nginx限频、限带宽、限连接数
背景
业务中需要对ES集群开放公网访问,必须要考虑的就是安全性问题。集群本身带有商业版X-PACK插件,包含有用户名密码认证功,但是为了保证集群的稳定性避免遭受攻击,需要对集群增加一层反向代理,对访问集群的外部请求限频、限制带宽并且限制连接数。本文以nginx为例,介绍如何使用nginx对业务请求进行限频、限带宽、限连接数。
nginx限频
使用ngx_http_limit_req_module模块:ngx_http_limit_req_module
limit_req_zone $binary_remote_addr zone=one:10m rate=20r/s;
server {
location /search/ {
limit_req zone=one burst=5;
limit_req_status 403;
}
上述配置定义了名为one的bucket用于存储请求状态, 大小为10MB; bucket中的key为'$binary_remote_addr',是客户端地址的二进制形式,对于IPv4,key占用4字节,IPv6占用16字节;bucket中存储的每个状态,在32位机器上占用64字节,在64位机器上占用128字节,所在分配10MB内存在64位机器上最多可以存储80000多个状态;分配的10MB内存使用LRU策略进行替换,如果LRU替换之后剩下的内存仍然不足以创建新的请求状态,则会返回错误响应,默认为503, 可通过limit_req_status配置项修改响应状态码。
burst参数的意思是漏桶的数量,如果第1、2、3、4秒请求数为19个,那么第5秒最多允许有25个请求;但是如果第1秒有25个请求,那么第2秒超过20个请求则会返回错误响应。
nginx限制带宽
nginx限制带宽是ngx_http_core_module核心模块中的功能,ngx_http_core_module
limit_rate_after 1m;
limit_rate 150k;
limit_rate参数用于限制每个连接每秒响应的字节数, 如果配置limit_rate_after参数的话如果响应达到1MB后开始限速。
nginx限制连接数
使用ngx_http_limit_conn_module模块,ngx_http_limit_conn_module
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
...
limit_conn perip 10;
limit_conn perserver 100;
limit_conn_status 403;
}
上述配置定义了名为perip和perserver的两个bucket, 分别对单个客户端ip和server进行限制连接数,对单个ip限制连接数为10, server限制连接数为200;如果连接数超过上述限制,请求会报错,响应状态码通过limit_conn_status定义。