nginx如何请求连接限制笔记

# nginx如何请求连接限制笔记

## 1. 连接限制的核心概念

### 1.1 为什么需要连接限制
在高并发Web服务场景中，连接限制是保护服务器资源的关键手段：
- 防止单个IP耗尽连接池
- 缓解DDoS攻击的影响
- 保证服务资源合理分配
- 避免慢连接占用资源

### 1.2 基础模块
```nginx
http {
    limit_conn_zone $binary_remote_addr zone=perip:10m;
    limit_req_zone $binary_remote_addr zone=perip_req:10m rate=10r/s;
}

2. 连接数限制实战

2.1 配置连接数限制

http {
    # 定义共享内存区（1MB可存储约1.6万个IP）
    limit_conn_zone $binary_remote_addr zone=addr_zone:10m;
    
    server {
        location / {
            # 每个IP同时允许5个连接
            limit_conn addr_zone 5;
            
            # 连接超时设置
            limit_conn_status 429;
            limit_conn_log_level warn;
        }
    }
}

2.2 多维度限制方案

# 按服务器级别限制
limit_conn_zone $server_name zone=servers:10m;

# 按用户组限制
map $remote_addr $user_group {
    default "normal";
    192.168.1.0/24 "vip";
}

limit_conn_zone $user_group zone=group_zone:10m;

3. 请求速率限制详解

3.1 基础速率控制

http {
    # 定义速率限制区（10r/s = 600r/m）
    limit_req_zone $binary_remote_addr zone=req_zone:10m rate=10r/s;
    
    server {
        location /api/ {
            # 突发请求处理设置
            limit_req zone=req_zone burst=20 nodelay;
            
            # 自定义返回状态码
            limit_req_status 429;
        }
    }
}

3.2 高级速率策略

# 多级速率限制
limit_req_zone $binary_remote_addr zone=strict:10m rate=2r/s;
limit_req_zone $binary_remote_addr zone=normal:10m rate=10r/s;

location /payment/ {
    limit_req zone=strict burst=5;
}

location /static/ {
    limit_req zone=normal burst=30;
}

4. 实战场景配置案例

4.1 下载服务器防护

# 限制下载带宽+连接数
location /download/ {
    limit_conn addr_zone 3;
    limit_rate_after 10m;
    limit_rate 100k;
    
    # 防止爬虫高频访问目录
    limit_req zone=req_zone burst=5;
}

4.2 API接口防护

map $http_appkey $api_limit {
    default "10r/s";
    "VIP_KEY" "100r/s";
}

limit_req_zone $binary_remote_addr zone=api_zone:10m rate=$api_limit;

location /v1/api {
    limit_req zone=api_zone burst=20;
    limit_req_status 429;
    
    # 连接持续时间限制
    proxy_read_timeout 30s;
}

5. 性能调优与监控

5.1 内存区域计算

计算公式：
存储IP数 = 内存大小(m) * 1024 * 1024 / (IP长度 + 64)

示例：
10MB存储区可保存约16万IPv4地址

5.2 状态监控配置

location /nginx_status {
    stub_status on;
    access_log off;
    allow 127.0.0.1;
    deny all;
}

# 错误日志分析建议
log_format limiter '$remote_addr - $status - $limit_req_status';

6. 常见问题解决方案

6.1 NAT环境处理

# 使用X-Forwarded-For最后一跳IP
map $http_x_forwarded_for $real_ip {
    default $remote_addr;
    ~^([^,]+) $1;
}

limit_conn_zone $real_ip zone=nat_zone:10m;

6.2 白名单设置

geo $limit {
    default 1;
    192.168.0.0/16 0;
    10.0.0.0/8 0;
}

map $limit $limit_key {
    0 "";
    1 $binary_remote_addr;
}

limit_req_zone $limit_key zone=dynamic:10m rate=5r/s;

7. 高级防护配置

7.1 动态限速

# 基于URI的差异化限速
map $uri $rate_limit {
    ~^/api/v1/search 5r/s;
    ~^/api/v2/data 20r/s;
    default 10r/s;
}

limit_req_zone $binary_remote_addr zone=dynamic_rate:10m rate=$rate_limit;

7.2 组合防护策略

location / {
    # 连接数限制
    limit_conn perip 10;
    limit_conn perserver 1000;
    
    # 请求速率限制
    limit_req zone=perip_req burst=30;
    
    # 带宽限制
    limit_rate_after 1m;
    limit_rate 500k;
    
    # 超时控制
    proxy_connect_timeout 3s;
}

8. 测试验证方法

8.1 压力测试命令

# 测试连接数限制
ab -n 1000 -c 50 http://example.com/

# 测试速率限制
siege -r 100 -c 50 http://example.com/api

8.2 日志分析技巧

# 查看被限制的请求
grep 'limiting requests' /var/log/nginx/error.log

# 统计触发限制的IP
awk '{print $1}' access.log | sort | uniq -c | sort -nr

9. 生产环境建议

1. 渐进式实施：从宽松限制开始逐步收紧
2. 分级策略：区分静态资源与动态接口
3. 监控报警：设置连接数阈值报警
4. 定期评估：根据业务增长调整参数
5. 组合防御：结合防火墙、WAF等方案

附录：常用参数速查表

注：所有配置需要根据实际业务需求调整，建议在测试环境充分验证后再上线生产环境。 “`

（全文约1950字，包含配置示例、原理说明和实战建议）