haproxy

HAProxy介绍

HAProxy是法国开发者威利塔罗(Willy Tarreau)在2000年使用C语言开发的一个开源软件，是一款具备高并发(一万以上)、高性能的TCP和HTTP负载均衡器，支持基于cookie的持久性，自动故障切换，支持正则表达式及web状态统计，目前最新TLS版本为2.0

历史版本：

历史版本更新功能：1.4  1.5  1.6  1.7  1.8 1.9  2.0 2.1 2.2-dev
1.8：多线程，HTTP/2缓存......
1.7：服务器动态配置，多类型证书......
1.6：DNS解析支持，HTTP连接多路复用......
1.5：开始支持SSL，IPV6，会话保持......

从2013年HAProxy 分为社区版和企业版，企业版将提供更多的特性和功能以及全天24小时的技术支持等服务。

企业版

企业版网站：https://www.haproxy.com/

社区版

社区版网站：http://www.haproxy.org/

github：https://github.com/haproxy

版本对比

功能	社区版	企业版
高级HTTP / TCP负载平衡和持久性	支持	支持
高级健康检查	支持	支持
应用程序加速	支持	支持
高级安全特性	支持	支持
高级管理	支持	支持
HAProxy Dev Branch新功能		支持
24*7 支持服务		支持
实时仪表盘		支持
VRRP和Route Health Injection HA工具		支持
ACL，映射和TLS票证密钥同步		支持
基于应用程序的高级DDoS和Bot保护(自动保护)		支持
Bot(机器人)监测		支持
Web应用防火墙		支持
HTTP协议验证		支持
实时集群追踪		支持

HAProxy功能

支持功能：

TCP 和 HTTP反向代理
SSL/TSL服务器
可以针对HTTP请求添加cookie，进行路由后端服务器
可平衡负载至后端服务器，并支持持久连接
支持所有主服务器故障切换至备用服务器
支持专用端口实现监控服务
支持停止接受新连接请求，而不影响现有连接
可以在双向添加，修改或删除HTTP报文首部
响应报文压缩
支持基于pattern实现连接请求的访问控制
通过特定的URI为授权用户提供详细的状态信息

支持http反向代理
支持动态程序的反向代理
支持基于数据库的反向代理

不具备的功能：

正向代理--squid，nginx
缓存代理--varnish
web服务--nginx、tengine、apache、php、tomcat
UDP--目前不支持UDP协议
单机性能--相比LVS性能较差

实验环境

主机一：haproxy 192.168.234.88

主机二：rs1 192.168.234.10

主机三：rs2 192.168.234.20

在两台rs主机上都安装nginx：

dnf install nginx -y

systemctl enable nginx.service --now #设置开机自启

两台主机都关闭防火墙和selinux：

systemctl disable firewalld --now

setenforce 0

给两台主机各一个测试页面：

echo "rs1-192.168.234.10 " > /usr/share/nginx/html/index.html

echo "rs2-192.168.234.20 " > /usr/share/nginx/html/index.html

安装haproxy

在haproxy主机上安装

dnf install haproxy -y

systemctl enable haproxy.service --now #设置开机自启

查看版本信息

haproxy的基本配置信息

global：全局配置段

• 进程及安全配置相关的参数
• 性能调整相关参数
• Debug参数

proxies：代理配置段

• defaults：为frontend, backend, listen提供默认配置
• frontend：前端，相当于nginx中的server {}
• backend：后端，相当于nginx中的upstream {}
• listen：同时拥有前端和后端配置,配置简单,生产推荐使用

global配置参数说明

global
   log         127.0.0.1 local2 #定义全局的syslog服务器；日志服务器需要开启UDP协
议，最多可以定义两个
    chroot     /var/lib/haproxy #锁定运行目录
   pidfile     /var/run/haproxy.pid #指定pid文件 
   maxconn     100000 #指定最大连接数
   user       haproxy #指定haproxy的运行用户
   group       haproxy #指定haproxy的运行组
   daemon #指定haproxy以守护进程方式运行
    # turn on stats unix socket
   stats socket /var/lib/haproxy/stats #指定haproxy的套接字文件
   nbproc 2 #指定haproxy的work进程数量，默认是1个
   cpu-map 1 0 #指定第一个work绑定第一个cpu核心
   cpu-map 2 1 #指定第二个work绑定第二个cpu核心
    
   nbthread 2 #指定haproxy的线程数量，默认每个进程一个线
程，此参数与nbproc互斥
    
   maxsslconn 100000 #每个haproxy进程ssl最大连接数,用于haproxy
配置了证书的场景下
   maxconnrate 100 #指定每个客户端每秒建立连接的最大数量

多线程和线程文件配置

global
   log         127.0.0.1 local2
   chroot     /var/lib/haproxy
   pidfile     /var/run/haproxy.pid
   maxconn     100000
   user       haproxy
   group       haproxy
   daemon
   # turn on stats unix socket
   stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin process 1 #
启用多个sock文件
   stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin process 2
   nbproc 2 #启用多进程
   cpu-map 1 0 #进程和cpu核心绑定防止cpu抖动从而减少系统资源消耗
   cpu-map 2 1 #2 表示第二个进程，1表示第二个cpu核心

Proxies配置

defaults [<name>] #默认配置项，针对以下的frontend、backend和listen生效，可以多个name也可以没有name

frontend <name> #前端servername，类似于Nginx的一个虚拟主机 server和LVS服务集群。

backend <name> #后端服务器组，等于nginx的upstream和LVS中的RS服务器

listen <name> #将frontend和backend合并在一起配置，相对于frontend和backend配置更简洁，生产常用

注意：name字段只能使用大小写字母，数字，'-'(dash)，'_'(underscore)，'.' (dot)和 ':'(colon)，并且严格区分大小写

defaults 配置参数：

option redispatch       #当server Id对应的服务器挂掉后，强制定向到其他健康的服务器，重新派发
option abortonclose     #当服务器负载很高时，自动结束掉当前队列处理比较久的链接，针对业务情况选择开启
option http-keep-alive  #开启与客户端的会话保持
option  forwardfor      #透传客户端真实IP至后端web服务器
mode http|tcp           #设置默认工作类型,使用TCP服务器性能更好，减少压力
timeout http-keep-alive 120s #session 会话保持超时时间，此时间段内会转发到相同的后端服务器
timeout connect 120s    #客户端请求从haproxy到后端server最长连接等待时间(TCP连接之前)，默认单位ms
timeout server  600s    #客户端请求从haproxy到后端服务端的请求处理超时时长(TCP连接之后)，默认单位ms，如果超时，会出现502错误，此值建议设置较大些，访止502错误
timeout client  600s    #设置haproxy与客户端的最长非活动时间，默认单位ms，建议和timeout server相同
timeout  check   5s     #对后端服务器的默认检测超时时间
default-server inter 1000 weight 3   #指定后端服务器的默认设置

frontend 配置参数：

bind：   #指定HAProxy的监听地址，可以是IPV4或IPV6，可以同时监听多个IP或端口，可同时用于listen字段中

#格式：
bind [<address>]:<port_range> [, ...] [param*]

#注意：如果需要绑定在非本机的IP，需要开启内核参数：net.ipv4.ip_nonlocal_bind=1

范例：

listen http_proxy                           #监听http的多个IP的多个端口和sock文件
    bind :80,:443,:8801-8810
    bind 10.0.0.1:10080,10.0.0.1:10443
    bind /var/run/ssl-frontend.sock user root mode 600 accept-proxy

listen http_https_proxy                     #https监听
    bind :80
    bind :443 ssl crt /etc/haproxy/site.pem #公钥和私钥公共文件

listen http_https_proxy_explicit            #监听ipv6、ipv4和unix sock文件
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem
    bind unix@ssl-frontend.sock user root mode 600 accept-proxy

listen external_bind_app1                   #监听file descriptor
    bind "fd@${FD_APP1}"

示例：

frontend  magedu_web_port               #可以采用后面形式命名：业务-服务-端口号
    bind :80,:8080
    bind 10.0.0.7:10080,:8801-8810,10.0.0.17:9001-9010
    mode  http|tcp              #指定负载协议类型
    use_backend <backend_name>  #调用的后端服务器组名称

Proxies配置-backend
定义一组后端服务器，backend服务器将被frontend进行调用。mode  http|tcp      #指定负载协议类型,和对应的frontend必须一致
option              #配置选项
server              #定义后端real server

注意：option后面加 httpchk，smtpchk,mysql-check,pgsql-check，ssl-hello-chk方法，可用于实现更多应用层检测功能。

option 配置

check               #对指定real进行健康状态检查，如果不加此设置，默认不开启检查
    addr  <IP>        #可指定的健康状态监测IP，可以是专门的数据网段，减少业务网络的流量
    port  <num>   #指定的健康状态监测端口
    inter <num>   #健康状态检查间隔时间，默认2000 ms
    fall  <num>       #后端服务器从线上转为线下的检查的连续失效次数，默认为3
    rise  <num>       #后端服务器从下线恢复上线的检查的连续有效次数，默认为2
weight  <weight>  #默认为1，最大值为256，0表示不参与负载均衡，但仍接受持久连接
backup              #将后端服务器标记为备份状态,只在所有非备份主机down机时提供服务，类似Sorry Server
disabled            #将后端服务器标记为不可用状态，即维护状态，除了持久模式，将不再接受连接
redirect prefix  http://www.baidu.com/      #将请求临时(302)重定向至其它URL，只适用于http模式
redir http://www.baidu.com                  #将请求临时(302)重定向至其它URL，只适用于http模式
maxconn <maxconn>     #当前后端server的最大并发连接数
backlog <backlog> #当前端服务器的连接数达到上限后的后援队列长度，注意：不支持backend

frontend+backend配置实例
范例1：

frontend magedu-test-http
 bind :80,:8080
 mode tcp
 use_backend magedu-test-http-nodes

backend magedu-test-http-nodes
 mode tcp
 default-server inter 1000 weight 6  
 server web1 10.0.0.17:80 check weight 2 addr 10.0.0.117 port 8080
 server web1 10.0.0.27:80 check

范例2：

#官网业务访问入口
frontend  WEB_PORT_80
    bind 10.0.0.7:80
    mode http
    use_backend  web_prot_http_nodes

backend web_prot_http_nodes
    mode  http
    option forwardfor
    server 10.0.0.17 10.0.0.17:8080   check inter 3000 fall 3 rise 5  
    server 10.0.0.27 10.0.0.27:8080   check inter 3000 fall 3 rise 5

Proxies配置-listen替代frontend+backend
使用listen替换上面的frontend和backend的配置方式，可以简化设置，通常只用于TCP协议的应用
listen  WEB_PORT_80 
    bind 10.0.0.7:80  
    mode http
    option  forwardfor
    server web1   10.0.0.17:8080   check inter 3000 fall 3 rise 5
    server web2   10.0.0.27:8080   check inter 3000 fall 3 rise 5

socat工具

对服务器动态权重和其它状态可以利用 socat工具进行调整，Socat 是 Linux 下的一个多功能的网络工 具，名字来由是Socket CAT，相当于netCAT的增强版.Socat 的主要特点就是在两个数据流之间建立双向 通道，且支持众多协议和链接方式。如 IP、TCP、 UDP、IPv6、Socket文件等。

#安装socat

dnf install socat -y

#修改配置文件

vim /etc/haproxy/haproxy.cfg

#查看haproxy的状态

#查看集群状态

#设置权重

haproxy算法

static-rr:基于权重的轮询调度

• 不支持运行时利用socat进行权重的动态调整(只支持0和1,不支持其它值)
• 不支持端服务器慢启动
• 其后端主机数量没有限制，相当于LVS中的 wrr

vim /etc/haproxy/haproxy.cfg

测试：

first

• 根据服务器在列表中的位置，自上而下进行调度
• 只会当第一台服务器的连接数达到上限，新请求才会分配给下一台服务
• 会忽略服务器的权重设置
• 不支持用socat进行动态修改权重,可以设置0和1,可以设置其它值但无效

测试：

roundrobin:

• 1. 基于权重的轮询动态调度算法，
• 2. 支持权重的运行时调整，不同于lvs中的rr轮训模式，
• 3. HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)，
• 4. 其每个后端backend中最多支持4095个real server，
• 5. 支持对real server权重动态调整，
• 6. roundrobin为默认调度算法,此算法使用广泛

测试：

leastconn

• leastconn加权的最少连接的动态
• 支持权重的运行时调整和慢启动，即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户 端连接)
• 比较适合长连接的场景使用，比如：MySQL等场景。

测试：

source

• 使用客户端的源 IP 地址计算哈希值，决定分配到哪个后端服务器。
• 哈希结果直接映射到服务器，权重不影响哈希分配本身（但影响服务器池的组成）。
• 确保来自同一个客户端的请求总是落到同一台服务器（只要服务器池不变）。简单但不够灵活，如果客户端使用代理或 NAT，大量不同用户可能共享同一个源 IP，导致负载不均衡。

测试：

uri

• 基于对用户请求的URI的左半部分或整个uri做hash，再将hash结果对总权重进行取模后
• 根据最终结果将请求转发到后端指定服务器
• 适用于后端是缓存服务器场景 默认是静态算法，也可以通过hash-type指定map-based和consistent，来定义使用取模法还是一致性 hash

测试：

url-param

url_param对用户请求的url中的 params 部分中的一个参数key对应的value值作hash计算，并由服务器 总权重相除以后派发至某挑出的服务器,后端搜索同一个数据会被调度到同一个服务器，多用与电商 通常用于追踪用户，以确保来自同一个用户的请求始终发往同一个real server 如果没key，将按roundrobin算法

测试：

同一个name稳定在一台rs中

不同name，rs也不同

hdr

• 针对用户每个http头部(header)请求中的指定信息做hash
• 此处由 name 指定的http首部将会被取出并做hash计算
• 然后由服务器总权重取模以后派发至某挑出的服务器，如果无有效值，则会使用默认的轮询调度

模拟不同浏览器访问，rs不同

Haproxy状态页

HAProxy 的状态页（Stats Page） 是实时监控负载均衡集群的核心工具，通过 Web 页面展示关键性能指标和后端节点状态。

（1）各种参数解析

基础配置项解析

参数 说明 示例

stats enable 启用状态页（无此选项则不生效） stats enable

stats uri 状态页访问路径 stats uri /admin?stats

stats auth 基础认证（明文用户/密码） stats auth admin:SecurePass123

stats refresh 页面自动刷新间隔（秒） stats refresh 5s

stats bind 监听地址和端口（默认同 frontend） stats bind :1936

进阶安全控制

参数 说明 生产环境示例

stats hide-version 隐藏 HAProxy 版本号（防漏洞扫描） stats hide-version

stats admin 动态启用管理功能（条件触发） stats admin if { src 10.0.0.0/24 }

stats http-request 集成 ACL 复杂控制 stats http-request allow if { src -f /etc/haproxy/allowlist }

stats realm 认证对话框提示文本 stats realm "HAProxy Protected"

实验配置

vim /etc/haproxy/haproxy.cfg

浏览器访问并输入用户名和密码

登录成功

ACL

访问控制列表（ACL，Access Control Lists）是一种基于包过滤的访问控制技术，它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)，即对接收到的报文进行匹配和过滤，基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作，比如允许其通过或丢弃。

定义ACL匹配规范，即：判断条件

hdr string，提取在一个HTTP请求报文的首部

hdr（[<name> [，<occ>]]）：完全匹配字符串,header的指定信息，<occ> 表示在多值中使用的值的出现次数

hdr_beg（[<name> [，<occ>]]）：前缀匹配，header中指定匹配内容的begin

hdr_end（[<name> [，<occ>]]）：后缀匹配，header中指定匹配内容end

hdr_dom（[<name> [，<occ>]]）：域匹配，header中的domain name

hdr_dir（[<name> [，<occ>]]）：路径匹配，header的uri路径

hdr_len（[<name> [，<occ>]]）：长度匹配，header的长度匹配

hdr_reg（[<name> [，<occ>]]）：正则表达式匹配，自定义表达式(regex)模糊匹配

hdr_sub（[<name> [，<occ>]]）：子串匹配，header中的uri模糊匹配

#示例：

hdr(<string>) 用于测试请求头部首部指定内容

hdr_dom(host) 请求的host名称，如 www.magedu.com

hdr_beg(host) 请求的host开头，如 www. img. video. download. ftp.

hdr_end(host) 请求的host结尾，如 .com .net .cn

#示例：

acl bad_agent hdr_sub(User-Agent) -i curl wget

block if bad_agent

#有些功能是类似的，比如以下几个都是匹配用户请求报文中host的开头是不是www：

acl short_form hdr_beg(host) www.

acl alternate1 hdr_beg(host) -m beg www.

acl alternate2 hdr_dom(host) -m beg www.

acl alternate3 hdr(host) -m beg www.

base : string

#返回第一个主机头和请求的路径部分的连接，该请求从第一个斜杠开始，并在问号之前结束,对虚拟主机有用

<scheme>://<user>:<password>@#<host>:<port>/<path>;<params>#?<query>#<frag>

base : exact string match

base_beg : prefix match

base_dir : subdir match

base_dom : domain match

base_end : suffix match

base_len : length match

base_reg : regex match

base_sub : substring match

path : string

#提取请求的URL路径，该路径从第一个斜杠开始，并在问号之前结束（无主机部分）

<scheme>://<user>:<password>@<host>:<port>#/<path>;<params>#?<query>#<frag>

path : exact string match

path_beg : prefix match #请求的URL开头，如/static、/images、/img、/css

path_end : suffix match #请求的URL中资源的结尾，如 .gif .png .css .js .jpg .jpeg

path_dom : domain match

path_dir : subdir match

path_len : length match

path_reg : regex match

path_sub : substring match

#示例：

path_beg -i /haproxy-status/

path_end .jpg .jpeg .png .gif

path_reg ^/images.*\.jpeg$

path_sub image

path_dir jpegs

path_dom magedu

url : string

#提取请求中的URL。一个典型的应用是具有预取能力的缓存，以及需要从数据库聚合多个信息并将它们保存在缓存中的网页门户入口，推荐使用path

url ：exact string match

url_beg : prefix match

url_dir : subdir match

url_dom : domain match

url_end : suffix match

url_len : length match

url_reg : regex match

url_sub : substring match

dst #目标IP

dst_port #目标PORT

src #源IP

src_port #源PORT

#示例：

acl invalid_src src 10.0.0.100 192.168.1.0/24

acl invalid_port src_port 0:1023

status : integer

#返回在响应报文中的状态码

#七层协议

acl valid_method method GET HEAD

http-request deny if ! valid_method

ACL匹配模式

-i 不区分大小写
-m 使用指定的pattern匹配方法
-n 不做DNS解析
-u 禁止acl重名，否则多个同名ACL匹配或关系

ACL调用方式：

与：隐式（默认）使用
或：使用"or" 或 "||"表示
否定：使用 "!" 表示  

#示例：
if valid_src valid_port         #与关系，A和B都要满足为true，默认为与
if invalid_src || invalid_port  #或，A或者B满足一个为true
if ! invalid_src                #非，取反，A和B哪个也不满足为true

ACL示例-域名匹配

#cat /etc/haproxy/conf.d/test.cfg

frontend openlab_web

bind :80

mode http

balance roundrobin

log global

option httplog

###################### acl setting ###############################

acl pc_domain hdr_dom(host) -i www.yunjisuan.com

acl mobile_domain hdr_dom(host) -i mobile.yunjisuan.com

###################### acl hosts #################################

use_backend pc_hosts if pc_domain

use_backend mobile_hosts if mobile_domain

default_backend pc_hosts

###################### backend hosts #############################

backend mobile_hosts

mode http

server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5

backend pc_hosts

mode http

server web2 192.168.234.20:80 check inter 2000 fall 3 rise 5

root@client \~\]#curl www.yunjisuan.com 192.168.234.10 \[root@client \~\]#curl mobile.yunjisuan.com 192.168.234.20 ## ACL示例-基于源地址的访问控制 拒绝指定IP或者IP范围访问 测试： listen web_host bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_deny_src src 192.168.234.0/24 ###################### acl hosts ################################# #block if acl_deny_src #2.1版本后，不再支持block http-request deny if acl_deny_src #http-request allow default_backend default_web ###################### backend hosts ############################# backend magedu_host mode http server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5 backend default_web mode http server web1 192.168.234.20:80 check inter 2000 fall 3 rise 5 \[root@client \~\]#curl www.yunjisuan.com \\\403 Forbidden\Request forbidden by administrative rules.\ ## ACL示例-基于文件后缀名实现动静分离 #cat /etc/haproxy/conf.d/test.cfg frontend magedu_http_port bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_static path_end -i .jpg .jpeg .png .gif .css .js acl acl_php path_end -i .php ###################### acl hosts ################################# use_backend mobile_hosts if acl_static use_backend app_hosts if acl_php ###################### backend hosts ############################# backend mobile_hosts mode http server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5 backend app_hosts mode http server web2 192.168.234.20:80 check inter 2000 fall 3 rise 5 #分别在后端两台主机准备相关文件 \[root@rs1 \~\]#ls /usr/share/nginx/html index.html wang.jpg \[root@rs2 \~\]#cat /usr/share/nginx/html/test.php \ ## ACL-匹配访问路径实现动静分离 #cat /etc/haproxy/conf.d/test.cfg frontend magedu_http_port bind :80 mode http balance roundrobin log global option httplog ###################### acl setting ############################### acl acl_static path_beg -i /static /images /javascript acl acl_static path_end -i .jpg .jpeg .png .gif .css.js ###################### acl hosts ################################# use_backend static_hosts if acl_static default_backend app_hosts ###################### backend hosts ############################# backend static_hosts mode http server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5 backend app_hosts mode http server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5 #创建相关文件 \[root@rs2\~\]#mkdir /usr/share/nginx/html/static \[root@rs2 \~\]#echo 192.168.234.20\> /usr/share/nginx/html/static/test.html #测试访问 \[root@rs1 \~\]#curl 192.168.234.20/static/test.html 192.168.234.13 ## Haproxy的四层负载 HAProxy 是一个高性能、高可用性的负载均衡器和反向代理软件。它的四层负载均衡模式，通常称为 TCP 模式或 Layer 4 (L4) 模式，专注于在传输层（TCP） 工作。这意味着 HAProxy 在此模式下不解析应用层协议（如 HTTP）的内容，它只处理 TCP 连接本身。 #### 实验配置 vim /etc/haproxy/haproxy.cfg  #两台rs上都安装mariadb-server dnf install mariadb-server \[root@rs1 \~\]# vim /etc/my.cnf.d/mariadb-server.cnf  \[root@rs2 \~\]# vim /etc/my.cnf.d/mariadb-server.cnf  client上也安装mariadb-server用于测试 \[root@client \~\]# dnf install mariadb-server 测试：  退出再连接  实现了基于mariadb的负载均衡！ ## 证书 haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信 但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现。 #### 证书制作 \[root@haproxy \~\]# mkdir /etc/haproxy/certs #创造用来存放证书文件的目录 \[root@haproxy \~\]# openssl req -newkey rsa:2048 -nodes -sha256 -keyout /etc/haproxy/certs/hurry.org.key -x509 -days 365 -out /etc/haproxy/certs/hurry.org.crt roxy/certs/hurry.org.key -x509 -days 365 -out /etc/haproxy/certs/hurry.org.crt openssl req 这是 OpenSSL 的子命令，用于处理证书签名请求。虽然名字叫 req，但结合 -x509 选项时，它可以直 接生成自签名证书，而无需先生成 CSR。 -newkey rsa:2048 -newkey：指示 OpenSSL 生成一个新的私钥。 rsa:2048：指定新私钥的算法为 RSA，密钥长度为 2048 位。这是目前广泛使用的安全标准。 -nodes 这个选项的意思是 "不要用密码加密私钥"。 如果省略 -nodes，OpenSSL 会在生成私钥时提示你设置一个密码。每次 HAProxy（或其他服务）启动使用这个私钥时，都需要输入密码，这对于自动启动的服务非常不便。 重要提示： 使用 -nodes 意味着私钥文件是未加密存储在磁盘上的。必须严格限制该文件的访问权限（通常设置为 600 或 400，仅限 root 或特定服务用户读取），否则存在安全风险。 -sha256 指定生成证书请求（以及最终证书）时使用的哈希算法为 SHA-256。 这是当前推荐的安全哈希算法，替代了较弱的 SHA-1 或 MD5。 -keyout /etc/haproxy/certs/hurry.org.key -keyout：指定新生成的私钥应保存到的文件路径和名称。 这里私钥将被保存到 /etc/haproxy/certs/hurry.org.key。确保 /etc/haproxy/certs/ 目录存在，或者你有权限创建它。 -x509 这是命令的核心选项，改变了 openssl req 的默认行为。 通常 req 用于生成证书签名请求，需要提交给证书颁发机构 (CA) 签名。 - x509 选项告诉 OpenSSL 直接生成一个自签名的 X.509 证书，而不是生成 CSR。该证书将使用刚刚生成的私钥进行签名。 -days 365 指定生成的自签名证书的有效期，单位为天。 这里设置为 365 天（1 年）。你可以根据需要调整这个值（例如 -days 730 表示 2 年）。 -out /etc/haproxy/certs/hurry.org.crt -out：指定生成的自签名证书应保存到的文件路径和名称。 这里证书将被保存到 /etc/haproxy/certs/hurry.org.crt。 #把生成的key和crt文件都放到pem文件里  \[root@haproxy certs\]# vim /etc/haproxy/haproxy.cfg  \[root@haproxy certs\]# vim /etc/haproxy/haproxy.cfg 测试：