系統(tǒng)設(shè)計(jì)時一般會預(yù)估負(fù)載,當(dāng)系統(tǒng)暴露在公網(wǎng)中時,惡意攻擊或正常突發(fā)流量等都可能導(dǎo)致系統(tǒng)被壓垮,而限流就是保護(hù)措施之一。限流即控制流量,本文將記錄 Nginx 的二種限流設(shè)置。
生活中的 “限流”?
限流并非新鮮事,在生活中亦無處不在,下面例舉一二:
博物館:限制每天參觀總?cè)藬?shù)以保護(hù)文物
高鐵安檢:有若干安檢口,旅客依次排隊(duì),工作人員根據(jù)安檢快慢決定是否放人進(jìn)去。遇到節(jié)假日,可以增加安檢口來提高處理能力(橫向拓展),同時增加排隊(duì)等待區(qū)長度(緩存待處理任務(wù))。
辦理銀行業(yè)務(wù):所有人先領(lǐng)號,各窗口叫號處理。每個窗口處理速度根據(jù)客戶具體業(yè)務(wù)而定,所有人排隊(duì)等待叫號即可。若快下班時,告知客戶明日再來(拒絕流量)。
水壩泄洪:水壩可以通過閘門控制泄洪速度(控制處理速度)。
以上"限流"例子,可以讓服務(wù)提供者穩(wěn)定的服務(wù)客戶。
Nginx 限流
Nginx 提供兩種限流方式,一是控制速率,二是控制并發(fā)連接數(shù)。
控制速率
正常限流
ngx_http_limit_req_module 模塊提供限制請求處理速率能力,使用了漏桶算法(leaky bucket)。下面例子使用 nginx limit_req_zone 和 limit_req 兩個指令,限制單個IP的請求處理速率。
在 nginx.conf http 中添加限流配置:
格式:limit_req_zone key zone rate
|
1
2
3
|
http { limit_req_zone $binary_remote_addr zone=myRateLimit:10m rate=10r/s;} |
配置 server,使用 limit_req 指令應(yīng)用限流。
|
1
2
3
4
5
6
|
server { location / { limit_req zone=myRateLimit; proxy_pass http://my_upstream; }} |
key :定義限流對象,binary_remote_addr 是一種key,表示基于 remote_addr(客戶端IP) 來做限流,binary_ 的目的是壓縮內(nèi)存占用量。
zone:定義共享內(nèi)存區(qū)來存儲訪問信息, myRateLimit:10m 表示一個大小為10M,名字為myRateLimit的內(nèi)存區(qū)域。1M能存儲16000 IP地址的訪問信息,10M可以存儲16W IP地址訪問信息。
rate 用于設(shè)置最大訪問速率,rate=10r/s 表示每秒最多處理10個請求。Nginx 實(shí)際上以毫秒為粒度來跟蹤請求信息,因此 10r/s 實(shí)際上是限制:每100毫秒處理一個請求。這意味著,自上一個請求處理完后,若后續(xù)100毫秒內(nèi)又有請求到達(dá),將拒絕處理該請求。
處理突發(fā)流量
上面例子限制 10r/s,如果有時正常流量突然增大,超出的請求將被拒絕,無法處理突發(fā)流量,可以結(jié)合 burst 參數(shù)使用來解決該問題。
|
1
2
3
4
5
6
|
server { location / { limit_req zone=myRateLimit burst=20; proxy_pass http://my_upstream; }} |
burst 譯為突發(fā)、爆發(fā),表示在超過設(shè)定的處理速率后能額外處理的請求數(shù)。當(dāng) rate=10r/s 時,將1s拆成10份,即每100ms可處理1個請求。
此處,**burst=20 **,若同時有21個請求到達(dá),Nginx 會處理第一個請求,剩余20個請求將放入隊(duì)列,然后每隔100ms從隊(duì)列中獲取一個請求進(jìn)行處理。若請求數(shù)大于21,將拒絕處理多余的請求,直接返回503.
不過,單獨(dú)使用 burst 參數(shù)并不實(shí)用。假設(shè) burst=50 ,rate依然為10r/s,排隊(duì)中的50個請求雖然每100ms會處理一個,但第50個請求卻需要等待 50 * 100ms即 5s,這么長的處理時間自然難以接受。
因此,burst 往往結(jié)合 nodelay 一起使用。
|
1
2
3
4
5
6
|
server { location / { limit_req zone=myRateLimit burst=20 nodelay; proxy_pass http://my_upstream; }} |
nodelay 針對的是 burst 參數(shù),burst=20 nodelay 表示這20個請求立馬處理,不能延遲,相當(dāng)于特事特辦。不過,即使這20個突發(fā)請求立馬處理結(jié)束,后續(xù)來了請求也不會立馬處理。burst=20 相當(dāng)于緩存隊(duì)列中占了20個坑,即使請求被處理了,這20個位置這只能按 100ms一個來釋放。
這就達(dá)到了速率穩(wěn)定,但突然流量也能正常處理的效果。
限制連接數(shù)
ngx_http_limit_conn_module 提供了限制連接數(shù)的能力,利用 limit_conn_zone 和 limit_conn 兩個指令即可。下面是 Nginx 官方例子:
|
1
2
3
4
5
6
7
8
|
limit_conn_zone $binary_remote_addr zone=perip:10m;limit_conn_zone $server_name zone=perserver:10m;server { ... limit_conn perip 10; limit_conn perserver 100;} |
limit_conn perip 10 作用的key 是 $binary_remote_addr,表示限制單個IP同時最多能持有10個連接。
limit_conn perserver 100 作用的key是 $server_name,表示虛擬主機(jī)(server) 同時能處理并發(fā)連接的總數(shù)。
需要注意的是:只有當(dāng) request header 被后端server處理后,這個連接才進(jìn)行計(jì)數(shù)。
設(shè)置白名單
限流主要針對外部訪問,內(nèi)網(wǎng)訪問相對安全,可以不做限流,通過設(shè)置白名單即可。利用 Nginx ngx_http_geo_module 和 ngx_http_map_module 兩個工具模塊即可搞定。
在 nginx.conf 的 http 部分中配置白名單:
|
1
2
3
4
5
6
7
8
9
10
11
12
13
|
geo $limit { default 1; 10.0.0.0/8 0; 192.168.0.0/24 0; 172.20.0.35 0;}map $limit $limit_key { 0 ""; 1 $binary_remote_addr;}limit_req_zone $limit_key zone=myRateLimit:10m rate=10r/s; |
geo 對于白名單(子網(wǎng)或IP都可以) 將返回0,其他IP將返回1。
map 將 limit **轉(zhuǎn)換為** limit_key,如果是 $limit 是0(白名單),則返回空字符串;如果是1,則返回客戶端實(shí)際IP。
limit_req_zone 限流的key不再使用 
而是 **limit_key 來動態(tài)獲取值。如果是白名單,limit_req_zone 的限流key則為空字符串,將不會限流;若不是白名單,將會對客戶端真實(shí)IP進(jìn)行限流。
拓展閱讀
除限流外,ngx_http_core_module 還提供了限制數(shù)據(jù)傳輸速度的能力(即常說的下載速度)。
例如:
|
1
2
3
4
5
|
location /flv/ { flv; limit_rate_after 20m; limit_rate 100k;} |
這個限制是針對每個請求的,表示客戶端下載前20M時不限速,后續(xù)限制100kb/s。
以上這篇淺談Nginx 中的兩種限流方式就是小編分享給大家的全部內(nèi)容了,希望能給大家一個參考,也希望大家多多支持服務(wù)器之家。
原文鏈接:https://blog.csdn.net/myle69/article/details/83512617
