限制NGINX中的连接（请求）速率的简单方法

此前已经介绍过限制NGINX中的连接数的方法，在本文当中，小编将简单介绍限制NGINX中的请求速率的方法。

速率限制是一种流量管理技术，用于限制客户端在给定时间段内可以发出的HTTP请求数量 – 速率限制以每秒请求数（或RPS）计算。

请求的一个示例是对应用程序登录页面的GET请求或登录表单上的POST请求或API端点上的POST 。限制对Web应用程序或API服务的请求速率的原因有很多，其中之一是安全性，即防止滥用快速请求。

限制 NGINX 中的连接速率

首先使用limit_req_zone指令定义速率限制参数。所需的参数是用于识别客户端的密钥、将存储密钥状态的共享内存区域以及它访问请求限制 URL 的频率以及速率。

limit_req_zone指令在 HTTP上下文中有效。

limit_req_zone $binary_remote_addr zone=limitreqsbyaddr:20m rate=10r/s;

此外，使用limit_req_status在 HTTP、服务器和位置上下文中有效的指令设置返回给被拒绝请求的响应状态代码。

limit_req_status 429;

现在，可以使用该limint_conn指令在HTTP、服务器和位置上下文中启用请求速率限制。它需要一个内存区域作为参数和其他可选参数。

limit_req zone=limitreqsbyaddr;

以下配置示例显示了限制对 Web应用程序 API 的请求速率。共享内存大小为20MB，请求速率限制为每秒10个请求。

upstream api_service {
    server 127.0.0.1:9051;
    server 10.1.1.77:9052;
}
limit_req_zone $binary_remote_addr zone=limitreqsbyaddr:20m rate=10r/s;
limit_req_status 429;

server {
    listen 80;
    server_name testapp.idccoupon.com;
    root /var/www/html/testapp.idccoupon.com/build;
    index index.html;

    #include snippets/error_pages.conf;
    proxy_read_timeout 600;
    proxy_connect_timeout 600;
    proxy_send_timeout 600;
    location / {
        try_files $uri $uri/ /index.html =404 =403 =500;
    }
    location /api {
        limit_req zone=limitregsbyaddr;
        proxy_pass http://api_service;

        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

       
   }
}

保存配置文件并关闭它。

然后使用以下命令检查NGINX配置语法是否正确：

$ sudo nginx -t

之后，重新加载NGINX服务并应用最新的更改：

$ sudo systemctl reload nginx

一旦单个客户端访问超过每秒10个请求的速率限制/api/，NGINX会向客户端返回“ 429 Too many requests ”错误。

它还将事件记录在系统错误日志中。

2022/05/01 00:30:38 [error] 3145846#0: *131039 limiting requests, excess: 0.990 by zone "limitreqsbyaddr", client: 192.168.1.10, server: testapp.idccoupon.com, request: "GET /api/v1/app/meta-data HTTP/1.1", host: "testapp.idccoupon.com", referrer: "https://testapp.idccoupon.com/"

有时，根据应用程序或API的性质，客户端需要同时发出许多请求，然后在一段时间内降低其速率，然后再发出更多请求。NGINX 还可以在队列中缓冲任何多余的请求并及时处理它们。

你可以使用带有burst参数的limit_req指令在速率限制中启用此行为，要启用无延迟队列，请添加nodelay参数。

limit_req zone=limitregsbyaddr burst=20 nodelay;

基于客户端IP的速率限制存在一个问题，特别是对于从同一网络访问应用程序并在NAT后面运行的用户。在这种情况下，他们的所有请求都来自同一个IP地址，这时候可以使用其他变量来识别客户端，例如会话cookie。