限流算法

令牌桶算法

算法思想是：

• 令牌以固定速率產(chǎn)生，并緩存到令牌桶中；

• 令牌桶放滿時(shí)，多余的令牌被丟棄；

• 請(qǐng)求要消耗等比例的令牌才能被處理；

• 令牌不夠時(shí)，請(qǐng)求被緩存。

漏桶算法

算法思想是：

• 水（請(qǐng)求）從上方倒入水桶，從水桶下方流出（被處理）；

• 來(lái)不及流出的水存在水桶中（緩沖），以固定速率流出；

• 水桶滿后水溢出（丟棄）；

• 這個(gè)算法的核心是：緩存請(qǐng)求、勻速處理、多余的請(qǐng)求直接丟棄。

相比漏桶算法，令牌桶算法不同之處在于它不但有一只“桶”，還有個(gè)隊(duì)列，這個(gè)桶是用來(lái)存放令牌的，隊(duì)列才是用來(lái)存放請(qǐng)求的。

從作用上來(lái)說(shuō)，漏桶和令牌桶算法最明顯的區(qū)別就是是否允許突發(fā)流量(burst)的處理，漏桶算法能夠強(qiáng)行限制數(shù)據(jù)的實(shí)時(shí)傳輸（處理）速率，對(duì)突發(fā)流量不做額外處理；而令牌桶算法能夠在限制數(shù)據(jù)的平均傳輸速率的同時(shí)允許某種程度的突發(fā)傳輸。

Nginx按請(qǐng)求速率限速模塊使用的是漏桶算法，即能夠強(qiáng)行保證請(qǐng)求的實(shí)時(shí)處理速度不會(huì)超過(guò)設(shè)置的閾值。

Nginx官方版本限制IP的連接和并發(fā)分別有兩個(gè)模塊：

• limit_req_zone 用來(lái)限制單位時(shí)間內(nèi)的請(qǐng)求數(shù)，即速率限制,采用的漏桶算法 “l(fā)eaky bucket”。

• limit_req_conn 用來(lái)限制同一時(shí)間連接數(shù)，即并發(fā)限制。

limit_req_zone 參數(shù)配置

Syntax: limit_req zone=name [burst=number] [nodelay];Default: —Context: http, server, location

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

• 第一個(gè)參數(shù)：$binary_remote_addr 表示通過(guò)remote_addr這個(gè)標(biāo)識(shí)來(lái)做限制，“binary_”的目的是縮寫內(nèi)存占用量，是限制同一客戶端ip地址。

• 第二個(gè)參數(shù)：zone=one:10m表示生成一個(gè)大小為10M，名字為one的內(nèi)存區(qū)域，用來(lái)存儲(chǔ)訪問(wèn)的頻次信息。

• 第三個(gè)參數(shù)：rate=1r/s表示允許相同標(biāo)識(shí)的客戶端的訪問(wèn)頻次，這里限制的是每秒1次，還可以有比如30r/m的。

limit_req zone=one burst=5 nodelay;

• 第一個(gè)參數(shù)：zone=one 設(shè)置使用哪個(gè)配置區(qū)域來(lái)做限制，與上面limit_req_zone 里的name對(duì)應(yīng)。

• 第二個(gè)參數(shù)：burst=5，重點(diǎn)說(shuō)明一下這個(gè)配置，burst爆發(fā)的意思，這個(gè)配置的意思是設(shè)置一個(gè)大小為5的緩沖區(qū)當(dāng)有大量請(qǐng)求（爆發(fā)）過(guò)來(lái)時(shí)，超過(guò)了訪問(wèn)頻次限制的請(qǐng)求可以先放到這個(gè)緩沖區(qū)內(nèi)。

• 第三個(gè)參數(shù)：nodelay，如果設(shè)置，超過(guò)訪問(wèn)頻次而且緩沖區(qū)也滿了的時(shí)候就會(huì)直接返回503，如果沒有設(shè)置，則所有請(qǐng)求會(huì)等待排隊(duì)。

例子：

http { ? ?limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

? ?server { ? ? ? ?

location /search/ { ? ? ? ? ? ?

limit_req zone=one burst=5 nodelay; ? ? ? ?}

}

下面配置可以限制特定UA（比如搜索引擎）的訪問(wèn)：

limit_req_zone ?$anti_spider ?zone=one:10m ? rate=10r/s;

limit_req zone=one burst=100 nodelay;if ($http_user_agent ~* "googlebot|bingbot|Feedfetcher-Google"){ ? ?s

? ? et $anti_spider $http_user_agent;

}

其他參數(shù)

Syntax: limit_req_log_level info | notice | warn | error;Default: limit_req_log_level error;Context: http, server, location

當(dāng)服務(wù)器由于limit被限速或緩存時(shí)，配置寫入日志。延遲的記錄比拒絕的記錄低一個(gè)級(jí)別。例子：limit_req_log_level notice延遲的的基本是info。

Syntax: limit_req_status code;Default: limit_req_status 503;Context: http, server, location

設(shè)置拒絕請(qǐng)求的返回值。值只能設(shè)置 400 到 599 之間。

ngx_http_limit_conn_module 參數(shù)配置

這個(gè)模塊用來(lái)限制單個(gè)IP的請(qǐng)求數(shù)。并非所有的連接都被計(jì)數(shù)。只有在服務(wù)器處理了請(qǐng)求并且已經(jīng)讀取了整個(gè)請(qǐng)求頭時(shí)，連接才被計(jì)數(shù)。

Syntax: limit_conn zone number;Default: —Context: http, server, locationlimit_conn_zone $binary_remote_addr zone=addr:10m;server {?

? ?location /download/ { ? ? ?

??limit_conn addr 1;?

?? ?}

一次只允許每個(gè)IP地址一個(gè)連接。

limit_conn_zone $binary_remote_addr zone=perip:10m;limit_conn_zone $server_name zone=perserver:10m;server {?

? ?... ? ?limit_conn perip 10; ?

??limit_conn perserver 100;}

可以配置多個(gè)limit_conn指令。例如，以上配置將限制每個(gè)客戶端IP連接到服務(wù)器的數(shù)量，同時(shí)限制連接到虛擬服務(wù)器的總數(shù)。

Syntax: limit_conn_zone key zone=name:size;Default: —Context: httplimit_conn_zone $binary_remote_addr zone=addr:10m;

在這里，客戶端IP地址作為關(guān)鍵。請(qǐng)注意，不是remote_addrremoteaddr，而是使用binary_remote_addrbinaryremoteaddr變量。 remote_addrremoteaddr變量的大小可以從7到15個(gè)字節(jié)不等。存儲(chǔ)的狀態(tài)在32位平臺(tái)上占用32或64字節(jié)的內(nèi)存，在64位平臺(tái)上總是占用64字節(jié)。對(duì)于IPv4地址，binary_remote_addrbinaryremoteaddr變量的大小始終為4個(gè)字節(jié)，對(duì)于IPv6地址則為16個(gè)字節(jié)。存儲(chǔ)狀態(tài)在32位平臺(tái)上始終占用32或64個(gè)字節(jié)，在64位平臺(tái)上占用64個(gè)字節(jié)。一個(gè)兆字節(jié)的區(qū)域可以保持大約32000個(gè)32字節(jié)的狀態(tài)或大約16000個(gè)64字節(jié)的狀態(tài)。如果區(qū)域存儲(chǔ)耗盡，服務(wù)器會(huì)將錯(cuò)誤返回給所有其他請(qǐng)求。

Syntax: limit_conn_log_level info | notice | warn | error;Default: limit_conn_log_level error;Context: http, server, location

當(dāng)服務(wù)器限制連接數(shù)時(shí)，設(shè)置所需的日志記錄級(jí)別。

Syntax: limit_conn_status code;Default: limit_conn_status 503;Context: http, server, location

?自定義返回值

limit_req_zone $binary_remote_addr zone=mylimit:10m rate=2r/s;server { ? ?location / {?

? ? ? ?limit_req zone=mylimit burst=4 nodelay; ? ?

?? ?limit_req_status 598;?

?? ?}

}