Nginx 限制ip并发数及请求速度

因为AWS 服务很多都具有自动扩容的功能，所以为了保护服务器的安全，防止某些ip恶意高并发访问服务器，需要对ip并发和速度进行限制。

但这特别要说明一点，关于公网ip，实际测试中，如果将某个ip并发设置为1，公网ip下的所以设备均被认为是同一个ip的并发，就会造成公网ip下只能有一个设备可以访问成功的现象，所以不能将并发设置过小。（实际测试现象可能就是一个公司可能只有一个公网ip，下面很多电脑同时访问nginx均为被认为同一个ip的并发）。
现在突然对这个有了深刻认识，某人游戏开挂整个网吧被封理解了。

在网上查到nginx提供了limit_zone及limit_rate模块用于处理这种问题。
ngx_http_limit_conn_module模块文档：
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html
ngx_http_limit_req_module模块文档：
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

1 限制单IP并发访问数量

我们采用nginx提供的的ngx_http_limit_conn_module模块实现该功能。

ngx_http_limit_conn_module模块用于限制连接数量，特别是来自单个IP地址的连接数量。并非所有的连接都被计数。只有当服务器处理了请求并且已经读取了整个请求头时，连接才被计数。

示例配置：

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;
    ...
    server {
        ...
        location /download/ {
            limit_conn addr 1;
        }
}

limit_conn_zone $binary_remote_addr zone=addr:10m;

为共享内存区域设置参数，该区域将保留各种键的状态。特别是，该状态包含当前的连接数。该key可以包含文本，变量，他们的组合。
语境用于http语法块

$binary_remote_addr对于IPv4地址，变量的大小始终为4个字节，对于IPv6地址则为16个字节。存储状态在32位平台上始终占用32或64个字节，在64位平台上占用64个字节。一个兆字节的区域可以保持大约32000个32字节的状态或大约16000个64字节的状态。如果区域存储耗尽，服务器会将错误返回 给所有其他请求。10M可存储160000个状态

 limit_conn addr 1 

设置给定键值的共享内存区域和最大允许连接数。超过此限制时，服务器将返回 错误以回复请求。
语境用于http, server, location这些语法块内

2 限制单IP访问速度

ngx_http_limit_req_module模块（0.7.21）用于限制每一个请求的处理速率，特别是从一个单一的IP地址的请求的处理速率。

示例配置：

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    ...
    server {
        ...
        location /search/ {
            limit_req zone=one burst=5;
        }
}

平均每秒不超过1个请求，并且突发不超过5个请求。

 limit_req_zone $binary_remote_addr zone=one:10m rate=10r/s;

为共享内存区域设置参数，该区域将保留各种键的状态。特别是，存储当前的过多请求数。该key可以包含文本，变量，他们的组合。

 limit_req zone=one burst=5;

设置共享内存区域和请求的最大突发大小。如果请求速率超过为某个区域配置的速率，则它们的处理会延迟，从而使请求按指定速率处理。过多的请求被延迟，直到它们的数量超过最大突发大小，在这种情况下请求被终止并出现错误。

3 测试

3.1 未配置nginx时测试

首先 使用ab 工具模拟下并发访问API
并发数测试：

ab -r -k -c 50 -n 100 http://172.28.28.4:3006/files/abtest

请求速度测试：
ab -r -k -c 10 -n 100 http://172.28.28.4:3006/abtest

3.2 配置参数

在http块下添加

http {
    limit_conn_zone $binary_remote_addr zone=addr:10m;#记录160000个请求 超过将返回失败 
    limit_req_zone $binary_remote_addr zone=one:10m rate=30r/s;#单个请求小于30r/s
    server {
               limit_conn addr 10;
                limit_req zone=one burst=50;
        }
}
  limit_conn addr 50;
  limit_req zone=one burst=150;

3.3 配置后测试结果

并发数测试
ab -r -k -c 20 -n 100 http://172.28.28.4:3006/abtest

并发数超过后出现了失败

请求速度测试
ab -r -k -c 10 -n 100 http://172.28.28.4:3006/abtest

可以看出100个请求在3.3秒完成符合30r/s