OpenResty + Lua + Redis 实现 IP 限流
2018-08-06 本文已影响222人
wmfyt325
OpenResty® 是一款基于 NGINX 和 LuaJIT 的 Web 平台。OpenResty 官网。
1. 安装
1.1 Mac OS:
Mac OS 通过 Homebrew 安装,执行以下命令:
brew tap openresty/brew
或
brew install openresty
如果之前通过 Homebrew 安装过 nginx,需要先执行:
brew untap homebrew/nginx
1.2 Linux:
Ubuntu
# 导入 GPG 密钥
wget -qO - https://openresty.org/package/pubkey.gpg | sudo apt-key add -
# 安装 add-apt-respository 命令
sudo apt-get -y install software-properties-common
# 添加官方 official APT 仓库
sudo add-apt-repository -y "deb http://openresty.org/package/ubuntu $(lsb_release -sc) main"
# 更新 APT 索引
sudo apt-get update
# 安装
sudo apt-get install openresty
# 如果不想自动关联安装 openresty-opm 和 openresty-restydoc 包,执行下面的命令
# sudo apt-get install --no-install-recommends openresty
CentOS
sudo yum install yum-utils
sudo yum-config-manager --add-repo https://openresty.org/package/centos/openresty.repo
sudo yum install openresty
Debian
wget -qO - https://openresty.org/package/pubkey.gpg | sudo apt-key add -
sudo apt-get -y install software-properties-common
sudo add-apt-repository -y "deb http://openresty.org/package/debian $(lsb_release -sc) openresty"
sudo apt-get update
sudo apt-get install openresty
# 如果不想自动关联安装 openresty-opm 和 openresty-restydoc 包,执行下面的命令
# sudo apt-get install --no-install-recommends openresty
2.配置 lua 脚本
如果之前安装过 nginx,可以先将 nginx 的配置文件拷贝到 /etc/openresty/ 路径下。
在 /etc/openresty/ 路径下新建 access_by_redis.lua 文件。
# Lua
local function close_redis(red)
if not red then
return
end
-- 释放连接(连接池实现),毫秒
local pool_max_idle_time = 10000
-- 连接池大小
local pool_size = 100
local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)
local log = ngx_log
if not ok then
log(ngx_ERR, "set redis keepalive error : ", err)
end
end
-- 连接redis
local redis = require('resty.redis')
local red = redis.new()
red:set_timeout(1000)
local ip = "127.0.0.1"
local port = "6379"
local ok, err = red:connect(ip,port)
if not ok then
return close_redis(red)
end
red:auth('123456')
red:select('0')
local clientIP = ngx.req.get_headers()["X-Real-IP"]
if clientIP == nil then
clientIP = ngx.req.get_headers()["x_forwarded_for"]
end
if clientIP == nil then
clientIP = ngx.var.remote_addr
end
local incrKey = "user:"..clientIP..":freq"
local blockKey = "user:"..clientIP..":block"
local is_block,err = red:get(blockKey) -- check if ip is blocked
if tonumber(is_block) == 1 then
ngx.exit(403)
close_redis(red)
end
inc = red:incr(incrKey)
if inc < 10 then
inc = red:expire(incrKey,1)
end
-- 每秒10次以上访问即视为非法,会阻止1分钟的访问
if inc > 10 then
--设置block 为 True 为1
red:set(blockKey,1)
red:expire(blockKey,60)
end
close_redis(red)
在 nginx 配置文件的 http 段添加 lua 脚本
http {
...
lua_package_path "/usr/local/openresty/lualib/resty/redis.lua;";
...
}
server 段的 location 中添加
server {
...
location / {
...
access_by_lua_file "/etc/openresty/access_by_redis.lua";
...
}
...
}
保存后重新加载 nginx 即可。
追加
lua 脚本出现 nginx no resolver defined to resolve 之类的错误,只需要在 nginx 的 http 块中加入 resolver 8.8.8.8; 即可。
