab -c 50 -n 100 http://127.0.0.1:6688/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking 127.0.0.1 (be patient).....done
Server Software: nginx
Server Hostname: 127.0.0.1
Server Port: 6688
Document Path: /
Document Length: 612 bytes
Concurrency Level: 50
Time taken for tests: 0.007 seconds
Complete requests: 100
Failed requests: 0
Write errors: 0
Total transferred: 83800 bytes
HTML transferred: 61200 bytes
Requests per second: 14828.00 [#/sec] (mean)
Time per request: 3.372 [ms] (mean)
Time per request: 0.067 [ms] (mean, across all concurrent requests)
Transfer rate: 12134.63 [Kbytes/sec] received
Connection Times (ms)
min mean[+/-sd] median max
Connect: 0 1 0.3 1 2
Processing: 0 1 0.7 2 2
Waiting: 0 1 0.5 1 2
Total: 1 2 0.5 2 3
限制配置
http {
...
limit_conn_zone $binary_remote_addr zone=addr:10m;
limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;
server {
limit_conn addr 10;
limit_req zone=one burst=50;
...
}
}
限制后
> ab -c 50 -n 100 http://121.40.237.209:6688/
This is ApacheBench, Version 2.3 <$Revision: 1430300 $>
Copyright 1996 Adam Twiss, Zeus Technology Ltd, http://www.zeustech.net/
Licensed to The Apache Software Foundation, http://www.apache.org/
Benchmarking 121.40.237.209 (be patient).....done
Server Software: nginx
Server Hostname: 121.40.237.209
Server Port: 6688
Document Path: /
Document Length: 612 bytes
Concurrency Level: 50
Time taken for tests: 3.309 seconds
Complete requests: 100
Failed requests: 0
Write errors: 0
Total transferred: 83800 bytes
HTML transferred: 61200 bytes
Requests per second: 30.22 [#/sec] (mean)
Time per request: 1654.476 [ms] (mean)
Time per request: 33.090 [ms] (mean, across all concurrent requests)
Transfer rate: 24.73 [Kbytes/sec] received
Connection Times (ms)
min mean[+/-sd] median max
Connect: 4 5 0.3 5 5
Processing: 5 1237 547.1 1660 1664
Waiting: 5 1237 547.1 1660 1664
Total: 10 1241 547.2 1665 1668
可以看出100个请求在3.3秒完成符合30r/s
参考文章
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
参考链接 :
Nginx 限制某一 IP 在一段时间内对服务器发起请求的连接数 | 小技巧 :https://mp.weixin.qq.com/s/st1yRFw0SfOXrgpUyk-i0w
Nginx 限制ip并发数及请求速度 :https://www.jianshu.com/p/f8b01b25f4e0