HAPropy全功能详解

在一个lvs的环境中,如果服务器出现故障,按照lvs的策略却依然会将访问方式到故障服务器,必然是没有回应的结果,在一个集群中,一台服务器出现故障,理应灵活的去寻找没有故障的服务器,这种方法可以由haproxy来执行

首先介绍一下负载均衡

负载均衡: Load Balance,简称LB,是一种服务或基于硬件设备等实现的高可用反向代理技术,负载均衡将特定的业务(web服务、网络流量等)分担给指定的一个或多个后端特定的服务器或设备,从而提高了公司业务的并发处理能力、保证了业务的高可用性、方便了业务后期的水平动态扩展。

七层负载均衡

1.通过虚拟ur|或主机ip进行流呈识别,根据应用层信息进行解析,决定是否需要进行负载均衡。

⒉.代理后台服务器与客户端建立连接,如nginx可代理前后端,与前端客户端tcp连接,与后端服务器建立tcp连接,

3.支持7层代理的软件:

. Nginx:基于http协议(nginx七层是通过proxy_pass). Haproxy:七层代理,会话保持、标记、路径转移等。

四层负载均衡和七层负载均衡的区别

所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量。

四层的负载均衡,就是通过发布三层的IP地址(VIP),然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理七层的负载均衡,就是在四层的基础上(没有四层是绝对不可能有七层的),再考虑应用层的特征,比如同一个Web服务器的负载均衡,除了根据VIP加80端口辨别是否需要处理的流量,还可根据七层的URL、浏览器类别、语言来决定是否要进行负载均衡。

1.分层位置:四层负载均衡在传输层及以下,七层负载均衡在应用层及以下

⒉.性能:四层负载均衡架构无需解析报文消息内容,在网络吞吐量与处理能力上较高:七层可支持解析应用层报文消息内容,识别URL、Cookie、HTTP header等信息。、

3.原理:四层负载均衡是基于ip+port;七层是基于虚拟的URL或主机IP等。

4.功能类比:四层负载均衡类似于路由器;七层类似于代理服务器。

5.安全性:四层负载均衡无法识别DDoS攻击;七层可防御SYN Cookie/Flood攻击

实验环境部署

[root@server1 ~]# echo webserver1 - 192.168.153.10 > /usr/share/nginx/html/index.html

[root@server1 ~]# systemctl enable --now nginx

[root@server2 ~]# echo webserver2 - 192.168.153.20 > /usr/share/nginx/html/index.html

[root@server2 ~]# systemctl enable --now nginx

[root@haproxy ~]# curl 192.168.153.10

webserver1 - 192.168.153.10

[root@haproxy ~]# curl 192.168.153.20

webserver2 - 192.168.153.20

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg

在haproxy中添加如下配置

[root@haproxy ~]# systemctl enable haproxy

[root@haproxy ~]# systemctl restart haproxy.service

这时我们将server1上的nginx服务关闭

[root@server1 ~]# systemctl stop nginx.service

按照我们的部署,本应该寻10的流量找不到就全部会去找20

实现后端检查功能

多进程和线程:

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg

nbproc 2 表示启用多进程,2代表两个,一般有几个cpu就可以启几个

cpu-map 1 0 #进程和cpu核心绑定防止cpu抖动从而减少系统资源消耗

cpu-map 2 1 #2表示第二个进程,1表示第二个cpu核心

root@haproxy ~]# systemctl restart haproxy

如果设置了多进程就不能设置多线程

多线程 2

自定义log文件位置

Proxies配置-defaults

参数:功能

option abortonclose:当服务器负载很高时,自动结束掉当前队列处理比较久的连接,针对业务情况选择开启

option redispatch:当对应的服务器挂掉后,强制定向到其他健康的服务器,重新派发

option http-keep-alive:开启与客户端的会话保持

option forwardfor:透传客户端真实IP至后端web服务器(在apache配置文件中加入:%{X-Forwarded-For}i后在webserer中看日志即可看到地址透传信息)

mode http| tcp:设置默认工作类型,使用TCP服务器性能更好,减少压力

timeout http-keep-alive 120s:session会话保持超时时间,此时间段内会转发到相同的后端服务器

timeout connect 120s:客户端请求从haproxy到后端server最长连接等待时间(TCP连接之前),

默认单位ms

timeout server 600s:客户端请求从haproxy到后端服务端的请求处理超时时长(TCP连接之

后),默认单位ms,如果超时,会出现502错误,此值建议设置较大些,访止502错误

timeout client 600s:设置haproxy与客户端的最长非活动时间,默认单位ms,建议和timeout server相同

timeout check 5s

对后端服务器的默认检测超时时间:default-server inter

指定后端服务器的默认设置:1000 weight 3

下线指定realserver

网页重定向

socat工具

对服务器动态权重和其它状态可以利用socat工具进行调整,Socat是Linux下的一个多功能的网络工具,名字来由是Socket CAT,相当于netCAT的增强版.Socat的主要特点就是在两个数据流之间建立双向通道,且支持众多协议和链接方式。如IP、TCP、UDP、IPv6、Socket文件等

范例:利用工具socat 对服务器动态权重调整

[root@haproxy ~]# systemctl restart haproxy.service

权限更改为600

[root@haproxy ~]# yum install socat -y

[root@haproxy ~]# echo "show info" | socat stdio /var/lib/haproxy/stats #查看haproxy状态

Name: HAProxy

Version: 2.4.22-f8e3218

Release_date: 2023/02/14

Nbthread: 1

Nbproc: 1

Process_num: 1

Pid: 33542

Uptime: 0d 0h03m43s

Uptime_sec: 223

Memmax_MB: 0

PoolAlloc_MB: 0

[root@haproxy ~]# echo "show servers state" | socat stdio /var/lib/haproxy/stats #查看集群状态

1

be_id be_name srv_id srv_name srv_addr srv_op_state srv_admin_state srv_uweight

srv_iweight srv_time_since_last_change srv_check_status srv_check_result

srv_check_health srv_check_state srv_agent_state bk_f_forced_id srv_f_forced_id

srv_fqdn srv_port srvrecord srv_use_ssl srv_check_port srv_check_addr

srv_agent_addr srv_agent_port

2 webcluster 1 web1 172.25.254.20 2 0 2 2 188 6 3 7 6 0 0 0 - 80 - 0 0 - - 0

2 webcluster 2 web2 172.25.254.30 2 0 1 1 188 6 3 7 6 0 0 0 - 80 - 0 0 - - 0

4 static 1 static 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 4331 - 0 0 - - 0

5 app 1 app1 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 5001 - 0 0 - - 0

5 app 2 app2 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 5002 - 0 0 - - 0

5 app 3 app3 127.0.0.1 0 0 1 1 186 8 2 0 6 0 0 0 - 5003 - 0 0 - - 0

5 app 4 app4 127.0.0.1 0 0 1 1 186 8 2 0 6 0 0 0 - 5004 - 0 0 - - 0

[root@haproxy ~]# echo get weight webcluster/web1 | socat stdio #查看集群权重

/var/lib/haproxy/stats

2 (initial 2)

[root@haproxy ~]# echo get weight webcluster/web2 | socat stdio

/var/lib/haproxy/stats

1 (initial 1)

[root@haproxy ~]# echo "set weight webcluster/web1 1 " | socat stdio #设置权重

/var/lib/haproxy/stats

[root@haproxy ~]# echo "set weight webcluster/web1 2 " | socat stdio

/var/lib/haproxy/stats

[root@haproxy ~]# echo "disable server webcluster/web1 " | socat stdio #下线后端服务器

/var/lib/haproxy/stats

[root@haproxy ~]# echo "enable server webcluster/web1 " | socat stdio #上线后端服务器

/var/lib/haproxy/stats

haproxy ~]# vim /etc/haproxy/haproxy.cfg

[root@haproxy ~]# ll /var/lib/haproxy/

总用量 0

srw------- 1 root root 0 8月 8 13:43 stats

srw------- 1 root root 0 8月 8 13:46 stats1

srw------- 1 root root 0 8月 8 13:46 stats2

haproxy中的算法

1.静态算法

静态算法:按照事先定义好的规则轮询公平调度,不关心后端服务器的当前负载、连接数和响应速度等,且无法实时修改权重(只能为0和1,不支持其它值),只能靠重启HAProxy生效。
1.1 static-rr:基于权重的轮询调度

·不支持运行时利用socat进行权重的动态调整(只支持0和1,不支持其它值)·

不支持端服务器慢启动

·其后端主机数量没有限制,相当于LVS中的wrr

1.2 first

·根据服务器在列表中的位置,自上而下进行调度

·其只会当第一台服务器的连接数达到上限,新请求才会分配给下一台服务·

其会忽略服务器的权重设置

·不支持用socat进行动态修改权重,可以设置O和1,可以设置其它值但无效

动态算法

·基于后端服务器状态进行调度适当调整,

·新请求将优先调度至当前负载较低的服务器·

权重可以在haproxy运行时动态调整无需重启

2.1 roundrobin

1.基于权重的轮询动态调度算法,

2.支持权重的运行时调整,不同于lvs中的rr轮训模式,

3.HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)

4.其每个后端backend中最多支持4095个real server,

5.支持对real server权重动态调整,

6.roundrobin为默认调度算法,此算法使用广泛

4.2.2 leastconn

. leastconn加权的最少连接的动态

。支持权重的运行时调整和慢启动,即:根据当前连接最少的后端服务器而非权重进行优先调度(新客

户端连接)

·比较适合长连接的场景使用,比如: MySQL等场景。

其他算法

其它算法即可作为静态算法,又可以通过选项成为动态算法

3.1 source

源地址hash,基于用户源地址hash并将请求转发到后端服务器,后续同一个源地址请求将被转发至同一个后端web服务器。此方式当后端服务器数据量发生变化时,会导致很多用户的请求转发至新的后端服务器,默认为静态方式,但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP模式下使用,也可给拒绝会话cookie的客户提供最好的会话粘性,适用于session会话保持但不支持cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式,分别是取模法和一致性hash

3.1.1 map-base 取模法

map-based:取模法,对source地址进行hash计算,再基于服务器总权重的取模,最终结果决定将此请求转发至对应的后端服务器。

此方法是静态的,即不支持在线调整权重,不支持慢启动,可实现对后端服务器均衡调度

缺点是当服务器的总权重发生变化时,即有服务器上线或下线,都会因总权重发生变化而导致调度结果整体改变,hash-type指定的默认值为此算法

3.1.2一致性hash

一致性哈希,当服务器的总权重发生变化时,对调度结果影响是局部的,不会引起大的变动hash (o)mod n

该hash算法是动态的,支持使用socat等工具进行在线权重调整,支持慢启动

后端服务器在线与离线的调度方式

3.1.2.1公用哈希函数和哈希环

设计哈希函数 Hash(key),要求取值范围为 [0, 2^32) 各哈希值在上图 Hash 环上的分布:时钟12点位置为0,按顺时针方向递增,临近12点的左侧位置为2^32-1。

3.1.2.2 节点(Node)映射至哈希环

如图哈希环上的绿球所示,四个节点 Node A/B/C/D, 其 IP 地址或机器名,经过同一个 Hash() 计算的结果,映射到哈希环上。

3.1.2.3 对象(Object)映射于哈希环

如图哈希环上的黄球所示,四个对象 Object A/B/C/D, 其键值,经过同一个 Hash() 计算的结果,映射到哈希环上。

3.1.2.4 对象(Object)映射至节点(Node)

在对象和节点都映射至同一个哈希环之后,要确定某个对象映射至哪个节点, 只需从该对象开始,沿着哈希环顺时针方向查找,找到的第一个节点,即是。 可见,Object A/B/C/D 分别映射至 Node A/B/C/D。

3.1.2.5 删除节点

现实场景:服务器缩容时删除节点,或者有节点宕机。如下图,要删除节点 Node C: 只会影响欲删除节点(Node C)与上一个(顺时针为前进方向)节点(Node B)与之间的对象,也就是 Object C, 这些对象的映射关系,按照 2.1.4 的规则,调整映射至欲删除节点的下一个节点 Node D。 其他对象的映射关系,都无需调整

3.1.2.6 增加节点

现实场景:服务器扩容时增加节点。比如要在 Node B/C 之间增加节点 Node X: 只会影响欲新增节点(Node X)与上一个(顺时针为前进方向)节点(Node B)与之间的对象,也就是 Object C, 这些对象的映射关系,按照 2.1.4 的规则,调整映射至新增的节点 Node X。 其他对象的映射关系,都无需调整。

3.1.3 uri

基于对用户请求的URl的左半部分或整个uri做hash,再将hash结果对总权重进行取模后根据最终结果将请求转发到后端指定服务器

适用于后端是缓存服务器场景

默认是静态算法,也可以通过hash-type指定map-based和consistent,来定义使用取模法还是一致性hash

3.1.4 url_param

url_param对用户请求的url中的params部分中的一个参数key对应的value值作hash计算,并由服务器总权重相除以后派发至某挑出的服务器,后端搜索同一个数据会被调度到同一个服务器,多用与电商通常用于追踪用户,以确保来自同一个用户的请求始终发往同一个real server

如果无没key,将按roundrobin算法

3.1.5 hdr

针对用户每个http头部(header)请求中的指定信息做hash,此处由name指定的http首部将会被取出并做hash计算,

然后由服务器总权重取模以后派发至某挑出的服务器,如果无有效值,则会使用默认的轮询调度。

算法汇总

#静态

static-rr--------->tcp/http

first--------------->tcp/http

#动态

roundrobin-------->tcp/http

leastconn--------->tcp/http

random------------>tcp/http

#以下静态和动态取决于hash_type是否consistent

source------------>tcp/http

uri----------------->httpur1_param--------->http

hdr--------------->http

高级功能及配置

5.1基于cookie的会话保持

cookie value:为当前server指定cookie值,实现基于cookie的会话黏性,相对于基于source地址hash调度算法对客户端的粒度更精准,但同时也加大了haproxy负载,目前此模式使用较少,已经被session共享服务器代替

IP透传

IP 透传(IP Transparency)指的是在代理服务器处理请求和响应的过程中,能够将客户端的真实 IP 地址传递到后端服务器,使得后端服务器能够获取到客户端的原始 IP 而不是代理服务器的 IP 地址。

web服务器中需要记录客户端的真实IP地址,用于做访问统计、安全防护、行为分析、区域排行等场景。

生成密钥

查看密钥

相关推荐
恩爸编程21 分钟前
探索 Nginx:Web 世界的幕后英雄
运维·nginx·nginx反向代理·nginx是什么·nginx静态资源服务器·nginx服务器·nginx解决哪些问题
Hacker_LaoYi1 小时前
【渗透技术总结】SQL手工注入总结
数据库·sql
岁月变迁呀1 小时前
Redis梳理
数据库·redis·缓存
独行soc1 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍06-基于子查询的SQL注入(Subquery-Based SQL Injection)
数据库·sql·安全·web安全·漏洞挖掘·hw
Michaelwubo1 小时前
Docker dockerfile镜像编码 centos7
运维·docker·容器
你的微笑,乱了夏天2 小时前
linux centos 7 安装 mongodb7
数据库·mongodb
远游客07132 小时前
centos stream 8下载安装遇到的坑
linux·服务器·centos
工业甲酰苯胺2 小时前
分布式系统架构:服务容错
数据库·架构
好像是个likun2 小时前
使用docker拉取镜像很慢或者总是超时的问题
运维·docker·容器
独行soc3 小时前
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍08-基于时间延迟的SQL注入(Time-Based SQL Injection)
数据库·sql·安全·渗透测试·漏洞挖掘