| limit_conn_module語法 | 范圍 | 說明 |
|---|---|---|
| limit_conn_zone 標識 zone=空間名:空間大小; | http | 用于聲明一個存儲空間 |
| limit_conn 空間名 并發限制數; | http、server或location | 用于限制某個存儲空間的并發數量 |
| limit_conn_log_level 日志等級; | http、server或location | 當達到最大限制連接數后, 記錄日志的等級 |
| limit_conn_status 狀態碼; | http、server或location | 當超過限制后,返回的響應狀態碼,默認是503 |
limit_conn_zone會聲明一個zone空間來記錄連接狀態, 才能限制數量。
zone是存儲連接狀態的空間, 以鍵值對存儲, 通常以客戶端地址$binary_remote_addr作為key來標識每一個連接。
當zone空間被耗盡,服務器將會對后續所有的請求返回503(Service Temporarily Unavailable)錯誤。
請求限制 limit_req_mudule
limit_req_mudule:HTTP請求頻率限制, 一次TCP連接可以建立多次HTTP請求。
配置語法:
| limit_req_mudule語法 | 范圍 | 說明 |
|---|---|---|
| limit_req_zone key zone=空間名:空間大小 rate=每秒請求數; | http | 用于聲明一個存儲空間 |
| limit_req zone=空間名 [burst=隊列數] [nodelay]; | http、server或location | 用于限制某個存儲空間的并發數量 |
這里的zone也是用來存儲連接的一個空間。
burst 和 nodelay
burst和nodelay對并發請求設置了一個緩沖區和是否延遲處理的策略。
先假設有如下zone配置。
http {
limit_req_zone $binan_remote_addr zone=req_zone:1m rate=10r/s;
}
情況 1:limit_req zone=req_zone;
1秒發送10個請求, 正常響應。1秒發送13個請求, 前10個請求正常響應, 后3個請求返回503(Service Temporarily Unavailable)。不加brust和nodelay的情況下,rate=10r/s每秒只能執行10次請求, 多的直接返回503錯誤。
情況 2:limit_req zone=req_zone brust=5;
1秒發送10個請求, 正常響應。1秒發送13個請求, 前10個請求正常響應, 后3個請求放入brust等待響應。1秒發送20個請求, 前10個請求正常響應, 后5個請求放入brust等待響應, 最后5個請求返回503(Service Temporarily Unavailable), 第2秒執行brust中的5個請求。1秒發送20個請求, 前10個請求正常響應, 后5個請求放入brust等待響應, 最后5個請求返回503(Service Temporarily Unavailable), 第2秒發送6個請求, 執行brust中的5個請求, 將5個請求放入brust等待響應, 剩下的1個請求返回503(Service Temporarily Unavailable)。加brust=5不加nodelay的情況下, 有一個容量為5的緩沖區,rate=10r/s每秒只能執行10次請求, 多的放到緩沖區中, 如果緩沖區滿了, 就直接返回503錯誤。而緩沖區在下一個時間段會取出請求進行響應, 如果還有請求進來, 則繼續放緩沖區, 多的就返回503錯誤。
情況 3:limit_req zone=req_zone brust=5 nodelay;
1秒發送10個請求, 正常響應。1秒發送13個請求,13個請求正常響應。1秒發送20個請求, 前15個請求正常響應, 后5個請求返回503(Service Temporarily Unavailable)。1秒發送20個請求, 前15個請求正常響應, 后5個請求返回503(Service Temporarily Unavailable), 第2秒發送6個請求, 正常響應。加brust=5和nodelay的情況下, 有一個容量為5的緩沖區,rate=10r/s每秒能執行15次請求,15=10+5。多的直接返回503錯誤。
基于 IP 的訪問控制
http_access_module: 基于IP的訪問控制, 通過代理可以繞過限制, 防君子不防小人。
| http_access_module語法 | 范圍 | 說明 |
|---|---|---|
| allow IP地址 | CIDR網段 | unix: | all; | http、server、location和limit_except | 允許IP地址、CIDR格式的網段、unix套接字或所有來源訪問 |
| deny IP地址 | CIDR網段 | unix: | all; | http、server、location和limit_except | 禁止IP地址、CIDR格式的網段、unix套接字或所有來源訪問 |
allow和deny會按照順序, 從上往下, 找到第一個匹配規則, 判斷是否允許訪問, 所以一般把all放最后
location / {
deny 192.168.1.1;
allow 192.168.1.0/24;
allow 10.1.1.0/16;
allow 2001:0db8::/32;
deny all;
}
基于用戶密碼的訪問控制
http_auth_basic_module: 基于文件匹配用戶密碼的登錄
| http_auth_basic_module語法 | 范圍 | 說明 |
|---|---|---|
| auth_basic 請輸入你的帳號密碼 | off; | http、server、location和limit_except | 顯示用戶登錄提示 (有些瀏覽器不顯示提示) |
| auth_basic_user_file 存儲帳號密碼的文件路徑; | http、server、location和limit_except | 從文件中匹配帳號密碼 |
密碼文件可以通過htpasswd生成,htpasswd需要安裝yum install -y httpd-tools。
# -c 創建新文件, -b在參數中直接輸入密碼 $ htpasswd -bc /etc/nginx/conf.d/passwd user1 pw1 Adding password for user user1 $ htpasswd -b /etc/nginx/conf.d/passwd user2 pw2 Adding password for user user2 $ cat /etc/nginx/conf.d/passwd user1:$apr1$7v/m0.IF$2kpM9NVVxbAv.jSUvUQr01 user2:$apr1$XmoO4Zzy$Df76U0Gzxbd7.5vXE0UsE0
參考資料
limit_conn_module
limit_req_mudule
http_access_module
http_auth_basic_module
總結
以上所述是小編給大家介紹的基于Nginx實現訪問控制、連接限制,希望對大家有所幫助,如果大家有任何疑問請給我留言,小編會及時回復大家的。在此也非常感謝大家對腳本之家網站的支持!
如果你覺得本文對你有幫助,歡迎轉載,煩請注明出處,謝謝!
