Nginx--用户认证&&访问控制&&限速&&状态访问
一 用户认证
某些网页只希望给特定的用户访问,可以设置用户认证,使用户访问时需要进行身份认证,只有认证通过才可访问网页
location / { root html; index index.html index.htm; auth_basic "haha"; #服务器描述信息 auth_basic_user_file /usr/local/nginx/passwd.db; #存放用户和密码的文件 }
#下载命令
[root@localhost ~]# yum provides htpasswd [root@localhost ~]# yum -y install httpd-tools-2.4.6-95.el7.centos.x86_64
#设置用户及密码 [root@localhost ~]# htpasswd -c /usr/local/nginx/passwd.db user1 New password: Re-type new password: Adding password for user user1
二 访问控制
作用同用户认证,对访问的客户端进行限制,可与用户认证一起使用
location / { root html; index index.html index.htm; allow 192.168.10.0/24; #允许192.168.10网段的访问,可写固定ip(做实验先拒绝198网段访问) deny all; #拒绝所有用户访问,优先级从上至下 }
nginx -s reload
三 限速
nginx限速可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块来实现限速的功能
1 ngx_http_limit_conn_module 主要限制下载速度
并发连接限制
http { ... limit_conn_zone $binary_remote_addr zone=aming:10m; #定义一个内存区块索引aming,大小为10m,它以$binary_remote_addr作为key ... server { ... limit_conn aming 10; #定义针对aming这个zone,并发连接为10个(单个IP的并发最多为10个) ... } }
速度限制
location / {
root html;
index index.html index.htm;
limit_rate_after 512k; #当文件下载到指定大小之后开始限速(以下两个参数对每个请求限制)
limit_rate 150k; #限制下载速度为150k
}
2 ngx_http_limit_req_module 主要限制请求数
limit_req_zone
语法: limit_req_zone $variable zone=name:size rate=rate; 默认值: none 配置段: http 设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量 键的值就是指定的变量(空值不会被计算) 如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s; 说明:区域名称为one,大小为10m,平均处理的请求频率不能超过每秒一次,键值是客户端IP 使用$binary_remote_addr变量, 可以将每条状态记录的大小减少到64个字节,这样1M的内存可以保存大约1万6千个64字节的记录 如果限制域的存储空间耗尽了,对于后续所有请求,服务器都会返回 503 (Service Temporarily Unavailable)错误 速度可以设置为每秒处理请求数和每分钟处理请求数,其值必须是整数 即如果需要指定每秒处理少于1个的请求,2秒处理一个请求,可以使用 “30r/m”
limit_req
语法: limit_req zone=name [burst=number] [nodelay]; 默认值: — 配置段: http, server, location 设置对应的共享内存限制域和允许被处理的最大请求数阈值 如果请求的频率超过了限制域配置的值,请求处理会被延迟,所以所有的请求都是以定义的频率被处理的 超过频率限制的请求会被延迟,直到被延迟的请求数超过了定义的阈值 这时,这个请求会被终止,并返回503 (Service Temporarily Unavailable) 错误 这个阈值的默认值为0。如: limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s; server { location / { limit_req zone=aming burst=5; } } 限制平均每秒不超过一个请求,同时允许超过频率限制的请求数不多于5个 如果不希望超过的请求被延迟,可以用nodelay参数,如: limit_req zone=aming burst=5 nodelay;
3 设置白名单
如果是针对公司内部IP或者lo(127.0.0.1)不进行限速,需要用到geo模块
例:把127.0.0.1和192.168.198.0/24网段设置为白名单
http { geo $limited { default 1; 127.0.0.1/32 0; 192.168.100.0/24 0; } map $limited $limit { 1 $binary_remote_addr; 0 ""; } limit_req_zone $limit zone=aming:10m rate=1r/s; server { location / { limit_req zone=aming burst=5; } } }
四 状态访问
主要用于对服务器的监控,通过访问这个网页得知nginx的连接的相关信息,可设置只允许管理员访问
location = /status {
stub_status on;
access_log off;
allow 127.0.0.1;
deny all;
}
Active connections: 2 #活动连接数 server accepts handled requests #总共连接数 成功创建n次握手(相等表示中间没有失败) 处理了n个请求 13 13 20 Reading: 0 Writing: 1 Waiting: 1 #读取到客户端的Header信息数 返回给客户端的Header信息数
#Waiting:开启keep-alive的情况下,这个值等于active - (reading + writing),意思就是Nginx说已经处理完正在等候下一次请求指令的驻留连接