nginx浅谈之连接限制

一、信息记录

在开始之前，nginx的配置文件nginx.conf中，一般都有两个大部分,一个是server,另一个是http。下面，就来大致的解释一下各个指令的意思。

http里面：

  access_log：用以记录http返回的信息，而配置文件里记录的，则是此文件的地址。

  log_format：记录http信息。每个变量信息开头用$表示。例如要记录用户信息(User-Agent)，往此配置里加入变量$http_user_agent。

  sendfile：上篇文件也介绍过了，其主要作用是加快对静态文件的处理。默认情况下是开启(on)状态。

  tcp_nopush：属于nginx静态资源配置模块，把多个包一次性整合之后再发送给客户端，而不是一次次发，在sendfile开启的情况下，提高                                网络包的传输效率，可在http、server和location中配置，默认是关闭(off)状态。

  tcp_nodelay：属于nginx静态配置模块，尽量的把包发送出去，不要等待，用在实时性有要求的场景。一般在keepalive连接下，提高网络                                包的传输实时性，可在http、server和location中配置，默认是开启(on)状态。

  keepalive_timeout：设置http连接超时时间。

在此，我们来尝试一下nginx的客户端状态模块，在http里面写入如下信息

mystatus.JPG

之后，一般我们会检查nginx语法的配置有没有错误，输入如下的检查语法:nginx -t -c /etc/nginx/nginx.conf

如果语法有错误，就修改。没有错误的话，我们来平滑重启下服务:nginx -s reload -c /etc/nginx/nginx.conf

然后打开浏览器,输入ip（服务器ip）/mystatus，就可以看到nginx的状态连接数了，如下图:

status.JPG

二、连接和请求限制

我们经常会遇到这种情况，服务器流量异常，负载过大等等。对于大流量恶意的攻击访问，会带来带宽的浪费，服务器压力，影响业务，往往考虑对同一个ip的连接数，并发数进行限制。下面说说ngx_http_limit_conn_module 模块来实现该需求。该模块可以根据定义的键来限制每个键值的连接数，如同一个IP来源的连接数。并不是所有的连接都会被该模块计数，只有那些正在被处理的请求（这些请求的头信息已被完全读入）所在的连接才会被计数。

①连接限制

配置语法：limit_conn_zone key zone=name:size

解释：其中key代表的是key值,name是空间的名字,size是空间的大小，此配置范围只能是http里。

调用：limit_conn_zone number

解释:zone表示的是空间名字，number表示的是同一时间访问的个数。此调用可在http、server、location中调用。

例如，可以在http里写入如下代码：

limit_conn_zone $binary_remote_addr zone=conn_zone:1m;

然后在server的location部分加入如下代码：

limit_conn conn_zone 1;

(注：这里用remote_zone的原因是binary_remote_addr的长度为4bytes，会话信息长度为32bytes，当区大小为1M时，对于32bytes来说，大约可以记录3200个会 话信息。)

上面配置之后，同一个ip同一时间只允许一个连接过来。

②请求限制

配置语法：limit_req_zone key zone:size rate=rate

解释：zone表示区域名,size表示的是区域大小,而rate则是限制请求的速率。在http内定义

调用：limit_req zone=name [burst=number][nodelay]

解释：zone调用的名字,burst则是请求的剩余延迟数。可在http、server和location中调用。

例如可在http中加入如下代码：

limit_req_zone $binary_remote_addr zone=req_zone:1m rate=1r/s;

然后在server里面的location部分加入如下代码：

limit_req zone=req_zone burst=3 nodelay;

通过以上设置之后，服务器在1s时间内只允许客户端请求一次，请求的次数多了则会把剩下的3个保留，延迟响应，其余的全部返回503.

注意事项：事物都具有两面性的。ngx_http_limit_conn_module 模块虽说可以解决当前面临的并发问题，但是会引入另外一些问题的。如前 端如果有做LVS或反代，而我们后端启用了该模块功能，那不是非常多503错误了？这样的话，可以在前端启用该模块，要么就是设置白名单。