可以针对HTTP请求添加cookie,进行路由后端服务器
可平衡负载至后端服务器,并支持持久连接
支持基于cookie进行调度
支持所有主服务器故障切换至备用服务器
支持专用端口实现监控服务
支持不影响现有连接情况下停止接受新连接请求
可以在双向添加,修改或删除HTTP报文首部
支持基于pattern实现连接请求的访问控制
通过特定的URI为授权用户提供详细的状态信息
软件包:yum install haproxy
主程序:/usr/sbin/haproxy
配置文件:/etc/haproxy/haproxy.cfg
Unit file:/usr/lib/systemd/system/haproxy.service
配置段:
global:全局配置段
进程及安全配置相关的参数
性能调整相关参数
Debug参数
proxies:代理配置段
defaults:为frontend, backend, listen提供默认配置
fronted:前端,相当于nginx, server {}
backend:后端,相当于nginx, upstream {}
listen:同时拥有前端和后端,适用于一对一环境,也就是前段和后端是一一对应的关系,只有一个端和一个后端
备注:以下的所有实验都是根据此拓扑图完成的
代理配置段:
check:对当前server做健康状态检测,只用于四层检测
注意:httpchk,“smtpchk”, “mysql-check”, “pgsql-check” and “ssl-hello-chk” 用于定义应用层检测方法
addr:检测时使用的IP地址,可以实现后端的服务器检测时使用一个ip地址,提供服务使用另外一个ip地址,使流量分流,提高效率
port :针对此端口进行检测
inter <delay>:连续两次检测之间的时间间隔,默认为2000ms
rise <count>:连续多少次检测结果为“成功”才标记服务器为可用;默认为2
fall <count>:连续多少次检测结果为“失败”才标记服务器为不可用;默认为3
cookie <value>:为当前server指定cookie值,实现基于cookie的会话黏性
disabled:标记为不可用
redir<prefix>:将发往此server的所有GET和HEAD类的请求重定向至指定的URL
cookie <name>[ rewrite | insert | prefix ] [ indirect ] [ nocache ] [ postonly ] [ preserve ] [ httponly ] [ secure ] [ domain <domain>]* [ maxidle <idle>] [ maxlife <life>]
<name>:cookie名称,用于实现持久连接
rewrite:重写
insert:插入
prefix:前缀
在火狐浏览器上访问时,按F12进入调试页面也可以看到,第一次访问时响应报文里会有一个cookie值,这样浏览器下次访问时就会带着这个cookie值,从而被调度到固定的主机
stats enable
启用统计页;基于默认的参数启用stats page
-stats uri: /haproxy?statsuri默认值
-stats realm : HAProxy\Statistics
-stats auth: no authentication
stats uri <prefix>
自定义stats page uri
stats auth <user>:<passwd>
认证时的账号和密码,可使用多次
stats realm <realm>
认证时的realm
stats hide-version
隐藏版本
stats refresh <delay>
设定自动刷新时间间隔
stats admin { if | unless } <cond>
启用stats page中的管理功能
maxconn <conns>:为指定的frontend定义其最大并发连接数;默认为2000
mode { tcp|http|health}
定义haproxy的工作模式
tcp:基于layer4实现代理;可代理mysql, pgsql, ssh, ssl等协议,https时使用此模式,默认模式
http:仅当代理协议为http时使用,centos实际默认模式
health:工作为健康状态检查的响应模式,当连接请求到达时回应“OK”后即断开连接,较少使用
TCP模式的健康状态检测示例
对后端服务器做http协议的健康状态检测:
option httpchk默认为:/ OPTIONS HTTP/1.0
option httpchk <uri>
option httpchk <method><uri>
option httpchk <method><uri><version>
定义基于http协议的7层健康状态检测机制http-check expect [!] <match><pattern>
http协议健康状态检测响应内容或指定响应码
option forwardfor[ except <network>] [ header <name>] [ if-none ]
在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部,其值为前端客户端的地址;用于向后端主发送真实的客户端IP
[ except <network>]:请求报文来自此处指定的网络时不予添加此首部,如haproxy自身所在网络
[ header <name>]:使用自定义的首部名称,而非“X-Forwarded-For”
[ if-none ]如果没有首部才添加首部,如果有使用默认值
示例
errorfile <code><file>自定义错误页
<code>:HTTP status code,支持200, 400, 403, 408, 500, 502, 503, 504,<file>:错误页文件路径
errorlo c<code><url>
相当于errorloc 302 <code><url>,利用302重定向至指URL
示例1
reqadd <string>[{if | unless} <cond>]
在请求报文尾部添加指定首部
rspadd <string>[{if | unless} <cond>]
在响应报文尾部添加指定首部
示例:rspadd X-Via:\ HAPorxy
reqdel <search>[{if | unless} <cond>]
reqidel <search>[{if | unless} <cond>] (ignore case) 不分大小写
从请求报文中删除匹配正则表达式的首部
rspdel <search>[{if | unless} <cond>]
rspidel <search>[{if | unless} <cond>] (ignore case) 不分大小写
从响应报文中删除匹配正则表达式的首部
示例1
示例1
示例2
示例3基于acl实现动静分离
示例4实现不同的域调度到不同服务器
示例5
1 、支持ssl会话;
bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE
crt后证书文件为PEM格式,且同时包含证书和所有私钥
cat demo.crt demo.key>demo.pem
2、 把80端口的请求重向定443
bind *:80
redirect scheme https if !{ ssl_fc}
3、 向后端传递用户请求的协议和端口(frontend或backend)
http-request set-header X-Forwarded-Port %[dst_port] ---添加端口
http-request add-header X-Forwared-Proto https if { ssl_fc} ---添加https协议
支持https指的是客户端访问haproxy时使用https协议,因为这一段一般是外网,而haproxy访问后端的web服务器时不用https,因为这一段一般都是内网
示例
部署rancher-server容器haproxy(单节点部署)
mairadb
haproxy
docker.io/rancher/server容器
访问server:8080或者8081端口(看到的是相同的内容)
配置文件为:
启动haproxy服务:
好像有警告,没关系先不管
访问haproxy服务:
地址为server:80,访问到的是rancher-server服务
当高可用集群中至少有一个节点还在运行,服务就不会停止。
可以分别关掉一个和最后一个服务后,查看效果。
[root@server ~]# curl server:80
<html><body><h1>503 Service Unavailable</h1>
No server is available to handle this request.
</body></html>
原因:
docker0设备状态为DOWN。
解决方法:
重启docker服务或者手动启动设备docker0。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)