详解nginx的请求限制（连接限制和请求限制）

这篇文章主要介绍了详解nginx的请求限制（连接限制和请求限制），小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧

一，背景

我们经常会遇到这种情况，服务器流量异常，负载过大等等。对于大流量恶意的攻击访问，会带来带宽的浪费，服务器压力，影响业务，往往考虑对同一个ip的连接数，并发数进行限制。http_limit_conn_module 模块来实现。该模块可以根据定义的键来限制每个键值的连接数，如同一个IP来源的连接数。并不是所有的连接都会被该模块计数，只有那些正在被处理的请求（这些请求的头信息已被完全读入）所在的连接才会被计数。http_limit_req_module 模块来实现，该模块可以通过定义的 键值来限制请求处理的频率。特别的，可以限制来自单个IP地址的请求处理频率。 限制的方法如同漏斗，每秒固定处理请求数，推迟过多请求。

二，配置语法

1，http_limit_conn_module指令解释

limit_conn_zone

语法: limit_conn_zone $variable zone=name:size;

默认值: none

配置段: http

该指令描述会话状态存储区域。键的状态中保存了当前连接数，键的值可以是特定变量的任何非空值（空值将不会被考虑）。$variable定义键，zone=name定义区域名称，后面的limit_conn指令会用到的。size定义各个键共享内存空间大小。如：

limit_conn_zone binaryremoteaddrzone=addr:10m;注释：客户端的IP地址作为键。注意，这里使用的是 binary_remote_addr zone=addr:10m;注释：客户端的IP地址作为键。注意，这里使用的是 b i n a r y r e m o t e a d d r z o n e = a d d r : 1 0 m ; 注 释 ： 客 户 端 的 I P 地 址 作 为 键 。 注 意 ， 这 里 使 用 的 是 binary_remote_addr变量，而不是$remote_addr变量。

$remote_addr变量的长度为7字节到15字节，而存储状态在32位平台中占用32字节或64字节，在64位平台中占用64字节。

$binary_remote_addr变量的长度是固定的4字节，存储状态在32位平台中占用32字节或64字节，在64位平台中占用64字节。

1M共享空间可以保存3.2万个32位的状态，1.6万个64位的状态。

如果共享内存空间被耗尽，服务器将会对后续所有的请求返回 503 (Service Temporarily Unavailable) 错误。

limit_zone 指令和limit_conn_zone指令同等意思，已经被弃用，就不再做说明了。

limit_conn_log_level

语法：limit_conn_log_level info | notice | warn | error

默认值：error

配置段：http, server, location

当达到最大限制连接数后，记录日志的等级。

limit_conn

语法：limit_conn zone_name number

默认值：none

配置段：http, server, location

指定每个给定键值的最大同时连接数，当超过这个数字时被返回503 (Service Temporarily Unavailable)错误。如：

limit_conn_zone $binary_remote_addrzone=addr:10m;server{ location /www.baidu.com/{ limit_conn addr 1; }}http://www.iis7.com/a/lm/ftp/

同一IP同一时间只允许有一个连接。

当多个 limit_conn 指令被配置时，所有的连接数限制都会生效。比如，下面配置不仅会限制单一IP来源的连接数，同时也会限制单一虚拟服务器的总连接数：

limit_conn_zone $binary_remote_addr zone=perip:10m;limit_conn_zone $server_name zone=perserver:10m;server { limit_conn perip 10; limit_conn perserver 100;}

[warning]limit_conn指令可以从上级继承下来。[/warning]

limit_conn_status