nginx 限速之limit_conn

已于 2023-08-17 17:02:34 修改
阅读量2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: Lnmp 文章标签: nginx
于 2023-08-17 16:58:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wanchaopeng/article/details/132341809
本文介绍了如何使用Nginx的limit_req,limit_conn和limit_rate模块来限制请求量、连接数和响应速度,重点讲解了limit_conn_module及其limit_conn_zone指令,包括设置zone、limit_conn和日志级别,以及dry_run模式的应用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

        在工作中经常会遇到用户大量请求某个接口和一些大流量的恶意攻击,可以通过nginx对同一个ip的连接数,请求,进行限制.

        通过nginx我们有三种限速方式分别是: 限制请求数(request),限制连接数(connection),限制响应速度(rate),分别对应nginx的limit_req,limit_conn和limit_rate三个模块,limit_conn和limit_req模块类似,有许多指令组成一个大的模块,两个模块之间很多指令的命名方式和用法大同小异.

        ngx_http_limit_conn_module 模块主要是用于根据特定的key来限制连接的数量,如根据ip地址来限制连接数.需注意的是并不是所有的连接都会被算入其中,只有当一个连接的整个请求头被读取并且已经被nginx服务器处理的时候才会被算入限制中.

1. ngx_http_limit_conn_module模块

1. limit_conn_zone 指令

#语法配置
Syntax: limit_conn_zone key zone=name:size;
Defaule: -
Context: http  #作用域

limit_conn_zone $binary_remote_addr zone=${name}:10m #示例

说明:

 limit_conn_zone:  只能够在http块用使用

 key: 可以设置为$variable使用Nginx内置变量作为键(一般经常使用客户端ip地址作为键:$remote_addr变量的长度为7字节到15字节,而存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。)$binary_remote_addr变量的长度是固定的4字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。1M共享空间可以保存3.2万个32位的状态,1.6万个64位的状态)。zone=name定义区域名称(名称随意起,在limit_conn配置项中调用时对应就好),size定义各个键共享内存空间大小。如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503 (Service Temporarily Unavailable) 错误。

name: 就是这个zone的命名,name需要全局唯一,limit_conn 命令根据name来查找对应zone进行相应限制规则的匹配.

size:  定义这个zone的大小,也就是nginx会在内存中开辟多大的空间来存储这个zone的相应信息,主要和前面定义的key的大小有关系,需要注意的是当内存带下耗尽的时候,nginx会直接返回错误码limit_conn_status给后续的请求(If the zone storage is exhausted, the server will return the error to all further requests.)

2. limit_conn指令

Syntax:  limit_conn zone number;  #语法
Default:
Context: http,server,location  #作用域

说明:

limit_conn: 使用由limit_conn_zone定义的拦截规则,并设置具体的限制连接数量,当超过这个数字时返回503(server)的错误.定义的存储区域key对应的总的网络连接数进行限流。可以按照IP来限制IP维度的总连接数,或者按照服务域名来限制某个域名的总的连接数(只有那些被nginx处理的且已经读取了整个请求头的请求连接才会被计数器统计,在http,server,location三个块中使用,但是要搭配limit_conn_zone使用

zone: 是在limit_conn_zone中的name变量,对应这全局唯一的zone,负责确定限制连接数的依据

number: 限制的连接数,zone和number组合就可以完成连接数的限定功能,注意number必须是数字而不能使用变量.

示例:

 limit_conn_zone $binary_remote_addr zone=addr:10m;
 ​
 server {
     location /download/ {
         limit_conn addr 1;
     }

3. limit_conn_log_level指令

Syntax:	limit_conn_log_level  info|notice|warn|error  #语法
Default:    limit_conn_log_level error;   #默认
Context:	http, server, location  #作用域

功能: 当达到最大限制规则的连接数后,记录日志的等级。会输出到error.log中而不是access.log,调成info的话会有较多的日志输出,需要额外注意硬盘容量等相关问题。

4.limit_conn_status指令

Syntax:	limit_conn_status code
Context:	http, server, location
Default:	limit_conn_status 503

功能:当超过限制规则后,返回的响应状态码,默认是503,如果是一些有特殊需求的场景,可以手动调整为403之类的状态码,需要注意的是并不是所有的状态码都可以使用,nginx官方限定状态码必须在400到599之间。

5.limit_conn_dry_run指令

 Syntax: limit_conn_dry_run on | off;
 Default:    limit_conn_dry_run off;
 Context:    http, server, location
 This directive appeared in version 1.17.6.

功能: dry_run模式的意义在于试运行而不对线上业务造成影响。设置为on之后,前面的limit_conn指令并不会真正生效,但是limit_conn_zone指令会生效,nginx会在内存中存储计算相关的数据.

limit_conn 指令限制连接
zhaoyangjian724的专栏
11-25 1591
limit_rate 50; 限制向用户返回的速率 每秒钟50个字节 # http conf http { #include http/common.conf; #include http/cache.conf; #include http/resty.conf; #include http/mime.types; log_format main '$binary_remote_addr $remote_addr - $remo...
Nginx之访问限制模块之 limit_conn 模块、limit_req 模块
weixin_45880055的博客
07-15 6001
经常会遇到这种情况,服务器流量异常,负载过大等等。对于大流量恶意攻击访问,会带来带宽的浪费,服务器压力,影响业务,往往考虑对同一个IP的连接数,请求数、进行限制。 ngx_http_limit_conn_module 模块用于限制定义key的连接数,特别是来自单个IP地址的连接数。并非所有连接都被计算在内,仅当连接已经读取了整个请求头时才计算连接。 用法: 该模块提供了两个指令,limit_conn_zone 和 limit_conn 语法: limit_conn_zone $variable zo
Nginx中的limit_req模块和limit_conn模块详解
你知道莽村的莽怎么来的吗!
05-22 2627
limit_req 模块用于限制客户端请求的频率,以防止单一客户端占用过多服务器资源,提升稳定性。limit_conn 模块用于限制每个客户端的并发连接数,以防止资源被单一客户端耗尽。
Nginx限速配置详解
最新发布
qq_42895490的博客
06-15 428
指令作用影响对象是否建议开启limit_rate限制单连接下载速率客户端连接建议开启,防止带宽抢占控制代理缓存行为Nginx与后端建议开启,保护后端,除非做实时流。
nginx配置limit_conn_zone来限制并发连接数以及下载带宽
热门推荐
plunger2011的专栏
07-15 6万+
配置方法如下: 1、在nginx.conf里的http{}里加上如下代码: #ip limit limit_conn_zone $binary_remote_addr zone=perip:10m; limit_conn_zone $server_name zone=perserver:10m; 复制代码 2、在需要限制并发数和下载带宽的网站配置serv
nginx并发数限制 limit_conn
JudithHuang的博客
04-10 5279
本篇博客通过介绍 Nginxlimit_conn 指令,介绍了如何限制和控制服务器的并发连接数量。在高并发访问的场景下,若连接数没有得到有效的控制,则服务器的性能将受到影响,甚至可能导致崩溃。limit_conn 指令可以帮助开发者更好地抵御恶意请求和 DDoS 攻击,确保服务器能够有效响应合法请求。博客还介绍了 limit_conn指令的基本语法、可用参数以及一个实例,帮助读者了解如何在 Nginx 服务器上实现限制连接数。控制并发连接数量是保证服务器正常运行的关键设置之一,在处理高并发请求时很重要
nginxlimit_conn_module、limit_req_module和访问控制
qq_27383705的博客
07-21 348
转载于:https://blog.youkuaiyun.com/li12412414/article/details/79234770 (1)nginx的请求限制可以通过以下来进行配置: 这俩个模块都可以实现nginx的请求限制,但是它们的实现原理是不一样的。区别就是在连接与请求上。 (2)那么对于Http协议的连接与请求: Http的连接请求是建立在TCP连接的基础之上的。首先需要有Tcp
nginx限制连接数ngx_http_limit_conn_module模块1
08-08
Nginx 限制连接数 ngx_http_limit_conn_module 模块详解】 在互联网服务中,服务器经常面临流量异常、负载过大的情况,尤其在遭受大流量恶意攻击时,带宽的浪费、服务器压力的增大都会对业务造成严重影响。为了...
nginx篇11-限速三剑客之limit_conn
tinychen
03-01 3743
本文主要是对nginx官方limit_conn相关模块的配置用法和一些个人理解,limit_conn主要用于限制用户的连接数,在如今多线程并发请求大量普及的情况下,对于一些特殊的场景还是有着一定的用处的。 1、背景 目前来说在nginx上面我们常见的三种限速操作分别是:限制请求数(request)、限制连接数(connection)、限制响应速度(rate),对应在nginx的模块相关指令分别是limit_req、limit_connlimit_rate三个系列。limit_conn模块和limit_r
Nginx: 配置项之http模块connection和request的用法以及limit_connlimit_req模块
Wang的专栏
08-23 2290
比如说我们在这儿,至于去引用的limitIQ我们都知道我们的IQ定义status,我们上面是返回的这个五零三,我们在这以示区别,我们让它返回五零四,好吧,继续我们的limitREQ还有什么呀?ok那接下来我们给大家演示一下啊,呃我们还接着上一节的我们这个配置文件,我们直接给大家做展示啊,户下的con零x,还是我们先在这儿去定义我们这个root是吧?第一次没关系,第二次肯定哎,我们在这没有记录进去,我们的这个啊嗯不对,这个时候我们在来给它啊,因为我们在这没定义我们的日志啊,我们再来引用一个日志吧。
nginx篇10-限速三剑客之limit_req
tinychen
03-01 6097
本文主要是对nginx官方limit_req相关模块的限速原理的解释和一些个人理解,主要参考的文章为Rate Limiting with NGINX and NGINX Plus和nginx的ngx_http_limit_req_module的详细说明。 目前来说在nginx上面我们常见的三种限速操作分别是:限制请求数(request)、限制连接数(connection)、限制响应速度(rate),对应在nginx的模块相关指令分别是limit_req、limit_connlimit_rate三个系列。
nginx篇12-限速三剑客之limit_rate
tinychen
03-01 3051
本文主要是对nginx官方limit_rate相关指令的用法解释和一些个人理解,limit_rate主要用于限制用户和服务器之间传输的字节数,最常用的场景可能就是下载/上传限速,在如今用户网速普遍大幅提升的情况下,对于一些文件传输、视频流媒体传输等服务还是有着一定的应用场景的。 和我们前面提过的limit_req模块和limit_conn模块不一样的是,limit_rate并没有单独的一个模块,而是在ngx_http_core_module中,同时它的相关指令也比较少,只有limit_rate和limit
Nginx防攻击工具教程一 ngx_http_limit_conn_module
汪翰翔的Blog
04-17 7896
要限制用户的连接数可以通过Limit zone模块来达到目的,即限制同一用户IP地址的并发连接数。    该模块提供了两个命令limit_zone和limit_conn,其中limit_zone只能用在http区段,而limit_conn可以用在http, server, location区段。 示例配置    http { limit_zone one $binary_re
Nginx访问控制,限速limit_conn, limit_req
tanyyinyu的博客
10-31 4218
Nginx访问控制 —— deny_allow Nginx的deny和allow指令是由ngx_http_access_module模块提供,Nginx安装默认内置了该模块。 除非在安装时有指定 --without-http_access_module。 语法:allow/deny address | CIDR | unix: | all 它表示,允许/拒绝某个ip或者一个ip段...
linux 下nginx服务的配置文件nginx.conf中模块的讲解之配置limit_conn_zone来限制并发连接数以及下载速率
weixin_43369306的博客
07-31 1066
一、限制并发连接数的配置方法如下: 1、在nginx.conf里的http{}里加上如下代码: #在其中的36行加入下面的内容(在http{}模块中加入的) 要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码: "zone=" 给它一个名字,可以随便叫,这个名字要跟下面的 limit_conn 一致 $binary_remote_addr = ...
nginx中的limit_req 和 limit_conn
ZhanBiaoChina的博客
04-06 440
它通过 limit_req_zone 指令定义一个共享内存区域,用于存储请求的状态信息,然后在 location 块中使用 limit_req 指令来限制请求速率。它通过 limit_conn_zone 指令定义一个共享内存区域,然后在 location 块中使用 limit_conn 指令来限制并发连接数。在 Nginx 中,limit_req 和 limit_conn 是两个用于限制客户端请求的指令,它们分别用于限制请求速率和并发连接数。limit_req:在 location 块中应用请求速率限制。
Nginx实战(四) 限速功能
菜鸟路上的小白
10-11 4642
如果很多用户,同一时刻下载nginx服务器上面的资源,这样会对nginx服务器的I/O产生极大负担,所以对nginx服务器的下载做限速设置很有必要。 首先在 http 段配置一个 limit_zone,然后在需要的地方使用 limit_connlimit_rate 进行限速设置,如下一个简单的例子。 http { limit_zone one $binary_remote_addr...
limit_conn php,nginx限制连接数(ngx_http_limit_conn_module)模块 nginx concat module echo nginx module nginx ...
weixin_31998661的博客
03-21 142
ngx_http_limit_conn_module 对于一些服务器流量异常、负载过大,甚至是大流量的恶意攻击访问等,进行并发数的限制;该模块可以根据定义的键来限制每个键值的连接数,只有那些正在被处理的请求(这些请求的头信息已被完全读入)所在的连接才会被计数。该模块提供了两个配置参数,limit_conn_zone 和 limit_conn ,其中 limit_conn_zone 只能配置在 ht...
nginxlimit_conn_module和limit_req_module
li12412414的博客
02-02 2143
(1)nginx的请求限制可以通过以下来进行配置: 这俩个模块都可以实现nginx的请求限制,但是它们的实现原理是不一样的。区别就是在连接与请求上。 (2)那么对于Http协议的连接与请求: Http的连接请求是建立在TCP连接的基础之上的。首先需要有Tcp的三次握手,然后才能有Http的连接请求。然后用客户端和服务器端不断的发送FIn和Ack来保持连接,也就是kee
limit_conn_zone $variable zone=name:size; server { listen 80; server_name www.abc.com; location / { limit_conn one 1; #这将指定一个地址只能同时存在一个连接。“one”与上面的对应,也可以自定义命名 limit_rate 300k; } }
03-14
<think>好的,我现在要处理用户关于Nginx配置的问题,具体是关于`limit_conn_zone`和`limit_conn`指令的使用。用户给出了一个配置示例,并希望了解其含义和工作原理。我需要先理解用户的问题,然后逐步解释清楚。 首先,用户提供的配置片段中有`limit_conn_zone $variable zone=name:size;`,接着在server块里使用了`limit_conn one 1;`和`limit_rate 300k;`。我需要确认用户是否正确理解了这些指令的作用,以及配置是否存在潜在问题。 接下来,我需要回忆Nginx限速模块相关知识。`limit_conn_zone`用于定义共享内存区域,存储连接数信息。`$variable`通常是客户端的标识,如`$binary_remote_addr`(二进制格式的客户端IP)。用户示例中的`$variable`可能需要替换成正确的变量。用户示例中的zone命名为`name`,但后面的server块中却用了`one`,这明显不一致,这是一个错误,需要指出。 然后,`limit_conn one 1;`中的`one`应该对应`limit_conn_zone`中定义的zone名称,但用户示例中zone的名称是`name`,这里应该是`name`,所以这里存在命名不匹配的问题,会导致配置不生效或出错。需要提醒用户注意这一点。 另外,`limit_conn`指令的参数是否正确?`limit_conn zone number;`,这里的number是每个客户端允许的最大并发连接数。用户设置为1,是正确的,但需要确认是否理解其含义。 还有`limit_rate 300k;`,这是限制每个连接的传输速率为300KB/s。需要说明这是针对每个连接的速度限制,而不是总速度。如果有多个连接,总速度会叠加。这点可能需要进一步解释。 用户可能存在的误区包括:变量使用错误(如未使用正确的客户端标识符)、zone名称不一致、对连接限制和速率限制的区别不清晰。需要逐一指出这些点,并给出正确的配置示例。 此外,还需要提到配置中的注意事项,比如共享内存大小`size`的设置是否足够,以及`limit_conn_zone`应该放在http块中,而不是server块里。用户示例中的配置是否放在正确的位置? 最后,总结配置的作用,解释清楚每个指令的功能,并确保用户理解如何正确应用这些配置来限制并发连接和速率。</think>### 一、配置解析 您提供的 Nginx 配置实现了 **并发连接数限制** 和 **传输速率限制**,但存在关键错误需要修正。完整修正后的配置如下: ```nginx http { # 定义共享内存区(必须放在 http 块内) limit_conn_zone $binary_remote_addr zone=conn_zone:10m; # 修正点1 server { listen 80; server_name www.abc.com; location / { limit_conn conn_zone 1; # 修正点2:zone名称需一致 limit_rate 300k; # 单个连接限速300KB/s proxy_pass http://backend; } } } ``` --- ### 二、核心指令详解 #### 1. `limit_conn_zone`:定义连接限制的存储区 - **语法**: `limit_conn_zone $key zone=name:size;` - **参数说明**: - `$key`:标识客户端的变量,常用 `$binary_remote_addr`(客户端IP的二进制形式,内存效率高) - `zone=name:size`:定义共享内存区名称和大小(例如 `10m` 可存储约8万IP的连接状态) #### 2. `limit_conn`:应用连接限制规则 - **语法**: `limit_conn zone_name max_connections_per_key;` - **示例**: `limit_conn conn_zone 1;` 表示每个客户端IP最多允许1个并发连接 #### 3. `limit_rate`:限制单个连接传输速率 - **语法**: `limit_rate speed;` - **示例**: `limit_rate 300k;` 限制每个连接的传输速率为300KB/s --- ### 三、原配置错误修正 | 错误点 | 原配置 | 修正后 | 说明 | |-------|--------|--------|------| | 1. 未使用有效客户端标识 | `$variable` | `$binary_remote_addr` | `$variable` 是无效变量,需替换为实际标识 | | 2. zone名称不匹配 | `zone=name` 但使用 `limit_conn one` | 统一为 `conn_zone` | zone名称必须一致 | | 3. 共享内存区位置错误 | 直接写在server块外 | 放入 `http` 块 | `limit_conn_zone` 必须定义在 `http` 上下文 | --- ### 四、工作原理解析 1. **连接数限制流程**: - 客户端发起请求 → Nginx 根据 `$binary_remote_addr` 提取客户端IP - 检查 `conn_zone` 内存区中该IP的当前连接数 - 若连接数 ≥1 → 返回 `503 Service Temporarily Unavailable` 错误 - 若连接数 <1 → 允许建立连接,计数器+1 2. **速率限制效果**: - 每个连接独立限速300KB/s(例如:若客户端通过2个连接下载,总速度可达600KB/s) --- ### 五、高级优化建议 #### 1. 自定义错误响应 默认返回 `503`,可指定友好页面: ```nginx error_page 503 /error/limit.html; location = /error/limit.html { root /usr/share/nginx/html; internal; } ``` #### 2. 组合其他限制策略 - **叠加速率限制**:结合 `limit_req` 模块限制请求频率 ```nginx limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s; limit_req zone=req_zone burst=20; ``` - **IP白名单**:绕过限制的关键IP ```nginx geo $limit { default 1; 192.168.1.0/24 0; # 内网IP不受限 } map $limit $conn_limit { 1 $binary_remote_addr; 0 ""; } limit_conn_zone $conn_limit zone=conn_zone:10m; ``` #### 3. 监控内存区状态 通过 `nginx-module-vts` 等工具监控 `conn_zone` 使用情况,避免内存溢出。 --- ### 六、性能测试方法 1. **使用 `ab` 压测连接数限制**: ```bash ab -n 100 -c 10 http://www.abc.com/ # 并发10请求,观察503错误率 ``` 2. **验证速率限制**: ```bash curl -o /dev/null http://www.abc.com/largefile.zip # 观察下载速度是否≤300KB/s ``` --- ### 七、注意事项 1. **共享内存大小估算**: 每个IP约占用128字节,`10m` 内存可存储约 `10*1024*1024 / 128 ≈ 81920` 个IP。 2. **连接释放机制**: Nginx 在连接关闭后立即减少计数器,但若客户端异常断连,需等待 `keepalive_timeout` 超时后释放。 3. **与速率限制的差异**: | 限制类型 | 指令 | 控制维度 | |---------------|----------------|-------------------| | 连接数限制 | `limit_conn` | 并发TCP连接数 | | 请求频率限制 | `limit_req` | 单位时间HTTP请求数 | | 传输速率限制 | `limit_rate` | 单个连接带宽 | --- ### 八、完整配置示例 ```nginx http { limit_conn_zone $binary_remote_addr zone=conn_zone:10m; server { listen 80; server_name www.abc.com; # 自定义503错误页面 error_page 503 /error/limit.html; location = /error/limit.html { internal; root /usr/share/nginx/html; } location / { limit_conn conn_zone 1; # 单IP并发连接≤1 limit_rate 300k; # 单连接限速300KB/s proxy_pass http://backend; } } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值