1 つの記事で Nginx の現在の制限を理解する (簡単な実装)

Nginx は現在、最も人気のあるロードバランサーの 1 つです。インターネットトラフィックの急激な増加に直面し、特に同時実行性の高いシナリオでは、インターフェイス電流制限も非常に重要です。 Nginx には、アクセス頻度の制限と同時接続数の制限という、フローを制限する主な 2 つの方法があります。

レート制限は、NGINX の最も便利な機能の 1 つですが、最も誤解され、誤って設定される機能の 1 つでもあります。この機能を使用すると、一定期間内にユーザーが実行できる HTTP リクエストの数を制限できます。リクエストは、ホームページの GET リクエストやログインフォームの POST リクエストのように単純なものになります。
レート制限は、ブルートフォースパスワードクラッキング攻撃の速度を低下させるなど、セキュリティ目的にも使用できます。受信リクエストのレートを制限し、(ログ記録と組み合わせて) ターゲット URL をマークすることで、DDoS 攻撃から保護します。一般的に、電流制限は、上流のアプリケーションサーバーが同時に多数のユーザー要求によって圧倒されることを防ぐために使用されます。

NGINX レート制限の仕組み

NGINX スロットリングでは、帯域幅が制限されている場合のバーストを処理するために通信やパケット交換コンピュータネットワークで広く使用されているリーキーバケットアルゴリズムが使用されます。これは、上から水が満たされ、下から水が漏れているバケツに非常に似ています。水が満たされる速度が水が漏れる速度よりも速い場合、バケツは溢れてしまいます。

リクエスト処理プロセスでは、水はクライアントからのリクエストを表し、バケツは先入れ先出し (FIFO) アルゴリズムに従ってリクエストが処理されるのを待つキューを表します。漏れ水は、リクエストがバッファから出てサーバーによって処理されることを表し、オーバーフローは、リクエストがドロップされて処理されないことを表します。

1. アクセス頻度を制限する（通常のトラフィック）

Nginx では、リーキーバケットアルゴリズムの原理に基づいて、ngx_http_limit_req_module モジュールを使用してリクエストのアクセス頻度を制限します。次に、nginx の limit_req_zone および limit_req 命令を使用して、単一の IP のリクエスト処理レートを制限します。

構文: limit_req_zone key zone rate

key: 現在の制限オブジェクトを定義します。binary_remote_addr はキーであり、remote_addr (クライアント IP) に基づく現在の制限を意味します。binary_ の目的は、メモリ使用量を圧縮することです。
zone: アクセス情報を格納する共有メモリゾーンを定義します。myRateLimit:10m は、サイズが 10M で名前が myRateLimit のメモリ領域を示します。 1M では 16,000 個の IP アドレスのアクセス情報を保存でき、10M では 16W 個の IP アドレスのアクセス情報を保存できます。
rate は最大アクセスレートを設定するために使用されます。rate=10r/s は、1 秒あたり最大 10 件のリクエストが処理されることを意味します。 Nginx は実際にはリクエスト情報をミリ秒単位の精度で追跡するため、10r/s は実際の制限であり、100 ミリ秒ごとに 1 つのリクエストが処理されます。つまり、前のリクエストが処理されてから 100 ミリ秒以内に別のリクエストが到着した場合、そのリクエストは拒否されます。

2. アクセス頻度を制限する（バーストトラフィック）

上記の構成では、トラフィックが急増した場合、過剰なリクエストは拒否され、バーストトラフィックを処理できなくなります。では、バーストトラフィックにはどのように対処すればよいのでしょうか? Nginx はバーストトラフィックの問題を解決するために burst パラメータを提供しており、nodelay パラメータと組み合わせて使用されます。バーストとは、設定された処理速度を超えた後に処理できる追加リクエストの数を意味します。

burst=20 nodelay は、これらの 20 のリクエストが遅延なく即座に処理されることを意味し、これは特別な事項の特別な処理に相当します。ただし、これらの 20 件のバースト要求がすぐに処理されたとしても、後続の要求はすぐには処理されません。 burst=20 は、キャッシュキューの 20 スロットを占有するのと同じです。リクエストが処理されたとしても、これらの 20 スロットは 100 ミリ秒ごとに 1 つずつしか解放できません。これにより、安定したレートの効果が得られるだけでなく、突然のトラフィックフローにも正常に対処できるようになります。

3.同時接続数を制限する

Nginx の ngx_http_limit_conn_module モジュールは、リソース接続の数を制限する機能を提供します。これは、limit_conn_zone および limit_conn 命令を使用して実行できます。

limit_conn perip 20: 対応するキーは $binary_remote_addr です。これは、単一の IP が同時に保持できる接続が最大 20 に制限されていることを意味します。 limit_conn perserver 100: 対応するキーは $server_name で、仮想ホスト (サーバー) が同時に処理できる同時接続の合計数を示します。接続は、リクエストヘッダーがバックエンドサーバーによって処理された後にのみカウントされることに注意してください。

さて、上記の電流制限方法については理解できましたか?

以上がこの記事の全内容です。皆様の勉強のお役に立てれば幸いです。また、123WORDPRESS.COM を応援していただければ幸いです。

以下もご興味があるかもしれません: