9.Nginx 访问限制
ngx_http_limit_req_module
0 测试未限制情况下的访问
yum install -y httpd-tools
ab -n 100 -c 10 http://tianyun.me/
1 启动限制
vim /etc/nginx/nginx.conf
定义:
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s;
限制请求 二进制地址 限制策略的名称 占用10M空间 允许每秒1次请求
引用
. limit_req zone=req_zone;
引用 限制策略的名称
配置
http {
limit_req_zone $binary_remote_addr zone=req_zone:10m rate=1r/s; vim /etc/nginx/conf.d/default.conf
server {
location / {
root /usr/share/nginx/html;
index index.html index.htm;
limit_req zone=req_zone; 引用
#limit_req zone=req_zone burst=5;
#limit_req zone=req_zone burst=5 nodelay;
}
}
}
引用限制
引用限制,但是令牌桶有5个。有延迟。速度慢
引用限制,但是令牌桶有5个。无延迟。速度快
burst=5 表示最大延迟请求数量不大于5。 如果太过多的请求被限制延迟是不需要的 ,这时需要使用nodelay参数,服务器会立刻返回503状态码。
2 重启服务,并测试
yum install -y httpd-tools
ab -n 100 -c 10 http://tianyun.me/
3 观察错误日志
tail -f /var/log/nginx/error.log
limiting requests //由于限制请求导致。
ngx_http_limit_conn_module
目的
通过IP地址,限制链接(TCP)。但是实验环境无法测试
启动连接频率限制
1 启动连接频率限制
vim /etc/nginx/nginx.conf
http {
limit_conn_zone $binary_remote_addr zone=conn_zone:10m;
}
vim /etc/nginx/conf.d/default.conf
server {
location / {
...
limit_conn conn_zone 1;
}
}
详解:
limit_conn:该指令指定每个给定键值的最大同时连接数,当超过这个数字时返回503(Service )错误。如(同一IP同一时间只允许有2个连接):
limit_conn:该指令指定每个给定键值的最大同时连接数,当超过这个数字时返回503(Service )错误。如(同一IP同一时间只允许有2个连接):
客户端的IP地址作为键。注意,这里使用的是 binary_remote_addr 变量,而不是 remote_addr 变量。
remote_addr变量的长度为7字节到15字节,而存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。
binary_remote_addr变量的长度是固定的4字节,存储状态在32位平台中占用32字节或64字节,在64位平台中占用64字节。
1M共享空间可以保存3.2万个32位的状态,1.6万个64位的状态。
如果共享内存空间被耗尽,服务器将会对后续所有的请求返回 503 (Service Temporarily Unavailable) 错误。
limit_conn_zone $binary_remote_addr zone=conn_zone:10m模块开启对单个ip、单个会话同时存在的连接数的限制。这里定义一个记录区conn_zone,conn_zone的总容量是10m,该记录区针对于变量 $binary_remote_add生效,这里是针对单个IP生效。该模块只是一个定义,配置在http配置段,需要配合limit_conn指令使用才生效, limit_conn conn_zone 1表示该location段使用conn_zone定义的 limit_conn_zone ,对单个IP限制同时存在一个连接。
单个IP,同时只允许有一个tcp连接
2 测试
yum install -y httpd-tools
ab -n 100 -c 10 http://服务器IP地址/
10.Nginx 访问控制
基于主机(ip)
module:ngx_http_access_module
Directives
allow 允许某些主机
deny 拒绝某些主机
Syntax:
Syntax: allow address | CIDR | unix: | all;
Context: http, server, location, limit_except
启用控制
1 限制主机访问
vim /etc/nginx/conf.d/default.conf
server {
allow 10.18.45.65; //允许访问
allow 10.18.45.181; //允许访问
deny all; //其它都步允许
}
2 测试
只有允许的才能访问;其他都无法访问
基于用户(username&password)
module :ngx_http_auth_basic_module
Syntax:
方法一
Syntax: auth_basic string | off;
Context: http, server, location, limit_except
方法二
Syntax: auth_basic_user_file file;
Context: http, server, location, limit_except
启用控制
1. 建立认证文件
yum install -y httpd-tools 生成秘钥的工具是由apache提供
htpasswd -cm /etc/nginx/conf.d/passwd user10 会话密码
htpasswd -m /etc/nginx/conf.d/passwd user20 会话密码
cat /etc/nginx/conf.d/passwd 观察口令文件是否生成。已生成
2. 启动认证
vim /etc/nginx/conf.d/default.conf
找到server{字段,在下一行插入认证字段。
server {
auth_basic "nginx access test!"; 提示消息引用认证文件
auth_basic_user_file /etc/nginx/conf.d/passwd; ...
}
3.重启并验证