在我们的 NGINX 流量管理系列的上一篇文章中,我们讨论了如何限制NGINX 中的连接数。在本指南中,我们将了解如何限制NGINX中的请求速率。
速率限制是一种流量管理技术,用于限制客户端在给定时间段内可以发出的HTTP请求数量 - 速率限制以每秒请求数(或RPS)计算。
请求的一个示例是对应用程序登录页面的GET请求或登录表单上的POST请求或API端点上的POST 。
限制对 Web 应用程序或 API 服务的请求速率的原因有很多,其中之一是安全性:防止滥用快速请求。
限制 NGINX 中的连接速率
首先使用limit_req_zone 指令定义速率限制参数。所需的参数是用于识别客户端的密钥、将存储密钥状态的共享内存区域以及它访问请求限制 URL 的频率以及速率。
该limit_req_zone 指令在 HTTP 上下文中有效。
limit_req_zone $binary_remote_addr zone=limitreqsbyaddr:20m rate=10r/s;
此外,使用limit_req_status 在 HTTP、服务器和位置上下文中有效的指令设置返回给被拒绝请求的响应状态代码。
limit_req_status 429;
现在,您可以使用该limint_conn 指令在 HTTP、服务器和位置上下文中启用请求速率限制。它需要一个内存区域作为参数和其他可选参数。
limit_req zone=limitreqsbyaddr;
以下配置示例显示了限制对 Web 应用程序 API 的请求速率。共享内存大小为 20 MB,请求速率限制为每秒 10 个请求。
upstream api_service {
server 127.0.0.1:9051;
server 10.1.1.77:9052;
}
limit_req_zone $binary_remote_addr zone=limitreqsbyaddr:20m rate=10r/s;
limit_req_status 429;
server {
listen 80;
server_name testapp.tecmint.com;
root /var/www/html/testapp.tecmint.com/build;
index index.html;
proxy_read_timeout 600;
proxy_connect_timeout 600;
proxy_send_timeout 600;
location / {
try_files $uri $uri/ /index.html =404 =403 =500;
}
location /api {
limit_req zone=limitreqsbyaddr;
proxy_pass http://api_service;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
}
保存配置文件并关闭它。
然后使用以下命令检查NGINX配置语法是否正确:
$ sudo nginx -t
之后,重新加载NGINX服务并应用最新的更改:
$ sudo systemctl reload nginx
一旦单个客户端访问超过每秒10 个请求的速率限制/api/ ,NGINX 会向客户端返回“ 429 Too many requests ”错误。
它还将事件记录在错误日志中。
2022/04/29 00:30:38 [error] 3145846
有时,根据您的应用程序或 API 的性质,客户端需要同时发出许多请求,然后在一段时间内降低其速率,然后再发出更多请求。NGINX 还可以在队列中缓冲任何多余的请求并及时处理它们。
burst 您可以使用带有limit_req 指令的参数在速率限制中启用此行为。要启用无延迟排队,请添加nodelay 参数。
limit_req zone=limitreqsbyaddr burst=20 nodelay;
基于客户端 IP 的速率限制存在一个障碍,特别是对于从同一网络访问您的应用程序并在 NAT 后面运行的用户。在这种情况下,他们的所有请求都来自同一个 IP 地址。在这种情况下,您可以使用其他变量来识别客户端,例如会话 cookie。
有关限制请求速率的更多信息,请查看NGINX 网站上的NGINX 速率限制。接下来,我们将介绍如何限制NGINX中的带宽使用。
|