之前，在我们的NGINX流量管理和安全控制系列中，我们讨论了如何使用客户端标识参数（例如 IP 地址）来限制同一客户端可以与您的 Web 资源建立的连接数。我们还介绍了如何限制Web 资源的请求速率（限制客户端可以发出请求的速率）。

为确保您的应用程序使用带宽不被单个客户端占用，您需要控制每个客户端的上传和下载速度。这是一种常见的NGINX安全控制措施，可抵御来自试图滥用站点性能的恶意用户的DoS（拒绝服务）攻击。

在本系列的第三部分中，我们将解释如何限制NGINX Web 服务器中的网络带宽。

NGINX 中的带宽限制

要限制 NGINX 中的带宽，请使用limit_rate指令来限制响应传输到客户端的速率。它在位置块中的HTTP、server、location和if 语句中有效，并且默认情况下以每秒字节数为单位指定给定上下文的速率限制，也可以使用m表示兆字节或g表示千兆字节。

limit_rate 20k;

另一个相关指令是limit_rate_after，它指定在传输指定数量的数据之前，不应限制连接的速率。该指令可以在 HTTP、服务器、位置和“位置块内的 if 语句”中设置。

limit_rate_after 500k;

下面是一个示例配置，用于限制客户端通过单个连接以每秒 20 KB 的最大速度下载内容。

upstream api_service {    server 10.1.1.10:9051;    server 10.1.1.77:9052;}server {    listen 80;    server_name testapp.tecmint.com;    root /var/www/html/testapp.tecmint.com/build;    index index.html;    location / {        try_files $uri $uri/ /index.html =404 =403 =500;    }    location /api {        proxy_pass ;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header Host $host;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;                proxy_http_version 1.1;        proxy_set_header Upgrade $http_upgrade;        proxy_set_header Connection "upgrade";          }   location /documents {        limit_rate 20k;        limit_rate_after 500k;  }}

添加上述所需设置后，保存更改并关闭文件。之后，检查NGINX配置语法是否正确，如下所示：

$ sudo nginx -t

如果一切正常，重新加载NGINX服务以使最新更改生效：

$ sudo systemctl reload nginx

通过以上配置，客户端可以打开多个连接来增加带宽。因此，您还可以使用我们之前看到的 IP地址等参数来限制每个客户端的连接。

例如，您可以限制每个 IP 地址只能有一个连接。

upstream api_service {    server 127.0.0.1:9051;    server 10.1.1.77:9052;}limit_conn_zone $binary_remote_addr zone=limitconnbyaddr:20m;limit_conn_status 429;server {    listen 80;    server_name testapp.tecmint.com;    root /var/www/html/testapp.tecmint.com/build;    index index.html;    location / {        try_files $uri $uri/ /index.html =404 =403 =500;    }    location /api {        limit_conn   limitconnbyaddr  5;        proxy_pass ;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header Host $host;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;                proxy_http_version 1.1;        proxy_set_header Upgrade $http_upgrade;        proxy_set_header Connection "upgrade";          }   location  /documents {        limit_rate 50k;        limit_rate_after 500k;          limit_conn   limitconnbyaddr  1;}}

作为limit_rate指令的参数值，您可以指定变量以动态限制带宽。在应根据特定条件限制速率的情况下，它特别有用。

在本例中，我们使用的是map块。它使您能够创建一个新变量，其值取决于第一个参数中指定的一个或多个原始变量（$slow和$limit_rate）的值。

upstream api_service {    server 10.1.1.10:9051;    server 10.1.1.77:9052;}map $slow $limit_rate {    1     20k;    2     30k;}server {    listen 80;    server_name testapp.tecmint.com;    root /var/www/html/testapp.tecmint.com/build;    index index.html;    location / {        try_files $uri $uri/ /index.html =404 =403 =500;    }    location /api {        proxy_pass ;        proxy_set_header X-Real-IP $remote_addr;        proxy_set_header Host $host;        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;                proxy_http_version 1.1;        proxy_set_header Upgrade $http_upgrade;        proxy_set_header Connection "upgrade";   }   location /documents {       limit_rate $limit_rate;        limit_rate_after 500k;}}

下面是另一个NGINX动态带宽限制的配置示例，此配置使 NGINX 能够根据 TLS 版本限制带宽。指令limit_rate_after 512表示发送标头后的限制速率。

upstream api_service {    server 10.1.1.10:9051;    server 10.1.1.77:9052;}map $ssl_protocol $response_rate {    "TLSv1.1" 50k;    "TLSv1.2" 100k;    "TLSv1.3" 500k;}server {    listen 443 ssl;    ssl_protocols       TLSv1.1 TLSv1.2 TLSv1.3;    ssl_certificate     /etc/ssl/testapp.crt;    ssl_certificate_key   /etc/ssl/testapp.key;    location / {        limit_rate       $response_rate; # Limit bandwidth based on TLS version        limit_rate_after 512;        proxy_pass       ;    }}

这就是我们在本系列的这一部分中为您准备的全部内容，我们将继续涵盖更多有关NGINX流量管理和安全控制的主题。