之前，在我们的NGINX流量管理和安全控制系列中，我们讨论了如何使用客户端标识参数（例如 IP 地址）来限制同一客户端可以与您的 Web 资源建立的连接数。我们还介绍了如何限制Web 资源的请求速率（限制客户端可以发出请求的速率）。

为确保您的应用程序使用带宽不被单个客户端占用，您需要控制每个客户端的上传和下载速度。这是一种常见的NGINX安全控制措施，可抵御来自试图滥用站点性能的恶意用户的DoS（拒绝服务）攻击。

在本系列的第三部分中，我们将解释如何限制NGINX Web 服务器中的网络带宽。

NGINX 中的带宽限制

要限制 NGINX 中的带宽，请使用limit_rate指令来限制响应传输到客户端的速率。它在位置块中的HTTP、server、location和if 语句中有效，并且默认情况下以每秒字节数为单位指定给定上下文的速率限制，也可以使用m表示兆字节或g表示千兆字节。

limit_rate 20k;

另一个相关指令是limit_rate_after，它指定在传输指定数量的数据之前，不应限制连接的速率。该指令可以在 HTTP、服务器、位置和“位置块内的 if 语句”中设置。

limit_rate_after 500k;

下面是一个示例配置，用于限制客户端通过单个连接以每秒 20 KB 的最大速度下载内容。

upstream api_service {
    server 10.1.1.10:9051;
    server 10.1.1.77:9052;
}

server {
    listen 80;
    server_name testapp.tecmint.com;
    root /var/www/html/testapp.tecmint.com/build;
    index index.html;

    location / {
        try_files $uri $uri/ /index.html =404 =403 =500;
    }
    location /api {
        proxy_pass http://api_service;

        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

       
   }
   location /documents {
        limit_rate 20k;
        limit_rate_after 500k;  
}
}

添加上述所需设置后，保存更改并关闭文件。之后，检查NGINX配置语法是否正确，如下所示：

$ sudo nginx -t

如果一切正常，重新加载NGINX服务以使最新更改生效：

$ sudo systemctl reload nginx

限制 NGINX 中的带宽和连接数

通过以上配置，客户端可以打开多个连接来增加带宽。因此，您还可以使用我们之前看到的 IP地址等参数来限制每个客户端的连接。

例如，您可以限制每个 IP 地址只能有一个连接。

upstream api_service {
    server 127.0.0.1:9051;
    server 10.1.1.77:9052;
}

limit_conn_zone $binary_remote_addr zone=limitconnbyaddr:20m;
limit_conn_status 429;

server {
    listen 80;
    server_name testapp.tecmint.com;
    root /var/www/html/testapp.tecmint.com/build;
    index index.html;

    location / {
        try_files $uri $uri/ /index.html =404 =403 =500;
    }
    location /api {
        limit_conn   limitconnbyaddr  5;

        proxy_pass http://api_service;

        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";

       
   }
   location  /documents {
        limit_rate 50k;
        limit_rate_after 500k;  
        limit_conn   limitconnbyaddr  1;
}
}

在 NGINX 中动态限制带宽

作为limit_rate指令的参数值，您可以指定变量以动态限制带宽。在应根据特定条件限制速率的情况下，它特别有用。

在本例中，我们使用的是map块。它使您能够创建一个新变量，其值取决于第一个参数中指定的一个或多个原始变量（$slow和$limit_rate）的值。

upstream api_service {
    server 10.1.1.10:9051;
    server 10.1.1.77:9052;
}

map $slow $limit_rate {
    1     20k;
    2     30k;
}

server {
    listen 80;
    server_name testapp.tecmint.com;
    root /var/www/html/testapp.tecmint.com/build;
    index index.html;

    location / {
        try_files $uri $uri/ /index.html =404 =403 =500;
    }
    location /api {
        proxy_pass http://api_service;

        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header Host $host;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
   }
   location /documents {
       limit_rate $limit_rate;
        limit_rate_after 500k;
}
}

下面是另一个NGINX动态带宽限制的配置示例，此配置使 NGINX 能够根据 TLS 版本限制带宽。指令limit_rate_after 512表示发送标头后的限制速率。

upstream api_service {
    server 10.1.1.10:9051;
    server 10.1.1.77:9052;
}

map $ssl_protocol $response_rate {
    "TLSv1.1" 50k;
    "TLSv1.2" 100k;
    "TLSv1.3" 500k;
}

server {
    listen 443 ssl;
    ssl_protocols       TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_certificate     /etc/ssl/testapp.crt;
    ssl_certificate_key   /etc/ssl/testapp.key;

    location / {
        limit_rate       $response_rate; # Limit bandwidth based on TLS version
        limit_rate_after 512;
        proxy_pass       http://api_service;
    }
}

这就是我们在本系列的这一部分中为您准备的全部内容，我们将继续涵盖更多有关NGINX流量管理和安全控制的主题。