一. 前言我们经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意的攻击访问,会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个 ip的连接数,并发数进行限制。下面说说ngx_http_limit_conn_module 模块来实现该需求。该模块可以根据定义的键来限制每个键值的连接数,如同一个IP来源的连接数。并不是所有的连接都会被该模块计数,只有那些正在被处理的 请求(这些请求的头信息已被完全读入)所在的连接才会被计数。 二. ngx_http_limit_conn_module指令解释
limit_conn_zone limit_conn_zone $binary_remote_addr zone=addr:10m;
注释:客户端的IP地址作为键。注意,这里使用的是$binary_remote_addr变量,而不是$remote_addr变量。
limit_conn_log_level
limit_conn limit_conn_zone $binary_remote_addr zone=addr:10m; server { location /www.ttlsa.com/ { limit_conn addr 1; } }
同一IP同一时间只允许有一个连接。 limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; server { limit_conn perip 10; limit_conn perserver 100; } 【warning]limit_conn指令可以从上级继承下来。[/warning]
limit_conn_status
limit_rate 三. 完整实例配置http { limit_conn_zone $binary_remote_addr zone=limit:10m; limit_conn_log_level info; server { location ^~ /download/ { limit_conn limit 4; limit_rate 200k; alias /data/www.ttlsa.com/download/; } } } 四. 使用注意事项事务都具有两面性的。ngx_http_limit_conn_module 模块虽说可以解决当前面临的并发问题,但是会引入另外一些问题的。如前端如果有做LVS或反代,而我们后端启用了该模块功能,那不是非常多503错误了? 这样的话,可以在前端启用该模块,要么就是设置白名单,白名单设置参见后续的文档,我会整理一份以供读者参考。原文:http://www.ttlsa.com/nginx/nginx-limited-connection-number-ngx_http_limit_conn_module-module/ |