之前,在我们的NGINX流量管理和安全控制系列中,我们讨论了如何使用客户端标识参数(例如 IP 地址)来限制同一客户端可以与您的 Web 资源建立的连接数。我们还介绍了如何限制Web 资源的请求速率(限制客户端可以发出请求的速率)。
为确保您的应用程序使用带宽不被单个客户端占用,您需要控制每个客户端的上传和下载速度。这是一种常见的NGINX安全控制措施,可抵御来自试图滥用站点性能的恶意用户的DoS(拒绝服务)攻击。
在本系列的第三部分中,我们将解释如何限制NGINX Web 服务器中的网络带宽。
NGINX 中的带宽限制
要限制 NGINX 中的带宽,请使用limit_rate指令来限制响应传输到客户端的速率。它在位置块中的HTTP、server、location和if 语句中有效,并且默认情况下以每秒字节数为单位指定给定上下文的速率限制,也可以使用m表示兆字节或g表示千兆字节。
limit_rate 20k;另一个相关指令是limit_rate_after,它指定在传输指定数量的数据之前,不应限制连接的速率。该指令可以在 HTTP、服务器、位置和“位置块内的 if 语句”中设置。
limit_rate_after 500k;下面是一个示例配置,用于限制客户端通过单个连接以每秒 20 KB 的最大速度下载内容。
upstream api_service {
server 10.1.1.10:9051;
server 10.1.1.77:9052;
}
server {
listen 80;
server_name testapp.tecmint.com;
root /var/www/html/testapp.tecmint.com/build;
index index.html;
location / {
try_files $uri $uri/ /index.html =404 =403 =500;
}
location /api {
proxy_pass http://api_service;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /documents {
limit_rate 20k;
limit_rate_after 500k;
}
}添加上述所需设置后,保存更改并关闭文件。之后,检查NGINX配置语法是否正确,如下所示:
$ sudo nginx -t如果一切正常,重新加载NGINX服务以使最新更改生效:
$ sudo systemctl reload nginx限制 NGINX 中的带宽和连接数
通过以上配置,客户端可以打开多个连接来增加带宽。因此,您还可以使用我们之前看到的 IP地址等参数来限制每个客户端的连接。
例如,您可以限制每个 IP 地址只能有一个连接。
upstream api_service {
server 127.0.0.1:9051;
server 10.1.1.77:9052;
}
limit_conn_zone $binary_remote_addr zone=limitconnbyaddr:20m;
limit_conn_status 429;
server {
listen 80;
server_name testapp.tecmint.com;
root /var/www/html/testapp.tecmint.com/build;
index index.html;
location / {
try_files $uri $uri/ /index.html =404 =403 =500;
}
location /api {
limit_conn limitconnbyaddr 5;
proxy_pass http://api_service;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /documents {
limit_rate 50k;
limit_rate_after 500k;
limit_conn limitconnbyaddr 1;
}
}在 NGINX 中动态限制带宽
作为limit_rate指令的参数值,您可以指定变量以动态限制带宽。在应根据特定条件限制速率的情况下,它特别有用。
在本例中,我们使用的是map块。它使您能够创建一个新变量,其值取决于第一个参数中指定的一个或多个原始变量($slow和$limit_rate)的值。
upstream api_service {
server 10.1.1.10:9051;
server 10.1.1.77:9052;
}
map $slow $limit_rate {
1 20k;
2 30k;
}
server {
listen 80;
server_name testapp.tecmint.com;
root /var/www/html/testapp.tecmint.com/build;
index index.html;
location / {
try_files $uri $uri/ /index.html =404 =403 =500;
}
location /api {
proxy_pass http://api_service;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header Host $host;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_http_version 1.1;
proxy_set_header Upgrade $http_upgrade;
proxy_set_header Connection "upgrade";
}
location /documents {
limit_rate $limit_rate;
limit_rate_after 500k;
}
}下面是另一个NGINX动态带宽限制的配置示例,此配置使 NGINX 能够根据 TLS 版本限制带宽。指令limit_rate_after 512表示发送标头后的限制速率。
upstream api_service {
server 10.1.1.10:9051;
server 10.1.1.77:9052;
}
map $ssl_protocol $response_rate {
"TLSv1.1" 50k;
"TLSv1.2" 100k;
"TLSv1.3" 500k;
}
server {
listen 443 ssl;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_certificate /etc/ssl/testapp.crt;
ssl_certificate_key /etc/ssl/testapp.key;
location / {
limit_rate $response_rate; # Limit bandwidth based on TLS version
limit_rate_after 512;
proxy_pass http://api_service;
}
}这就是我们在本系列的这一部分中为您准备的全部内容,我们将继续涵盖更多有关NGINX流量管理和安全控制的主题。
