一、引言
Nginx是被广泛使用的反向代理中间件,能够支持极高的并发访问,性能优越。在Nginx上添加限流功能是十分有必要的,能够对后端的服务进行保护,防止突发的流量致使应用崩溃。Nginx自带三种限流的方案,另外还支持集成lua模块进行限流。
二、ngx_http_limit_conn_module模块限流
ngx_http_limit_conn_module是连接数限流模块,用来对某个key对应的总的网络连接数进行限流,可以按照如IP、域名的维度进行限流。
2.1 限制IP的总连接数
http{
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_log_level error;
limit_conn_status 503;
server{
location /limit{
limit_connperip 10;
}
}
}
2.2 限制某个域名(服务器)的总连接数
http{
limit_conn_zone $server_name zone=perserver:10m;
limit_conn_log_level error;
limit_conn_status 503;
server{
location /limit{
limit_connperserver 10;
}
}
}
2.3 配置项说明
- limit_conn配置key值对应的内存空间以及并发数的大小
- limit_conn_zone配置限流key值以及存储key值对应信息的内存大小,$binary_remote_addr表示IP,$server_name表示域名.
- limit_conn_status被限流后返回的状态码,默认503
- limit_conn_log_level被限流后的日志级别
2.4 执行流程
- Nginx接受请求后判断当前limit_conn_zone中对应key的连接数是否超过了配置的最大值
- 如果超过了则限流生效,返回limit_conn_status状态码,若不超过,则当前连接数加1,注册请求处理完成后的回调函数
- 请求转发给后端处理
- 后端请求返回,请求结束后调用回调函数对key连接数减1.
三、ngx_http_limit_req_module模块限流
ngx_http_limit_req_module是Nginx提供的基于漏桶算法实现的限流模块,用于平滑限流,同样是针对某个key,可以是$binary_remote_addr,也可以是$server_name。
3.1 限制IP请求速率
http{
limit_req_zone$binary_remote_addr zone=perip:10m rate=1r/s;
limit_conn_log_level error;
limit_conn_status 503;
server{
location /limit{
limit_req zone=perip burst=5 nodelay;
}
}
}
3.2 限制域名(服务器)请求速率
http{
limit_req_zone$server_name zone=perserver:10m rate=100r/s;
limit_conn_log_level error;
limit_conn_status 503;
server{
location /limit{
limit_req zone=perserver burst=5 nodelay;
}
}
}
3.3 配置项说明
- limit_req配置限流的区域,桶的容量(默认为0),是否延迟模式(默认延迟)
- limit_req_zone配置限流key值,内存大小,固定的请求速率。速率支持1r/s,也支持60r/m的表达式
3.4 执行流程
- 如果没有配置burst,则默认桶容量为0,则按照规定速率处理请求,如果请求被限流,则直接返回503.
- 如果配置了burst以及延迟模式(没有配置nodelay),则意味着允许突发的请求,请求的速率超过rate则超过的部分将会放入桶中,如果桶已经满了,则剩下的请求将会被限流。请注意后续的请求还是按照rate设置的固定速率处理的,这样子就可能产生一种情况,那就是设置的桶比较大,后续的流量又一直很大,而处理的速率又是固定的,那么会导致桶中的请求长时间等待,导致用户感觉响应时间变长。
- 为了解决上述问题,nginx提供了nodelay配置,此配置表示不会按照固定的速率延迟处理,而是会紧急处理桶中超出正常rate的部分请求,这样子实际上允许处理请求的速度超过rate的设置。这里危险点在于流量会超过rate的配置,但是好处是平均响应时间会比较短。
四、ngx_http_upstream_module限流
前面两种方案提供的其实都是向前的限流,而upstream模块提供了向后限流的功能。此模块有一个参数max_conns,在nginx1.11.5以后此功能已经在免费版本放开,提供对于后端某一台服务器的限流。
注意,max_conns是针对于每一个worker_processes的。
upstreamservice-name{
ip_hash;
server 192.168.1.2:8080 max_conns=50;
server 192.168.1.3:8080 max_conns=50;
server 192.168.1.4:8080 max_conns=50;
server 192.168.1.5:8080 max_conns=50;
}
五、lua-resty-limit-traffic
除了Nginx自带的限流模块之外,还可以使用Lua提供的限流模块进行更加定制化地开发,例如OpenResty使用lua-resty-limit-traffic模块进行限流,可以实现Nginx本身提供地所有限流功能,甚至可以实现分布式限流。