nginx限制某一 IP 在一段时间内对服务器发起请求的连接数

使用ngx_http_limit_req_module 模块可以 限制某一 IP 在一段时间内对服务器发起请求的连接数，该模块为内置模块

（1） 不加burst 和 不加 nodelay

N ginx配置截图：

ab压测截图：
ab -n 10 -c 10 http://10.129.159.159/

Nginx日志截图

不加burst 和 不加 nodelay 的情况下，rate=1r/s 1 秒钟只能处理 1 个请求，剩余的所有请求都会直接返回 503

（2） 加burst 和 不加 nodelay

N ginx配置截图

ab压力测试截图
ab -n 10 -c 10 http://10.129.159.159/

Nginx日志截图:

加burst 和 不加 nodelay 的情况下，rate=1r/s burst=5 处理 1 个，缓存 5 个后续 1 秒一个的处理，其他的全部丢弃

(3) 加burst 和 加 nodelay

nginx配置截图：

ab压力测试截图：
ab -n 10 -c 10 http://10.129.159.159/

Nginx日志截图：

加burst 和 加 nodelay 的情况下，第一次处理 rate+burst个连接请求，剩余的请求全部返回 503

（4） 测试$clientRealIp配置同 加burst 和 加 nodelay
root@Centos8:~# seq 1 10|while read line;do curl -IX GET http://10.129.159.159/ -H "User-Agent: IOS";done && seq 1 10|while read line;do curl -IX GET http://10.129.159.159/ -H "User-Agent: Android";done

根据$ clientRealIp值的ip进行限制是生效的

总结 ：

通过测试的三种情况，返回了不同的结果 。

（1）不加 burst 和 不加 nodelay 的情况：按照 rate 设定的规则，严格执行。例如：rate=1r/s ，则1秒只处理1个请求，其他的全部返回连接503

（2）加 burst 和 不加 nodelay 的情况：首先按照 rate 规则处理，并且缓存 burst 个连接，剩余的全部返回503，后续缓存的 burst 按照 rate 规则进行处理

（3）加 burst 和 nodelay 的情况：第一次处理 rate+burst 个连接请求，剩余的请求全部返回 503

参数注释：

$ clientRealIp ：表示通过clientRealIp 这个标识来做限制.

rate=1r/s：表示允许相同标识的客户端的访问频次，这里限制的是每秒1次

burst=5 ：设置一个大小为5的缓冲区

nodelay：如果设置，会在瞬间提供处理（rate+burst）个请求的能力，请求超时（rat+burst）的时候直接返回503

zone=zone:10m 表示创建10M共享内存

$ clientRealIp变量的长度为7字节到15字节，存储状态在32位平台中占用32字节或64字节，在64位平台中占用64字节。估算1 M共享空间可以保存3.2万个32位的状态，1.6万个64位的状态。

指令名称：limit_req_zone

语法：limit_req_zone key zone=name:size rate= number r/s

默认值：no

区域：http

使用示例：limit_req_zone $binary_remote_addr zone=addr:10m rate=1r/s

对于上面的示例：

$binary_remote_addr ：表示通过remote_addr 这个标识来做限制.  

zone=addr:10m：表示生成一个 10M ，名字为 addr 的内存区域，用来存储访问的频次信息

rate=1r/s：表示允许相同标识的客户端的访问频次，这里限制的是每秒1次，即每秒只处理一个请求，还可以有比如 30r/m ， 即限制每 2秒 访问一次，即每 2秒 才处理一个请求。

指令名称：limit_req

语法：limit_req zone=name [burst=number] [nodelay | delay=number];

默认：no

区域：http、server、location

使用示例：limit_req zone=zone burst=5 nodelay;

zone=zone：设置使用哪个配置名来做限制，与上面 limit_req_zone 里的 name 对应

burst=5 ：这个配置的意思是设置一个大小为5的缓冲区，当有大量请求过来时，超过访问频次限制 rate=1r/s 的请求可以先放到这个缓冲区内等待，但是这个缓冲区只有5个位置，超过这个缓冲区的请求直接报503并返回。

nodelay：如果设置，会在瞬间提供处理（rate+burst）个请求的能力，请求超时（rat+burst）的时候直接返回503，永远不存在请求需要等待的情况。如果没有设置，则所有请求会依次等待排队；

指令名称：limit_req_status

语法：limit_req_status code;

默认：limit_req_status 503;

区域：http、server、location

功能：设置要返回的状态码以响应被拒绝的请求。

指令名称：limit_req_log_level

（该指令出现在版本0.8.18中）

语法：limit_req_log_level info | notice | warn | error;

默认：limit_req_log_level error;

区域：http、server、location

功能：该指令用于设置日志的错误级别，当达到连接限制时，将会产生错误日志。

上面的示例内容没有显式写明 limit_req_status 、limit_req_log_level 两个配置项，所以采用默认值。

可能要对某些IP不做限制，需要使用到白名单。