nginx限制请求之二：（ngx_http_limit_req_module）模块

相关文章：

《高可用服务设计之二：Rate limiting 限流与降级》

《nginx限制请求之一：（ngx_http_limit_conn_module）模块》

《nginx限制请求之二：（ngx_http_limit_req_module）模块》

《nginx限制请求之三：Nginx+Lua+Redis 对请求进行限制》

《nginx限制请求之四：目录进行IP限制》

上一篇文章主要写nginx限制连接数ngx_http_limit_conn_module 模块的作用及使用方法，下面来写ngx_http_limit_req_module模块的作用及使用。

通过ngx_http_limit_req_module 模块可以通过定义的键值来限制请求处理的频率。特别的，可以限制来自单个IP地址的请求处理频率。 限制的方法如同漏斗，每秒固定处理请求数，推迟过多请求。例如，单客户端IP的每秒请求数。实现的原理是使用“漏桶”原理（限流算法之漏桶算法、令牌桶算法）。

该模块提供了两个配置参数，limit_req_zone 和 limit_req ，其中 limit_req_zone 只能配置在 http{} 段，而 limit_req 则可以配置于http{}，server{}，location{} 区段中。

---

第三方模块编译安装参数：

---

一、limit_req_zone

语法：limit_req_zone $variable zone=name:size rate=rate; 
配置段：http

该指令设置一块共享内存限制域用来保存键值的状态参数。特别是保存了当前超出请求的数量。键的值就是指定的变量（控制不被计算）。如：

注释： 
使用$binary_remote_addr变量，可以将每条状态记录的大小减少到64个字节，这样1M的内存可以保存大约1万6千个64字节的记录

如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回503（Service Temporarily Unavailable）错误

速度可以设置为每秒处理请求数和每分钟处理请求数，其值必须是整数，所以如果你需要每秒处理少于1个的请求，2秒处理一个请求，可以使用30r/m

---

二、limit_req

语法： limit_req zone=name burst=number [nodelay]; 
配置段：http，server，location

设置对应的共享内存限制域和允许被处理的最大请求数阀值。如果请求的频率超过了限制域配置的值，请求处理会被延迟，所以所有的请求都是以定义的频率被处理的。超过频率限制的请求会被延迟，直到被延迟的请求数超过了定义的阀值，这时，这个请求会被终止，并返回503（Service Tempporarily Unavailable）错误，这个阀值的默认值为0，如：

限制频率每秒不超过一个请求，同时允许超过频率限制的请求数不多于100个；如果不希望超过的请求被延迟，可以用nodelay参数。

---

三、配置使用示例

limit_req_zone $binary_remote_addr zone=showjoy_req:20m rate=1r/s; 
主要是用来定义变量，空间名称，以及共享内存大小。

limit_req zone=showjoy_req burst=100 nodelay; 
主要是用来使用前面定义的空间，定义请求频率限制，使用nodelay则表示不希望超过的请求被延迟。

可能要对某些IP不做限制，需要使用到白名单。

模块地址：https://yunpan.cn/cqSKP6BrJ2AeT 访问密码 4f50

关于limit_req和limit_conn的区别

1，首先，limit_req和limit_conn两个模块都是为了来限流的，但是两者不在一个层面，为了搞清楚这个，必须先要弄清楚request和connection的区别，因为在很多情况下，我们把他们混淆了。

so, what is the difference  between connection and request?

2, connection是连接，即常说的tcp连接，通过三次握手而建立的一个完整状态机。建立一个连接，必须得要三次握手。

request是指请求，即http请求，（注意，tcp连接是有状态的，而构建在tcp之上的http却是无状态的协议）。

通过打开一个网页，然后通过wareshark可以看到，一个连接建立后（即三次握手后），在这个连接断开之前（即四次挥手之前），会有很多的http request，这就是他们的区别：即一个连接的生命周期中，会存在一个或者多个请求，这是为了加快效率，避免每次请求都要三次握手建立连接，现在的HTTP/1.1协议都支持这种特性，叫做keepalive。

好了现在知道区别了。

3，那么在Nginx中，对于连接限制模块：limit_conn_module来看：

limit_conn_zone $binanry_remote_addr zone=conn_zone:1m;
locoation /limit.html {
    limit_conn conn_zone 1;
}

这样的配配置，表明以ip为key，来限制每个ip访问lmit.html文件时候，最多只能有一个在线，否则其余的都要返回不可用。

这种情况就是一个静止状态的计数可以实现，而无关乎多长时间。

举个例子，如果你的这个连接一直不释放，即使你通过这一个连接发送出再多的request请求，只要我能够应付，那么我就帮你处理。但是，如果你只需要处理2个请求，但是这两个请求是分别用两个连接同时发送过来的，那么，我就只能处理其中一个，另外一个就不行。这就是他的区别。

可以用ab命令来测试：

ab -n100 -c100 -k http://yoursit/limit.html

注意：ab命令的-n -c都是指的发送多少请求，即－n一共发送多少请求，-c同时发送多少请求，他并不关心需要多少连接来发送，默认情况下是每个请求都建立一个连接来发送。

上面这个命令，由于默认是一个连接发送一个请求，那么这将会同时建立100个连接，而这样的话，就会导致限制超过（最多只能一个连接for一个ip）。99个请求都会失败。

而如果你只开一个连接：

ab -n100 -c100 -k http://yousit/limt.html

这里的-k选秀就是表示keepalive，只开一个连接来发送这100个请求，即使是同时发送，那么server也不会认为你超过了，因为在一个时间你只是建立一个连接，这样这100个请求都会干净利落的处理完成。

3，再看limit_req_module

limit_req_zone $binary_remtoe_addr zone=req_zone:1m rate=1r/s;
location /limit.html{
    limit_conn zone=req_zone;
}

注意和上面的区别：这里需要为共享内存配置一个速率rate

表明：对于每个ip来说，处理请求的速度不超过每秒1个请求。

可以看到这是个速度量（而上面的那个是数字量，速度和个数还是有直观的区别的吧。。）

那么这时候 :

ab -n100 -c100 http://yoursit/limit.html

和

ab -n100 -c100 -k http://yousit/limt.html

的区别就不是那么明显了，因为这总是同时发送出100个请求（不管是通过100个连接还是1个连接），只要你请求到底的速度超过每秒1个，那么我就会拒绝你。

附加：https://forum.linode.com/viewtopic.php?t=8064%3E