02-nginx的limit模块

以下链接可查看对应模块的官方详细介绍

http://nginx.org/en/docs/http/ngx_http_limit_req_module.html
http://nginx.org/en/docs/http/ngx_http_limit_conn_module.html

limit_req_zone 用来限制单位时间内的请求数，即速率限制,采用的漏桶算法 "leaky bucket"
limit_req_conn 用来限制同一时间连接数，即并发限制
其中limit_req_conn模块可以根据源IP限制单用户并发访问的连接数或连接到该服务的总并发连接数

一、什么是漏桶算法？
我们假设系统是一个漏桶，当请求到达时，就是往漏桶里“加水”，而当请求被处理掉，就是水从漏桶的底部漏出。水漏出的速度是固定的，当“加水”太快，桶就会溢出，也就是“拒绝请求”。从而使得桶里的水的体积不可能超出桶的容量。​主要目的是控制数据注入到网络的速率，平滑网络上的突发流量。漏桶算法提供了一种机制，通过它，突发流量可以被整形以便为网络提供一个稳定的流量。

示例如下：

http {
    limit_conn_log_level error;
    limit_conn_status 503;
    limit_conn_zone $binary_remote_addr zone=one:10m;
    limit_conn_zone $server_name zone=perserver:10m;
    limit_req_zone $binary_remote_addr zone=allips:100m   rate=10r/s;  
}

server {
    limit_conn  one  100;                                              
    limit_conn perserver 1000;
    limit_req   zone=allips  burst=5  nodelay;
}
}

参数解释：
Zone=one或allips 表示设置了名为“one”或“allips”的存储区，大小为10兆字节
rate=10r/s 的意思是允许1秒钟不超过10个请求
burst=5 表示最大延迟请求数量不大于5, 如果太过多的请求被限制延迟是不需要的 ，这时需要使用nodelay参数，服务器会立刻返回503状态码
limit_conn one 100表示最大并发连接数100
limit_conn perserver 1000表示该服务提供的总连接数不得超过1000,超过请求的会被拒绝

rate=10r/m 的意思是允许1秒钟不超过1个请求，最大延迟请求数量不大于5.
如果请求不需要被延迟，添加nodelay参数，服务器会立刻返回503状态码。如果没有该字段会造成大量的tcp连接请求等待。

http{
    limit_zone one  $binary_remote_addr  10m;
server
    {
    limit_conn  one  1;
    }
}

这里的 one 是声明一个 limit_zone 的名字，$binary_remote_addr是替代 $remore_addr 的变量，10m 是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1， allow only one connection per an IP address at a time（每次）.

按照字面的理解，lit_req_zone的功能是通过漏桶原理来限制用户的连接频率，(这个模块允许你去限制单个地址指定会话或特殊需要的请求数 )
而 limit_zone 功能是限制一个客户端的并发连接数。(这个模块可以限制单个地址的指定会话或者特殊情况的并发连接数)

在测试机上面加上这两个参数:

http{
    limit_zone one  $binary_remote_addr  10m;
    #limit_req_zone  $binary_remote_addr  zone=req_one:10m rate=1r/s;
server
{
    limit_conn   one  1;
    #limit_req   zone=req_one  burst=120;
}
}

解释一下 limit_zone one $binary_remote_addr 10m;
这里的 one 是声明一个 limit_zone 的名字，$binary_remote_addr是替代 $remore_addr 的变量，10m是会话状态储存的空间
limit_conn one 1 ,限制客户端并发连接数量为1

实例：限制客户端并发连接数为60个，超出的返回503

http{
    limit_conn_zone $server_name zone=mobile_server:20m ;
    server{ 
        location ^~/mobile {
            limit_conn uninogift_mobile_server 60;
            limit_conn_status 503;
            ssi on;
            ssi_silent_errors on;
            proxy_read_timeout 300;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_pass http://uninogift-mobile;
        }
    }
}

二、limit_zone两种工作情况
a)limit_reqzone=one burst=10 ；
默认情况下是这样配置的，这样每个请求就会有一个delay时间

limit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;
就是每分钟有10个令牌供用户使用，按照a的配置情况，就会有一个delay，每个请求时间就是60/10,那每个请求时间就是6s。

b)limit_reqzone=one burst=10 nodelay；
添加nodelay配置，这样就是根据你的网络状况访问，一分钟访问够10次后，服务器直接返回503。
Eg：imit_req_zone$binary_remote_addr zone=one:100m rate=10r/m;
就是每分钟有10个令牌供用户使用，按照b的配置情况，就会根据网络情况访问url，如果一分钟超过10个令牌，服务器返回503，等待下一个一分钟领取访问令牌。rate=10r/m 的意思是每个地址每分钟只能请求10次，也就是说根据漏桶原理burst=1 一共有1块令牌，并且每分钟只新增10块令牌，1块令牌发完后多出来的那些请求就会返回503,加上 nodelay之后超过 burst大小的请求就会直接返回503，如果没有该字段会造成大量的tcp连接请求等待。

http{
    #定义一个名为allips的limit_req_zone用来存储session，大小是10M内存，
    #以$binary_remote_addr 为key,限制平均每秒的请求为20个，
    #1M能存储16000个状态，rete的值必须为整数，
    #如果限制两秒钟一个请求，可以设置成30r/m
    limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
    server{
        location {
            #限制每ip每秒不超过20个请求，漏桶数burst为5
            #brust的意思就是，如果第1秒、2,3,4秒请求为19个，
            #第5秒的请求为25个是被允许的。
            #但是如果你第1秒就25个请求，第2秒超过20的请求返回503错误。
            #nodelay，如果不设置该选项，严格使用平均速率限制请求数，
            #第1秒25个请求时，5个请求放到第2秒执行，
            #设置nodelay，25个请求将在第1秒执行。
            limit_req zone=allips burst=5 nodelay;
        }
    }
}
 
限制下载速度：
location /download {
    limit_rate 128k;
}
 
#如果想设置用户下载文件的前10m大小时不限速，大于10m后再以128kb/s限速可以增加以下配内容，修改nginx.conf文件
location /download {
    limit_rate_after 10m;
    limit_rate 128k;
}