本文分享自华为云社区《【高并发】运用Nginx完成限流》,作者:冰 河。

Nginx作为一款高性能的Web代理和负载均衡服务器,往往会布置在一些互联网应用比较前置的方位。此时,咱们就可以在Nginx上进行设置,对拜访的IP地址和并发数进行相应的约束。

Nginx官方的限流模块

Nginx官方版别约束IP的衔接和并发别离有两个模块:

  • limit_req_zone 用来约束单位时刻内的恳求数,即速率约束,采用的漏桶算法 “leaky bucket”。
  • limit_req_conn 用来约束同一时刻衔接数,即并发约束。

limit_req_zone 参数装备

limit_req_zone参数说明

Syntax: limit_req zone=name [burst=number] [nodelay];
Default:    —
Context:    http, server, location
limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

  • 第一个参数:$binary_remote_addr 表明经过remote_addr这个标识来做约束,“binary_”的意图是缩写内存占用量,是约束同一客户端ip地址。

  • 第二个参数:zone=one:10m表明生成一个巨细为10M,名字为one的内存区域,用来存储拜访的频次信息。

  • 第三个参数:rate=1r/s表明答应相同标识的客户端的拜访频次,这儿约束的是每秒1次,还可以有比方30r/m的。

    limit_req zone=one burst=5 nodelay;

  • 第一个参数:zone=one 设置运用哪个装备区域来做约束,与上面limit_req_zone 里的name对应。

  • 第二个参数:burst=5,重点说明一下这个装备,burst迸发的意思,这个装备的意思是设置一个巨细为5的缓冲区当有很多恳求(迸发)过来时,超过了拜访频次约束的恳求可以先放到这个缓冲区内。

  • 第三个参数:nodelay,假如设置,超过拜访频次并且缓冲区也满了的时分就会直接返回503,假如没有设置,则一切恳求会等待排队。

limit_req_zone示例

http {
    limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;
    server {
        location /search/ {
            limit_req zone=one burst=5 nodelay;
        }
}

下面装备可以约束特定UA(比方搜索引擎)的拜访:

limit_req_zone  $anti_spider  zone=one:10m   rate=10r/s;
limit_req zone=one burst=100 nodelay;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
    set $anti_spider $http_user_agent;
}

其他参数

Syntax: limit_req_log_level info | notice | warn | error;
Default:    
limit_req_log_level error;
Context:    http, server, location

当服务器因为limit被限速或缓存时,装备写入日志。延迟的记载比回绝的记载低一个等级。例子:limit_req_log_level notice延迟的的基本是info。

Syntax: limit_req_status code;
Default:    
limit_req_status 503;
Context:    http, server, location

设置回绝恳求的返回值。值只能设置 400 到 599 之间。

ngx_http_limit_conn_module 参数装备

ngx_http_limit_conn_module 参数说明

这个模块用来约束单个IP的恳求数。并非一切的衔接都被计数。只有在服务器处理了恳求并且现已读取了整个恳求头时,衔接才被计数。

Syntax: limit_conn zone number;
Default:    —
Context:    http, server, location
limit_conn_zone $binary_remote_addr zone=addr:10m;
server {
    location /download/ {
        limit_conn addr 1;
    }

一次只答应每个IP地址一个衔接。

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
    ...
    limit_conn perip 10;
    limit_conn perserver 100;
}

可以装备多个limit_conn指令。例如,以上装备将约束每个客户端IP衔接到服务器的数量,一起约束衔接到虚拟服务器的总数。

Syntax: limit_conn_zone key zone=name:size;
Default:    —
Context:    http
limit_conn_zone $binary_remote_addr zone=addr:10m;

在这儿,客户端IP地址作为要害。请注意,不是remote_addr,而是运用 remote\_addr,而是运用 binary_remote_addr变量。 remote_addr变量的巨细可以从7到15个字节不等。存储的状况在32位平台上占用32或64字节的内存,在64位平台上总是占用64字节。关于IPv4地址, remote\_addr变量的巨细可以从7到15个字节不等。存储的状况在32位平台上占用32或64字节的内存,在64位平台上总是占用64字节。关于IPv4地址, binary_remote_addr变量的巨细一直为4个字节,关于IPv6地址则为16个字节。存储状况在32位平台上一直占用32或64个字节,在64位平台上占用64个字节。一个兆字节的区域可以坚持大约32000个32字节的状况或大约16000个64字节的状况。假如区域存储耗尽,服务器会将错误返回给一切其他恳求。

Syntax: limit_conn_log_level info | notice | warn | error;
Default:    
limit_conn_log_level error;
Context:    http, server, location

当服务器约束衔接数时,设置所需的日志记载等级。

Syntax: limit_conn_status code;
Default:    
limit_conn_status 503;
Context:    http, server, location

设置回绝恳求的返回值。

Nginx限流实战

约束拜访速率

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit;
    }
}

上述规则约束了每个IP拜访的速度为2r/s,并将该规则作用于根目录。假如单个IP在十分短的时刻内并发发送多个恳求,成果会怎样呢?

理论+实践,教你如何使用Nginx实现限流

咱们运用单个IP在10ms内发并发送了6个恳求,只有1个成功,剩余的5个都被回绝。咱们设置的速度是2r/s,为什么只有1个成功呢,是不是Nginx约束错了?当然不是,是因为Nginx的限流计算是根据毫秒的,咱们设置的速度是2r/s,转化一下便是500ms内单个IP只答应经过1个恳求,从501ms开端才答应经过第二个恳求。

burst缓存处理

咱们看到,咱们短时刻内发送了很多恳求,Nginx依照毫秒级精度计算,超出约束的恳求直接回绝。这在实际场景中未免过于严苛,实在网络环境中恳求到来不是匀速的,很可能有恳求“突发”的状况,也便是“一股子一股子”的。Nginx考虑到了这种状况,可以经过burst要害字敞开对突发恳求的缓存处理,而不是直接回绝。

来看咱们的装备:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4;
    }
}

咱们参加了burst=4,意思是每个key(此处是每个IP)最多答应4个突发恳求的到来。假如单个IP在10ms内发送6个恳求,成果会怎样呢?

理论+实践,教你如何使用Nginx实现限流

比较实例一成功数增加了4个,这个咱们设置的burst数目是共同的。具体处理流程是:1个恳求被当即处理,4个恳求被放到burst行列里,别的一个恳求被回绝。经过burst参数,咱们使得Nginx限流具有了缓存处理突发流量的才能。

可是请注意:burst的作用是让多余的恳求可以先放到行列里,渐渐处理。假如不加nodelay参数,行列里的恳求不会当即处理,而是依照rate设置的速度,以毫秒级准确的速度渐渐处理。

nodelay下降排队时刻

在运用burst缓存处理中,咱们看到,经过设置burst参数,咱们可以答应Nginx缓存处理一定程度的突发,多余的恳求可以先放到行列里,渐渐处理,这起到了平滑流量的作用。可是假如行列设置的比较大,恳求排队的时刻就会比较长,用户视点看来便是RT变长了,这对用户很不友好。有什么解决办法呢?nodelay参数答应恳求在排队的时分就当即被处理,也便是说只需恳求可以进入burst行列,就会当即被后台worker处理,请注意,这意味着burst设置了nodelay时,系统瞬间的QPS可能会超过rate设置的阈值。nodelay参数要跟burst一起运用才有作用。

连续burst缓存处理的装备,咱们参加nodelay选项:

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4 nodelay;
    }
}

单个IP 10ms内并发发送6个恳求,成果如下:

理论+实践,教你如何使用Nginx实现限流

跟burst缓存处理比较,恳求成功率没变化,可是整体耗时变短了。这怎样解释呢?在burst缓存处理中,有4个恳求被放到burst行列当中,工作进程每隔500ms(rate=2r/s)取一个恳求进行处理,最终一个恳求要排队2s才会被处理;这儿,恳求放入行列跟burst缓存处理是一样的,但不同的是,行列中的恳求一起具有了被处理的资历,所以这儿的5个恳求可以说是一起开端被处理的,花费时刻自然变短了。

可是请注意,虽然设置burst和nodelay可以下降突发恳求的处理时刻,可是长期来看并不会提高吞吐量的上限,长期吞吐量的上限是由rate决议的,因为nodelay只能保证burst的恳求被当即处理,但Nginx会约束行列元素开释的速度,就像是约束了令牌桶中令牌发生的速度。

看到这儿你可能会问,参加了nodelay参数之后的限速算法,到底算是哪一个“桶”,是漏桶算法还是令牌桶算法?当然还算是漏桶算法。考虑一种状况,令牌桶算法的token为耗尽时会怎样做呢?因为它有一个恳求行列,所以会把接下来的恳求缓存下来,缓存多少受限于行列巨细。但此时缓存这些恳求还有含义吗?假如server现已过载,缓存行列越来越长,RT越来越高,即使过了很久恳求被处理了,对用户来说也没什么价值了。所以当token不行用时,最正确的做法便是直接回绝用户的恳求,这就成了漏桶算法。

自定义返回值

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;
server { 
    location / { 
        limit_req zone=mylimit burst=4 nodelay;
        limit_req_status 598;
    }
}

默许状况下 没有装备 status 返回值的状况:

理论+实践,教你如何使用Nginx实现限流

理论+实践,教你如何使用Nginx实现限流

点击关注,第一时刻了解华为云新鲜技术~