通过IP进行限制
limit_req_zone $binary_remote_addr zone=iplimit:20m rate=10r/s ;remote_addr,表示通过IP地址进行限流
iplimit,指定一块内存区域大小为20M,名字为iplimit,用于记录访问的频率信息
rate=10r/s,表示每秒放行一个请求,可以根据业务需求指定【标识访问的限流频率】,Nginx 实际上以毫秒为粒度来跟踪请求信息,因此 10r/s 实际上是限制:每100毫秒处理一个请求。这意味着,自上一个请求处理完后,若后续100毫秒内又有请求到达,将拒绝处理该请求
limit_req zone=iplimit burst=3 nodelay;nodelay:设置了nodelay,就会对burst中的请求不在采用延迟处理,而是立即返回错误。
burst:默认值为0,就那个大碗,表示在超过设定的访问速率后能额外处理的请求数。
#达到最大上限值记录日志级别
语法:limit_req_log_lever info|notice|warn|error;
默认值:limit_req_log_level error;
生效范围:http,server,location
#达到最大上限值,向客户端返回特定的错误码
语法:limit_req_status code;
默认值:limit_req_status 503;
生效范围:http,server,location
限流白名单(根据不同的二级路径进行限流,并配置白名单)
#http段
#www limit
geo $limit_www {
default 1;
1.1.1.0/24 0;
1.1.1.1/32 0;
}
map $limit_www $limit_key_www {
0 "";
1 $binary_remote_addr;
}
limit_req_zone $limit_key_www zone=iplimit_www:20m rate=2r/s;
#openapi limit
geo $limit_openapi {
default 1;
2.2.2.0/24 0;
2.2.2.2/32 0;
}
map $limit_openapi $limit_key_openapi {
0 "";
1 $binary_remote_addr;
}
limit_req_zone $limit_key_www zone=iplimit_openapi:20m rate=200r/s;
#server段
location /www/ {
limit_req zone=iplimit_www burst=3 nodelay;
limit_req_status 429;
proxy_pass http://www/;
}
location /openapi/ {
limit_req zone=iplimit_openapi burst=3 nodelay;
limit_req_status 429;
proxy_pass http://openapi/;
}geo 指令可以根据IP创建变量$limit。$limit的默认值是1,如果匹配到了下面的IP,则返回对应的值(这里返回的是0)。
之后通过 map 指令,将$limit的值映射为$limit_key:在白名单内的,$limit_key 为空字符串,不在白名单内的,则为$binary_remote_addr。当limit_req_zone指令的第一个参数是一个空字符串,限制不起作用,因此白名单的IP 地址(在1.1.1.1/32和1.1.1.0/23子网中)没有被限制,其它IP地址都被限制为2r/s。