如何在 Nginx 中进行速率限制？

速率限制是一种网络流量管理技术，用于控制客户端或用户在单位时间内能够发送到服务器的请求数量。这种限制有助于防止恶意行为、减轻服务器负担，以及确保公平分配资源。在 Nginx 中，速率限制是通过模块和配置指令实现的。

为什么在 Nginx 中进行速率限制是重要的？

• 防止恶意攻击： 通过限制请求速率，可以减缓或阻止来自单个客户端的恶意攻击，如暴力破解、DDoS 攻击等。
• 保护服务器资源： 控制请求速率有助于保护服务器资源，确保它们能够为合法用户提供更好的服务。
• 优化性能： 通过限制过度频繁的请求，可以减轻服务器的负载，提高整体性能。
• 确保公平使用： 速率限制有助于确保每个用户或客户端在使用服务时都能够获得公平的资源分配，防止某个用户占用过多带宽或连接数。

Nginx 模块和配置

ngx_http_limit_req_module 模块

Nginx 使用 ngx_http_limit_req_module 模块来实现速率限制功能。这个模块允许您为每个 IP 地址或某个 IP 地址范围设置请求速率限制。

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=1r/s;
    
    server {
        location /api/ {
            limit_req zone=mylimit burst=5 nodelay;
            # 其他配置...
        }
    }
}

• limit_req_zone: 定义共享内存区域，用于存储限制信息。$binary_remote_addr 表示使用客户端 IP 地址作为限制的标识，zone=mylimit:10m 指定了内存区域名称和大小，rate=1r/s 表示每秒允许的请求数。
• limit_req: 在特定的 location 中启用请求速率限制，burst=5 表示允许突发请求的最大数量，nodelay 表示不延迟请求，而是直接返回 503 错误。

limit_req_zone 指令详解

zone 参数

• limit_req_zone 的 zone 参数定义了共享内存的名称，用于存储限制信息。可以使用任何字符串作为标识符，但建议使用唯一的名称以避免冲突。

size 参数

• size 参数指定了共享内存的大小，以限制信息的存储。通常以 m 或 g 为单位，例如 10m 表示 10 兆字节。

rate 参数

• rate 参数定义了每秒允许的请求数。它是一个浮点数，例如 1r/s 表示每秒允许一个请求。

简单速率限制的实现

按 IP 进行速率限制

使用 ngx_http_limit_req_module 模块，您可以按照以下方式按 IP 进行速率限制：

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
    
    server {
        location /api/ {
            limit_req zone=mylimit burst=20 nodelay;
            # 其他配置...
        }
    }
}

这个配置将对 /api/ 路径下的请求进行限制。每个 IP 地址每秒最多允许 10 次请求，允许突发请求的最大数量为 20，达到限制时不延迟请求。

限制特定 URI 或请求类型

如果您希望对不同的 URI 或请求类型应用不同的速率限制，可以通过配置多个 location 块实现：

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;
    
    server {
        location /api/ {
            limit_req zone=mylimit burst=10 nodelay;
            # 其他配置...
        }
        
        location /images/ {
            limit_req zone=mylimit burst=5 nodelay;
            # 其他配置...
        }
    }
}

在这个例子中，/api/ 路径下的请求每秒最多允许 5 次，允许突发请求的最大数量为 10。而对于 /images/ 路径下的请求，速率限制则设置为每秒 5 次，允许突发请求的最大数量为 5。

设定速率限制的阈值

通过调整 rate 和 burst 参数，您可以根据实际需求设定速率限制的阈值。例如，如果您的应用程序对频繁请求有更高的容忍度，可以适当提高阈值：

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=20r/s;
    
    server {
        location /api/ {
            limit_req zone=mylimit burst=50 nodelay;
            # 其他配置...
        }
    }
}

在这个配置中，每个 IP 地址每秒最多允许 20 次请求，允许突发请求的最大数量为 50。

高级速率限制策略

使用 limit_req_status 指令

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        location /api/ {
            limit_req zone=mylimit burst=10;
            limit_req_status 503;
            # 其他配置...
        }
    }
}

在这个例子中，当请求超过速率限制时，使用 limit_req_status 指令设置返回的 HTTP 状态码为 503（服务不可用），以告知客户端达到请求速率上限。

配合变量和地图进行更灵活的控制

http {
    map $request_uri $limit_uri {
        default        "default";
        ~^/api/        "api";
        ~^/downloads/  "downloads";
    }

    limit_req_zone $limit_uri:10m rate=2r/s;

    server {
        location / {
            limit_req zone=$limit_uri burst=5;
            # 其他配置...
        }
    }
}

在这个例子中，使用变量和地图根据请求的 URI 动态选择速率限制的内存区域。这种方式使得可以根据不同的 URI 动态调整速率限制策略。

结合条件和动态调整速率限制

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        if ($slow_down) {
            set $limit_rate "2";
        }

        location /api/ {
            limit_req zone=mylimit burst=5;
            limit_rate $limit_rate;
            # 其他配置...
        }
    }
}

在这个例子中，结合条件语句和 limit_rate 指令，动态调整速率限制。当变量 $slow_down 的条件满足时，将速率限制降低到每秒 2 个请求。

处理限制超过的请求

返回特定的 HTTP 状态码

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        location /api/ {
            limit_req zone=mylimit burst=5;
            limit_req_status 429;
            # 其他配置...
        }
    }
}

在这个例子中，当请求超过速率限制时，使用 limit_req_status 指令设置返回的 HTTP 状态码为 429（过多请求），以提示客户端达到请求速率上限。

使用自定义页面或消息

http {
    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        location /api/ {
            limit_req zone=mylimit burst=5;
            limit_req_status 503;
            error_page 503 /custom_503.html;
            # 其他配置...
        }
    }
}

在这个例子中，当请求超过速率限制时，通过 error_page 指令将 503 错误映射到 /custom_503.html 页面。这使得可以为用户提供更友好的自定义页面，以解释为什么请求被拒绝。

配置测试

使用 Apache Bench 进行基准测试是评估服务器性能和速率限制效果的有效方法。

ab -n 100 -c 10 http://example.com/

这个命令表示要发送 100 个请求到 http://example.com/，并且并发级别为 10。通过观察 ab 的输出，可以获取关于服务器响应时间、成功请求数量和失败请求数量的信息。

在这个测试中，关注以下几个关键指标：

• 成功请求数（Completed requests）： 表示成功处理的请求数量。
• 失败请求数（Failed requests）： 表示由于速率限制或其他原因未成功处理的请求数量。
• 平均响应时间（Time per request）： 表示每个请求的平均响应时间。

这些指标将帮助您评估服务器在高流量条件下的性能，并验证速率限制是否按预期生效。确保失败请求数量与您配置的速率限制规则一致，以确认速率限制的有效性。

通过多次运行测试，并调整 ab 命令中的请求数和并发级别，您可以更全面地了解 NGINX 速率限制在不同负载条件下的表现。

监控与日志

监控速率限制的性能

Nginx 提供了一些内置的状态信息，可用于监控速率限制的性能。通过访问 /nginx_status 页面，您可以获取有关当前连接、请求处理等信息。可以通过以下方式启用：

server {
    location /nginx_status {
        stub_status on;
        # 其他配置...
    }
}

访问 http://your_server/nginx_status 将显示有关当前 Nginx 运行状态的信息。通过查看 limit_req 部分，您可以了解到关于速率限制的相关信息。

配置日志记录以追踪速率限制事件

http {
    log_format custom_log '$remote_addr - $remote_user [$time_local] "$request" '
                         '$status $body_bytes_sent "$http_referer" '
                         '"$http_user_agent" "$http_x_forwarded_for" '
                         '"$limit_req_status"';

    access_log /var/log/nginx/access.log custom_log;

    limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

    server {
        location /api/ {
            limit_req zone=mylimit burst=5;
            limit_req_status 503;
            # 其他配置...
        }
    }
}

在这个例子中，通过定义一个自定义的日志格式 custom_log，我们将 limit_req_status 变量包含在日志中。这使得可以追踪到每个请求的速率限制状态，有助于分析和优化速率限制策略。

性能优化

合理设置共享内存大小

共享内存大小应根据实际需要进行合理设置。如果设置得太小，可能导致限制不准确；如果设置得太大，可能会浪费服务器资源。根据服务器的负载和预期的访问频率，调整 limit_req_zone 中的 size 参数。

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=5r/s;

limit_req_log_level

通过设置 limit_req_log_level 指令，可以控制是否在日志中记录速率限制的信息。如果您只关心特定级别的信息，可以根据需要进行配置。

limit_req_log_level notice;

确保您的 Nginx 配置经过仔细评估，并且只有授权的用户可以访问关键的配置文件。使用适当的文件权限和访问控制列表（ACLs）来限制对配置文件的访问。

对于包含敏感信息的应用程序，强烈建议使用 HTTPS 来加密数据传输。配置 Nginx 来支持 SSL/TLS，以提高通信的安全性。

保持您的 Nginx 服务器和相关模块的更新。及时应用安全更新，以弥补潜在的漏洞，并提高服务器的整体安全性。

使用适当的安全策略，例如防火墙规则，以防止暴力攻击和未经授权的访问。监控日志以及系统和网络活动，及时检测并应对潜在的攻击。

常见问题和解决方案

1、问题：速率限制不生效

1. 检查配置是否正确： 确保 limit_req_zone 和 limit_req 指令正确配置，并且在期望的 location 块中。

2. 检查共享内存大小： 确保 limit_req_zone 中的共享内存大小足够大，能够容纳您期望的限制。

3. 查看错误日志： 检查 Nginx 错误日志，查看是否有关于速率限制的错误信息。

问题：限制太严格或太宽松

1. 调整速率和突发值： 根据实际情况，适当调整 rate 和 burst 参数，确保速率限制既不太严格导致合法请求被拒绝，也不太宽松导致无法有效防止恶意行为。

2. 监控日志： 使用日志记录详细信息，以监控速率限制事件。观察日志可以帮助您更好地调整速率限制策略。

问题：性能问题

1. 调整共享内存大小： 如果服务器性能受到影响，尝试调整 limit_req_zone 中的共享内存大小，确保它在满足需求的同时不会过大。

2. 使用异步 IO： 在高负载情况下，考虑使用 Nginx 的异步 IO 功能以提高性能。

总结

在本文中，我们详细介绍了在 Nginx 中进行速率限制的方法。我们从基础开始，讨论了 ngx_http_limit_req_module 模块的使用以及 limit_req_zone 指令的配置。随后，我们深入探讨了不同的速率限制策略，包括按 IP 进行限制、限制特定 URI 或请求类型，以及设定速率限制的阈值。

在高级策略方面，我们讨论了如何使用 limit_req_status 指令、配合变量和地图进行更灵活的控制，以及如何结合条件和动态调整速率限制。处理限制超过的请求时，我们学习了如何返回特定的 HTTP 状态码，以及使用自定义页面或消息来提供更友好的用户体验。

监控与日志是实施速率限制的关键部分，我们讲解了如何监控速率限制的性能，并配置日志记录以追踪速率限制事件。进一步，我们深入研究了性能优化和安全性考虑，提供了一些建议的最佳实践。

最后，我们解决了一些常见问题，包括速率限制不生效、限制太严格或太宽松以及性能问题。通过这些建议和解决方案，希望您能够更好地配置和管理 Nginx 中的速率限制，确保服务器的性能和安全性。