http块
limit_conn_zone $binary_remote_addr zone=connperip:10m; limit_conn_zone $server_name zone=connperserver:10m; limit_req_zone $binary_remote_addr zone=reqperip:10m; limit_req_zone $server_name zone=reqperserver:10m;
limit_req_zone $http_x_forwarded_for zone=qps2:10m rate=2r/s;
limit_req_zone $http_x_forwarded_for zone=qps3:10m rate=3r/s;
limit_req_zone $binary_remote_addr $request_uri zone=thre:3m rate=1r/s; #支持多个变量,比如限制同一 IP 访问同一 Url 的频率
要限制连接,必须先有一个容器对连接进行计数,在http段加入如下代码:"zone=" 给它一个名字,可以随便叫,这个名字要跟后面的 limit_conn 一致,$binary_remote_addr, 用二进制来储存客户端的地址,1m 可以储存 32000 个并发会话,也可以用其他 Nginx 变量。
限制请求数同限制连结束,但是后面 rate=2r/s,即漏桶原理,表示每秒只处理 2 个连接。定义一个漏桶,滴落速率 2 req/sec,桶空间10m,10M能保持大约160000个(IP)状态。
server块
limit_conn perip 8; #每个IP最大连接数为8 limit_req zone=qps2 burst=5 nodelay; #速率qps=2,峰值burst=5,不延迟请求,直接处理请求或者返回503 limit_req zone=qps2 burst=5; #速率qps=2,峰值burst=5,延迟请求,严格按照漏桶速率qps=1处理每秒请求,在峰值burst=5以内的并发请求,会被挂起,延迟处理,超出请求数限制则直接返回503,客户端只要控制并发在峰值[burst]内,就不会触limit_req_error_log
limit_rate 100k; #是对每个连接限速100k。这里是对连接限速,而不是对IP限速!如果一个IP允许两个并发连接,那么这个IP就是限速limit_rate * 2
白名单
文件: nginx/conf/limit/whiteip.conf
127.0.0.1 0; #白名单: 127.0.0.1 172.16.0.0/16 0; #白名单 172.16.0.0 ~ 172.16.255.255 192.168.0.0/24 0; #白名单 192.168.0.0 ~ 192.168.0.255
文件 nginx/conf/limit/limit_zone.conf
#geo [$address] $variable
#$address变量默认 $remote_addr,如果 $address 的值不能代表一个合法的IP地址,那么nginx将使用地址“255.255.255.255”。
geo $whiteiplist { default 1; include limit/whiteip.conf; } map $whiteiplist $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=perreq:10m rate=8r/s; #除了白名单外的IP每秒最多处理 8 个请求 limit_conn_zone $limit zone=perip:10m; #limit_conn_zone和limit_req_zone指令对于键为空值的将会被忽略,从而实现对于列出来的IP不做限制
spider 限制参考
limit_req_zone $anti_spider zone=one:10m rate=10r/s;
if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google") {
set $anti_spider $http_user_agent;
}