Nginx 限流方式(速率限流、并发限流及黑白名单配置)

最新推荐文章于 2025-03-11 15:46:04 发布
最新推荐文章于 2025-03-11 15:46:04 发布
阅读量1.3w 收藏 45
点赞数 12
分类专栏: # nginx 文章标签: nginx java 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41432730/article/details/122023212
版权

Nginx现在已经是最火的负载均衡之一,在流量陡增的互联网面前,接口限流也是很有必要的,尤其是针对高并发的场景。Nginx的限流主要是两种方式:限制访问频率和限制并发连接数。

1. 速率限流

1.1 语法

Nginx中我们使用ngx_http_limit_req_module模块来限制请求的访问频率,基于漏桶算法原理实现。接下来我们使用 nginx limit_req_zone 和 limit_req 两个指令,限制单个IP的请求处理速率:

语法:limit_req_zone key zone rate

key:定义限流对象,binary_remote_addr 是一种key,表示基于 remote_addr(客户端IP) 来做限流,binary_ 的目的是压缩内存占用量。

zone:定义共享内存区来存储访问信息, myRateLimit:10m 表示一个大小为10M,名字为myRateLimit的内存区域。1M能存储16000 IP地址的访问信息,10M可以存储16W IP地址访问信息。

rate:用于设置最大访问速率,rate=10r/s 表示每秒最多处理10个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每100毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续100毫秒内又有请求到达,将拒绝处理该请求。

1.2 实战

我们首先需要配置缓存空间,然后再对应的请求下面设置限流配置即可。

image-20211219131256802

重启启动nginx,频繁访问具有限流配置的请求。

image-20211219133344759

1.3 突发流量缓冲

按上面的配置在流量突然增大时,超出的请求将被拒绝,无法处理突发流量,那么在处理突发流量的时候,该怎么处理呢?Nginx提供了 burst 参数来解决突发流量的问题,并结合 nodelay 参数一起使用。burst 译为突发、爆发,表示在超过设定的处理速率后能额外处理的请求数。

burst=5 nodelay表示这5个请求立马处理,不能延迟,相当于特事特办。不过,即使这5个突发请求立马处理结束,后续来了请求也不会立马处理。burst=5 相当于缓存队列中占了5个坑,即使请求被处理了,这5个位置这只能按 100ms一个来释放。这就达到了速率稳定,突发然流量也能正常处理的效果。

image-20211219133559229

2. 并发量限流

Nginx 的ngx_http_limit_conn_module模块提供了对资源连接数进行限制的功能,使用 limit_conn_zone 和 limit_conn 两个指令就可以了。

limit_conn perip 20 : 对应的key是 $binary_remote_addr,表示限制单个IP同时最多能持有20个连接。

limit_conn perserver 100 : 对应的key是 $server_name,表示虚拟主机(server) 同时能处理并发连接的总数。注意,只有当 request header 被后端server处理后,这个连接才进行计数。

修改nginx.conf配置,如下:

image-20211219133949501

完整配置如下:

#速率限流配置
limit_req_zone $binary_remote_addr zone=ipRateLimit:10m rate=2r/s;
#并发量限流-单个IP控制
limit_conn_zone $binary_remote_addr zone=perip:10m;
#并发量限流-整个服务控制
limit_conn_zone $server_name zone=perserver:10m;
server {
    listen       80;
    server_name  localhost;
    location ~ .*\.(woff|ico|css|js|gif|jpg|jpeg|png)$ {
    	root /usr/local/openrestyDir/pages/;
    }
    location /msitems/ {
        #限流配置
        #limit_req zone=ipRateLimit burst=5 nodelay;
        #并发量限流
        limit_conn perip 20;
        limit_conn perserver 100;
        root /usr/local/openrestyDir/pages/;
    }
}

3. 黑白名单

有时候会有一些恶意IP攻击服务器,会基于程序频繁发起请求对服务器造成巨大压力,我们此时可以使用Nginx的黑名单功能实现黑名单过滤操作。我们首先需要配置黑名单IP,黑名单IP我们可以记录到一个配置文件中,比如配置到blockip.conf文件中:

配置固定IP为黑名单:

deny 192.168.100.1;

nginx.conf中引入blockip.conf,可以放到http, server, location语句块,配置如下:

#黑名单
include blockip.conf;

此时在192.168.100.1的IP上访问服务器,会报如下错误:

image-20211219134233294

屏蔽ip的配置文件既可以屏蔽单个ip,也可以屏蔽ip段,或者只允许某个ip或者某个ip段访问。

# 屏蔽单个ip访问
deny IP;
# 允许单个ip访问
allow IP;
# 屏蔽所有ip访问
deny all;
# 允许所有ip访问
allow all;
#屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
deny 123.0.0.0/8
#屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
deny 124.45.0.0/16
#屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令
deny 123.45.6.0/24

如果你想实现这样的应用,除了几个IP外,其他全部拒绝,那需要你在blockip.conf中这样写:

allow 192.168.100.1;
allow 192.168.100.2;
deny all;

但是这种手动配置的方式可能太过繁琐,我们也可以配置动态黑白名单。

配置动态黑白名单,我们可以采用Lua+Redis实现,将黑名单存入到Redis缓存,每次执行请求时,通过lua脚本先获取用户IP,匹配IP是否属于黑名单,如果是,则不让请求,如果不是,则放行。

Java限流及常用解决方案总结
congge
09-20 7803
前言 说到限流,想必大家都不陌生,一个很简单的例子就是,在12306上面买票的时候,遇到某时刻开始抢票的时候,经常页面会弹出一个类似请稍后重试的提示,从后端的技术层面来看,大概有2层解释,第一是服务器担心扛不住瞬时的高并发流量被拖垮而快速响应,另一个就是对当前的这个请求做了限流 限流基本概念 结合大家过往经验,不难理解“限流”的含义,对一般的限流场景来说它具有两个维度的信息: 时间 限流基于某段时间范围或者某个时间点,也就是我们常说的“时间窗口”,比如对每分钟、每秒钟的时间窗口做限定 资源 基于可用资源的
分布式接口幂等性、分布式限流(Guava 、nginx和lua限流
m0_71777195的博客
06-15 692
接口幂等性就是用户对于同一操作发起的一次请求或者多次请求的结果是一致的,不会因为多次点击而产生了副作用。举个最简单的例子,那就是支付,用户购买商品后支付,支付扣款成功,但是返回结果的时候网络异常,此时钱已经扣了,用户再次点击按钮,此时会进行第二次扣款,返回结果成功,用户查询余额返发现多扣钱了,流水记录也变成了两条,这就没有保证接口的幂等性。幂等性的核心思想:通过唯一的业务单号保障幂等性,非并发的情况下,查询业务单号有没有操作过,没有则执行操作,并发情况下,这个操作过程需要加锁。1)根据唯一业务号去更新数据通
Nginx限流
热门推荐
weixin_51216079的博客
01-13 49万+
指定location拒绝所有请求deny all;前文已经涵盖了 NginxNginx Plus 提供的“流量限制”的很多功能,包括为 HTTP 请求的不同 loation 设置请求速率,给“流量限制”配置 burst 和 nodelay 参数。还涵盖了针对客户端 IP 地址的白名单和黑名单应用不同“流量限制”的高级配置,阐述了如何去日志记录被拒绝和延时的请求。
Nginx | nginx如何限流
Operations_white的博客
03-12 1199
一、如何限流 1、Nginx限流使用的是漏桶算法,在请求处理方面,水代表来自客户端的请求,水桶代表根据”先进先出调度算法”(FIFO)等待被处理的请求队列,桶底漏出的水代表离开缓冲区被服务器处理的请求,桶口溢出的水代表被丢弃和不被处理的请求。 2、限流的基本配置 限流是通过两个主要指令:limit_req_zone和limit_req来实现的。 实验需要先准备两台虚拟机:一个作为代理服务器,一个作...
Nginx 限流功能:原理、配置与应用
qq_21047625的博客
03-11 518
Nginx限流功能为我们在应对高并发场景时提供了一种简单而有效的解决方案。通过合理配置和模块,我们可以根据不同的业务需求灵活地实现请求速率限制和连接数限制。在实际应用中,结合具体的业务场景,充分发挥 Nginx 限流功能的优势,能够有效地提升系统的稳定性和可靠性,为用户提供更加优质的服务体验。希望本文能帮助读者深入理解 Nginx 限流功能,并在实际项目中成功应用。
NGINX上的限流
weixin_33831196的博客
02-20 230
2019独角兽企业重金招聘Python工程师标准>>> ...
nginx 限流
leone的博客
04-21 1635
nginx 限流 nginx限流算法(漏桶算法) 漏桶算法(Leaky Bucket)是网络世界中流量整形(Traffic Shaping)或速率限制(Rate Limiting)时经常使用的一种算法,它的主要目的是控制数据注入到网络的速率,平滑网络上的突发流量。漏桶算法提供了一种机制,通过它,突发流量可以被整形以便为网络提供一个稳定的流量。 漏桶可以看作是一个带有常量服务时间的单服务器队列,如果...
nginx限流
卡哇伊的码农
09-29 388
1.需求 一般情况下,首页的并发压力很大,即便与了多级缓存,当用户不停的刷新页面,或者有大量的恶意请求,都会对系统造成很大的压力。 限流就是很重要的保护手段 2.Nginx限流 nginx提供两种方式限流: 控制速率 控制并发连接数 2.1 控制速率 2.1.1 漏桶算法 控制速率方式之一就是采用漏铜桶算法 漏桶算法: 水(请求)先进入到漏桶里,漏桶以一定的速度出水(接口有响应速率),当水流入速度过大会直接溢出(访问频率超过接口响应速率),然后就拒绝请求 2.2 Nginx配置 修改/usr/loca
Nginx限流
weixin_45638744的博客
10-14 236
nginx提供两种限流方式: 一是控制速率 二是控制并发连接数 控制速率 控制速率方式之一就是采用漏桶算法。 漏桶(Leaky Bucket)算法思路很简单,水(请求)先进入到漏桶里,漏桶以一定的速度出水(接口有响应速率),当水流入速度过大会直接溢出(访问频率超过接口响应速率),然后就拒绝请求,可以看出漏桶算法能强行限制数据的传输速率.示意图如下: nginx配置 配置示意图如下: 修改/usr/local/openresty/nginx/conf/nginx.conf: #为
Nginx限流
m0_45406092的博客
05-13 6712
文章目录1. 生活中限流对比2. nginx限流2.1控制速率2.1.1 漏桶算法实现控制速率限流2.1.2 nginx配置2.1.3 处理突发流量2.2 控制并发量(连接数)参考 一般情况下,首页的并发量是比较大的,即使 有了多级缓存,当用户不停的刷新页面的时候,也是没有必要的,另外如果有恶意的请求 大量达到,也会对系统造成影响。 而限流就是保护措施之一。 1. 生活中限流对比 水坝泄洪,通过闸口限制洪水流量(控制流量速度)。 办理银行业务:所有人先领号,各窗口叫号处理。每个窗口处理速度根据客户具体业
并发下一些常用的限流和防刷方法
路漫漫,水迢迢
04-23 9813
限流与防刷 互联网项目与传统项目不同的互联网项目是暴露在互联网中,面向的是全体网民,这时候可能出现以下两种访问形式需要我们采取一些必要措施对我们的服务进行保护。 1、大量正常用户高频访问导致服务器宕机 2、恶意用户高频访问导致服务器宕机 3、网页爬虫 对于这些情况我们需要对用户的访问进行限流访问,我们可以依次对Nginx、tomcat、接口进行限流Nginx是粒度最大的一层,这层的...
分布式接口幂等性、分布式限流:Guava 、nginx和lua限流
m0_67322837的博客
09-01 377
算法是死的,人是活的,先进的生产力来自于不断的创造,在技术领域尤其如此。举个最简单的例子,那就是支付,用户购买商品后支付,支付扣款成功,但是返回结果的时候网络异常,此时钱已经扣了,用户再次点击按钮,此时会进行第二次扣款,返回结果成功,用户查询余额返发现多扣钱了,流水记录也变成了两条,这就没有保证接口的幂等性。通过版本号的方式,来控制update的操作的幂等性,用户查询出要修改的数据,系统将数据返回给页面,将数据版本号放入隐藏域,用户修改数据,点击提交,将版本号一同提交给后台,后台使用版本号作为更新条件。
微服务架构之限流熔断
u013506018的专栏
12-26 1202
的时候,对方都会限制每天最多只能调用几次之类的,当请求量超过系统的最大容量后,访问延迟就会增加,超过峰值的流量会拖累整个系统,出现宕机。请求进行限速,或者对一个时间窗口内的请求进行限速来保护系统,一旦达到限制速率则可以拒绝服务、排队或等待、降级等处理,程序中的限流就是限制请求,请求包括客户端发起的请求,应用内服务间的请求,很多平台都有限流,例如我们调用第三方的api。并且结合基于响应时间的熔断降级模式,可以在不稳定资源的平均响应时间比较高的时候自动降级,防止过多的慢调用占满并发数,影响整个系统。
Nginx限流优化
啊啊啊啊建的博客
08-31 1233
Nginx限流优化
Nginx配置限流
weixin_46619605的博客
10-15 1617
Nginx配置限流
Nginx流控
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
07-17 211
开源Linux专注分享开源技术知识流量限制(rate-limiting),是Nginx中一个非常实用却经常被错误理解和错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数...
Nginx 限流
一直被模仿,从未被超越
09-12 182
1、限制访问频率 http { # 定义了一个 mylimit 缓冲区(容器),请求频率为每秒 1 个请求(nr/s) limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; server { listen 80; location / { # nodelay 不延迟处理
API网关如何实现,统一入口,处理路由、认证、限流、日志记录等功能的,详细介绍一下
最新发布
03-13
<think>好的,用户想了解API网关的实现方式,包括统一入口、路由处理、认证、限流和日志记录等功能。我需要根据提供的引用内容来组织回答,确保每个部分都有对应的引用支持。首先,统一入口是API网关的核心功能,作为所有服务的入口,引用[2]提到API网关是微服务架构中的关键组件,处理外部请求并路由到相应服务。接下来是路由处理,可能需要解释路由规则和动态配置,但引用中没有详细说明,但可以结合常见的实现方法,如路径匹配或服务发现。 然后是认证,引用[3]提到API网关需要处理恶意IP的限制和防止数据泄露,可能需要涉及身份验证机制,比如JWT或OAuth。限流部分,引用[1]和[2]都提到API网关内置限流功能,如配置规则,引用[1]还列举了Kong、Apigee等例子。日志记录方面,引用[3]提到防止日志泄露,说明日志记录是重要功能,需要记录请求和响应信息。 在组织回答时,要分点详细说明每个功能的实现方式,并正确添加引用标识。同时,根据用户要求生成相关问题,可能需要围绕API网关的组件、性能优化、与Spring Boot的集成、安全性等提问。需要注意引用来源的准确性,确保每个引用标识对应正确的引用内容。还要检查LaTeX格式是否正确,但用户的问题中没有涉及数学公式,可能不需要使用。最后,确保回答结构清晰,语言简洁,符合用户要求的中文回答。</think>### API网关实现方式详细介绍 #### 一、统一入口实现 API网关作为所有服务的统一入口,通过以下方式实现: 1. **请求拦截**:接收所有外部请求并解析协议(HTTP/HTTPS/WebSocket等),屏蔽内部服务细节[^2]。 2. **服务聚合**:支持将多个微服务接口聚合为单个API,降低客户端调用复杂度。 3. **域名管理**:通过统一域名暴露服务,例如`api.example.com`,配合负载均衡器分发流量。 #### 二、路由处理机制 路由功能的核心实现包含: ```java // Spring Cloud Gateway示例 @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route("user_service", r -> r.path("/api/users/**") .uri("lb://user-service")) .route("order_service", r -> r.path("/api/orders/**") .filters(f -> f.addRequestHeader("X-Auth", "valid")) .uri("lb://order-service")) .build(); } ``` 1. **路径匹配路由**:根据URL路径规则(如`/api/users/**`)转发请求 2. **负载均衡**:通过`lb://`协议实现服务实例的动态选择 3. **灰度发布**:支持按Header、权重等条件进行流量分流 #### 三、认证实现方案 安全认证模块通常包含: $$认证流程 = 请求拦截 \rightarrow 凭证解析 \rightarrow 权限校验 \rightarrow 上下文传递$$ 1. **JWT验证**:解析`Authorization`头中的Token并验证签名 2. **OAuth2集成**:与认证服务器交互验证访问令牌[^3] 3. **IP黑白名单**:实时检测并拦截恶意IP地址[^3] 4. **请求签名**:使用HMAC算法验证请求完整性 #### 四、限流实现细节 主流限流方式及实现: | 算法 | 特点 | 适用场景 | |-------------|-----------------------------|------------------| | 令牌桶 | 允许突发流量,平滑速率限制 | 高并发接口 | | 漏桶 | 严格固定速率处理 | 支付类接口 | | 滑动窗口 | 精准控制时间区间请求量 | API配额管理 | 配置示例(Kong网关): ```nginx # Kong限流配置 plugins: - name: rate-limiting config: minute: 100 policy: redis ``` #### 五、日志记录系统 日志模块设计要求: 1. **结构化日志**:记录字段包括: - `request_id`:唯一追踪标识 - `client_ip`:客户端地址 - `endpoint`:请求路径 - `response_time`:响应时间 - `status_code`:HTTP状态码 2. **敏感信息过滤**: - 自动脱敏`Authorization`、`password`等字段 - 使用正则表达式匹配信用卡号等隐私数据 3. **日志管道**: $$日志采集 \rightarrow Kafka消息队列 \rightarrow Elasticsearch存储 \rightarrow Kibana可视化$$
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

、楽.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值