一、haproxy简介
HAProxy 是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。
HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全地整合进用户当前的架构中, 同时可以保护用户的web服务器不被暴露到网络上。
四层负载均衡和七层负载均衡主要有以下区别:
工作层次: 四层负载均衡工作在 OSI 模型的第四层(传输层),主要基于 IP 地址和端口号进行流量分配。 七层负载均衡工作在第七层(应用层),能理解应用层协议(如 HTTP、HTTPS、FTP 等),根据请求的内容进行更精细的流量分发。
处理内容: 四层负载均衡仅根据数据包的源 IP 地址、目标 IP 地址、源端口和目标端口等信息做出决策。 七层负载均衡可以深入分析数据包中的应用层数据,例如 HTTP 请求的 URL、Cookie、请求方法等。
调度策略: 四层负载均衡的调度策略相对简单,常见的有轮询、加权轮询、最少连接等。 七层负载均衡的调度策略更加丰富和灵活,可以基于 URL 路径、文件类型、浏览器类型、语言等进行调度。
性能和开销: 四层负载均衡处理速度较快,性能较高,但功能相对简单。 七层负载均衡由于需要解析应用层数据,处理开销较大,性能相对较低,但能提供更智能的流量分配。
应用场景: 四层负载均衡适用于对性能要求较高、流量较大且协议相对简单的场景,如 TCP 或 UDP 业务。 七层负载均衡适用于对内容识别和处理要求较高的复杂应用场景,如 Web 服务器集群、反向代理等。 例如,在一个大型的文件下载服务中,如果主要关注的是快速分配连接,四层负载均衡可能是较好的选择。而对于一个复杂的电商网站,需要根据用户请求的不同页面或功能来分配流量,七层负载均衡则能更好地满足需求。
二、haproxy实验环境部署及负载均衡实现
1、基于RHEL9的实验环境搭建:
haproxy:172.25.254.100
webserver1:172.25.254.10
webserver2:172.25.254.20
软件安装:
bash
[root@haproxy ~]# dnf install haproxy -y
[root@webserver1 ~]# dnf install nginx -y
[root@webserver1 ~]# echo webserver1-172.25.254.10 > /usr/share/nginx/html/index.html
[root@webserver1 ~]# systemctl enable --now nginx
[root@webserver2 ~]# dnf install nginx -y
[root@webserver2 ~]# echo webserver2-172.25.254.20 > /usr/share/nginx/html/index.html
[root@webserver2 ~]# systemctl enable --now nginx
#测试
[root@haproxy ~]# curl 172.25.254.20
webserver2-172.25.254.20
[root@haproxy ~]# curl 172.25.254.10
webserver1-172.25.254.102、proxies:代理配置段
defaults:为frontend, backend, listen提供默认配置
frontend:前端,相当于nginx中的server {}
backend:后端,相当于nginx中的upstream {}
listen:同时拥有前端和后端配置,配置简单,生产推荐使用
bash
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
frontend webcluster #名字唯一,避免混淆和冲突
bind *:80 #这台主机所有80端口均打开
mode http #http七层,tcp四层
use_backend webcluster-host #使用的后端
backend webcluster-host
balance roundrobin #调度规则
server web1 172.25.254.10:80
server web2 172.25.254.20:80
bash
[root@haproxy ~]# systemctl start haproxy.service
[root@haproxy ~]# systemctl status haproxy.service
3、global:全局配置段
·进程及安全配置相关的参数
·性能调整相关参数
.Debug参数
4、haproxy全局配置参数及日志分离
默认只有一个进程
设定多线程:
设定多进程:
对比:
bash
[root@mlh ~]# pstree -p | grep haproxy
|-haproxy(36860)-+-haproxy(36862)
| `-haproxy(36863)
[root@mlh ~]# cat /proc/36863/status | grep -i thread
Threads: 1
Speculation_Store_Bypass: thread vulnerable
多线程
[root@mlh ~]# pstree -p | grep haproxy
|-haproxy(38654)---haproxy(38657)---{haproxy}(38658)
[root@mlh ~]# cat /proc/38657/status | grep -i thread
Threads: 2
Speculation_Store_Bypass: thread vulnerable不能同时设定多进程和多线程,参数互斥
线程与CPU进行绑定:
bash
查看进程数
[root@mlh ~]# cat /proc/36863/status | grep -i thread
Threads: 1
Speculation_Store_Bypass: thread vulnerable自定义日志文件:
bash
[root@haproxy ~]# vim /etc/rsyslog.conf
local2.* /var/log/haproxy.log定义全局的syslog服务器;日志服务器需要开启UDP协议,最多可以定义两个
bash
开启UDP协议
module(load="imtcp") # needs to be done just once
input(type="imtcp" port="514")
三、haproxy代理配置参数
sorryserver:172.25.254.30
bash
[root@sorryserver ~]# dnf install httpd -y
[root@sorryserver ~]# systemctl enable --now httpd
[root@sorryserver ~]# echo 对不起,下班了! > /var/www/html/index.html
效果实现:
bash
先把两台后端服务器down
[root@webserver1 ~]# systemctl stop nginx.service
[root@webserver2 ~]# systemctl stop nginx.service
添加172.25.254.30主机为备份主机
[root@haproxy log]# vim /etc/haproxy/haproxy.cfg
backend webcluster-host
balance roundrobin
server web1 172.25.254.10:80 check inter 2 fall 3 rise 5 weight 2
server web2 172.25.254.20:80 check inter 2 fall 3 rise 5 weight 1
server sorry_server 172.25.254.30:80 backup
当两台后端服务器都down时:
开启其中一台:
disabled维护状态:
bash
[root@haproxy log]# vim /etc/haproxy/haproxy.cfg
server web1 172.25.254.10:80 check inter 2 fall 3 rise 5 weight 2 disabled
临时重定向:
bash
[root@haproxy log]# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
mode http
balance roundrobin
redirect prefix http://www.baidu.com/
#server web1 172.25.254.10:80 check inter 2 fall 3 rise 5 weight 2
#server web2 172.25.254.20:80 check inter 2 fall 3 rise 5 weight 1
#server sorry_server 172.25.254.30 backup
四、haproxy热更新方法
bash
提权
[root@haproxy log]# vim /etc/haproxy/haproxy.cfg
stats socket /var/lib/haproxy/stats mode 600 level admin
[root@haproxy log]# ll /var/lib/haproxy/stats
srw-------. 1 root root 0 8月 11 00:11 /var/lib/haproxy/stats对服务器动态权重和其它状态可以利用 socat工具进行调整,Socat 是 Linux 下的一个多功能的网络工 具,名字来由是Socket CAT,相当于netCAT的增强版.Socat 的主要特点就是在两个数据流之间建立双向 通道,且支持众多协议和链接方式。如 IP、TCP、 UDP、IPv6、Socket文件等
bash
[root@haproxy log]# dnf install socat -y
查看帮助
[root@haproxy log]# echo "help" | socat stdio /var/lib/haproxy/stats
查看haproxy状态
[root@haproxy log]# echo "show info" | socat stdio /var/lib/haproxy/stats
查看集群状态
[root@haproxy log]# echo "show servers state" | socat stdio /var/lib/haproxy/stats
1
查看集群权重
[root@haproxy log]# echo get weight webcluster/web1 | socat stdio /var/lib/haproxy/stats
2 (initial 2)#当前权重/配置权重
更改权重
[root@haproxy log]# echo "set weight webcluster/web1 1 " | socat stdio /var/lib/haproxy/stats
[root@haproxy log]# echo get weight webcluster/web1 1 | socat stdio /var/lib/haproxy/stats
1 (initial 2)
bash
[root@haproxy log]# echo "disable server webcluster/web1 " | socat stdio /var/lib/haproxy/stats
下线web1服务器
bash
[root@haproxy log]# echo "enable server webcluster/web1 " | socat stdio /var/lib/haproxy/stats
上线web2服务器
haproxy多进程热处理:
保证每个进程就会有单独的sock文件来进行单独管理
bash
[root@haproxy log]# systemctl restart haproxy.service
[root@haproxy log]# ll /var/lib/haproxy/
总用量 0
srw-------. 1 root root 0 8月 11 00:31 stats
srw-------. 1 root root 0 8月 11 01:02 stats1
srw-------. 1 root root 0 8月 11 01:02 stats2
五、haproxy算法
1、静态算法
static-rr
不支持运行时利用socat进行权重的动态调整(只支持0和1,不支持其它值)
不支持端服务器慢启动
其后端主机数量没有限制,相当于LVS中的 wrr
first
根据服务器在列表中的位置,自上而下进行调度
其只会当第一台服务器的连接数达到上限,新请求才会分配给下一台服务
其会忽略服务器的权重设置
不支持用socat进行动态修改权重,可以设置0和1,可以设置其它值但无效
2、动态算法
基于后端服务器状态进行调度适当调整
新请求将优先调度至当前负载较低的服务器
权重可以在haproxy运行时动态调整无需重启
roundrobin
-
基于权重的轮询动态调度算法
-
支持权重的运行时调整,不同于lvs中的rr轮训模式
-
HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)
-
其每个后端backend中最多支持4095个real server
-
支持对real server权重动态调整
-
roundrobin为默认调度算法,此算法使用广泛
leastconn
leastconn加权的最少连接的动态
支持权重的运行时调整和慢启动,即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户 端连接)
比较适合长连接的场景使用,比如:MySQL等场景。
3、其他算法
source
源地址hash,基于用户源地址hash并将请求转发到后端服务器,后续同一个源地址请求将被转发至同一 个后端web服务器。此方式当后端服务器数据量发生变化时,会导致很多用户的请求转发至新的后端服 务器,默认为静态方式,但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP 模式下使用,也可给拒绝会话cookie的客户提供最好的会话粘性,适用于session会话保持但不支持 cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式,分别是取模法和一致性hash
map-base取模法
map-based:取模法,对source地址进行hash计算,再基于服务器总权重的取模,最终结果决定将此请 求转发至对应的后端服务器。 此方法是静态的,即不支持在线调整权重,不支持慢启动,可实现对后端服务器均衡调度 缺点是当服务器的总权重发生变化时,即有服务器上线或下线,都会因总权重发生变化而导致调度结果 整体改变
一致性hash
一致性哈希,当服务器的总权重发生变化时,对调度结果影响是局部的,不会引起大的变动hash(o) mod n 该hash算法是动态的,支持使用 socat等工具进行在线权重调整,支持慢启动
1、后端服务器哈希环点keyA=hash(后端服务器虚拟ip)%(2^32)
2、客户机哈希环点key1=hash(client_ip)%(2^32) 得到的值在[0---4294967295]之间
3、将keyA和key1都放在hash环上,将用户请求调度到离key1最近的keyA对应的后端服务器
uri
基于对用户请求的URI的左半部分或整个uri做hash,再将hash结果对总权重进行取模后 根据最终结果将请求转发到后端指定服务器 适用于后端是缓存服务器场景 默认是静态算法,也可以通过hash-type指定map-based和consistent,来定义使用取模法还是一致性 hash
访问不同的uri,确认可以将用户同样的请求转发至相同的服务器
bash
[root@webserver1 ~]# echo 172.25.254.10-index1.html > /usr/share/nginx/html/index1.html
[root@webserver1 ~]# echo 172.25.254.10-index2.html > /usr/share/nginx/html/index2.html
[root@webserver1 ~]# echo 172.25.254.10-index3.html > /usr/share/nginx/html/index3.html
[root@mlh ~]# echo 172.25.254.20-index1.html > /usr/share/nginx/html/index1.html
[root@mlh ~]# echo 172.25.254.20-index2.html > /usr/share/nginx/html/index2.html
[root@mlh ~]# echo 172.25.254.20-index3.html > /usr/share/nginx/html/index3.html
url_param
url_param对用户请求的url中的 params 部分中的一个参数key对应的value值作hash计算,并由服务器 总权重相除以后派发至某挑出的服务器,后端搜索同一个数据会被调度到同一个服务器,多用与电商 通常用于追踪用户,以确保来自同一个用户的请求始终发往同一个real server
hdr
针对用户每个http头部(header)请求中的指定信息做hash, 此处由 name 指定的http首部将会被取出并做hash计算, 然后由服务器总权重取模以后派发至某挑出的服务器,如果无有效值,则会使用默认的轮询调度。
六、haproxy状态页面监控
stats enable #基于默认的参数启用
stats page stats hide-version #将状态页中haproxy版本隐藏
stats refresh #设定自动刷新时间间隔,默认不自动刷新
stats uri #自定义stats page uri,默认值:/haproxy?
stats stats auth : #认证时的账号和密码,可定义多个用户,每行指定一个用户 #默认:no authentication
stats admin { if | unless } #启用stats page中的管理功能
状态页配置:
七、haproxy-基于cookie的会话保持
HAProxy 基于 Cookie 值的会话保持是一种在负载均衡环境中确保用户会话持续性的有效方法。 当用户首次访问服务时,后端服务器会在响应中设置一个特定的 Cookie。HAProxy 会检测并提取这个 Cookie 值,并在后续的请求中,根据这个 Cookie 值将用户的请求始终路由到同一台后端服务器,从而保持会话的一致性。
bash
cookie name [ rewrite | insert | prefix ][ indirect ] [ nocache ][ postonly ] [
preserve ][ httponly ] [ secure ][ domain ]* [ maxidle <idle> ][ maxlife ]
name: #cookie 的 key名称,用于实现持久连接
insert: #插入新的cookie,默认不插入cookie
indirect: #如果客户端已经有cookie,则不会再发送cookie信息
nocache: #当client和hapoxy之间有缓存服务器(如:CDN)时,不允许中间缓存器缓存cookie,
#因为这会导致很多经过同一个CDN的请求都发送到同一台后端服务器
bash
curl -b WEBCOOKIE=111 172.25.254.100
八、haproxy状态页
修改 HAproxy 配置文件
stats enable ----基于默认的参数启用stats page
stats hide-version ----将状态页中haproxy版本隐藏
stats refresh <delay> ----设定自动刷新时间间隔,默认不自动刷新
stats uri <prefix> ----自定义stats page uri,默认值:/haproxy?stats
stats auth <user>:<passwd> ----认证时的账号和密码,可定义多个用户,每行指定一个用户;默认:no authentication
stats admin{if|unless}<cond> ----启用stats page中的管理功能
效果演示:
九、ip透传
1、四层ip透传
修改 HAproxy 配置文件
2、七层ip透传
十、ACL
访问控制列表ACL(Access Control Lists)
是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、UL、文件后缀等信息,对内容进行匹配并执行进一步操作,比如允许其通过或丢弃。
ACL配置选项:
acl <aclname>(名称) <criterion>(匹配规范) [flags](匹配模式) [operator](具体操作符) [<value>](操作对象类型)
ACL命名规则:
acl image_service hdr_dom(host) -i img.magedu.com
ACL名称,可以使用大字母(A-Z)、小写字母(a-z)、数字(0-9)、冒号(:)、点(.)、中横线(-)和下划线(_),并且严格区分大小写,比如:my_acl和My_Acl就是两个完全不同的acl
ACL 匹配
域名解析地址:
匹配条件:输入www.ty.org则访问server1,其他访问至server2
域名内的某一段匹配:
正则匹配:
条件匹配:
错误页提示
errorfile
指定错误页路径和内容
重定向 IP 地址
当网页访问错误时,自动跳转至指定的地址
HAproxy 四层负载-数据库
数据库监听字段:
