HAproxy工作模式HAProxy是免费极速且可靠的用于为TCP和基于HTTP应用程序提供代理服务的解决方案。是工作在应用空间的程序,跟Nginx一样受限于套接字。且只类同于Nginx四层和七层代理服务器仅此而已。但更多用在web反向代理上!!!
HAProxy还可以将后端的服务器与网络隔离,起到保护后端服务器的作用。HAProxy的负载均衡能力虽不如LVS,但也是相当不错。而且由于其工作在7层,可以对http请求报文做深入分析,按照自己的需要将报文转发至后端不同的服务器(例如动静分离),这一点工作在4层的LVS无法完成。
其中一点点不同Nginx的是一个Master Worker模型负责接收用户请求,装载配置文件,平滑升级…但是更多的用户请求是通过worker来实现。而HAProxy是单一进程模型,支持多进程,但更多建议使用单一进程模型。使用单个进程直接响应用户多个请求,不启用子进程。也能够支持单进程巨大并发连接数,且必须支持事件驱动,如果不支持事件驱动,并发效率是可想而知。
HAproxy演示环境HAProxy的工作模式一般有两种:
tcp模式:实例运行于TCP模式,在客户端和服务器端之间将建立一个全双工的连接,且不会对7层报文做任何类型的检查,只能以简单模式工作。此为默认模式,通常用于SSL、SSH、SMTP等应用。
http模式:实例运行于HTTP模式,客户端请求在转发至后端服务器之前将被深度分析,所有不与RFC格式兼容的请求都会被拒绝。
注意:当实现内容交换时,前端和后端必须工作于同一种模式(一般都是HTTP模式),否则将无法启动实例。
工作模式可通过mode参数在default,frontend,listen,backend中实现定义。
两种模块分别是:通过mod_tcp来限定反代模式和mod_http来实现负载均衡
帮助文档地址:http://cbonte.github.io/haproxy-dconv/,其它的地址就别想了
HAproxy的安装实验平台:Windows10_64
虚拟环境:基于Win系统搭建的VMware虚拟主机实现
所需要的虚拟主机:三台,CentOS 7.2或者是CentOS 6.8,偏移CentOS 7.2
虚拟主机各IP:node1–10.1.15.40, node2–10.1.15.41 node3–10.1.15.42
node1节点–10.1.15.40,安装haproxy,其它两个节点做后端轮询。
base收录版本1.5,但是马上要废弃了。官方最新版是1.7开发板(演示1.5)
haproxy已经收录到了base仓库,所以我们直接yum安装就可以了,因为我这里实验使用的Centos7系统,所以还是使用YUM,其它发行版本可另行抉择。
如果遇到yum安装报错You could try using –skip-broken to work around the problem
可移除yum.repos.d目录下的所有文件,只留base.repo文件然后yum clean all
再执行yum install
[root@localhost yum.repos.d]# yum install haproxy -yHAproxy程序环境:
配置文件:/etc/haproxy/haproxy.cfg Unit File: haproxy.service 主程序:/usr/sbin/haproxy 配置文件分两部分组成: global:全局配置段 进程及安全配置相关的参数 性能调整相关的参数 Debug相关的参数 proxies:代理配置段 defaults:为frontend, backend以及listen提供默认配置; frontend:前端,相当于Nginx中的server{ ... }; backend:后端,相当于nginx中的upstream { ... }; listen:前后端的直接组合;
HAproxy相关配置参数全局段:简单实现用haproxy实现后端主机代理,简单均衡
1、> vim /etc/haproxy.cfg 在haprxoy 10.1.15.40主机上修改以下内容
frontend main
bind *:80,*:8080
default_backend web
# static backend for serving up p_w_picpaths, stylesheets and such
backend web
balance roundrobin
server web1 10.1.15.41:80 check
server web2 10.1.15.42:80 check
2、在后端两台主机安装httpd启动服务,给指定网页分别叫backend1和backend2
10.1.15.41
vim /var/www/html
<h1> backend 1 <h1>
10.1.15.42
vim /var/www/html
<h1> backend 2 <h1>
global配置参数:
进程及安全配置相关的参数:user/uid, group/gid, nbproc, ulimit-n, ca-base, …
log < address > [len < length >] < facility > [ max level [min level]]
定义日志相关配置属性address是日志服务器的地址, [len < length >]是每行日志记录的最大长度
举例:如何记录haproxy的日志呢?
1、 让haproxy服务器启用接收远程主机所传来的日志信息
2、 如果启用local2.,指明local2.日志记录于何处
3、如果启用日志,使用udp和tcp都可以,我们这里使用的udp,把注释去掉
vim /etc/rsyslog.conf 第一步 #Provides UDP syslog reception $ModLoad imudp $UDPServerRun 514 指明日志记录到哪里去 第二步 #Save boot messages also to boot.log local2.* /var/log/haproxy.log systemctl restart rsyslog.service,确保UDP 514端口被监听 [root@localhost log]# cat haproxy.log Nov 12 13:26:24 localhost haproxy[23610]: 10.1.15.85:6703 [12/Nov/2016:13:26:24.829] main web/web1 0/0/0/3/3 200 280 - - ---- 1/1/0/1/0 0/0 "GET / HTTP/1.1"
HAproxy相关配置参数代理段:性能调优相关参数
maxconn < number>:设定单haproxy进程的最大并发连接数;
maxconnrate < number>:设定单haproxy进程每秒所能接受的连接数;
maxsslconn < number>:设定单haproxy进程的ssl连接最大并发连接数;
maxsslrate < number>:单haproxy进程的ssl连接的创建速率上限;
spread-checks <0..50, in percent>
向后端主机做健康状态检测时,该如何散开检测机制
tune.bufsize < number> 缓冲池大小
tune.rcvbuf.client < number> 接收客户端请求时缓冲池大小
tune.rcvbuf.server < number> 接收后端服务器的响应时缓冲池大小
tune.sndbuf.client < number> 向客户端发送响应
tune.sndbuf.server < number> 向服务端发送请求
tune.ssl.cachesize < number> ssl的缓存大小
tune.ssl.lifetime < timeout> ssl的缓存会话的有效时长
Debugging:
debug 尽量输出详细信息
quiet 不输出详细信息
Userlists:定义用户、组及用户列表;
userlist < listname >
group < groupname > [users < user >,< user >,(…)]
user < username > [password|insecure-password < password >]
strong text[groups < group >,< group >,(…)]
Peers:把多个haproxy定义构建为同步集群
peer
peers
其它未尽详细的参数请参考官方帮助文档
http://cbonte.github.io/haproxy-dconv/1.5/configuration.html#3.1
HAproxy调度算法:关于代理段的详细参数在这里就不多说,还是请参考官方文档,太多了看起来头疼
简要说下HAproxy的工作模式”Mode”
Mode可以工作在default,listen.backend和frontend中,用来定义HAproxy到底工作在应用层还是传输层
Mode主要用来定义haproxy的三种工作模型:
tcp:基于layer4实现代理,可代理大多数基于tcp的应用层协议,例如ssh/mysql/pgsql等;
http:工作在应用层,客户端的http请求会被深度解析;
health:工作为健康状态检查响应模式,当请求到达时仅回应“OK”即断开连接;
定义负载均衡的算法除了listen和backend段中也可以放在defaults段中,定义格式:
balance < algorithm > [ < arguments > ]
balance url_param [check_post [< max_wait >]]
常见的调度算法
roundrobin:
动态算法:支持权重的运行时调整,支持慢启动;仅支持最大4095个后端活动主机
server后面使用weight来定义权重;
static-rr:
基于权重进行轮询与roundrobin类似静态算法:不支持权重的运行时调整及慢启动;但后端主机数量无限制;
leastconn:
新的连接请求被派发至具有最少连接数目的后端服务器,动态算法,适用于较长时间会话的场景。
source:
将请求的源地址进行hash运算,并与后端服务器的总权重作取模运算后调度至某台服务器;同一IP地址的请求将始终被调度至某特定的服务器,可以使用hash-type修改此特性来确定动态还是静态算法
hash表如何建立映射:除权重取模法,一致性hash
hash-type:
map-based:取模法,hash数据结构是静态数组;
consistent:一致性哈希,哈希的数据结构是“树”;
uri:
对URI的左半部分(“?”之前的部分)或整个URI进行hash运算,并与后端服务器的总权重作取模运算后调度至某台服务器;同一URI的请求将始终被调度至某特定的服务器,静态算法,可以使用hash-type修改此特性;
hdr(< name >):
根据用户请求报文中指定的http首部的值进行调度,常用于实现对同一个虚拟主机的请求始终发往同个backend server。
first:
先到先得,服务器名称标识字符最短的优先调用。一台用完才用第二台,忽略权重。
**演示示例** 更改调度算法为source,把同一IP地址的请求将始终被调度至某特定的服务器 vim /etc/haproxy/haproxy.cfg backend web balance roundrobin //修改为source server web1 10.1.15.41:80 check server web2 10.1.15.42:80 check systemctl reload haproxy.service //测试:http://19.1.15.40 更改调度算法为uri,把同一页面请求通过调度算法发往到后端指定服务器 vim /etc/haproxy/haproxy.cfg backend web balance roundrobin //修改为uri server web1 10.1.15.41:80 check server web2 10.1.15.42:80 check for i in {1..10}; do echo "test page $i at BACKEND 1 " > /var/www/html/test$i.html; done systemctl reload haproxy.service 测试: for i in {1..10}; do curl http://10.1.15.40/test$i.html;done 结果:把同一个被请求到的页面始终发往到指定的后端服务器上 更改调度算法为hdr,把同一浏览器的请求,始终发往到后端指定服务器上 vim /etc/haproxy/haproxy.cfg backend web balance roundrobin //修改为hdr(User-Agent) server web1 10.1.15.41:80 check server web2 10.1.15.42:80 check systemctl reload haproxy.service 测试: for i in {1..10}; do curl http://10.1.15.40/test$i.html;done 结果:只要浏览器一样,请求始终被调度到指定后端服务器上调整服务器的最大并发连接数,并启用stats页面做认证
对后端服务器做健康状况检测定义并发数有两种方法:
一种,全局定义,一种默认定义
vim /etc/haproxy/haproxy.cfg
frontend main //在此下面定义maxconn 10000
bind * :80, * :8080
maxconn 10000
定义stats页面,在代理配置段四项中都可以定义
vim /etc/haproxy/haproxy.cfg
frontend main
bind :80,:8080
maxconn 10000 //最大并发连接数
stats enable // 开启stats页面
stats uri /admin?stats //自定义stats页面
default_backend web //默认的后端主机标识web
stats realm stats\ page\ area //开启认证界面
stats auth admin:admin //认证用户名密码
stats hide-version //隐藏版本信息
stats refresh 5s //指定stats页面5秒刷新一次
stats admin if TRUE //内建访问控制列表
测试:http://10.1.15.40/haproxy?stats
对后端服务器做加权轮询check为server的参数,可启动对此server执行健康状态的检测。check借助其额外的参数可实现更精细的监测机制。
inter < delay>:
健康状态检测的时间间隔,单位为毫秒,默认为2000,可以使用fastinter和downinter来根据服务器端状态优化此时间延迟
rise < count>:
健康状态检测中某离线的server从离线状态转换至正常状态需要成功检查的次数
fall < count>:
确认server从正常状态转换为不可用状态需要检查的次数
默认为传输层检测,即探测端口是否能响应。
需要执行应用层检测,则需要
httpchk, smtpchk, mysql-check, pgsql-check, ssl-hello-chk;
vim /etc/haproxy/haproxy.cfg
backend web //下面修改内容
balance roundrobin
server web1 10.1.15.41:80 weight 2 maxconn 5000 check inter 1 rise 1 fall 2
server web2 10.1.15.42:80 weight 1 maxconn 3000 check inter 1 rise 1 fall 2
测试:10.1.15.40/haproxy?stats
vim /etc/haproxy/haproxy.cfg backend web //在后端主机下列加入 balance roundrobin server web1 10.1.15.41:80 check weight 2 maxconn 5000 cookie web1 server web2 10.1.15.42:80 check weight 1 maxconn 3000 cookie web2 systemctl reload haproxy.service 测试: for i in {1..10}; do curl http://10.1.15.40/index.html;done 结果:权重weight,并发maxconn,指定的值cookie 注意:修改后端服务器的调度算法:一定要重启haproxy的服务,reload是不成功基于cookie的session绑定
在响应报文中添加cookie信息,下一次的客户请求会带上这个cookie信息,服务器端根据cookie将请求始终定向至后端的某一台服务器,可用于保持session会话。
而cookie信息该怎么插入进来
rewrite: 重新改写原有的所有cookie
insert: 在原有cookie信息当中插入
prefix: 在原有cookie附加为前缀
举例:把基于浏览器的用户会话访问,对当前服务器讲第一次调度到某个主机,那么就调度某主机 vim /etc/haproxy/haproxy.cfg backend web //在后端主机下列加入 balance roundrobin cookie webserver insert nocache indirect server web1 10.1.15.41:80 check weight 2 maxconn 5000 cookie web1 server web2 10.1.15.42:80 check weight 1 maxconn 3000 cookie web2 服务器第一次为某客户度挑选中的主机,会把webserver中的参数值赋值到web1上或者web2上 systemctl reload haproxy.service 测试: for i in {1..10}; do curl http://10.1.15.40;done [root@localhost haproxy]# curl -I 10.1.15.40自定义haproxy错误页面
vim /etc/haproxy/haproxy.cfg frontend main bind *:80,*:8080 maxconn 10000 stats enable default_backend web stats realm stats\ page\ area stats auth admin:admin stats hide-version stats refresh 5s stats admin if TRUE #errorfile 503 /etc/haproxy/errorfiles/503sorry.http //直接以文件形式显示错误页面 errorloc 503 http://10.1.15.40:9527/errorpagetest.html // 直接以url形式显示错误页面,重定向302 errorloc 503 http://www.baidu.com mkdir /etc/haproxy/errorfiles vim /etc/haproxy/errorfiles/503sorry/http < h1 >sorry page home < h1 > systemctl reload haproxy.service 测试:stop后端所有主机,然后请求haproxy前端主机地址 :10.1.15.40option forwardfor
修改请求或响应报文首部相关:客户端的请求经前端的代理服务器转发至后端的web服务器,代理服务器在转发时将目标地址改为后端的某台web服务器地址,将源地址由client ip(客户端地址)改为自己面向后端服务器的地址。后端的web服务器若使用默认格式记录日志,则记录的客户端IP地址都为前端的代理服务器地址。这时需要在发往后端的请求报文中添加内容为客户端IP地址的首部,以便后端的web服务器能够正确获取客户端地址。
x-forwardfor
在配置文件默认段里已经定义了转发,所以我们直接用就可以了。
vim /etc/haproxy/haproxy.cfg
defaults
option forwardfor except 127.0.0.0/8
然后修改两台后端主机的httpd.conf文件,vim /etc/httpd/conf/httpd.conf
把LogFormat %h修改为{X-forwarded-For}i
重启服务systemctl restart httpd.service
在haproxy前端主机上刷新下页面。然后在后端主机看日志是否记录的是客户端的真实地址就可以。
tail /var/log/httpd/access.log看请求的是真实的客户端地址功能就实现了。
ACL basics增加响应报文相关信息
frontend main
rspadd X-Via:\ HAProxy/1,5
rspidel Server.*
rspadd X-Via:\ HAProxy/1,5
客户端请求看一看在Response Headers报文里有没有值:X-Via:HAProxy/1,5
删除响应报文Server相关信息
rspidel Server.*
HAPAroxy的ACL能够通过检测请求报文的首部、响应报文的内容或其他的环境状态信息作出转发决策,增强了其配置d性。
配置分两步骤:首先定义ACL,即定义一个测试条件,再定义动作,即满足测试条件的情况下执行的某特定动作。
语法格式:
acl < aclname> < criterion> [flags] [operator] [< value>] …
取值类型:
– boolean
– integer or integer range
– IP address / network
– string (exact, substring, suffix, prefix, subdir, domain)
– regular expression
– hex block
匹配的 *** 作符:数值匹配,字符串匹配,逻辑条件等…
注意注意:语法太多,让人很蛋疼,简直太头疼,咋么那么多
注意注意:自定义ACL全部都是小写
四层匹配,举例: vim /etc/haproxy/haproxy.cfg 在 frontend main 中定义 acl myhost src 10.1.15.85 acl myport dst_port 8080 block if !myhost myport 任何人试图去访问8080端口时,但不是来自于myhost主机就全部拒绝 七层匹配,举例: acl text_file path_end -i .txt block if text_file 任何人去试图访问txt文件,结尾不区分大小写的全部拒绝 举例:匹配某个浏览器类型 acl chrome hdr_reg(User-Agent) -i .*chrome.*$ block if chromeHTTP层访问控制指令
acl valid_method method GET HEAD http-request deny if ! valid_method 举例: acl myhost src 10.1.15.40 http-request deny if url_admin !myhost动静分离
frontend main *:5000
acl url_static path_beg -i /static /p_w_picpaths /javascript /stylesheets
acl url_static path_end -i .jpg .gif .png .css .js
use_backend static if url_static //如果上面的条件满足调至backend static主机
default_backend app //否则调至app主机
backend static
balance roundrobin
server static 127.0.0.1:4331 check
round robin balancing between the various backends
backend app
balance roundrobin
server app1 127.0.0.1:5001 check
server app2 127.0.0.1:5002 check
server app3 127.0.0.1:5003 check
server app4 127.0.0.1:5004 check
done!!!
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)