Nginx auth_request 限制不受尊重

Question

我有一个如下的 nginx 配置（省略了一些细节）：

http {

  map $request_uri $guid {
     default "unknown";
     ~^/out/v\d+/(?P<id>.+?)/.+$ $id;
  }

  map $http_x_forwarded_for $last_client_ip {
     default $http_x_forwarded_for;
     ~,\s*(?P<last_ip>[\.\d]+?)\s*$ $last_ip;
  }

  limit_req_zone $guid zone=content:20m rate=500r/s;
  limit_req_zone $guid zone=auth:20m rate=100r/s;

  server {

    location /out/ {
      auth_request       /auth;

      set $request_type  "unknown";

      proxy_pass         $upstream_server;
      proxy_cache        content_cache;
      set $cache_key "${request_path}";
      proxy_cache_key    $cache_key;
      proxy_cache_valid  200 301 302  10s;

      #Throttling
      limit_req zone=content burst=50 nodelay;
      limit_req_status 429;
    }

    location /auth {
      internal;

      set $auth_type 1;
      proxy_pass_request_body off;
      proxy_pass         $upstream_server/auth?id=$guid&requestor=$last_client_ip;

      proxy_cache        auth_cache;
      set $auth_cache_key "${guid}|${last_client_ip}";
      proxy_cache_key    $auth_cache_key;
      proxy_cache_valid  200 301 302  5m;
      proxy_cache_valid  401 403 404  5m;

      #Throttling
      limit_req zone=auth burst=50 nodelay;
      limit_req_status 429;
    }
  }
}

/out/ 的请求限制与我预期的一样 - 超过 500r/s 的请求会受到限制。但是，我似乎无法让/auth 节流。

我猜这可能是由于auth_request 和limit_req 之间的一些相互作用，或者可能是因为/auth 请求是子请求。我将不胜感激任何帮助或解释！

Answer 1

我怀疑这与您用作 key 的变量有关：$guid。这不是一个 nginx 变量，遗憾的是你的 sn-p 没有显示你是如何定义它的。但是你将它传递给你的代理的方式让我怀疑对 /auth 的每个请求都有不同的 $guid。然后您将永远不会遇到限制，因为 nginx 会计算每个键的请求数，请参见此处：https://www.nginx.com/blog/rate-limiting-nginx/

因此，如果根本没有为 /out/ 设置 $guid，那么所有请求都将计入限制。没问题。但如果对 /auth 的每个请求确实不同，那么它就行不通了。

Answer 2

我从 Nginx 邮件列表中收到了对此行为的解释：

limit_req 指令不会尝试限制已经受限的请求， 以及这些请求中的子请求。你应该配置所有 您想在一个地方对请求应用限制。

（见https://forum.nginx.org/read.php?2,280554,280558#msg-280558）