CentOS一些基础的知识
1、创建用户名为sam
sh -c “echo -n ‘sam:’ >> /etc/nginx/.htpasswd”
2、创建用户密码
sh -c “openssl passwd -apr1 >> /etc/nginx/.htpasswd”
3、添加到nginx配置
location / {
try_files $uri $uri/ =404;
#下列两行为新增
**auth_basic “Restricted Content”;
auth_basic_user_file /etc/nginx/.htpasswd;**
}
secure_link模块介绍
ngx_http_secure_link_module是nginx内置的一个防盗链模块
使用这个模块,可以有效的防止文件被其他网站盗用.
有效防止服务器流量流失.
secure_link模块如何启用
编译时加入以下参数(0.7.18后版本可用)
--with-http_secure_link_module
nginx设置secure_link
location / {
secure_link $arg_md5,$arg_expires; #设置两个变量
secure_link_md5 "key$remote_addr$arg_expires"; #设置md5,当作口令
if ($secure_link = "") {
return 403;
}
if ($secure_link = "0") {
return 410;
}
}
网站生成口令设置[php为例]
$secret = 'key'; // key,自定义秘钥
$ipip=$_SERVER["REMOTE_ADDR"];
$expires = time()+300; //这里是300妙内访问有效
$md5 = base64_encode(md5($secret . $ipip . $expires, true)); // MD5生成
$md5 = strtr($md5, '+/', '-_'); // + and / 替换掉
$md5 = str_replace('=', '', $md5); // 替换=
$url = "http://domain.com/test.zip?md5=$md5&expires=$expires"; //安全下载链接demo设置
$arr = array("url"=>$url, "expires"=>date("Y-m-d H:i:s", $expires), "md5"=>$md5);
echo json_encode($arr); //json格式输出
如何查看Nginx的运行状态信息?很简单,只要你在编译安装Nginx时添加了ngx_http_stub_status_module模块(一般都有的),然后
在配置文件里添加如下配置(高亮部分):
server {
listen 80;
server_name xxx;
…
location /status
{
stub_status on;
access_log off;
error_log off;
}
…
}
从浏览器中打开:http://www.yourdomain.com/status 可以看到类似以下的内容:
Active connections: 410
server accepts handled requests
30871298 30871298 105864919
Reading: 4 Writing: 8 Waiting: 398
active connections– 对后端发起的活动连接数
server accepts handled requests– nginx 总共处理了 30871298 个连接, 成功创建 30871298 次握手,总共处理了 105864919个请求
reading– nginx 读取到客户端的Header信息数
writing– nginx 返回给客户端的Header信息数
waiting– 开启 keep-alive 的情况下,这个值等于 active – (reading + writing),意思就是Nginx说已经处理完正在等候下一次请求指令的驻留连接
如果reading或writing的值很高,说明正在处理的数据量很大,可能是因为后端的php程序处理慢,拖了后腿,而一般来说,PHP之后以慢,是因为MYSQL,另一个原因很可能就是IO慢,或者客户端的网络慢(这种情况在国内常见些).因为CPU配置低的情况少见.
nginx 出现413 Request Entity Too Large问题的解决方法
使用php上传图片(大小1.9M),出现 nginx: 413 Request Entity Too Large 错误。
根据经验是服务器限制了上传文件的大小,但php默认的文件上传是2M,应该不会出现问题。
打开php.ini,把 upload_max_filesize 和 post_max_size 修改为20M,然后重启。
再次上传,问题依旧,可以排除php方面的问题。
原来nginx默认上传文件的大小是1M,可nginx的设置中修改。
解决方法如下:
打开nginx配置文件 nginx.conf, 路径一般是:/etc/nginx/nginx.conf。
在http{}段中加入 client_max_body_size 20m; 20m为允许最大上传的大小。
保存后重启nginx,问题解决。
一般的web服务器都是https单向认证,双向认证大部分用于企业对接,信任对方身份。比如该网站的接口不是所有人都可以访问,只允许一个或者部分持有证书的人访问。就需要双向认证
ubuntu 16.4
nginx或者OpenResty, 本文用的OpenResty 版本为:openresty-1.11.2.1
openssl genrsa -aes256 -out private/ca.pem 1024
openssl rsa -in private/ca.pem -out private/ca.key
openssl req -new -key private/ca.pem -out private/ca.csr
openssl x509 -req -days 365 -sha1 -signkey private/ca.pem -in private/ca.csr -out certs/ca.cer
用根证书签发server端证书
openssl genrsa -aes256 -out private/server.pem 1024
openssl rsa -in private/server.pem -out private/server.key
openssl req -new -key private/server.pem -out private/server.csr
openssl x509 -req -days 365 -sha1 -CA certs/ca.cer -CAkey private/ca.pem -CAserial ca.srl -in private/server.csr -out certs/server.cer
openssl genrsa -aes256 -out private/client.pem 1024
openssl rsa -in private/client.pem -out private/client.key
openssl req -new -key private/client.pem -out private/client.csr
openssl x509 -req -days 365 -sha1 -CA certs/ca.cer -CAkey private/ca.pem -CAserial ca.srl -in private/client.csr -out certs/client.cer
openssl pkcs12 -export -clcerts -inkey private/client.pem -in certs/client.cer -out certs/client.p12
openssl pkcs12 -export -clcerts -inkey private/server.pem -in certs/server.cer -out certs/server.p12
在生成客户端证书的时候在填写CN的时候不要和生成CA证书和服务端证书一样。测试好多次如果subj和CA,server一样的话浏览器一直是400错误。
server {
listen 443 ssl;
server_name www.soaer.com;
ssl on;
ssl_certificate /home/sunny/ca/certs/server.cer;
ssl_certificate_key /home/sunny/ca/private/server.key;
ssl_client_certificate /home/sunny/ca/certs/ca.cer;
ssl_verify_client on;
ssl_prefer_server_ciphers on;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers HIGH:!aNULL:!MD5;
location / {
root html;
index index.html index.htm;
}
}
浏览器中输入https://www.soaer.com, 如图所示,需要你选择发送给服务端的证书,此时选择client.p12证书文件
结果(成功)
zabbix安装在/usr/local/zabbix路径下,其相关配置文件及二进制执行程序都放置其中。
nginx安装在/usr/local/nginx下,其相关配置文件及二进制执行程序都放置其中。
php安装在/usr/local/php下,其相关配置文件及二进制执行程序都放置其中。
继续后面的操作前,请确认nginx和php-fpm的服务端口都处于监听状态。
使用nginx -V可以查看nginx是否将模块·http_stub_status_module`编译进包中:
[root@monitor-server2 zabbix_agentd.conf.d]# nginx -V
nginx version: nginx/1.10.3
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-18) (GCC)
built with OpenSSL 1.0.1e-fips 11 Feb 2013
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx-1.10.3
--with-http_ssl_module
--with-http_stub_status_module --with-pcre
#出现with-http_stub_status_module说明已装载status模块
一般在默认主机中增加如下location即可:
location /nginx_status {
stub_status on;
access_log off;
allow 127.0.0.1;
allow 192.168.249.0/24;
deny all;
nginx配置文件修改完成以后,使用nginx -t测试配置文件是否有明显逻辑及语法错误,没有问题则重载配置文件。
nginx -t
nginx -s reload
然后使用浏览器或者curl指令查看nginx status:
[root@monitor-server2 zabbix_agentd.conf.d]# curl localhost/nginx_status
Active connections: 2
server accepts handled requests
1585 1585 7785
Reading: 0 Writing: 1 Waiting: 1
php-fpm自带的有用于查询其工作状态的页面,需要进行如下 两步,以启用这一功能。
修改php-fpm.conf文件,去掉status页面的注释,并可以根据需要将其改名。操作如下:
vim /usr/local/php/etc/php-fpm.conf
pm.status_path = /php_fpm-status
#去掉了前面的;注释符,并更名为php_fpm-status
修改完php-fpm.conf后,使用service php-fpm reload重新加载配置文件,然后在浏览器或者使用curl指令查看php-fpm的status。操作如下:
[root@monitor-server2 zabbix_agentd.conf.d]# curl localhost/php_fpm-status
pool: www
process manager: dynamic
start time: 01/May/2017:15:14:23 +0800
start since: 29536
accepted conn: 5947
listen queue: 0
max listen queue: 3
listen queue len: 128
idle processes: 2
active processes: 1
total processes: 3
max active processes: 3
max children reached: 0
slow requests: 0
php-fpm的status可以查看汇总信息和详细信息,详细信息比汇总信息要多出每一个php-fpm进程的相关信息,同时支持多种格式输出,如xml、html和json,默认情况下分别使用如果指令即可:
Examples for summary status page:
http://example.com/status
http://example.com/status?json
http://example.com/status?html
http://example.com/status?xml
Example for detailed status page:
http://example.com/status?full
http://example.com/status?json&full
http://example.com/status?html&full
http://example.com/status?xml&full
使用何种格式查看status决定了后续使用zabbix进行监控获取status数值的方式。本文以上述curl localhost/php_fpm-status的输出为例。
在适当的位置,一般是/usr/local/zabbix/bin里准备脚本用于提取status里每个字段的数值。
此脚本为/usr/local/zabbix/bin/nginx_status.sh,其内容如下:
#!/bin/bash
#check nginx status
ip=127.0.0.1
function ping() { #用于检测nginx进程是否存在
/sbin/pidof nginx | wc -l
}
function active() { #用于提取status中的active数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '1p' | awk '{print $NF}'
}
function accepts() { #用于提取status中的accepts数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '3p' | awk '{print $1}'
}
function handled() { #用于提取status中的handled数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '3p' | awk '{print $2}'
}
function requests() { #用于提取status中的request数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '3p' | awk '{print $3}'
}
function reading() { #用于提取status中的reading数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '4p' | awk '{print $2}'
}
function writing() { #用于提取status中的writing数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '4p' | awk '{print $4}'
}
function waiting() { #用于提取status中的waiting数值
/usr/bin/curl http://$ip/nginx_status 2>/dev/null | sed -n '4p' | awk '{print $6}'
}
$1 #通过第一个位置参数的值来调用相应的函数
php-fpm status数值提取脚本为/usr/local/zabbix/bin/php_fpm_status.sh,内容如下:
#!/bin/bash
#check php-fpm status
case $1 in
ping) #检测php-fpm进程是否存在
/sbin/pidof php-fpm | wc -l
;;
start_since) #提取status中的start since数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==4{print $3}'
;;
conn) #提取status中的accepted conn数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==5{print $3}'
;;
listen_queue) #提取status中的listen queue数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==6{print $3}'
;;
max_listen_queue) #提取status中的max listen queue数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==7{print $4}'
;;
listen_queue_len) #提取status中的listen queue len
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==8{print $4}'
;;
idle_processes) #提取status中的idle processes数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==9{print $3}'
;;
active_processes) #提取status中的active processes数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==10{print $3}'
;;
total_processes) #提取status中的total processess数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==11{print $3}'
;;
max_active_processes) #提取status中的max active processes数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==12{print $4}'
;;
max_children_reached) #提取status中的max children reached数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==13{print $4}'
;;
slow_requests) #提取status中的slow requests数值
/usr/bin/curl localhost/php_fpm-status 2>/dev/null | awk 'NR==14{print $3}'
;;
*)
echo "Usage: $0 {conn|listen_queue|max_listen_queue|listen_queue_len|idle_processes|active_processess|total_processes|max_active_processes|max_children_reached|slow_requests}"
exit 1
;;
esac
在/usr/local/zabbix/etc/zabbix_agentd.d/中创建关联nginx status和php-fpm status的子配置文件,创建一个,或者在已有的某配置文件中增加也可以,我这里分别为它们创建配置文件,文件名可自定义,只要确保此文件夹全部内容在zabbix_agentd.conf中包含(include)了。
[root@monitor-server2 zabbix_agentd.conf.d]# cat userparameter_nginx.conf
#/usr/local/zabbix/bin/nginx_status.sh
UserParameter=nginx.status[*],/usr/local/zabbix/bin/nginx_status.sh $1
#这种写法比较简洁,参考zabbix 3.2.4中自带的的userparameter_examples.conf
UserParameter=nginx.version,/usr/local/nginx/sbin/nginx -v
#让zabbix-agentd获取nginx的版本信息 ,一切shell指令都推荐使用绝对路径
[root@monitor-server2 zabbix_agentd.conf.d]# cat userparameter_php-fpm.conf
#/usr/local/zabbix/bin/php_fpm_status.sh
UserParameter=php-fpm.status[*],/usr/local/zabbix/bin/php_fpm_status.sh $1
UserParameter=php-fpm.version,/usr/local/php/sbin/php-fpm -v | awk 'NR==1{print $0}'
#获取php-fpm版本信息
确认在/usr/local/zabbix/etc/zabbix_agentd.conf中包含:Include=/usr/local/zabbix/etc/zabbix_agentd.conf.d/且没有被注释。
service zabbix_agentd restart 让zabbix_agentd加载新的配置文件。
在zabbix server上使用如下指令测试能否获取到nginx和php-fpm status数值。
[root@monitor-server2 zabbix_agentd.conf.d]# zabbix_get -s 127.0.0.1 -k 'nginx.status[ping]'
1
[root@monitor-server2 zabbix_agentd.conf.d]# zabbix_get -s 127.0.0.1 -k 'nginx.status[active]'
6
[root@monitor-server2 zabbix_agentd.conf.d]# zabbix_get -s 127.0.0.1 -k 'nginx.status[requests]'
1841
[root@monitor-server2 zabbix_agentd.conf.d]# zabbix_get -s 127.0.0.1 -k 'php-fpm.status[ping]'
1
[root@monitor-server2 zabbix_agentd.conf.d]# zabbix_get -s 127.0.0.1 -k 'php-fpm.status[conn]'
1247
注意:
这里的模板包含对nginx status和php-fpm status要监控的item、trigger、Graphs等一系列内容。对于在zabbix server上新增要监控的内容,最好的办法就是从模板开始,然后按照顺序依次配置相应内容,无需去网上找现成的模板导入,对于系统的监控按需配置是最好的。下面是相应的操作过程。
新建nginx status模板
定义nginx status模板
新建nginxApplication
定义nginx status items,这里我使用的是被动临控
增加nginx status状态码映射
nginx trigger定义
定义nginx监控视图
php-fpm status的模板添加步骤和上述方法一样,此处不在赘述。
给主机或主机组关联模板
查看监控效果可以通过查看Monitoring—->Latest data,过滤出相应的主机及应用名进行查看,最新收集的各item的监控结果,凡是监控到数据的item会显示数据,出现灰色的表示没有监控到数据,需要排查原因。如下所示:
nginx的监控数据
也可以通过定义的Graphs查看监控效果:
nginx statur监控视图
zabbix中要实现对用户自定义的item的监控,大致过程如下:
Brotli 是 Google 开发的一种压缩格式,它通过内置分析大量网页得出的字典,实现了更高的压缩比率,同时几乎不影响压缩 / 解压速度。
本站通过 ngx_brotli 模块来让 Nginx 支持 Brotli 压缩方式。本文介绍其配置方式。
若要启用 ngx_brotli 模块,需要在编译 Nginx 时,加入相应模块:
# get source
git clone https://github.com/google/ngx_brotli.git
cd ngx_brotli
git submodule update --init
cd ..
# configure
./configure ... --add-module=../ngx_brotli
安装完成 ngx_brotli 模块后,你就可以在配置文件里启用它了:
# 配置段: http, server, location
# 开启 ngx_brotli 压缩
brotli on;
# 指定压缩数据的最小长度,只有大于或等于最小长度才会对其压缩。这里指定 20 字节
brotli_min_length 20;
# Brotli 请求缓冲区的数量和大小
brotli_buffers 16 10k;
# Brotli 使用的窗口值。默认值为 512k
brotli_window 512k;
# 压缩水平可以是 0 到 11,默认值是 6。太高的压缩水平对性能提升并没有太大好处,因为这需要更多的 CPU 时间
brotli_comp_level 6;
# 指定允许进行压缩的回复类型
brotli_types text/html text/xml text/plain application/json text/css image/svg application/font-woff application/vnd.ms-fontobject application/vnd.apple.mpegurl application/javascript image/x-icon image/jpeg image/gif image/png;
# 是否允许查找预处理好的、以 .br 结尾的压缩文件。可选值为 on、off、always
brotli_static always;
之前在度娘搜索资料,无意间看到一些个人站点的博客都用了https协议,在浏览器地址栏中被标记为绿色的“安全”,前些天特地给自己负责的小项目升级成https协议,其优点这里不再赘述,小伙伴们可以自行百度,今天把整合部署分享在这里,希望小伙伴们少走弯路~
效果如下:
软件版本如下:
首先我们创建一个用来存放letsencrypt生成证书项目的路径并进入:
cd /usr/local/letsencrypt
接下来我们克隆letsencrypt项目:
git clone https://github.com/letsencrypt/letsencrypt
开始生成SSL证书:
./letsencrypt-auto certonly --standalone --email [email protected] -d www.test1.com -d www.test2.com --agree-tos
这里一定注意:
(1). 域名绑定在国内DNS服务器无法生成,需要先将DNS服务器切换到DNS服务商,例如ClouldFlare、Godaddy、Dnsever后才能正常生成!
(2). web服务需要处于关闭状态,注意关闭nginx和80端口的占用!(不间断服务方式生成可以自行百度)
(3). -d 代表domain 可以同时生成多个域名对应证书,生成后我们可以在默认目录中看到:
/etc/letsencrypt/live/www.test.com/
cert.pem(用户证书)
chain.pem(中间证书)
fullchain.pem(证书链)
privkey.pem(证书私钥)
最后我们生成Perfect Forward Security(PFS)键值,具体作用可以自行百度:
mkdir /etc/ssl/private/ -p
cd /etc/ssl/private/
openssl dhparam 2048 -out dhparam.pem
#Tomcat 8080端口
upstream tomcat_8080{
server 127.0.0.1:8080 weight=1;
}
#将所有http协议内容重定向到https协议
server {
listen 80;
server_name www.test.com;
rewrite ^ https://$server_name$request_uri? permanent;
}
#https协议
server {
listen 443;
server_name www.test.com;
# letsencrypt生成的文件
ssl on;
ssl_certificate /etc/letsencrypt/live/www.test.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.test.com/privkey.pem;
ssl_session_timeout 1d;
ssl_session_cache shared:SSL:50m;
ssl_session_tickets on;
ssl_dhparam /etc/ssl/private/dhparam.pem;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# 一般推荐使用的ssl_ciphers值: https://wiki.mozilla.org/Security/Server_Side_TLS
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128:AES256:AES:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK';
ssl_prefer_server_ciphers on;
# 代理tomcat
location / {
proxy_set_header Host $http_host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
proxy_set_header Cookie $http_cookie;
proxy_pass http://tomcat_8080;
#proxy_redirect default;
}
access_log /home/wwwlogs/www.test.com_access.log;
error_log /home/wwwlogs/www.test.com_error.log;
}
1、Connector节点将redirectPort=”8443″修改为 redirectPort=”443″ proxyPort=”443″最终为:
<Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="443" proxyPort="443" />
2、找到Engine节点,在最后一个Host标签后加入:
<Host name="www.test.com" debug="0" appBase="webapps" unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false">
<Valve className="org.apache.catalina.valves.RemoteIpValve"
remoteIpHeader="x-forwarded-for"
remoteIpProxiesHeader="x-forwarded-by"
protocolHeader="x-forwarded-proto"/>
<Context docBase="/www/java/projectName" path="" crossContext="true" debug="3" privileged="true" reloadable="false" deubt="true" />
</Host>
我们将域名解析到自己服务器后,点击Crypto选项卡,将SSL状态修改为Full(strict)模式,在这种模式下会使用你服务器中的ssl证书,否则会导致页面无限301跳转,导致chrome提示重定向次数过多,请求失败!
PHP 里开启实时输出方法是ob_implicit_flush(),
但它大部分情况下都不管用,
因为php.ini配置里output_buffering输出缓冲大部分是On开启的,
还有zlib.output_compression也经常会被开启,
除了 PHP 这一层,还有 Nginx 的缓冲设置proxy_buffering,和压缩gzip也大都是开启的。
为了一两个页面的需求,修改整个服务器的网站配置,恐怕没有人会做这种选择。
这里推荐一下简单的方法:
set_time_limit(0);
ob_end_clean();
ob_implicit_flush();
header('X-Accel-Buffering: no'); // 关键是加了这一行。
echo '现在是:'.date('H:i:s').'<br>';
sleep(5);
echo '五秒后:'.date('H:i:s');
现在有许多初学者学习网络爬虫,但他们不懂得控制速度,导致服务器资源浪费。通过 Nginx 的简单配置,能过滤一小部分这类爬虫。
Nginx 参考配置如下:
location / {
if ($http_user_agent ~* "scrapy|python|curl|java|wget|httpclient|okhttp") {
return 503;
}
# 正常请求
}
这里只列出了部分爬虫的 User-Agent,需要更多请参考:GitHub – JayBizzle/Crawler-Detect
注意:User-Agent 很容易修改
通过禁止某个 IP 或者某个 IP 段访问,也能起到一定效果。 Nginx 示例配置如下:
deny 178.238.234.1;
deny 1.32.128.0/18;
通过限制某个 IP 的访问频率,避免一部分 CC (Challenge Collapsar)攻击。
Nginx 示例配置如下:
http{
#定义一个名为allips的limit_req_zone用来存储session,大小是10M内存,
#以$binary_remote_addr 为key,限制平均每秒的请求为20个,
#1M能存储16000个状态,rete的值必须为整数,
#如果限制两秒钟一个请求,可以设置成30r/m
limit_req_zone $binary_remote_addr zone=allips:10m rate=20r/s;
...
server{
...
location {
...
#限制每ip每秒不超过20个请求,漏桶数burst为5
#brust的意思就是,如果第1秒、2,3,4秒请求为19个,
#第5秒的请求为25个是被允许的。
#但是如果你第1秒就25个请求,第2秒超过20的请求返回503错误。
#nodelay,如果不设置该选项,严格使用平均速率限制请求数,
#第1秒25个请求时,5个请求放到第2秒执行,
#设置nodelay,25个请求将在第1秒执行。
limit_req zone=allips burst=5 nodelay;
...
}
...
}
...
}
当然,攻击者也可以使用代理IP来破除频率限制。建议在网站前面加一层 CDN。