有的时候站点可能会遭受到 DDOS,之前就遇到过某段时间被 DDOS 了,第二天就有 CDN 供应商打电话询问要不要买他们的服务,呵呵,因此对于 IP 限流是很有必要的。
最基本的配置:
limit_req_zone $binary_remote_addr zone=mylimit:10m rate=10r/s;
server {
location /login/ {
limit_req zone=mylimit;
proxy_pass http://my_upstream;
}
}
这里的 zone 是共享的内存块,可以存储数据,这里以 IP 作为 Key。
burst 参数
location /login/ {
limit_req zone=mylimit burst=20;
proxy_pass http://my_upstream;
}
在上面定义了 rate 为:10r/s,burst 相当于一个 queue,当请求超过 10r/s 的时候,前 10 个请求会正常返回,后面的 20 个请求会进入 queue ,,并且会以 10r/s 的出队列,再之后的所有请求都会被拒绝。
完整示例:
limit_req_zone $binary_remote_addr zone=ip:10m rate=5r/s;
server {
listen 80;
location / {
limit_req zone=ip burst=12 delay=8;
proxy_pass http://website;
}
} 
白名单
geo $limit {
default 1;
10.0.0.0/8 0;
192.168.0.0/24 0;
}
map $limit $limit_key {
0 "";
1 $binary_remote_addr;
}
limit_req_zone $limit_key zone=req_zone:10m rate=5r/s;
server {
location / {
limit_req zone=req_zone burst=10 nodelay;
# ...
}
}
