Nginx漏桶限流详解

使用Nginx可通过配置的方式完成接入层的限流，其ngx_http_limit_req_module模块所提供的limit_req_zone和limit_req两个指令使用漏桶算法进行限流。其中，limit_req_zone指令用于定义一个限流的具体规则（或者计数内存区），limit_req指令应用前者定义的规则完成限流动作。

假定要配置Nginx虚拟主机的限流规则为单IP限制为每秒1次请求，整个应用限制为每秒10次请求，具体的配置如下：

#第一条规则名称为perip，每个相同客户端IP的请求限速在6次/分钟（1次/10秒）
limit_req_zone $binary_remote_addr zone=perip:10m rate=6r/m;
#第二条限流规则名称为preserver，同一虚拟主机的请求限速在10次/秒
 limit_req_zone $server_name zone=perserver:1m rate=10r/s;
 server {
 listen 8081 ;
 server_name localhost;
 default_type 'text/html';
 charset utf-8;
 limit_req zone=perip;
 limit_req zone=perserver;
 location /nginx/ratelimit/demo {
 echo "-uri= $uri -remote_addr= $remote_addr"
 "-server_name= $server_name" ;
 }
 }

上面的配置通过limit_req_zone指令定义了两条限流规则：第一条规则名称为perip，将来自每个相同客户端IP的请求限速在6次/分钟（1次/10秒）；第二条限流规则名称为preserver，用于将同一虚拟主机的请求限速在10次/秒。

以上配置位于练习工程LuaDemoProject的src/conf/nginxratelimit.conf文件中，在使之生效前需要在openresty-start.sh脚本中换上该配置文件，然后重启Nginx。接下来开始验证上面的限流配置。在浏览器中输入如下测试地址：

http://nginx.server:8081/nginx/ratelimit/demo

10秒内连续刷新，第1次的输出如图9-9所示。

图9-9 Nginx限流后10秒内连续刷新的第1次输出

10秒内连续刷新，第1次之后的输出如图9-10所示。

图9-10 Nginx限流后10秒内连续刷新第1次之后的输出

接下来详细介绍Nginx的limit_req_zone和limit_req两个指令。

limit_req_zone用于定义一个限流的具体规则，limit_req应用前者所定义的规则。limit_req_zone指令的格式如下：

语法：limit_req_zone key zone=name:size rate=rate [sync];
上下文：http配置块limit_req_zone指令的key部分是一个表达式，其运行时的值将作

为流量计数的关键字，key表达式包含变量、文本和它们的组合。在上面的配置实例中，$binary_remote_addr、$server_name为两个Nginx变量，$binary_remote_addr为客户端IP地址的二进制值，$server_name为虚拟机主机名称。在限流规则应用之后，它们的值将作为限流关键字key值，同一个key值会在限流的共享内存区域保存一份请求计数，而limit_req_zone限流指令所配置的速度限制只会对同一个key值发生作用。

limit_req_zone指令的zone属性用于定义存储相同key值的请求计数的共享内存区域，格式为name：size，name表示共享内存区域的名称（或者说限流规则的名称），size为共享内存区域的大小。上面的配置实例中，perip：10m表示一个名字为perip、大小为10MB的内存区域。

1MB大约能存储16 000个IP地址，10MB大约可以存储16万个IP地址，也就是可以对16万个客户端进行并发限速，当共享内存区域耗尽时，Nginx会使用LRU算法淘汰最长时间未使用的key值。

limit_req_zone指令的rate属性用于设置最大访问速率，rate=10r/s表示一个key值每秒最多能计数的访问数为10个（10个请求/秒），rate=6r/m表示一个key值每分钟最多能计数的访问数为6个（1个请求/10秒）。由于Nginx的漏桶限流的时间计算是基于毫秒的，当设置的速度为6r/m时，转换一下就是10秒内单个IP只允许通过1个请求，从第11秒开始才允许通过第二个请求。

limit_req_zone指令只是定义限流的规则和共享内存区域，规则要生效的话，还得靠limit_req限流指令完成。

limit_req指令的格式如下：

语法：limit_req zone=name [burst=number] [nodelay | delay=number];

上下文：http配置块，server配置块，location配置块limit_req指令的zone区域属性指定的限流共享内存区域（或者说限流的规则）与限流规则指令limit_req_zone中的name对应。

limit_req指令的burst突发属性表示可以处理的突发请求数。

limit_req指令的第二个参数burst是爆发数量的意思，此参数设置一个大小为number的爆发缓冲区，当有大量请求过来时，超过了限流频率的请求可以先放到爆发缓冲区内，直到爆发缓冲区满后才拒绝。

limit_req指令的burst参数的配置使得Nginx限流具备一定的突发流量的缓冲能力（有点像令牌桶）。但是burst的作用仅仅是让爆发的请求先放到队列里，然后慢慢处理，其处理的速度是由limit_req_zone规则指令配置的速度（比如1个请求/10秒），在速率低的情况下，其缓冲效果其实并不太理想。如果想迅速处理爆发的请求，那么可以再加上nodelay参数，队列中的请求会立即处理，而不再按照rate设置的速度（平均间隔）慢慢处理。

本文给大家讲解的内容是高并发核心编程，限流原理与实战，Nginx漏桶限流详解