nginx限频、限带宽、限连接数

背景

业务中需要对ES集群开放公网访问，必须要考虑的就是安全性问题。集群本身带有商业版X-PACK插件，包含有用户名密码认证功，但是为了保证集群的稳定性避免遭受攻击，需要对集群增加一层反向代理，对访问集群的外部请求限频、限制带宽并且限制连接数。本文以nginx为例，介绍如何使用nginx对业务请求进行限频、限带宽、限连接数。

nginx限频

使用ngx_http_limit_req_module模块：ngx_http_limit_req_module

limit_req_zone $binary_remote_addr zone=one:10m rate=20r/s;

server {
    location /search/ {
        limit_req zone=one burst=5;
        limit_req_status 403;
    }

上述配置定义了名为one的bucket用于存储请求状态， 大小为10MB； bucket中的key为'$binary_remote_addr'，是客户端地址的二进制形式，对于IPv4,key占用4字节，IPv6占用16字节；bucket中存储的每个状态，在32位机器上占用64字节，在64位机器上占用128字节，所在分配10MB内存在64位机器上最多可以存储80000多个状态；分配的10MB内存使用LRU策略进行替换，如果LRU替换之后剩下的内存仍然不足以创建新的请求状态，则会返回错误响应，默认为503， 可通过limit_req_status配置项修改响应状态码。

burst参数的意思是漏桶的数量，如果第1、2、3、4秒请求数为19个，那么第5秒最多允许有25个请求；但是如果第1秒有25个请求，那么第2秒超过20个请求则会返回错误响应。

nginx限制带宽

nginx限制带宽是ngx_http_core_module核心模块中的功能,ngx_http_core_module

limit_rate_after 1m;
limit_rate 150k;

limit_rate参数用于限制每个连接每秒响应的字节数， 如果配置limit_rate_after参数的话如果响应达到1MB后开始限速。

nginx限制连接数

使用ngx_http_limit_conn_module模块，ngx_http_limit_conn_module

limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;

server {
    ...
    limit_conn perip 10;
    limit_conn perserver 100;
    limit_conn_status 403;
}

上述配置定义了名为perip和perserver的两个bucket， 分别对单个客户端ip和server进行限制连接数，对单个ip限制连接数为10， server限制连接数为200；如果连接数超过上述限制，请求会报错，响应状态码通过limit_conn_status定义。