一、用户连接数限制模块(ngx_http_limit_conn_module )
ngx_http_limit_conn_module模块可以按照定义的键限定每个键值的连接数。可以设定单一 IP 来源的连接数,并不是所有的连接都会被模块计数;只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才会被计数。
1)limit_conn_zone
1 2 3 |
Syntax: limit_conn_zone key zone=name:size; Default:— Context:http |
设定保存各个键的状态的共享内存空间的参数,键的状态中保存了当前连接数,键的值可以是特定变量的任何非空值(空值将不会被考虑)。使用范例:
1 |
limit_conn_zone $binary_remote_addr zone=addr:10m; |
这里,设置客户端的IP地址作为键。注意,这里使用的是$binary_remote_addr变量,而不是$remote_addr变量。$remote_addr变量的长度为7字节到15字节不等,而存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。而$binary_remote_addr变量的长度是固定的4字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。一兆字节的共享内存空间可以保存3.2万个32位的状态,1.6万个64位的状态。如果共享内存空间被耗尽,服务器将会对后续所有的请求返回503 (Service Temporarily Unavailable) 错误默认。
另外,此指令只是用来类似于生成一个规则(此规则只能在http配置段生成),但是此规则必须被在http、server或location中调用时才会生效,而调用指令为limit_conn。
2)limit_conn
1 2 3 |
Syntax: limit_conn zone number; Default:— Context:http, server, location |
指定一块已经设定的共享内存空间,以及每个给定键值的最大连接数。当连接数超过最大连接数时,服务器将会返回 503 (Service Temporarily Unavailable) 错误。比如,如下配置:
1 2 3 4 5 6 7 |
limit_conn_zone $binary_remote_addr zone=addr:10m; server { location /download/ { limit_conn addr 1; } } |
表示,同一 IP同一时间只允许有一个连接。当多个limit_conn指令被配置时,所有的连接数限制都会生效。比如,下面配置不仅会限制单一IP来源的连接数,同时也会限制单一虚拟服务器的总连接数:
1 2 3 4 5 6 7 8 |
limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; server { ... limit_conn perip 10; limit_conn perserver 100; } |
如果当前配置层级没有limit_conn指令,将会从更高层级继承连接限制配置。
3)limit_conn_log_level
1 2 3 |
Syntax: limit_conn_log_level info | notice | warn | error; Default:limit_conn_log_level error; Context:http, server, location |
指定当连接数超过设定的最大连接数,服务器限制连接时的日志等级。
4)limit_conn_status
1 2 3 |
Syntax: limit_conn_status code; Default:limit_conn_status 503; Context:http, server, location |
用于设定连接拒绝时返回给客户端的http状态码,模式是503。
二、用户请求数限制模块(ngx_http_limit_req_module)
ngx_http_limit_req_module模块可以通过定义的键值来限制请求处理的频率。它可以限制来自单个IP地址的请求处理频率,限制的方法是通过一种“漏桶”的方法——固定每秒处理的请求数,推迟过多的请求处理。
1)limit_req_zone
1 2 3 |
Syntax: limit_req_zone key zone=name:size rate=rate; Default:— Context:http |
设置一块共享内存限制域的参数,它可以用来保存键值的状态。它特别保存了当前超出请求的数量,键的值就是指定的变量(空值不会被计算)。 示例用法:
1 |
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; |
这里,状态被存在名为“one”,最大10M字节的共享内存里面。对于这个限制域来说,平均处理的请求频率不能超过每秒一次。
键值是客户端的IP地址,如果不使用$remote_addr变量,而用$binary_remote_addr变量, 可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录。 如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误。
请求频率可以设置为每秒几次(r/s),如果请求的频率不到每秒一次, 你可以设置每分钟几次(r/m),比如每秒半次就是30r/m。
另外,此指令只是用来类似于生成一个规则(此规则只能在http配置段生成),但是此规则必须被在http、server或location中调用时才会生效,而调用指令为limit_req。
2)limit_req
1 2 3 |
Syntax: limit_req zone=name [burst=number] [nodelay]; Default:— Context:http, server, location |
设置对应的共享内存限制域和允许被处理的最大请求数阈值,如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的。超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值这时,这个请求会被终止,并返回503 (Service Temporarily Unavailable) 错误。这个阈值的默认值等于0, 比如这些指令:
1 2 3 4 5 6 7 |
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { location /search/ { limit_req zone=one burst=5; } } |
限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个。如果不希望超过的请求被延迟,可以用nodelay参数。
1 |
limit_req zone=one burst=5 nodelay; |
3)imit_req_log_level
1 2 3 |
Syntax: limit_req_log_level info | notice | warn | error; Default:limit_req_log_level error; Context:http, server, location |
设置你所希望的日志级别,当服务器因为频率过高拒绝或者延迟处理请求时可以记下相应级别的日志。延迟记录的日志级别比拒绝的低一个级别;比如,如果设置“limit_req_log_level notice”,延迟的日志就是info级别。
4)limit_req_status
1 2 3 |
Syntax: limit_req_status code; Default:limit_req_status 503; Context:http, server, location |
用于设定连接拒绝时返回给客户端的http状态码,默认是503。
三、对客户端请求数据大小限制模块(ngx_http_core_module)
1)limit_except
1 2 3 |
Syntax: limit_except method ... { ... } Default:— Context:location |
对指定范围之外的其他方法进行限定,就是允许按请求的HTTP方法限制对某路径的请求。method用于指定不由这些限制条件进行过滤的HTTP方法,可选值有 GET、 HEAD、 POST、 PUT、 DELETE、 MKCOL、 COPY、MOVE、OPTIONS、PROPFIND、PROPPATCH、LOCK、UNLOCK或者PATCH。指定method为GET方法的同时,nginx会自动添加HEAD方法。 那么其他HTTP方法的请求就会由指令引导的配置块中的ngx_http_access_module 模块和ngx_http_auth_basic_module模块的指令来限制访问。如:
1 2 3 4 |
limit_except GET { allow 192.168.1.0/32; deny all; } |
上面的例子表示将对除GET和HEAD方法以外的所有HTTP方法的请求进行访问限制。
2)limit_rate
1 2 3 |
Syntax: limit_rate rate; Default:limit_rate 0; Context:http, server, location, if in location |
限制向客户端传送响应的速率限制。参数rate的单位是字节/秒,设置为0将关闭限速。 nginx按连接限速,所以如果某个客户端同时开启了两个连接,那么客户端的整体速率是这条指令设置值的2倍。
3)limit_rate_after
1 2 3 |
Syntax: limit_rate_after size; Default:limit_rate_after 0; Context:http, server, location, if in location |
设置不限速传输的响应大小,当传输量大于此值时,超出部分将限速传送,小于设置值时不限速。比如:
1 2 3 4 5 |
location /flv/ { flv; limit_rate_after 500k; limit_rate 50k; } |