Nginx现在已经是最火的负载均衡之一，在流量陡增的互联网面前，接口限流也是很有必要的，尤其是针对高并发的场景。Nginx的限流主要是两种方式：限制访问频率和限制并发连接数。

1. 速率限流

1.1 语法

Nginx中我们使用ngx_http_limit_req_module模块来限制请求的访问频率，基于漏桶算法原理实现。接下来我们使用 nginx limit_req_zone 和 limit_req 两个指令，限制单个IP的请求处理速率：

语法：limit_req_zone key zone rate

key:定义限流对象，binary_remote_addr 是一种key，表示基于 remote_addr(客户端IP) 来做限流，binary_ 的目的是压缩内存占用量。

zone:定义共享内存区来存储访问信息， myRateLimit:10m 表示一个大小为10M，名字为myRateLimit的内存区域。1M能存储16000 IP地址的访问信息，10M可以存储16W IP地址访问信息。

rate:用于设置最大访问速率，rate=10r/s 表示每秒最多处理10个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息，因此 10r/s 实际上是限制：每100毫秒处理一个请求。这意味着，自上一个请求处理完后，若后续100毫秒内又有请求到达，将拒绝处理该请求。

1.2 实战

我们首先需要配置缓存空间，然后再对应的请求下面设置限流配置即可。

重启启动nginx，频繁访问具有限流配置的请求。

1.3 突发流量缓冲

按上面的配置在流量突然增大时，超出的请求将被拒绝，无法处理突发流量，那么在处理突发流量的时候，该怎么处理呢？Nginx提供了 burst 参数来解决突发流量的问题，并结合 nodelay 参数一起使用。burst 译为突发、爆发，表示在超过设定的处理速率后能额外处理的请求数。

burst=5 nodelay表示这5个请求立马处理，不能延迟，相当于特事特办。不过，即使这5个突发请求立马处理结束，后续来了请求也不会立马处理。burst=5 相当于缓存队列中占了5个坑，即使请求被处理了，这5个位置这只能按 100ms一个来释放。这就达到了速率稳定，突发然流量也能正常处理的效果。

2. 并发量限流

Nginx 的ngx_http_limit_conn_module模块提供了对资源连接数进行限制的功能，使用 limit_conn_zone 和 limit_conn 两个指令就可以了。

limit_conn perip 20 : 对应的key是 $binary_remote_addr，表示限制单个IP同时最多能持有20个连接。

limit_conn perserver 100 : 对应的key是 $server_name，表示虚拟主机(server) 同时能处理并发连接的总数。注意，只有当 request header 被后端server处理后，这个连接才进行计数。

修改nginx.conf配置，如下：

完整配置如下：

#速率限流配置
limit_req_zone $binary_remote_addr zone=ipRateLimit:10m rate=2r/s;
#并发量限流-单个IP控制
limit_conn_zone $binary_remote_addr zone=perip:10m;
#并发量限流-整个服务控制
limit_conn_zone $server_name zone=perserver:10m;
server {
    listen       80;
    server_name  localhost;
    location ~ .*\.(woff|ico|css|js|gif|jpg|jpeg|png)$ {
    	root /usr/local/openrestyDir/pages/;
    }
    location /msitems/ {
        #限流配置
        #limit_req zone=ipRateLimit burst=5 nodelay;
        #并发量限流
        limit_conn perip 20;
        limit_conn perserver 100;
        root /usr/local/openrestyDir/pages/;
    }
}

3. 黑白名单

有时候会有一些恶意IP攻击服务器，会基于程序频繁发起请求对服务器造成巨大压力，我们此时可以使用Nginx的黑名单功能实现黑名单过滤操作。我们首先需要配置黑名单IP，黑名单IP我们可以记录到一个配置文件中，比如配置到blockip.conf文件中：

配置固定IP为黑名单：

deny 192.168.100.1;

在nginx.conf中引入blockip.conf，可以放到http, server, location语句块,配置如下：

#黑名单
include blockip.conf;

此时在192.168.100.1的IP上访问服务器，会报如下错误：

屏蔽ip的配置文件既可以屏蔽单个ip，也可以屏蔽ip段，或者只允许某个ip或者某个ip段访问。

# 屏蔽单个ip访问
deny IP;
# 允许单个ip访问
allow IP;
# 屏蔽所有ip访问
deny all;
# 允许所有ip访问
allow all;
#屏蔽整个段即从123.0.0.1到123.255.255.254访问的命令
deny 123.0.0.0/8
#屏蔽IP段即从123.45.0.1到123.45.255.254访问的命令
deny 124.45.0.0/16
#屏蔽IP段即从123.45.6.1到123.45.6.254访问的命令
deny 123.45.6.0/24

如果你想实现这样的应用，除了几个IP外，其他全部拒绝，那需要你在blockip.conf中这样写:

allow 192.168.100.1;
allow 192.168.100.2;
deny all;

但是这种手动配置的方式可能太过繁琐，我们也可以配置动态黑白名单。

配置动态黑白名单，我们可以采用Lua+Redis实现，将黑名单存入到Redis缓存，每次执行请求时，通过lua脚本先获取用户IP，匹配IP是否属于黑名单，如果是，则不让请求，如果不是，则放行。