Linux Nginx 流量控制——流量控制概述、配置、访问控制

流量控制
流量限制 (rate-limiting),它可以用来限制客户端在指定时间内 HTTP 请求的数量。请求可以是GET 请求,也可以是登录表单的 POST 请求。流量限制可以用作安全目的,如减慢暴力密码破解速率等。通过将传入请求的速率限制为真实用户的典型值,并标识目标 URL 地址(通过日志),还可以用来抵御 DDOS 攻击,该功能可以用来保护上游应用服务器不被同时太多用户请求所压垮。

概述和配置:

1、Nginx 限流
Nginx 流量限制使用漏桶算法(leaky bucket algorithm),漏桶算法在通讯和分组交换计算机网络中广泛使用,用于处理带宽有限时的突发情况。

2、配置基本的限流
流量限制配置两个主要的指令limit_req_zone 和 limit_req:

192.168.62.155 配置:
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
upstream myweb {
     
        server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
        }
server {
     
        listen 80;
        server_name localhost;

        location /login {
     
                limit_req zone=mylimit;
                proxy_pass http://myweb;
                proxy_set_header Host $host:$server_port;
                proxy_set_header X-Real-IP $remote_addr;
                proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                }
}
192.168.62.157 配置:
server {
     
        listen 80;
        server_name localhost;
        location /login {
     
                root    /usr/share/nginx/html;
                index   index.html index.html;
                }
}

limit_req_zone 指令定义了流量限制相关的参数
limit_req 指令在出现的上下文中启用流量限制(示例中,对于”/login/”的所有请求)。

limit_req_zone 指令通常在 HTTP 模块中定义,使其可在多个上下文中使用,它需要以下三个参数:

Key - 定义应用限制的请求特性。示例中的 Nginx变量 $binary_remote_addr,保存客户端 IP 地址的二进制形式。可以将每个不同的 IP 地址限制到,通过第三个参数设置的请求速率。(使用该变量是因为比字符串形式的客户端 IP 地址 $remote_addr,占用更少的空间)

Zone - 定义用于存储每个 IP 地址状态以及被限制请求 URL 访问频率的共享内存区域。保存在内存共享区域的信息,意味着可以在 Nginx 的 worker 进程之间共享。定义分为两个部分:通过 zone=keyword 标识区域的名字,以及冒号后面跟区域大小。16000 个 IP 地址的状态信息,大约需要 1MB,所以示例中区域可以存储 160000 个 IP 地址。

Rate - 定义最大请求速率。在示例中,速率不能超过每秒 1 个请求。Nginx 实际上以毫秒的粒度来跟踪请求,所以速率限制相当于每 1000 毫秒 1 个请求。因为不允许”突发情况”(见下一章节),这意味着在前一个请求 1000 毫秒内到达的请求将被拒绝。

limit_req_zone 指令设置流量限制和共享内存区域的参数,但实际上并不限制请求速率。所以需要通过添加limit_req 指令,将流量限制应用在特定的 location 或者 server 块。

3、处理突发
如果我们在 1000 毫秒内接收到 2 个请求,怎么办?对于第二个请求,Nginx 将给客户端返回错误。这并不是我们想要的结果,因为应用本质上趋向于突发性。相反地,我们希望缓冲任何超额的请求,然后及时地处理它们。我们更新下配置,在 limit_req 中使用 burst 参数:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
        upstream myweb {
     
                server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
                }

        server {
     
                listen 80;
                server_name localhost;
                location /login {
     
                        limit_req zone=mylimit burst=20;
                        proxy_pass http://myweb;
                        proxy_set_header Host $host:$server_port;
                        proxy_set_header X-Real-IP $remote_addr;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        }
        }

burst 参数定义了超出 zone 指定速率的情况下(示例中的 mylimit 区域,速率限制在每秒 10 个请求,或每 100 毫秒一个请求),客户端还能发起多少请求。上一个请求 100 毫秒内到达的请求将会被放入队列,我们将队列大小设置为 20。

这意味着,如果从一个给定 IP 地址发送 21 个请求,Nginx 会立即将第一个请求发送到上游服务器群,然后将余下 20 个请求放在队列中。然后每 100 毫秒转发一个排队的请求,只有当传入请求使队列中排队的请求数超过 20 时,Nginx 才会向客户端返回错误。

4、配置流量控制相关功能

  • 配置日志记录

默认情况下,Nginx 会在日志中记录由于流量限制而延迟或丢弃的请求,如下所示:

2019/02/13 04:20:00 [error] 120315#0: *32086 limiting requests, excess: 1.000 by zone "mylimit", client: 192.168.1.2, server: nginx.com, request: "GET / HTTP/1.0", host: "nginx.com"

日志条目中包含的字段:
limiting requests - 表明日志条目记录的是被“流量限制”请求
excess - 每毫秒超过对应“流量限制”配置的请求数量
zone - 定义实施“流量限制”的区域
client - 发起请求的客户端 IP 地址
server - 服务器 IP 地址或主机名
request - 客户端发起的实际 HTTP 请求
host - HTTP 报头中 host 的值

默认情况下,Nginx 以 error 级别来记录被拒绝的请求,如上面示例中的[error]所示(Nginx 以较低级别记录延时请求,一般是 info 级别)。如要更改 Nginx 的日志记录级别,需要使用 limit_req_log_level 指令。这里,我们将被拒绝请求的日志记录级别设置为 warn:
一定要定义日志位置和级别才可以:

Linux Nginx 流量控制——流量控制概述、配置、访问控制_第1张图片

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
        upstream myweb {
     
                server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
                }
        server {
     
                listen 80;
                server_name localhost;

                location /login {
     
                        limit_req zone=mylimit;
                        limit_req_log_level warn;
                        proxy_pass http://myweb;
                        proxy_set_header Host $host:$server_port;
                        proxy_set_header X-Real-IP $remote_addr;
                        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
                        }
        }

继续访问测试,看 error.log 日志
Linux Nginx 流量控制——流量控制概述、配置、访问控制_第2张图片

  • 发送到客户端的错误代码

一般情况下,客户端超过配置的流量限制时,Nginx 响应状态码为 503(Service Temporarily Unavailable)。可以使用 limit_req_status 指令来设置为其它状态码(例如下面的 404 状态码):

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    upstream myweb {
     
            server 192.168.62.157:80 weight=1 max_fails=1 fail_timeout=1;
        }
    server {
     
            listen 80;
            server_name localhost;

            location /login {
     
            limit_req zone=mylimit;
            limit_req_log_level warn;
            limit_req_status 404;
            proxy_pass http://myweb;
            proxy_set_header Host $host:$server_port;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            }
    }
  • Nginx 流量控制总结

以上已经涵盖了 Nginx 提供的“流量限制”的很多功能,包括为 HTTP 请求的不同 location 设置请求速率,给“流量限制”配置 burst 参数。

Nginx 访问控制

  • nginx 访问控制模块

(1)基于 IP 的访问控制:http_access_module
(2)基于用户的信任登录:http_auth_basic_module

  • 基于 IP 的访问控制
  • 配置语法
Syntax:allow address | CIDR | unix: | all;
default:默认无
Context:http,server,location

Syntax:deny address | CIDR | unix: | all;
default:默认无
Context:http,server,location
  • 配置测试

修改/etc/nginx/conf.d/access_mod.conf 内容如下:

server {
     
        listen 80;
        server_name localhost;
        location ~ ^/admin {
     
                root /home/www/html;
                index index.html index.hml
                deny 192.168.1.8;
                allow all;
                #deny 192.168.1.8;
        }
}
#需要注意:
如果先允许访问,在定义拒绝访问。那么拒绝访问不生效。

虚拟机宿主机 IP 为 192.168.1.8,虚拟机 IP 为 192.168.1.11,故这里禁止宿主机访问,允许其他所有 IP 访问。

宿主机访问 http://192.168.1.11/admin,显示 403 Forbidden。
当然也可以反向配置,同时也可以使用 IP 网段的配置方式,如 allow 192.168.1.0/24;,表示满足此网段的 IP 都可以访问。

  • 指定 location 拒绝所有请求

如果你想拒绝某个指定 URL 地址的所有请求,而不是仅仅对其限速,只需要在 location 块中配置 deny all 指令:

server {
     
        listen 80;
        server_name localhost;
        location /foo.html {
     
                root /home/www/html;
                deny all;
                }
}
  • 基于用户的信任登录
  • 配置语法
Syntax:auth_basic string | off;
default:auth_basic off;
Context:http,server,location,limit_except

Syntax:auth_basic_user_file file;
default:默认无
Context:http,server,location,limit_except
file:存储用户名密码信息的文件。

2、配置示例
改名 access_mod.conf 为 auth_mod.conf,内容如下:

server {
     
    listen 80;
    server_name localhost;
    location ~ ^/admin {
     
        root /home/www/html;
        index index.html index.hml;
        auth_basic "Auth access test!";
        auth_basic_user_file /etc/nginx/auth_conf;
        }
}

auth_basic 不为 off,开启登录验证功能,auth_basic_user_file 加载账号密码文件。

  • 建立口令文件
[root@192 ~]# mkdir /home/www/html/admin -p
[root@192 ~]# vim /home/www/html/admin/index.html
hello qf
[root@192 ~]# yum install -y httpd-tools #htpasswd 是开源 http 服务器 apache httpd 的一个命令工具,用于生成 http 基本认证的密码文件
[root@192 ~]# htpasswd -cm /etc/nginx/auth_conf user10    //第一次新建用户
[root@192 ~]# htpasswd -m /etc/nginx/auth_conf user20    //第二次添加用户
[root@192 ~]# cat /etc/nginx/auth_conf
user10:$apr1$MOa9UVqF$RlYRMk7eprViEpNtDV0n40
user20:$apr1$biHJhW03$xboNUJgHME6yDd17gkQNb0
  • 访问测试
    访问IP

  • 局限性

(1)用户信息依赖文件方式
(2)操作管理机械,效率低下

你可能感兴趣的:(云计算初阶-Linux运维实战,云计算初阶-Linux入门,nginx,linux,安全,云计算)