Nginx--用户认证&&访问控制&&限速&&状态访问

一 用户认证

　某些网页只希望给特定的用户访问，可以设置用户认证，使用户访问时需要进行身份认证，只有认证通过才可访问网页

location / {
        root   html;
        index  index.html index.htm;
        auth_basic "haha";　　　　　　　　　　　　　　　　　　　　#服务器描述信息
        auth_basic_user_file  /usr/local/nginx/passwd.db;　 #存放用户和密码的文件
}

#下载命令
[root@localhost ~]# yum provides htpasswd
[root@localhost ~]# yum -y install httpd-tools-2.4.6-95.el7.centos.x86_64

#设置用户及密码
[root@localhost ~]# htpasswd -c /usr/local/nginx/passwd.db user1
New password: 
Re-type new password: 
Adding password for user user1

 

 

二 访问控制

　作用同用户认证，对访问的客户端进行限制，可与用户认证一起使用

location / {
        root   html;
        index  index.html index.htm;
        allow   192.168.10.0/24;　　　　#允许192.168.10网段的访问，可写固定ip（做实验先拒绝198网段访问）
        deny    all;　　　　　　　　　　　 #拒绝所有用户访问，优先级从上至下
}

nginx -s reload

 

 

三 限速

　nginx限速可以通过 ngx_http_limit_conn_module 和 ngx_http_limit_req_module 模块来实现限速的功能

　1 ngx_http_limit_conn_module 主要限制下载速度

　　并发连接限制

http
{
    ...
    limit_conn_zone $binary_remote_addr zone=aming:10m;    #定义一个内存区块索引aming，大小为10m，它以$binary_remote_addr作为key
    ...
    server
    {
        ...
        limit_conn aming 10;    　　　　　　　　　　　　　　　　#定义针对aming这个zone，并发连接为10个（单个IP的并发最多为10个）
        ...   
    }
}

　　速度限制

location / {
    root        html;
    index       index.html index.htm;
    limit_rate_after 512k;                    #当文件下载到指定大小之后开始限速（以下两个参数对每个请求限制）
    limit_rate 150k;                          #限制下载速度为150k
}

　2 ngx_http_limit_req_module 主要限制请求数

　　limit_req_zone

语法: limit_req_zone $variable zone=name:size rate=rate;
默认值: none
配置段: http

设置一块共享内存限制域用来保存键值的状态参数。 特别是保存了当前超出请求的数量
键的值就是指定的变量（空值不会被计算）
如limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

说明：区域名称为one，大小为10m，平均处理的请求频率不能超过每秒一次,键值是客户端IP
使用$binary_remote_addr变量， 可以将每条状态记录的大小减少到64个字节，这样1M的内存可以保存大约1万6千个64字节的记录
如果限制域的存储空间耗尽了，对于后续所有请求，服务器都会返回 503 (Service Temporarily Unavailable)错误
速度可以设置为每秒处理请求数和每分钟处理请求数，其值必须是整数
即如果需要指定每秒处理少于1个的请求，2秒处理一个请求，可以使用 “30r/m”

　　limit_req

语法: limit_req zone=name [burst=number] [nodelay];
默认值: —
配置段: http, server, location

设置对应的共享内存限制域和允许被处理的最大请求数阈值
如果请求的频率超过了限制域配置的值，请求处理会被延迟，所以所有的请求都是以定义的频率被处理的
超过频率限制的请求会被延迟，直到被延迟的请求数超过了定义的阈值
这时，这个请求会被终止，并返回503 (Service Temporarily Unavailable) 错误

这个阈值的默认值为0。如：
limit_req_zone $binary_remote_addr zone=aming:10m rate=1r/s;
server {
    location / {
        limit_req zone=aming burst=5;
    }
}

限制平均每秒不超过一个请求，同时允许超过频率限制的请求数不多于5个

如果不希望超过的请求被延迟，可以用nodelay参数,如：

limit_req zone=aming burst=5 nodelay;

　3 设置白名单

　　如果是针对公司内部IP或者lo（127.0.0.1）不进行限速，需要用到geo模块

　　例：把127.0.0.1和192.168.198.0/24网段设置为白名单

http {
    geo $limited {
        default 1;
        127.0.0.1/32 0;
        192.168.100.0/24 0;
    }

    map $limited $limit {
        1 $binary_remote_addr;
        0 "";
    }
    
    limit_req_zone $limit zone=aming:10m rate=1r/s;

    server {
        location / {  
            limit_req zone=aming burst=5;
        }
    }
}

 

四 状态访问

　主要用于对服务器的监控，通过访问这个网页得知nginx的连接的相关信息，可设置只允许管理员访问

location = /status {
        stub_status on;
        access_log off;
　　　　　allow 127.0.0.1;
　　　　  deny all;
}

Active connections: 2 　　　　　　　　#活动连接数
server accepts handled requests　　 #总共连接数 成功创建n次握手(相等表示中间没有失败) 处理了n个请求
 13 13 20 
Reading: 0 Writing: 1 Waiting: 1 　 #读取到客户端的Header信息数  返回给客户端的Header信息数
　　　　　　　　　　　　　　　　　　　　　 #Waiting：开启keep-alive的情况下,这个值等于active - (reading + writing),意思就是Nginx说已经处理完正在等候下一次请求指令的驻留连接