Linux Nginx 流量控制——流量控制概述、配置、访问控制

最新推荐文章于 2024-07-13 20:33:36 发布

置顶是维C呀

最新推荐文章于 2024-07-13 20:33:36 发布

阅读量1.4k

点赞数 4

分类专栏：云计算初阶-Linux运维实战云计算初阶-Linux入门 Linux 中阶——企业应用实战文章标签： nginx linux 安全云计算

本文链接：https://blog.csdn.net/weixin_55985097/article/details/116670877

版权

云计算初阶-Linux入门同时被 3 个专栏收录

71 篇文章 4 订阅

订阅专栏

Linux 中阶——企业应用实战

61 篇文章 2 订阅

订阅专栏

云计算初阶-Linux运维实战

51 篇文章 3 订阅

订阅专栏

流量控制
流量限制 (rate-limiting)，它可以用来限制客户端在指定时间内 HTTP 请求的数量。请求可以是GET 请求，也可以是登录表单的 POST 请求。流量限制可以用作安全目的，如减慢暴力密码破解速率等。通过将传入请求的速率限制为真实用户的典型值，并标识目标 URL 地址(通过日志)，还可以用来抵御 DDOS 攻击，该功能可以用来保护上游应用服务器不被同时太多用户请求所压垮。

概述和配置：

1、Nginx 限流
Nginx 流量限制使用漏桶算法(leaky bucket algorithm)，漏桶算法在通讯和分组交换计算机网络中广泛使用，用于处理带宽有限时的突发情况。

2、配置基本的限流
流量限制配置两个主要的指令limit_req_zone 和 limit_req：

192.168.62.155 配置:
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
        server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
        }
server {
        listen 80;
        server_name localhost;

        location /login {
                limit_req zone=mylimit;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                }
}
192.168.62.157 配置:
server {
        listen 80;
        server_name localhost;
        location /login {
                root    /usr/share/nginx/html;
                index   index.html index.html;
                }
}

limit_req_zone 指令定义了流量限制相关的参数
limit_req 指令在出现的上下文中启用流量限制(示例中，对于”/login/”的所有请求)。

limit_req_zone 指令通常在 HTTP 模块中定义，使其可在多个上下文中使用，它需要以下三个参数：

Key - 定义应用限制的请求特性。示例中的 Nginx变量 $binary_remote_addr，保存客户端 IP 地址的二进制形式。可以将每个不同的 IP 地址限制到，通过第三个参数设置的请求速率。(使用该变量是因为比字符串形式的客户端 IP 地址 $remote_addr，占用更少的空间)

Zone - 定义用于存储每个 IP 地址状态以及被限制请求 URL 访问频率的共享内存区域。保存在内存共享区域的信息，意味着可以在 Nginx 的 worker 进程之间共享。定义分为两个部分：通过 zone=keyword 标识区域的名字，以及冒号后面跟区域大小。16000 个 IP 地址的状态信息，大约需要 1MB，所以示例中区域可以存储 160000 个 IP 地址。

Rate - 定义最大请求速率。在示例中，速率不能超过每秒 1 个请求。Nginx 实际上以毫秒的粒度来跟踪请求，所以速率限制相当于每 1000 毫秒 1 个请求。因为不允许”突发情况”(见下一章节)，这意味着在前一个请求 1000 毫秒内到达的请求将被拒绝。

limit_req_zone 指令设置流量限制和共享内存区域的参数，但实际上并不限制请求速率。所以需要通过添加limit_req 指令，将流量限制应用在特定的 location 或者 server 块。

3、处理突发
如果我们在 1000 毫秒内接收到 2 个请求，怎么办？对于第二个请求，Nginx 将给客户端返回错误。这并不是我们想要的结果，因为应用本质上趋向于突发性。相反地，我们希望缓冲任何超额的请求，然后及时地处理它们。我们更新下配置，在 limit_req 中使用 burst 参数：

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
        upstream myweb {
                server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
                }

        server {
                listen 80;
                server_name localhost;
                location /login {
                        limit_req zone=mylimit burst=20;
                        proxy_pass http://myweb;
                        proxy_set_header Host $host:$server_port;
                        proxy_set_header X-Real-IP $remote_addr;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        }
        }

burst 参数定义了超出 zone 指定速率的情况下(示例中的 mylimit 区域，速率限制在每秒 10 个请求，或每 100 毫秒一个请求)，客户端还能发起多少请求。上一个请求 100 毫秒内到达的请求将会被放入队列，我们将队列大小设置为 20。

这意味着，如果从一个给定 IP 地址发送 21 个请求，Nginx 会立即将第一个请求发送到上游服务器群，然后将余下 20 个请求放在队列中。然后每 100 毫秒转发一个排队的请求，只有当传入请求使队列中排队的请求数超过 20 时，Nginx 才会向客户端返回错误。

4、配置流量控制相关功能

配置日志记录

默认情况下，Nginx 会在日志中记录由于流量限制而延迟或丢弃的请求，如下所示：

2019/02/13 04:20:00 [error] 120315#0: *32086 limiting requests, excess: 1.000 by zone "mylimit", client: 192.168.1.2, server: nginx.com, request: "GET / HTTP/1.0", host: "nginx.com"

日志条目中包含的字段：
limiting requests - 表明日志条目记录的是被“流量限制”请求
excess - 每毫秒超过对应“流量限制”配置的请求数量
zone - 定义实施“流量限制”的区域
client - 发起请求的客户端 IP 地址
server - 服务器 IP 地址或主机名
request - 客户端发起的实际 HTTP 请求
host - HTTP 报头中 host 的值

默认情况下，Nginx 以 error 级别来记录被拒绝的请求，如上面示例中的[error]所示(Nginx 以较低级别记录延时请求，一般是 info 级别)。如要更改 Nginx 的日志记录级别，需要使用 limit_req_log_level 指令。这里，我们将被拒绝请求的日志记录级别设置为 warn：
一定要定义日志位置和级别才可以：

在这里插入图片描述

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
        upstream myweb {
                server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
                }
        server {
                listen 80;
                server_name localhost;

                location /login {
                        limit_req zone=mylimit;
                        limit_req_log_level warn;
                        proxy_pass http://myweb;
                        proxy_set_header Host $host:$server_port;
                        proxy_set_header X-Real-IP $remote_addr;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        }
        }

继续访问测试，看 error.log 日志
在这里插入图片描述

发送到客户端的错误代码

一般情况下，客户端超过配置的流量限制时，Nginx 响应状态码为 503(Service Temporarily Unavailable)。可以使用 limit_req_status 指令来设置为其它状态码(例如下面的 404 状态码):

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    upstream myweb {
            server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
        }
    server {
            listen 80;
            server_name localhost;

            location /login {
            limit_req zone=mylimit;
            limit_req_log_level warn;
            limit_req_status 404;
            proxy_pass http://myweb;
            proxy_set_header Host $host:$server_port;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            }
    }

Nginx 流量控制总结

以上已经涵盖了 Nginx 提供的“流量限制”的很多功能，包括为 HTTP 请求的不同 location 设置请求速率，给“流量限制”配置 burst 参数。

Nginx 访问控制

nginx 访问控制模块

（1）基于 IP 的访问控制：http_access_module
（2）基于用户的信任登录：http_auth_basic_module

基于 IP 的访问控制
配置语法

Syntax：allow address | CIDR | unix: | all;
default：默认无
Context：http，server，location

Syntax：deny address | CIDR | unix: | all;
default：默认无
Context：http，server，location

配置测试

修改/etc/nginx/conf.d/access_mod.conf 内容如下：

server {
        listen 80;
        server_name localhost;
        location ~ ^/admin {
                root /home/www/html;
                index index.html index.hml
                deny 192.168.1.8;
                allow all;
                #deny 192.168.1.8;
        }
}
#需要注意:
如果先允许访问，在定义拒绝访问。那么拒绝访问不生效。

虚拟机宿主机 IP 为 192.168.1.8，虚拟机 IP 为 192.168.1.11，故这里禁止宿主机访问，允许其他所有 IP 访问。

宿主机访问 http://192.168.1.11/admin，显示 403 Forbidden。
当然也可以反向配置，同时也可以使用 IP 网段的配置方式，如 allow 192.168.1.0/24;，表示满足此网段的 IP 都可以访问。

指定 location 拒绝所有请求

如果你想拒绝某个指定 URL 地址的所有请求，而不是仅仅对其限速，只需要在 location 块中配置 deny all 指令：

server {
        listen 80;
        server_name localhost;
        location /foo.html {
                root /home/www/html;
                deny all;
                }
}

基于用户的信任登录
配置语法

Syntax：auth_basic string | off;
default：auth_basic off;
Context：http，server，location，limit_except

Syntax：auth_basic_user_file file;
default：默认无
Context：http，server，location，limit_except
file：存储用户名密码信息的文件。

2、配置示例
改名 access_mod.conf 为 auth_mod.conf，内容如下：

server {
    listen 80;
    server_name localhost;
    location ~ ^/admin {
        root /home/www/html;
        index index.html index.hml;
        auth_basic "Auth access test!";
        auth_basic_user_file /etc/nginx/auth_conf;
        }
}

auth_basic 不为 off，开启登录验证功能，auth_basic_user_file 加载账号密码文件。

建立口令文件

[root@192 ~]# mkdir /home/www/html/admin -p
[root@192 ~]# vim /home/www/html/admin/index.html
hello qf
[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具，用于生成 http 基本认证的密码文件
[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10    //第一次新建用户
[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20    //第二次添加用户
[root@192 ~]# cat /etc/nginx/auth_conf
user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40
user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0

访问测试
访问IP
局限性

（1）用户信息依赖文件方式
（2）操作管理机械，效率低下

是维C呀

关注

4
点赞
踩
22

收藏

觉得还不错? 一键收藏
12
评论
Linux Nginx 流量控制——流量控制概述、配置、访问控制

流量控制流量限制 (rate-limiting)，它可以用来限制客户端在指定时间内 HTTP 请求的数量。请求可以是GET 请求，也可以是登录表单的 POST 请求。流量限制可以用作安全目的，如减慢暴力密码破解速率等。通过将传入请求的速率限制为真实用户的典型值，并标识目标 URL 地址(通过日志)，还可以用来抵御 DDOS 攻击，该功能可以用来保护上游应用服务器不被同时太多用户请求所压垮。概述和配置：1、Nginx 限流Nginx 流量限制使用漏桶算法(leaky bucket algorithm
复制链接

扫一扫

专栏目录