haproxy整理

haproxy

1.1 haproxy简介

HAProxy是法国开发者威利塔罗(Willy Tarreau) 在2000年使用C语言开发的一个开源软件是一款具备高并发(万级以上)、高性能的TCP和HTTP负载均衡器，支持基于cookie的持久性，自动故障切换，支持正则表达式及web状态统计

1.1.1haproxy的优点

高性能：HAProxy采用事件驱动模型，能够处理大量并发连接。
灵活性强：支持多种负载均衡算法和调度策略，适应不同的应用场景。
高可用性：通过健康检查和故障转移机制，确保服务的连续性。
丰富的功能：支持SSL终止、HTTP重写、压缩等多种功能。

1.1.2功能对比

haproxy分为社区版和企业版

企业版网站：https://www.haproxy.com

社区版网站：http://www.haproxy.org

以下是版本对比：

功能	社区版	企业版
高级HTTP / TCP负载平衡和持久性	支持	支持
高级健康检查	支持	支持
应用程序加速	支持	支持
高级安全特性	支持	支持
高级管理	支持	支持
HAProxy Dev Branch新功能		支持
24*7 支持服务		支持
实时仪表盘		支持
VRRP和Route Health Injection HA工具		支持
ACL，映射和TLS票证密钥同步		支持
基于应用程序的高级DDoS和Bot保护(自动保护）		支持
Bot(机器人)监测		支持
Web应用防火墙		支持
HTTP协议验证		支持
实时集群追踪

1.1.3haproxy架构

HAProxy的整体架构主要包括以下部分：

前端（Frontend）：接受客户端请求，并根据配置的规则进行处理。
后端（Backend）：定义一组服务器，处理前端转发的请求。
服务器（Server）：实际处理请求的后端服务器。
监听器（Listener）：在前端监听特定的IP和端口，等待客户端的连接请求。

1.2haproxy基础

1.2.1 haproxy简单配置

安装haproxy：

[root@haproxy ~]# dnf install haproxy -y

实验环境：

对实验环境进行检测：

[root@haproxy ~]# curl 172.25.254.10
webserver1 - 172.25.254.10
[root@haproxy ~]# curl 172.25.254.20
webserver2 - 172.25.254.20

1.2.2 haproxy基本配置信息

haproxy 的配置文件由两部分组成：全局设定和对代理的设定，共分为五段：global，defaults，frontend，backend，listen。

global	设置全局配置参数，属于进程的配置，通常是和操作系统相关
defaults	配置默认参数，这些参数可以被用到frontend，backend，Listen组件
frontend	接收请求的前端虚拟节点，Frontend可以更加规则直接指定具体使用后端的backend
backend	后端服务集群的配置，是真实服务器，一个Backend对应一个或者多个实体服务器
Listen	frontend和backend的组合体

进行简单实验：

编辑文件：

vim /etc/haproxy/haproxy.cfg

修改如图内容：

也可以这样配置：

启动haproxy：

[root@haproxy ~]# systemctl enable haproxy
[root@haproxy ~]# systemctl status haproxy

在测试机进行测试：

[C:\~]$ curl 172.25.254.100
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 27 100 27 0 0 1026 0 --:--:-- --:--:-- --:--:-- 1038
webserver1 - 172.25.254.10

[C:\~]$ curl 172.25.254.100
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 27 100 27 0 0 5026 0 --:--:-- --:--:-- --:--:-- 5400
webserver2 - 172.25.254.20

测试没问题，实验告一段落

配置实验-2：

使用命令：

[root@haproxy ~]# pstree -p | grep haproxy
|-haproxy(981)---haproxy(996)-+-{haproxy}(997)
|

可以检查进程

修改/etc/haproxy/haproxy.cfg"文件中的全局配置，可以开启的haproxy worker 进程数，默认进程数是一个。

也可以在全局配置中绑定haproxy worker 进程至指定CPU，cpu-map1 0是指，将第1个work进程绑定至0号CPU，下面同理。

此外，参数中的nbthread 1 （和nbproc 互斥），一个是进程数，一个是线程数。

1.2.3 haproxy配置-defaults

defaults
mode http   # HAProxy实例使用的连接协议http为七层协议，tcp为四层
log global   #指定日志地址和记录日志条目的
option httplog #此处的 global表示使用 global配置段中设定的log值。
option dontlognull  #日志记录选项，httplog表示记录与 HTTP会话相关的各种属性值
option http-server-close
option forwardfor except 127.0.0.0/8   #透传客户端真实IP至后端web服务器
option redispatch   #当server Id对应的服务器挂掉后，强制定 #向到其他健康的服务器，重新派发
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s   #session 会话保持超时时间
timeout check 10s
maxconn 3000

1.2.4 haprox配置-server

check #对指定real进行健康状态检查，利用TCP连接进行周期性健康性检查

addr<IP> #可指定的健康状态监测IP，可以是专门的数据网段，减少业务网络的流量

port <num> #指定的健康状态监测端口

inter <num> #健康状态检查间隔时间，默认2000 ms

fall <num> #后端服务器从线上转为线下的检查的连续失效次数，默认为3

rise <num> #后端服务器从下线恢复上线的检查的连续有效次数，默认为2

weight <weight> #默认为1，最大值为256，0(状态为蓝色)表示不参与负载均衡，但仍接受持久连接

backup #将后端服务器标记为备份状态,只在所有非备份主机down机时提供服务，类似Sorry

disabled #将后端服务器标记为不可用状态，即维护状态，除了持久模式

maxconn <maxconn> #当前后端server的最大并发连接数

server实验：

进行如下配置：

两台服务器每隔两秒进行自检，检测五次，当两台服务器都不能访问则访问web3

web1/2正常访问：

web1/2访问失败

1.3socat工具

对其进行提权

安装socat：

[root@haproxy ~]# dnf install socat -y

查看帮助：

[root@haproxy ~]# echo "help" | socat stdio /var/lib/haproxy/stats

查看集群权重

[root@haproxy ~]# echo get weight webcluster/web1 | socat stdio /var/lib/haproxy/stats

设置权重

[root@haproxy ~]# echo "set weight webcluster/web1 1 " | socat stdio /var/lib/haproxy/stats

下线后端服务器

[root@haproxy ~]# echo "disable server webcluster/web1 " | socat stdio /var/lib/haproxy/stats

上线后端服务器

[root@haproxy ~]# echo "enable server webcluster/web1 " | socat stdio /var/lib/haproxy/stats

1.4 haproxy的算法

HAProxy的调度算法分为静态和动态调度算法

静态算法（按照事先定义好的规则轮询公平调度，不关心后端服务器的当前负载、连接数和响应速度等，且无法实时修改权重(只能为0和1,不支持其它值)，只能靠重启HAProxy生效。）

static-rr：基于权重的轮询调度
first：其只会当第一台服务器的连接数达到上限，新请求才会分配给下一台服务，忽略服务器的权重设置。

动态算法

roundrobin：基于权重的轮询动态调度算法, 支持权重的运行时调整, HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)。支持对real server权重动态调整，roundrobin为默认调度算法,此算法使用广泛。
leastconn：leastconn加权的最少连接的动态,支持权重的运行时调整和慢启动，即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户端连接),比较适合长连接的场景使用，比如：MySQL等场景.

其他算法

source：即源地址hash，可以解决会话问题，但也会导致同一个小区，公司的流量打到同一个后端服务器，不合理。
一致性hash：一致性哈希，当服务器的总权重发生变化时，对调度结果影响是局部的，不会引起大的变动hash（o）mod n，该hash算法是动态的，支持使用 socat等工具进行在线权重调整，支持慢启动

1.5 haproxy状态页

对文件/etc/haproxy/haproxy.cfg 进行配置，端口没太大限制，但也不能太离谱，uri就是网页的尾缀名称 rin：rin是账号密码

登入后页面如下：

1.6 IP透传

1.6.1 nginx七层IP透传

该参数不禁用就有透传显示

打开nginx的访问日志：
[root@webserver2 ~]# cat /var/log/nginx/access.log

1.6.2 nginx四层IP透传

修改nginx格式：

对haproxy进行配置：

1.7ACL

1.7.1 ACL配置选项

#用acl来定义或声明一个acl
acl <aclname> <criterion> [flags] [operator] [<value>]
acl 名称匹配规范匹配模式具体操作符操作对象类型

1.7.1.1 ACL-flags 匹配模式

-i 不区分大小写

-m 使用指定的正则表达式匹配方法

-n 不做DNS解析

-u 禁止acl重名，否则多个同名ACL匹配或关系

1.7.1.2 ACL 操作符

整数比较：eq、ge、gt、le、lt

字符比较：- exact match (-m str) :字符串必须完全匹配模式

- substring match (-m sub) :在提取的字符串中查找模式，如果其中任何一个被发现，ACL将匹配

- prefix match (-m beg) :在提取的字符串首部中查找模式，如果其中任何一个被发现，ACL将匹配

- suffix match (-m end) :将模式与提取字符串的尾部进行比较，如果其中任何一个匹配，则ACL进行匹配

- subdir match (-m dir) :查看提取出来的用斜线分隔（“/"）的字符串，如其中任一个匹配，则ACL 进行匹配

- domain match (-m dom) :查找提取的用点（“."）分隔字符串，如果其中任何一个匹配，则ACL进行匹配

1.7.2 ACL示例-基于源IP或子网调度访问

编写haproxy文件：

测试：

1.7.3 ACL示例-基于源地址的访问控制

拒绝指定IP或者IP范围访问

1.7.4 ACL示例-基于文件后缀名实现动静分离

1.8自定义HAProxy 错误界面

编辑文件

vim /etc/haproxy/haproxy.cfg

[root@haproxy ~]# systemctl restart haproxy.service
重启服务

1.9 HAProxy 对MYSQL的四层负载

对haproxy进行配置：

安装MySQL

yum install mysql-server

[root@haproxy ~]# mysql -uroot -p123@rin -h 172.25.254.100 -e "SHOW VARIABLES LIKE 'hostname'"
mysql: [Warning] Using a password on the command line interface can be insecure.
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| hostname | web1 |
+---------------+-------+