OpenResty + Lua + Redis 实现 IP 限流

96
wmfyt325
0.2 2018.08.06 17:14* 字数 189

参考文章

OpenResty® 是一款基于 NGINX 和 LuaJIT 的 Web 平台。OpenResty 官网

1. 安装

1.1 Mac OS:

Mac OS 通过 Homebrew 安装,执行以下命令:

brew tap openresty/brew

brew install openresty

如果之前通过 Homebrew 安装过 nginx,需要先执行:

brew untap homebrew/nginx
1.2 Linux:
Ubuntu
# 导入 GPG 密钥
wget -qO - https://openresty.org/package/pubkey.gpg | sudo apt-key add -
# 安装 add-apt-respository 命令
sudo apt-get -y install software-properties-common
# 添加官方 official APT 仓库
sudo add-apt-repository -y "deb http://openresty.org/package/ubuntu $(lsb_release -sc) main"
# 更新 APT 索引
sudo apt-get update
# 安装
sudo apt-get install openresty
# 如果不想自动关联安装 openresty-opm 和 openresty-restydoc 包,执行下面的命令
# sudo apt-get install --no-install-recommends openresty
CentOS
sudo yum install yum-utils
sudo yum-config-manager --add-repo https://openresty.org/package/centos/openresty.repo
sudo yum install openresty
Debian
wget -qO - https://openresty.org/package/pubkey.gpg | sudo apt-key add -
sudo apt-get -y install software-properties-common
sudo add-apt-repository -y "deb http://openresty.org/package/debian $(lsb_release -sc) openresty"
sudo apt-get update
sudo apt-get install openresty
# 如果不想自动关联安装 openresty-opm 和 openresty-restydoc 包,执行下面的命令
# sudo apt-get install --no-install-recommends openresty

2.配置 lua 脚本

如果之前安装过 nginx,可以先将 nginx 的配置文件拷贝到 /etc/openresty/ 路径下。

/etc/openresty/ 路径下新建 access_by_redis.lua 文件。

# Lua
local function close_redis(red)
    if not red then
        return
    end
    -- 释放连接(连接池实现),毫秒
    local pool_max_idle_time = 10000 
    -- 连接池大小
    local pool_size = 100 
    local ok, err = red:set_keepalive(pool_max_idle_time, pool_size)
    local log = ngx_log
    if not ok then
        log(ngx_ERR, "set redis keepalive error : ", err)
    end
end

-- 连接redis
local redis = require('resty.redis')
local red = redis.new()
red:set_timeout(1000)

local ip = "127.0.0.1"
local port = "6379" 
local ok, err = red:connect(ip,port)
if not ok then
    return close_redis(red)
end
red:auth('123456')
red:select('0')

local clientIP = ngx.req.get_headers()["X-Real-IP"]
if clientIP == nil then
   clientIP = ngx.req.get_headers()["x_forwarded_for"]
end
if clientIP == nil then
   clientIP = ngx.var.remote_addr
end

local incrKey = "user:"..clientIP..":freq"
local blockKey = "user:"..clientIP..":block"

local is_block,err = red:get(blockKey) -- check if ip is blocked
if tonumber(is_block) == 1 then
    ngx.exit(403)
    close_redis(red)
end

inc  = red:incr(incrKey)

if inc < 10 then
   inc = red:expire(incrKey,1)
end
-- 每秒10次以上访问即视为非法,会阻止1分钟的访问
if inc > 10 then
    --设置block 为 True 为1
    red:set(blockKey,1) 
    red:expire(blockKey,60)
end

close_redis(red)

在 nginx 配置文件的 http 段添加 lua 脚本

http {
        ...
        lua_package_path        "/usr/local/openresty/lualib/resty/redis.lua;";
        ...
}

server 段的 location 中添加

server {
        ...
        location / {
                ...
        access_by_lua_file "/etc/openresty/access_by_redis.lua";
                ...
        }
        ...
}

保存后重新加载 nginx 即可。

追加

lua 脚本出现 nginx no resolver defined to resolve 之类的错误,只需要在 nginx 的 http 块中加入 resolver 8.8.8.8; 即可。

程序猿