在线时间:8:00-16:00
迪恩网络APP
随时随地掌握行业动态
扫描二维码
关注迪恩网络微信公众号
nginx 流量控制 流量限制 (rate-limiting),是Nginx中一个非常实用,却经常被错误理解和错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数量。请求,可以是一个简单网站首页的GET请求,也可以是登录表单的 POST 请求。流量限制可以用作安全目的,比如可以减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值,并标识目标URL地址(通过日志),还可以用来抵御 DDOS 攻击。更常见的情况,该功能被用来保护上游应用服务器不被同时太多用户请求所压垮。 以下将会介绍Nginx的 流量限制 的基础知识和高级配置,”流量限制”在Nginx Plus中也适用。 1、Nginx如何限流 Nginx的”流量限制”使用漏桶算法(leaky bucket algorithm),该算法在通讯和分组交换计算机网络中广泛使用,用以处理带宽有限时的突发情况。就好比,一个桶口在倒水,桶底在漏水的水桶。如果桶口倒水的速率大于桶底的漏水速率,桶里面的水将会溢出;同样,在请求处理方面,水代表来自客户端的请求,水桶代表根据”先进先出调度算法”(FIFO)等待被处理的请求队列,桶底漏出的水代表离开缓冲区被服务器处理的请求,桶口溢出的水代表被丢弃和不被处理的请求。 2、配置基本的限流 “流量限制”配置两个主要的指令, 192.168.62.155配置: limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; upstream myweb { server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } 192.168.62.157配置: server { listen 80; server_name localhost; location /login { root /usr/share/nginx/html; index index.html index.html; } }
连点两次后
现在每个IP地址被限制为每秒只能请求1次 3、处理突发 如果我们在1000毫秒内接收到2个请求,怎么办?对于第二个请求,Nginx将给客户端返回错误。这可能并不是我们想要的结果,因为应用本质上趋向于突发性。相反地,我们希望缓冲任何超额的请求,然后及时地处理它们。我们更新下配置,在 limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; upstream myweb { server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit burst=20; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
这意味着,如果从一个给定IP地址发送21个请求,Nginx会立即将第一个请求发送到上游服务器群,然后将余下20个请求放在队列中。然后每100毫秒转发一个排队的请求,只有当传入请求使队列中排队的请求数超过20时,Nginx才会向客户端返回错误。 4、配置流量控制相关功能 1、配置日志记录 默认情况下,Nginx会在日志中记录由于流量限制而延迟或丢弃的请求,如下所示:
日志条目中包含的字段:
默认情况下,Nginx以 一定要定义日志位置和级别才可以: limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s; upstream myweb { server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit burst=20; limit_req_log_level warn; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } } 继续访问测试,看error.log日志 2、发送到客户端的错误代码 一般情况下,客户端超过配置的流量限制时,Nginx响应状态码为503(Service Temporarily Unavailable)。可以使用 limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s; upstream myweb { server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1; } server { listen 80; server_name localhost; location /login { limit_req zone=mylimit; limit_req_log_level warn; limit_req_status 404; proxy_pass http://myweb; proxy_set_header Host $host:$server_port; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; } }
5、nginx 流量控制总结 以上已经涵盖了Nginx和Nginx Plus提供的“流量限制”的很多功能,包括为HTTP请求的不同location设置请求速率,给“流量限制”配置 nginx 访问控制 1、nginx 访问控制模块 (1)基于IP的访问控制:http_access_module 2、基于IP的访问控制 1、配置语法 Syntax:allow address | CIDR | unix: | all; default:默认无 Context:http,server,location Syntax:deny address | CIDR | unix: | all; default:默认无 Context:http,server,location 2、修改 server { listen 80; server_name localhost; location ~ ^/admin { root /home/www/html; index index.html index.hml; deny 192.168.1.8; allow all; #deny 192.168.1.8; } } #需要注意: 如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。 虚拟机宿主机IP为 3、指定location拒绝所有请求 如果你想拒绝某个指定URL地址的所有请求,而不是仅仅对其限速,只需要在 server { listen 80; server_name localhost; location /foo.html { root /home/www/html; deny all; } } 3、基于用户的信任登录 1、配置语法 Syntax:auth_basic string | off; default:auth_basic off; Context:http,server,location,limit_except Syntax:auth_basic_user_file file; default:默认无 Context:http,server,location,limit_except file:存储用户名密码信息的文件。 2、配置示例 改名 server { listen 80; server_name localhost; location ~ ^/admin { root /home/www/html; index index.html index.hml; auth_basic "Auth access test!"; auth_basic_user_file /etc/nginx/auth_conf; } }
3、建立口令文件 [root@192 ~]# mkdir /home/www/html/admin -p [root@192 ~]# vim /home/www/html/admin hello qf [root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件 [root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10 //第一次新建用户 [root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20 //第二次添加用户 [root@192 ~]# cat /etc/nginx/auth_conf user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40 user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0 4、访问测试 5、局限性 (1)用户信息依赖文件方式 到此这篇关于nginx 流量控制以及访问控制的实现的文章就介绍到这了,更多相关nginx 流量控制及访问控制内容请搜索极客世界以前的文章或继续浏览下面的相关文章希望大家以后多多支持极客世界! |
请发表评论