ngx_http_limit_conn_module模塊

使用此模塊主要用來限制每秒請求數(shù)量，至于依據(jù)什么條件限制是由我們來自定義的。

官方文檔 Module ngx_http_limit_req_module

中文翻譯的 nginx限制請求數(shù)ngx_http_limit_req_module模塊

文檔講的很詳細了，大致說下：

limit_req_zone $variable zone=name:size rate=rate;

命令的意思是，以$variable變量為條件，起名為name,設(shè)置的存儲空間大小為size，設(shè)置限定頻率為rate;

我們可以設(shè)置**多個，不同條件，不同名稱，不同大小的限制**。

這個定義我們是需要寫在**http配置段中**。

在匹配的location中寫上limit_req zone=name [burst=number] [nodelay];這里burst就是允許的漏桶數(shù)，當請求頻率大于rate但是超出的數(shù)量不大于burst設(shè)置的數(shù)量，則nginx會將超出的請求延遲后面返回。如果請求數(shù)量超出burst了，則將超出部分直接返回錯誤碼，默認503。至于nodelay就是設(shè)置是否要延遲，有它不超過burst的請求才延遲。

網(wǎng)上大多條件都是$binary_remote_addr,其實我們可以根據(jù)自己的需求，來定義自身的相應(yīng)條件，活學(xué)活用嘛，下面會有實例。

ngx_http_limit_conn_module模塊

這個模塊主要限制單獨ip同一時間的連接數(shù)

官方文檔 Module ngx_http_limit_conn_module。

中文翻譯的 nginx限制連接數(shù)ngx_http_limit_conn_module模塊。

各位看文檔吧，我的實戰(zhàn)中沒有使用此模塊。

實戰(zhàn)階段

好了，下面進入實戰(zhàn)階段：

首先我們的初始配置文件時是(不完整)：
http { server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass http://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } } }
我們的需求是，有一批接口被頻繁的不合法訪問，我們要做限制。

第一版：限制為1s一次請求，漏桶數(shù)為5

http { limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass http://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } location ^~ /interface { limit_req zone=one burst=5 nodelay; proxy_pass http://127.0.0.1:8080; } } }這里加了proxy_pass http://127.0.0.1:8080;這里配置了轉(zhuǎn)發(fā)，否則匹配之后會找不到服務(wù)器的。

但是這樣會有個問題，目前我們是以ip做的限制，但是有可能網(wǎng)吧或者校內(nèi)出口就是一個或幾個ip，我們這樣限制的話會把正常用戶也限制到了，得不償失。其實我們可以換一種思路來定位到單一用戶，正常一個請求過來，我們都會設(shè)置攜帶一個關(guān)于用戶的`token`信息。至于這個`token`是如何生成的，只有服務(wù)器知道，那我們加入我們的每次請求中，`header`中帶有這個信息，`token`值，如果一個非法的請求可能沒有這個值，即使有這個值我們也可以以`token`為條件來限制，這樣更合理些。

這里加了proxy_pass http://127.0.0.1:8080;這里配置了轉(zhuǎn)發(fā)，否則匹配之后會找不到服務(wù)器的。

但是這樣會有個問題，目前我們是以ip做的限制，但是有可能網(wǎng)吧或者校內(nèi)出口就是一個或幾個ip，我們這樣限制的話會把正常用戶也限制到了，得不償失。其實我們可以換一種思路來定位到單一用戶，正常一個請求過來，我們都會設(shè)置攜帶一個關(guān)于用戶的`token`信息。至于這個`token`是如何生成的，只有服務(wù)器知道，那我們加入我們的每次請求中，`header`中帶有這個信息，`token`值，如果一個非法的請求可能沒有這個值，即使有這個值我們也可以以`token`為條件來限制，這樣更合理些。

第二版

http { limit_req_zone $http_token zone=two:10m rate=1r/s; server { listen 8080 default_server; server_name localhost:8080; location ~ .* { proxy_pass http://127.0.0.1:8080; proxy_set_header X-Real-IP $remote_addr; } location ^~ /interface { if($http_token=""){ return 403; } limit_req zone=two burst=5 nodelay; proxy_pass http://127.0.0.1:8080; } } }                                                                                                                                                                                                                                                         在nginx中，使用$http_變量名，取的就是header中相應(yīng)的變量。

前方預(yù)警：我特意在這個配置中留了個坑，如果你像我這樣配置的話，重啟會報一個異常nginx: [emerg] unknown directive "if($http_token"，很奇怪是不，這個異常我花了很長時間才解決，原因是if和(中間需要個**空格**，沒錯，就是這個空格花了我好幾個小時，血淚的教訓(xùn)啊，希望各位不要再重蹈覆轍。

這個問題的解決的文章：Nginx unknown directive “if($domain”

這次的配置，多少可以限制住的，對我一個nginx的小白來說，調(diào)研一點用一點，也是不錯的。

【編輯推薦】