作者:大魚(yú)燉海棠
鏈接:http://www.reibang.com/p/2c6e7852e732
系統(tǒng)設(shè)計(jì)時(shí)一般會(huì)預(yù)估負(fù)載,當(dāng)系統(tǒng)遭受惡意攻擊或正常突發(fā)流量等都可能導(dǎo)致系統(tǒng)被壓垮愧哟,而限流就是保護(hù)措施之一似谁。
一、限流算法介紹
令牌桶算法
算法思想是:
- 令牌以固定速率產(chǎn)生东帅,并緩存到令牌桶中压固;
- 令牌桶放滿時(shí),多余的令牌被丟棄靠闭;
- 請(qǐng)求要消耗等比例的令牌才能被處理帐我;
- 令牌不夠時(shí)坎炼,請(qǐng)求被緩存。
漏桶算法
算法思想是:
- 水(請(qǐng)求)從上方倒入水桶拦键,從水桶下方流出(被處理)谣光;
- 來(lái)不及流出的水存在水桶中(緩沖),以固定速率流出芬为;
- 水桶滿后水溢出(丟棄)萄金。
這個(gè)算法的核心是:緩存請(qǐng)求、勻速處理媚朦、多余的請(qǐng)求直接丟棄氧敢。
漏桶和令牌桶算法最明顯的區(qū)別在于是否允許突發(fā)流量(burst)的處理,漏桶算法能夠強(qiáng)行限制數(shù)據(jù)的實(shí)時(shí)傳輸(處理)速率莲镣,對(duì)突發(fā)流量不做額外處理福稳;而令牌桶算法能夠在限制數(shù)據(jù)的平均傳輸速率的同時(shí)允許某種程度的突發(fā)傳輸。
二瑞侮、Nginx 限流
Nginx 提供兩種限流方式的圆,一是控制速率,二是控制并發(fā)連接數(shù):
-
limit_req_zone模塊用來(lái)限制單位時(shí)間內(nèi)的請(qǐng)求數(shù)半火,即速率限制越妈,采用的漏桶算法 "leaky bucket"。 -
limit_req_conn模塊用來(lái)限制同一時(shí)間連接數(shù)钮糖,即并發(fā)限制梅掠。
控制速率
ngx_http_limit_req_module 模塊提供限制請(qǐng)求處理速率能力,它能夠有效針對(duì)同一個(gè) IP 反復(fù)請(qǐng)求服務(wù)器店归,如洪水攻擊或者 DDos 攻擊阎抒。下面例子使用 nginx 的 limit_req_zone 和 limit_req 兩個(gè)指令,限制單個(gè)IP的請(qǐng)求處理速率消痛。
在 nginx.conf 的 http 域中添加限流配置:
# 格式:limit_req_zone key zone rate
http {
limit_req_zone $binary_remote_addr zone=myRateLimit:10m rate=10r/s;
}
# 配置 server且叁,使用 limit_req 指令應(yīng)用限流。
server {
location / {
limit_req zone=myRateLimit;
proxy_pass http://my_upstream;
}
}
- $binary_remote_addr:定義限流對(duì)象秩伞,binary_remote_addr 是一種 key逞带,表示基于 remote_addr(客戶端 IP) 來(lái)做限流,binary_ 的目的是壓縮內(nèi)存占用量纱新。
- zone:定義共享內(nèi)存區(qū)來(lái)存儲(chǔ)訪問(wèn)信息展氓, myRateLimit:10m 表示一個(gè)大小為10M,名字為myRateLimit的內(nèi)存區(qū)域脸爱。1M 內(nèi)存能存儲(chǔ)16000個(gè) IP 地址的訪問(wèn)信息遇汞,10M 內(nèi)存可以存儲(chǔ) 16W個(gè) IP地址訪問(wèn)信息。
- rate:用于設(shè)置最大訪問(wèn)速率,rate=10r/s 表示每秒最多處理10個(gè)請(qǐng)求空入。Nginx 實(shí)際上以毫秒為粒度來(lái)跟蹤請(qǐng)求信息教寂,因此 10r/s 實(shí)際上是限制:每100毫秒處理一個(gè)請(qǐng)求。這意味著执庐,自上一個(gè)請(qǐng)求處理完后酪耕,若后續(xù)100毫秒內(nèi)又有請(qǐng)求到達(dá),將拒絕處理該請(qǐng)求轨淌。
-
zone=myRateLimit設(shè)置使用哪個(gè)配置區(qū)域來(lái)做限制迂烁,與 limit_req_zone 里的配置對(duì)應(yīng)
處理突發(fā)流量
上面例子限制 10r/s,正常流量稍微增大递鹉,請(qǐng)求就會(huì)被拒絕盟步,面對(duì)突發(fā)流量,可以結(jié)合 burst 參數(shù)使用來(lái)解決該問(wèn)題躏结。
server {
location / {
limit_req zone=myRateLimit burst=20;
proxy_pass http://my_upstream;
}
}
burst 譯為突發(fā)却盘、爆發(fā),表示在超過(guò)設(shè)定的處理速率后能額外處理的請(qǐng)求數(shù)媳拴。當(dāng) rate=10r/s 時(shí)黄橘,將1s拆成10份,即每100ms可處理1個(gè)請(qǐng)求屈溉。此處塞关,burst=20,若同時(shí)有20個(gè)請(qǐng)求到達(dá)子巾,Nginx 會(huì)處理第一個(gè)請(qǐng)求帆赢,剩余19個(gè)請(qǐng)求將放入隊(duì)列,然后每隔100ms從隊(duì)列中獲取一個(gè)請(qǐng)求進(jìn)行處理线梗。若請(qǐng)求數(shù)大于20椰于,將拒絕處理多余的請(qǐng)求,直接返回 503
不過(guò)仪搔,單獨(dú)使用 burst 參數(shù)并不實(shí)用瘾婿。假設(shè) burst=50,rate依然為10r/s僻造,排隊(duì)中的50個(gè)請(qǐng)求雖然每100ms會(huì)處理一個(gè)憋他,但第50個(gè)請(qǐng)求卻需要等待 50 * 100ms即 5s孩饼,這么長(zhǎng)的處理時(shí)間自然難以接受髓削。因此,burst 往往結(jié)合 nodelay 一起使用镀娶。
server {
location / {
limit_req zone=myRateLimit burst=20 nodelay;
proxy_pass http://my_upstream;
}
}
nodelay 針對(duì)的是 burst 參數(shù)立膛,burst=20 nodelay 表示這20個(gè)請(qǐng)求立馬處理,不能延遲,相當(dāng)于特事特辦宝泵。不過(guò)好啰,即使這20個(gè)突發(fā)請(qǐng)求立馬處理結(jié)束,后續(xù)來(lái)了請(qǐng)求也不會(huì)立馬處理儿奶。burst=20 相當(dāng)于緩存隊(duì)列中占了20個(gè)坑框往,即使請(qǐng)求被處理了,這20個(gè)位置這只能按 100ms 一個(gè)來(lái)釋放闯捎。
這就達(dá)到了速率穩(wěn)定椰弊,但突然流量也能正常處理的效果。
限制連接數(shù)
ngx_http_limit_conn_module 提供了限制連接數(shù)的能力瓤鼻,利用 limit_conn_zone 和 limit_conn 兩個(gè)指令即可秉版。下面是 Nginx 官方例子:
limit_conn_zone $binary_remote_addr zone=perip:10m;
limit_conn_zone $server_name zone=perserver:10m;
server {
...
limit_conn perip 10;
limit_conn perserver 100;
}
-
limit_conn perip 10作用的 key 是 $binary_remote_addr,表示限制單個(gè) IP 同時(shí)最多能持有10個(gè)連接茬祷。 -
limit_conn perserver 100作用的 key 是 $server_name清焕,表示虛擬主機(jī)(server) 同時(shí)能處理并發(fā)連接的總數(shù)。
需要注意的是:只有當(dāng) request header 被后端 server 處理后祭犯,這個(gè)連接才進(jìn)行計(jì)數(shù)秸妥。
設(shè)置白名單
限流主要針對(duì)外部訪問(wèn),內(nèi)網(wǎng)訪問(wèn)相對(duì)安全沃粗,可以不做限流筛峭,通過(guò)設(shè)置白名單即可。利用 Nginx ngx_http_geo_module 和 ngx_http_map_module 兩個(gè)工具模塊即可搞定陪每。
在 nginx.conf 的 http 部分中配置白名單:
geo $limit {
default 1; // key=default, value=1
10.0.0.0/8 0;
192.168.0.0/24 0;
172.20.0.35 0;
include conf/whiteip.conf; // 支持白名單以 key:value的形式存儲(chǔ)在配置文件中
}
map $limit $limit_key {
0 "";
1 $binary_remote_addr; // value=1則返回 $binary_remote_addr影晓,也就是IP,否則返回空字符串
}
limit_req_zone $limit_key zone=myRateLimit:10m rate=10r/s;
- geo 定義了子網(wǎng)或 IP 與 0檩禾、1 的映射關(guān)系挂签。上述配置中,10.0.0.0/8 網(wǎng)段的 IP 映射到 0盼产,而其他 IP 缺省映射到 1饵婆;
- 來(lái)訪 IP 通過(guò) geo 進(jìn)行映射,映射結(jié)果是 0戏售,表明該 IP 被列入白名單侨核,經(jīng) map 轉(zhuǎn)換返回 "" 空字符串;如果映射結(jié)果是1灌灾,則返回 $binary_remote_addr搓译,即客戶端實(shí)際 IP。
- limit_req_zone 限流采用的 key 不再是 binary_remote_addr锋喜,而是采用 $limit_key 動(dòng)態(tài)獲取值些己。如果是白名單豌鸡,limit_req_zone 的限流 key 則為空字符串,將不會(huì)限流段标;若不是白名單涯冠,將會(huì)對(duì)客戶端真實(shí) IP 進(jìn)行限流。
