一、信息记录
在开始之前,nginx的配置文件nginx.conf中,一般都有两个大部分,一个是server,另一个是http。下面,就来大致的解释一下各个指令的意思。
http里面:
access_log:用以记录http返回的信息,而配置文件里记录的,则是此文件的地址。
log_format:记录http信息。每个变量信息开头用$表示。例如要记录用户信息(User-Agent),往此配置里加入变量$http_user_agent。
sendfile:上篇文件也介绍过了,其主要作用是加快对静态文件的处理。默认情况下是开启(on)状态。
tcp_nopush:属于nginx静态资源配置模块,把多个包一次性整合之后再发送给客户端,而不是一次次发,在sendfile开启的情况下,提高 网络包的传输效率,可在http、server和location中配置,默认是关闭(off)状态。
tcp_nodelay:属于nginx静态配置模块,尽量的把包发送出去,不要等待,用在实时性有要求的场景。一般在keepalive连接下,提高网络 包的传输实时性,可在http、server和location中配置,默认是开启(on)状态。
keepalive_timeout:设置http连接超时时间。
在此,我们来尝试一下nginx的客户端状态模块,在http里面写入如下信息
之后,一般我们会检查nginx语法的配置有没有错误,输入如下的检查语法:nginx -t -c /etc/nginx/nginx.conf
如果语法有错误,就修改。没有错误的话,我们来平滑重启下服务:nginx -s reload -c /etc/nginx/nginx.conf
然后打开浏览器,输入ip(服务器ip)/mystatus,就可以看到nginx的状态连接数了,如下图:
二、连接和请求限制
我们经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意的攻击访问,会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个ip的连接数,并发数进行限制。下面说说ngx_http_limit_conn_module 模块来实现该需求。该模块可以根据定义的键来限制每个键值的连接数,如同一个IP来源的连接数。并不是所有的连接都会被该模块计数,只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才会被计数。
①连接限制
配置语法:limit_conn_zone key zone=name:size
解释:其中key代表的是key值,name是空间的名字,size是空间的大小,此配置范围只能是http里。
调用:limit_conn_zone number
解释:zone表示的是空间名字,number表示的是同一时间访问的个数。此调用可在http、server、location中调用。
例如,可以在http里写入如下代码:
limit_conn_zone $binary_remote_addr zone=conn_zone:1m;
然后在server的location部分加入如下代码:
limit_conn conn_zone 1;
(注:这里用remote_zone的原因是binary_remote_addr的长度为4bytes,会话信息长度为32bytes,当区大小为1M时,对于32bytes来说,大约可以记录3200个会 话信息。)
上面配置之后,同一个ip同一时间只允许一个连接过来。
②请求限制
配置语法:limit_req_zone key zone:size rate=rate
解释:zone表示区域名,size表示的是区域大小,而rate则是限制请求的速率。在http内定义
调用:limit_req zone=name [burst=number][nodelay]
解释:zone调用的名字,burst则是请求的剩余延迟数。可在http、server和location中调用。
例如可在http中加入如下代码:
limit_req_zone $binary_remote_addr zone=req_zone:1m rate=1r/s;
然后在server里面的location部分加入如下代码:
limit_req zone=req_zone burst=3 nodelay;
通过以上设置之后,服务器在1s时间内只允许客户端请求一次,请求的次数多了则会把剩下的3个保留,延迟响应,其余的全部返回503.
注意事项:事物都具有两面性的。ngx_http_limit_conn_module 模块虽说可以解决当前面临的并发问题,但是会引入另外一些问题的。如前 端如果有做LVS或反代,而我们后端启用了该模块功能,那不是非常多503错误了?这样的话,可以在前端启用该模块,要么就是设置白名单。