限流和ssl证书_令牌桶的上限是不是等于访问总数-CSDN博客

流量限制(rate-limiting)是nginx最有用的功能之一，却经常被错误理解和错误配置。它允许我们限制用户在给定时间内可以发出的HTTP请求数量。例如请求网站首页的GET请求，表单登录的POST请求等。
速率限制可以出于安全目的使用。例如，可以降低暴力破解账号密码的攻击速度。通过将传入请求速率限制为实际用户的典型值，并（通过记录）标识目标URL，它可以帮助我们防御DDOS攻击。而更为通用的用法是，防止上游应用程序服务器同时被太多用户请求所淹没。

一.nginx限流

Nginx 提供两种限流方式，一是控制速率，二是控制并发连接数。

1.桶算法(限制请求次数)

漏桶算法思路很简单，请求先进入到漏桶里，漏桶以固定的速度出水，也就是处理请求，当水加的过快，则会直接溢出，也就是拒绝请求，可以看出漏桶算法能强行限制数据的传输速率。

是对于很多场景来说，除了要求能够限制数据的平均传输速率外，还要求允许某种程度的突发传输。这时候漏桶算法可能就不合适了，令牌桶算法更为适合。

2.令牌桶算法（限制请求速度）

对于很多应用场景来说，除了要求能够限制数据的平均传输速率外，还要求允许某种程度的突发传输。这时候漏桶算法可能就不合适了，令牌桶算法更为适合。

令牌桶算法的原理是系统以恒定的速率产生令牌，然后把令牌放到令牌桶中，令牌桶有一个容量，当令牌桶满了的时候，再向其中放令牌，那么多余的令牌会被丢弃；当想要处理一个请求的时候，需要从令牌桶中取出一个令牌，如果此时令牌桶中没有令牌，那么则拒绝该请求。

3.两种算法的区别

漏桶算法输入的时候请求不固定，但都会在漏桶里边先保存起来（小于漏桶的容量），然后输出的时候采用的是恒定的速率执行请求，有点像队列的先进先出，只是队列中的元素出队的时间间隔一致。
令牌桶算法跟漏桶算法刚好相反，令牌桶的大小就是接口所能承载的最大访问量，令牌的发放是恒速的，而最终能在某一时间处理的请求数不是恒定的，这取决于单位时间内令牌桶中的令牌数量。

二.漏桶算法配置

limit_req_zone $binary_remote_addr zone=one:10m rate=1r/s;

limit_req_zone：用来限制单位时间内的请求数

$binary_remote_addr：定义限流对象，binary_remote_addr 是一种key，表示基于 remote_addr(客户端IP) 来做限流，binary_ 的目的是压缩内存占用量。

zone=one:10m：定义共享内存区来存储访问信息， one:10m 表示一个大小为10M，名字为one的内存区域。1M能存储16000 IP地址的访问信息，10M可以存储16W IP地址访问信息。

rate=1r/s：用于设置最大访问速率，rate=10r/s 表示每秒最多处理10个请求。Nginx 实际上以毫秒为粒度来跟踪请求信息，因此 10r/s 实际上是限制：每100毫秒处理一个请求。这意味着，自上一个请求处理完后，若后续100毫秒内又有请求到达，将拒绝处理该请求。
配置 server，使用 limit_req 指令应用限流。
在location中添加
limit_req zone=one;

当快速刷新页面则会报错

1.turst处理突发流量

在 limit_req zone=one 后加上brust=8;
Burst：爆发，处理突发请求

an -n 20（发送20个请求）-c 10（每次10个）http://192.168.10.20/(ip或者域名)

failed requests（11个被拒绝的请求）

桶内有8个，第一个会进入队列，所以有9个，其余的不在桶内就会被拒绝

2.nodelay配置

不要任何的延迟，只要burst桶一满就返回503 报错，配置完成后就没有等待的感觉，效果相当于每秒10个请求的“流量限制”。如果希望不限制两个请求间允许间隔的情况下实施“流量限制”，nodelay参数是很实用的。

三.令牌桶算法配置

访问网页 http://192.168.xx.xx/文件名
限制为1k下载速度

四.ssl证书服务

一.什么是ssl

SSL证书是数字证书的一种，由权威数字证书机构（CA）验证网站身份后颁发，可实现浏览器和网站服务器数据传输加密。网站安装SSL证书后会在浏览器显示安全锁标志，数据传输协议从http（传统协议）升级为 https（加密协议）。

二.证书作用

各大主流浏览器的重视，对没有安装SSL证书的网站提示“不安全”，安装了SSL证书的网站浏览器会显示绿色安全标志，表示连接安全。

三.网站数据加密传输

安装SSL证书之后，网站会从升级为 https（加密协议）。可加密保护网站的所有数据信息，保护访客注册登录，在线交易等信息数据，这对于电商、金融、政府、企业等网站至关重要。

四.安全标志获得访客信任

OV SSL证书可验证申请组织的真实身份，可在证书详情里查看申请企业。高级EV SSL证书还可在浏览器地址栏显示绿色企业名称，可加深访客对网站的信任，浏览使用更加放心。

五.强大的加密等级保障

OV 和 EV 证书除了安全加密之外，其实还有对网站管理者身份的验证，这个验证会体现在 SSL证书的字段中。而 EV 级别的 SSL证书甚至可以在某些版本的浏览器中直接显示单位名称。这一定程度帮助网站运营者确定了其“官方身份”，有助于帮助其用户识别真假网站。

六.SSL证书的类别

SSL证书可以分为 DV、OV、EV 三种，这三种SSL证书的验证严格程度依次递增。

DV SSL证书，验证简单，几分钟内即可签发，适合个人站点、小微企业、api 加密等，但这种证书只能实现 https 最基本的加密功能。

OV SSL证书，验证域名和网站背后的运营者单位，除了加强了网站的安全性之外，还让网站运营者身份得到了确认。

EV SSL证书，这种证书在 OV 的基础上验证更为全面，因此某些浏览器版本在地址栏上直接显示单位名称，因为这种显示形式，很多金融类、企业官网等网站都在使用这种类型的SSL证书。

七.配置SSl

安装openssl模块

创建存放证书的文件目录

证书颁发机构，创建私钥

openssl genrsa -idea -out server.key 2048
2048 是代表位数位数越多越安全常见的有 2048、4096

openssl req -days 3650 -x509 -sha256 -nodes -newkey rsa:2048 -keyout server.key -out server.crt

国家省城市组织组织名称公用名邮件
req 表示证书输出的请求
-days 3650 时间=10 年
-x509 签发x509格式证书命令
-newkey 此选项创建一个新的证书请求和一个新的私钥。该参数采用以下几种形式之一。 rsa：nbits （其中nbits是位数）会生成nbits大小的RSA密钥
-key密钥
-new表示新的请求
-out输出路径

在此之前需要解压nginx和监控vts包到opt目录下

到nginx安装目录下添加ssl模块

（这里把监控模块一起添加了）

cd /opt/nginx-1.15.9/

./configure --prefix=/usr/local/nginx --add-module=/usr/local/nginx-module-vts-master/ --prefix=/usr/local/nginx --with-http_ssl_module
make编译安装
这里切记千万不要执行make install否则就把原来安装的Nginx所有文件都覆盖掉了

关闭服务
然后用源码包中刚刚编译好的的Nginx把安装目录中的Nginx替换掉
systemctl stop nginx #关闭服务
cp ./objs/nginx /usr/local/nginx/sbin/

查看安装的模块