简介#
限制并发连接数的模块为:http_limit_conn_module,地址:http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
限制并发请求数的模块为:http_limit_req_module,地址:http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
这两个模块都是默认编译进Nginx中的。
限制并发连接数#
示例配置:
http {
limit_conn_zone $binary_remote_addr zone=addr:10m;
#limit_conn_zone $server_name zone=perserver:10m;
server {
limit_conn addr 1;
limit_conn_log_level warn;
limit_conn_status 503;
}
}
limit_conn_zone key zone=name:size; 定义并发连接的配置
- 可定义的模块为http模块。
- key关键字是根据什么变量来限制连接数,示例中有binary_remote_addr、$server_name,根据实际业务需求。
- zone定义配置名称和最大共享内存,若占用的内存超过最大共享内存,则服务器返回错误
示例中的$binary_remote_addr
是二进制的用户地址,用二进制来节省字节数,减少占用共享内存的大小。
limit_conn zone number; 并发连接限制
- 可定义模块为http、server、location模块
- zone为指定使用哪个limit_conn_zone配置
- number为限制连接数,示例配置中限制为 1 个连接。
limit_conn_log_level info | notice | warn | error ; 限制发生时的日志级别
- 可定义模块为http、server、location模块
limit_conn_status code; 限制发生时的返回错误码,默认503
- 可定义模块为http、server、location模块
限制并发请求数#
limit_req_zone key zone=name:size rate=rate; 定义限制并发请求的配置。
- 若占用的内存超过最大共享内存,则服务器返回错误响应
- rate定义的是请求速率,如10r/s 每秒传递10个请求,10r/m 每分钟传递10个请求
limit_req zone=name [burst=number] [nodelay | delay=number];
- zone 定义使用哪个 limit_req_zone配置
- burst=number 设置桶可存放的请求数,就是请求的缓冲区大小
- nodelay burst桶的请求不再缓冲,直接传递,rate请求速率失效。
- delay=number 第一次接收请求时,可提前传递number个请求。
- 可定义模块为http、server、location模块
limit_req_log_level info | notice | warn | error; 限制发生时的日志级别
- 可定义模块为http、server、location模块
limit_req_status code;限制发生时的错误码
- 可定义模块为http、server、location模块
示例配置1
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_req zone=one burst=5;
}
请求速率为每秒传递1个请求。burst桶大小可存放5个请求。超出限制的请求会返回错误。
示例配置2
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_req zone=one burst=5 nodelay;
}
示例配置2是在示例配置1当中添加了nodelay
选项。那么rate请求速率则不管用了。会直接传递burst桶中的所有请求。超出限制的请求会返回错误。
示例配置3
http {
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
limit_req zone=one burst=5 delay=3;
}
示例配置3是在示例配置1当中添加了delay=3
选项。表示前3个请求会立即传递,然后其他请求会按请求速率传递。超出限制的请求会返回错误。
这个方法非常适合防止CC攻击中使用的高并发请求攻击。
评论前必须登录!
立即登录 注册