首页 > 系统相关 >nginx做白名单和限流

nginx做白名单和限流

时间:2024-02-18 16:23:33浏览次数:31  
标签:-- ngx redis tokens nginx 限流 白名单 local

​ 在我们生产环境中使用到了地图服务,每个月有免费请求次数,近一个月请求次数突然暴涨,导致直接开启付费模式,一个月上百刀的花销着实难扛,根据实际我们的业务使用情况,远达不到付费标准,故考虑做白名单和限流措施,基于以上情况并遇到春节急需快速处理,所以选择了最简单方便的方式,通过nginx做限流

​ 我们都知道nginx里面是可以用lua脚本做一些稍微复杂些的逻辑处理的,要使用lua脚本需要编译lua解释器,时间有限我直接用了openresty,它集成了lua和nginx

1、openresty是什么?

OpenResty是一个基于Nginx的高性能Web平台,用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。具备下列特点:

具备Nginx的完整功能
基于Lua语言进行扩展,集成了大量精良的 Lua 库、第三方模块,允许使用Lua自定义业务逻辑、自定义库

二、OpenResty的安装

1、添加OpenResty仓库

# 由于公共库中找不到openresty,所以需要添加openresty的源仓库
yum-config-manager --add-repo https://openresty.org/package/centos/openresty.repo

# 注意,如果上面命令提示不存在,那就先安装一下
yum install -y yum-utils

2. 安装OpenResty

# 安装openresty
yum install -y openresty
# 安装OpenResty管理工具,帮助我们安装第三方的Lua模块
yum install -y openresty-opm

3、目录结构

​ 默认安装在/usr/local/openresty

![image-20240205182218056](/Users/sunarmy/Library/Application Support/typora-user-images/image-20240205182218056.png)

看到里面有一个nginx目录,进去可以看到跟我们平常用的nginx是一模一样的,OpenResty就是在Nginx基础上集成了一些Lua模块

到这里我们就安装好了

7. 启动和运行

OpenResty底层是基于Nginx的,查看OpenResty目录的nginx目录,结构与windows中安装的nginx基本一致:

所以这个里面的nginx和平常的nginx是一样的

1)nginx配置文件
worker_processes 1;
events {
    worker_connections 1024;
}
http {
    server{
        listen 999;
        server_name  localhost;
        location /mapbox/ {
            access_by_lua_file "/usr/local/openresty/nginx/lua_script/rule.lua";
            proxy_pass https://api.mapbox.com/;
            proxy_ssl_server_name on;
        }
    }
}

2)lua脚本文件(白名单加限流)

通过两个redis的key,map_request_limitation:存放令牌数量,map_request_white_list:白名单列表;白名单的IP,无需限流,只有白名单之外的才需要限流

-- 其实这两个值可以从redis取  甚至可以给每个qrcode设置单独的速率和容积
-- 但如果想监听桶的状态  需要持续的请求, 只有每次请求后才重新计算并更新桶状态 否则桶状态不变
local tokens_per_second = 0.2  -- 生成速率 /s
local max_tokens = 10  -- 最大溶剂

local current_time = ngx.now()
local path = ngx.var.uri
local redis_key = "map_request_limitation"
local redis_key_white_list = "map_request_white_list"

local client_ip = ngx.var.remote_addr
-- local redis_key = "path:" .. path

-- 连接Redis
local redis = require "resty.redis"
local red = redis:new()
red:set_timeout(1000)
local ok, err = red:connect("127.0.0.1", 6379)
if not ok then
    ngx.log(ngx.ERR, "Redis连接失败: ", err)
    return ngx.exit(500)
end
-- 权限校验
local res, err = red:auth("123456")
if not res then
    ngx.say("failed to authenticate: ", err)
    return
end
-- 发送 Lua 脚本(保证redis原子性操作)
local script = [[

    local redis_key = KEYS[1]
    local redis_white_list_key = KEYS[2]
    local tokens_per_second = tonumber(ARGV[1])
    local max_tokens = tonumber(ARGV[2])
    local current_time = tonumber(ARGV[3])
    local client_ip = ARGV[4]
    
    -- ip是否存在列表中
    local is_in_whitelist, err = redis.call('sismember', redis_white_list_key, client_ip)
    if is_in_whitelist == 1 then
        return 1
    end

    -- 获取上次访问时间和令牌数量
    local res = redis.call('HMGET', redis_key, 'last_access_time', 'tokens')
    local last_access_time
    local last_tokens
    if res[1] and res[2] then
	last_tokens = res[2]
	last_access_time =  res[1]
    end

    -- 计算时间间隔
    local time_passed = current_time - (tonumber(last_access_time) or 0)

    -- 计算新的令牌数量
    last_tokens = last_tokens and tonumber(last_tokens) or max_tokens
    local new_tokens = math.min(max_tokens, last_tokens + time_passed * tokens_per_second)

    -- 判断令牌数量是否足够
    if new_tokens >= 1 then
        -- 消耗令牌
        redis.call('HMSET', redis_key, 'last_access_time', current_time, 'tokens', new_tokens - 1)
        return 1
    else
        return 0
    end
]]

-- 执行脚本
local result = red:eval(script, 2, redis_key, redis_key_white_list,tokens_per_second, max_tokens,current_time,client_ip)

if result == 1 then
    -- 成功
    ngx.log(ngx.INFO, "成功")
else
    -- 令牌不足
    ngx.status = ngx.HTTP_TOO_MANY_REQUESTS
    ngx.say("OVERLOAD!!!!",result)
    return ngx.exit(ngx.HTTP_TOO_MANY_REQUESTS)
end

-- 返还redis连接到连接池
local ok, err = red:set_keepalive(10000, 100)
if not ok then
    ngx.log(ngx.ERR, err)
end

启动之后当通过这个999端口访问之后,我们在redis里面可以看到以下两个key,白名单可以自行添加,即时生效

标签:--,ngx,redis,tokens,nginx,限流,白名单,local
From: https://www.cnblogs.com/KingArmy/p/18019489

相关文章

  • Nginx实现四层/七层负载均衡
    Nginx实现四层负载均衡什么是四层负载均衡四层、七层都是指OSI网络模型的。四层就是在传输层(TCP、UDP那一层)做端口转发(端口映射)四层负载均衡应用场景1、4层+7层来做负载均衡,四层可以保证七层负载均衡的高可用。2、TCP协议的负载均衡。有些请求是TCP协议的(mysql、ssh),或者说这......
  • nginx 配置ipv6
    nginx 配置ipv6注意:从Nginx1.3的某个版本起,默认ipv6only是打开的。ipv6兼容ipv4端口模式不可以复用,复用会显示端口被占用,意思是不能部署两个server,要想复用,用本文中最后那个方法。一、只监听IPV61、方法一server{....listen[::]:80;...}2、方法二server{..........
  • Nginx系列--rewrite的使用
    原文网址:​​Nginx系列--rewrite的使用_IT利刃出鞘的博客-CSDN博客​​简介本文介绍Nginx中rewrite的使用。分享Java技术星球(自学精灵):​​learn.skyofit.com​​语法rewriteregexURL[flag];flag标志位last:停止处理rewrite,并对配更改后的URI重新进行搜索(再从server......
  • Nginx系列--转发请求的方法
    原文网址:​​Nginx系列--转发请求的方法_IT利刃出鞘的博客-CSDN博客​​简介说明本文介绍Nginx转发请求的方法。分享Java技术星球(自学精灵):​​https://learn.skyofit.com/​​需求用户访问aaa.com/bbb时,实际访问的是bbb123.com。方案1:return方法server{listen......
  • 第24天:安全开发-PHP应用&文件管理模块&显示上传&黑白名单类型过滤&访问控制
    #文件管理模块-上传-过滤机制1、无过滤机制2、黑名单过滤机制3、白名单过滤机制4、文件类型过滤机制 $_FILES:PHP中一个预定义的超全局变量,用于在上传文件时从客户端接收文件,并将其保存到服务器上。它是一个包含上传文件信息的数组,包括文件名、类型、大小、临时文件名等信息......
  • Django+nginx+uwsgi
    在云服务器上搭建web网站服务器的系统是CentOS7.6一、安装Python3.8.181、安装gccyuminstallgcc-y2、安装编译python的依赖yuminstallzlibzlib-devel-yyuminstallbzip2bzip2-devel-yyuminstallncursesncurses-devel-yyuminstallreadlinereadline-d......
  • kube-apiserver限流配置
    k8sv1.19.0APF之前限流客户端访问kube-apiserver,限流参数有max-mutating-requests-inflight(默认值是200,对应操作类请求)和max-requests-inflight(默认值是400,对应查询类请求)。staging/src/k8s.io/apiserver/pkg/server/filters/maxinflight.goWithMaxInFlightLimit函数分别创建......
  • nginx容器配置方案
    nginx容器配置可以参考docker官网nginx页面的默认配置docker-nginx官网howtouseimage这里面提供了一些demo,可以帮助我们快速的启动nginx容器,并且除了常规的挂载、端口等基本配置外,还提供了以只读方式启动、以debug模式启动、设置日志等级环境变量等演示。下文仅是博主根据......
  • 5小步快速集成使用sentinel限流
    在微服务系统中,缓存、限流、熔断是保证系统高可用的三板斧。本文通过如下几个小步骤,即可让spring项目快速集成使用sentinel实现系统限流。1、环境和资源准备sentinel支持许多流控方式,比如:单机限流、熔断降级、集群限流、系统保护规则、黑白名单授权等。本文介绍如何快速集成......
  • Ubuntu服务器使用 Daphne + Nginx + supervisor部署Django项目
    视频:https://www.bilibili.com/video/BV1e6421G7uM/?vd_source=36191bed2c30378060ff2efe6831b331Django从3.0版开始加入对ASGI的支持,使Django开始具有异步功能。截止目前的5.0版,对异步支持逐步也越来越好,相信在未来的版本中异步将会支持的更加完善。所以说,我们也需要适时的......