使用nginx构建限频、限速、限并发的应用保护层

nginx本身提供了基础的限频、限速、限并发连接等能力。

限频

基于uri等限制某一个客户端,某类客户端持续时间段内建立连接的次数。

限速

限制客户端读取、发送数据包的速度,从总体看,即使限制网速。

限并发

限制客户端同时允许创建的连接,防止单个客户端创建过多连接耗尽服务器资源。

限频

http://nginx.org/en/docs/http/ngx_http_limit_req_module.html

http {

  # 定义2条限速区域

  # 以 $binary_remote_addr 字段作为限频统计点

  # zone=one:10m # 定义区域名称为one,限统计总占用内存10MB

  # 限制请求频率为 最多1次/per second

  limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

  # 以 $binary_remote_addr 作为统计限频的依据

  # zone=zone2:32m zone名称定为zone2,定义32MB的统计内存占用

  # 限制请求频率 最多10次/per minute

  limit_req_zone $binary_remote_addr zone=zone2:32m rate=10r/m;

  # Sets the desired logging level for cases when the server refuses to

  # process requests due to rate exceeding, or delays request processing.

  # Logging level for delays is one point less than for refusals;

  # for example, if “limit_req_log_level notice” is specified, delays are logged with the info level.

  limit_req_log_level info; # default error, <info | notice | warn | error>

  limit_req_status 503; # default 503 added from nginx-1.3.15

  server {

    # ...

    location /search/ {

      # 使用zone=one的限频规则

      limit_req zone=one burst=5;

      # limit_req zone=zone2 burst=5 nodelay; # 使用

    }

}

详细解释

限频规则定义时,可以使用内置变量$binary_remote_addr或者自定义变量。

比如,此次使用了$binary_remote_addr ( $binary_remote_addr据各资料解释,是$remote_addr的二进制描述形式,即字符串"10.0.12.1"的整数形式表示的IP地址,使用此值,将会降低单个ip的内存占用,能够统计更多的ip请求)。

如果,希望根据其它类条件做限速,比如 $user_agent等。

$realip_remote_addr

$remote_addr

$remote_user

内置变量列表 http://nginx.org/en/docs/varindex.html

使用自定义变量

正常情况下,我们的服务一般前面还有一层防护盾,或者其它四层的lvs/haproxy等代理,直接使用$remote_addr / $binary_remote_addr会取到负载均衡器或者盾的地址,导致本来应该针对实际用户IP的限速,变成针对整体盾的限速。

创宇盾

创宇盾会传递X-Connecting-Ip并设置其为收到的第一个层级请求的IP地址。

http://help.yunaq.com/faq/67/index.html

为方便使用,可以通过map指令将其记录到自定义变量中$clientRealIp

map $http_x_connecting_ip $clientRealIp {

    default                     $remote_addr;

    "~(\d+\.\d+\.\d+\.\d+)"     $1;

}

然后限频定义时,直接引用即可。

limit_req_zone $clientRealIp zone=zoneA:32m rate=30r/m;

limit_req_zone $clientRealIp zone=zoneB:32m rate=6r/m;

# levels info | notice | warn | error; default error

limit_req_log_level notice;

最终,在location中进行限频保护。

server {

  location *~ ^/view/ {

    limite_req zone=zoneA nodelay;

    if ( $limit_req_status = REJECTED ) {

      default_type text/plain;

      return 419 "frequency limit";

    }

    proxy_pass http://1.1.1.1:8090;

  }

  location *~ ^/api/v1/ {

    limit_req zone=zoneB burst=3 nodelay;

    if ( $limit_req_status = REJECTED ) {

      default_type application/json;

      return 200 '{"code":419, "status":"failed","message":"频繁访问"}';

    }

    proxy_pass http://1.1.1.1:8090;

  }

}

限速

...

限并发

...

自定义错误码和错误页

...

其它

nginx location/map 正则、map调测工具

docker run -p8080:80 -d --name nginx-regex-tester ruanzx/nginx-regex-tester

使用nginx构建限频、限速、限并发的应用保护层的更多相关文章

  1. Nginx对同一IP限速限流

    limit_conn_zone是限制同一个IP的连接数,而一旦连接建立以后,客户端会通过这连接发送多次请求,那么limit_req_zone就是对请求的频率和速度进行限制. limit_conn_zo ...

  2. 性能提速:debounce(防抖)、throttle(节流/限频)

    debounce与throttle是用户交互处理中常用到的性能提速方案,debounce用来实现防抖动,throttle用来实现节流(限频).那么这两个方法到底是什么(what)?为何要用(why-解 ...

  3. redis限频

    做法 使用redis的lua脚本功能来限频 在redis中定时刷新系统时间来作为一个全局的时钟 限频脚本: /** * 获取令牌的lua脚本 */ public final static String ...

  4. nginx利用limit模块设置IP并发防CC攻击

    nginx利用limit模块设置IP并发防CC攻击 分类: 系统2013-01-21 09:02 759人阅读 评论(0) 收藏 举报 来源:http://blog.xencdn.net/nginx- ...

  5. nginx + uWSGI 为 django 提供高并发

    django 的并发能力真的是令人担忧,这里就使用 nginx + uwsgi 提供高并发 nginx 的并发能力超高,单台并发能力过万(这个也不是绝对),在纯静态的 web 服务中更是突出其优越的地 ...

  6. Nginx的一些优化(突破十万并发)

    Nginx的一些优化(突破十万并发) nginx指令中的优化(配置文件) worker_processes 8; nginx进程数,建议按照cpu数目来指定,一般为它的倍数. worker_cpu_a ...

  7. nginx简介(轻量级开源高并发web服务器:大陆使用者百度、京东、新浪、网易、腾讯、淘宝等)(并发量5w)(一般网站apache够用了,而且稳定)

    nginx简介(轻量级开源高并发web服务器:大陆使用者百度.京东.新浪.网易.腾讯.淘宝等)(并发量5w)(一般网站apache够用了,而且稳定) 一.总结 1.在连接高并发的情况下,Nginx是A ...

  8. 从SpringBoot构建十万博文聊聊限流特技

    前言 在开发十万博客系统的的过程中,前面主要分享了爬虫.缓存穿透以及文章阅读量计数等等.爬虫的目的就是解决十万+问题:缓存穿透是为了保护后端数据库查询服务:计数服务解决了接近真实阅读数以及数据库服务的 ...

  9. Spring Security构建Rest服务-1401-权限表达式

    Spring Security 的权限表达式 用法,在自定义的BrowserSecurityConfig extends WebSecurityConfigurerAdapter 配置文件里,每一个a ...

随机推荐

  1. Oracle 后台进程(一)简介

    一.什么是Oracle数据库后台进程 为了时系统性能最好并能够协调多个用户,多进程系统使用了一些附加进程,成为后台进程. 在许多操作系统中,后台进程是在实例启动时自动建立的.一个Oracle实例可以包 ...

  2. CF940F Machine Learning 带修改莫队

    题意:支持两种操作:$1.$ 查询 $[l,r]$ 每个数字出现次数的 $mex$,$2.$ 单点修改某一位置的值. 这里复习一下带修改莫队. 普通的莫队中,以左端点所在块编号为第一关键字,右端点大小 ...

  3. 「CF716D」Complete The Graph「最短路」

    题意 给定一个\(n\)个点\(m\)条边的无向图,有一些边权暂时为\(0\),你需要分配一个\([1, 10^{18}]\)的数.最终使得\(s\)到\(t\)最短路为\(L\),输出一个可行的分配 ...

  4. 卷积理论 & 高维FWT学习笔记

    之前做了那么多生成函数和多项式卷积的题目,结果今天才理解了优化卷积算法的实质. 首先我们以二进制FWT or作为最简单的例子入手. 我们发现正的FWT or变换就是求$\hat{a}_j=\sum_{ ...

  5. java试题复盘——11月25日

    上: 11.下列表述错误的是?(D) A.int是基本类型,直接存数值,Integer是对象,用一个引用指向这个对象. B.在子类构造方法中使用super()显示调用父类的构造方法,super()必须 ...

  6. java web课程管理系统开发实例(从数据库连接到代码)

    以下是几个简单知识: JavaBean:用于传递数据,拥有与数据相关的逻辑处理 JSP:从Model接收数据并生成HTML Servlet:接收HTTP请求并控制Model和View jdbc:用于配 ...

  7. linux系统rwx(421)、777权限详解

    摘要 linux的常见权限,mark一下 常用的linux文件权限如下: 444 r--r--r-- 600 rw------- 644 rw-r--r-- 666 rw-rw-rw- 700 rwx ...

  8. 安装APK时报错:Failure [INSTALL_FAILED_TEST_ONLY: installPackageLI]

    安装APK时报错:Failure [INSTALL_FAILED_TEST_ONLY: installPackageLI] 可以使用adb install -t 解决 对于已经在手机的文件可以使用pm ...

  9. Mybatis generator配置

    <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE generatorConfiguration ...

  10. 数据库与linux中quota的作用

    linux命令,quota 命令显示磁盘使用情况和限额.缺省情况下,或者带 -u 标志,只显示用户限额.quota 命令报告 /etc/filesystems 文件中列出的所有文件系统的限额.如果 q ...