LVS是 Linux 内核层实现的高性能、高可用的负载均衡集群技术,由章文嵩博士开发,目前是 Linux 内核的标准模块之一。它的核心作用是将前端的请求流量分发到后端多台真实服务器(Real Server)上,从而提升服务的并发处理能力和可用性。
集群和分布式简介
系统性能扩展方式
Scale UP:向上扩展,增强
Scale Out:向外扩展,增加设备,调度分配问题,Cluster集群Cluster
Cluster: 集群是为了解决某个特定问题将堕胎计算机组合起来形成的单个系统
Cluster常见的三种类型:
LB:LoadBalancing(负载均衡)由多个主机组成,每个主机只承担一部分访问
HA:High Availiablity(高可用)SPOF(single Point Of failure),MTBF:Mean Time Between Failure 平均无故障时间,正常时间,MTTR:Mean Time To Restoration( repair)平均恢复前时间,故障时间,A=MTBF/(MTBF+MTTR) (0,1):99%, 99.5%, 99.9%, 99.99%, 99.999%,SLA:Service level agreement(服务等级协议)是在一定开销下为保障服务的性能和可用性,服务提供商与用户间定义的一种双方认可的协定。通常这个开销是驱动提供服务质量的主要因素。在常规的领域中,总是设定所谓的三个9,四个9来进行表示,当没有达到这种水平的时候,就会有一些列的惩罚措施,而运维,最主要的目标就是达成这种服务水平。
停机时间又分为两种,一种是计划内停机时间,一种是计划外停机时间,而运维则主要关注计划外停机时间
HPC:High-performance computing(高性能计算,国家战略资源,不在课程范围内)
分布式
分布式存储:Ceph,GlusterFs,FastDFS,MogileFs
分布式计算:hadoop,Spark
分布式常见应用
分布式应用-服务按照功能拆分,使用微服务
分布式静态资源--静态资源放在不同的存储集群上
分布式数据和存储--使用key-value缓存系统
分布式计算--对特殊业务使用分布式计算,比如Hadoop集群
集群和分布式
集群:同一个业务系统,部署在多台服务器上,集群中,每一台服务器实现的功能没有差别,数据和代码都是一样的
分布式:一个业务被拆成多个子业务,或者本身就是不同的业务,部署在多台服务器上。分布式中,每一台服务器实现的功能是有差别的,数据和代码也是不一样的,分布式每台服务器功能加起来,才是完整的业务
分布式是以缩短单个任务的执行时间来提升效率的,而集群则是通过提高单位时间内执行的任务数来提升效率,
对于大型网站,访问用户很多,实现一个群集,在前面部署一个负载均衡服务器,后面几台服务器完成同一业务。如果有用户进行相应业务访问时,负载均衡器根据后端哪台服务器的负载情况,决定由给哪一台去完成响应,并且台服务器垮了,其它的服务器可以顶上来。分布式的每一个节点,都完成不同的业务,如果一个节点垮了,那这个业务可能就会失败
lvs(Linux virtual server)运行原理
LVS:Linux Virtual Server,负载调度器,内核集成,章文嵩,阿里的四层SLB(Server LoadBalance)是基于LVS+keepalived实现
LVS 相关术语:VS: Virtual Server,负责调度,RS:RealServer,负责真正提供服务
lvs集群体系结构
工作原理:VS根据请求报文的目标IP和目标协议及端口将其调度转发至某RS,根据调度算法来挑选RS
LVS概念
VS:Virtual Server(调度器)
RS:Real Server (真实业务主机)
CIP:Client IP (客户端主机的ip)
VIP: Virtual serve IP VS外网的IP (对外开放的让客户访问的ip)
DIP: Director IP VS内网的IP (调度器负责访问内网的ip)
RIP: Real server IP (真实业务主机IP)
访问流程:CIP <--> VIP == DIP <--> RIP
lvs集群的类型
lvs-nat: 修改请求报文的目标IP,多目标IP的DNAT lvs-dr: 操纵封装新的MAC地址 lvs-tun: 在原请求IP报文之外新加一个IP首部 lvs-fullnat: 修改请求报文的源和目标IP
nat模式
本质是多目标IP的DNAT,通过将请求报文中的目标地址和目标端口修改为某挑出的RS的RIP和PORT实现转发
RIP和DIP应在同一个IP网络,且应使用私网地址;RS的网关要指向DIP
请求报文和响应报文都必须经由Director转发,Director易于成为系统瓶颈
支持端口映射,可修改请求报文的目标PORT
VS必须是Linux系统,RS可以是任意OS系统
nat模式数据逻辑
1.客户端发送访问请求,请求数据包中含有请求来源(cip),访问目标地址(VIP)访问目标端口(9000port)
2.VS服务器接收到访问请求做DNAT把请求数据包中目的地由VIP换成RS的RIP和相应端口
3.RS1相应请求,发送响应数据包,包中的相应保温为数据来源(RIP1)响应目标(CIP)相应端口(9000port)
4.VS服务器接收到响应数据包,改变包中的数据来源(RIP1-->VIP),响应目标端口(9000-->80)
5.VS服务器把修改过报文的响应数据包回传给客户端
6.lvs的NAT模式接收和返回客户端数据包时都要经过lvs调度机,所以lvs的度机容易阻塞
客户请求到达vip后进入PREROUTING,在没有ipvs的时候因该进入本机INPUT,当IPVS存在后访问请求在通过PREROUTING后被ipvs结果并作nat转发
因为ipvs的作用点是在PREROUTING和INPUT链之间,所以如果在prerouting中设定规则会干扰ipvs的工作。所以在做lvs时要把iptables的火墙策略全清理掉。
DR模式
DR:Direct Routing,直接路由,LVS默认模式,应用最广泛,通过为请求报文重新封装一个MAC首部进行转发,源MAC是DIP所在的接口的MAC,目标MAC是某挑选出的RS的RIP所在接口的MAC地址;源IP/PORT,以及目标IP/PORT均保持不变
DR模式数逻辑
在DR模式中,RS接收到访问请求后不需要回传给VS调度器,直接把回传数据发送给client,所以RS和vs上都要有vip
DR模式数据传输过程
1.客户端发送数据帧给vs调度主机帧中内容为客户端IP+客户端的MAC+VIP+VIP的MAC
2.VS调度主机接收到数据帧后把帧中的VIP的MAC该为RS1的MAC,此时帧中的数据为客户端IP+客户端的MAC+VIP+RS1的MAC
3.RS1得到2中的数据包做出响应回传数据包,数据包中的内容为VIP+RS1的MAC+客户端IP+客户端IP的MAC
DR模式的特点
1.Director和各RS都配置有VIP, 确保前端路由器将目标IP为VIP的请求报文发往Director
2.在前端网关做静态绑定VIP和Director的MAC地址
3.RS的RIP可以使用私网地址,也可以是公网地址;RIP与DIP在同一IP网络;
4.RIP的网关不能指向DIP,以确保响应报文不会经由Director
5.RS和Director要在同一个物理网络
6.请求报文要经由Director,但响应报文不经由Director,而由RS直接发往Client
7.不支持端口映射(端口不能修败),RS可使用大多数OS系统
TUN模式
转发方式:不修改请求报文的IP首部(源IP为CIP,目标IP为VIP),而在原IP报文之外再封装一个IP首部(源IP是DIP,目标IP是RIP),将报文发往挑选出的目标RS;RS直接响应给客户端(源IP是VIP,目标IP是CIP)
TUN模式数据传输过程
1.客户端发送请求数据包,包内有源IP+vip+dport
2.到达vs调度器后对客户端发送过来的数据包重新封装添加IP报文头,新添加的IP报文头中包含TUNSRCIP(DIP)+TUNDESTIP(RSIP1)并发送到RS1
3.RS收到VS调度器发送过来的数据包做出响应,生成的响应报文中包含SRCIP(VIP)+DSTIP(CIP)+port,响应数据包通过网络直接回传给client
TUN模式特点
DIP, VIP, RIP都应该是公网地址 2.RS的网关一般不能指向DIP 3.请求报文要经由Director,但响应不能经由Director 4.不支持端口映射 5.RS的OS须支持隧道功能
fullnet模式(了解)
通过同时修改请求报文的源IP地址和目标IP地址进行转发 CIP --> DIP VIP --> RIP 1.VIP是公网地址,RIP和DIP是私网地址,且通常不在同一IP网络;因此,RIP的网关一般不会指向DIP
RS收到的请求报文源地址是DIP,因此,只需响应给DIP;但Director还要将其发往Client
请求和响应报文都经由Director
lvs的调度算法
lvs调度算法类型
ipvs scheduler:根据其调度时是否考虑各RS当前的负载状态被分为两种:静态方法和动态方法
静态方法:仅根据算法本身进行调度,不考虑RS的负载情况
动态方法:主要根据每RS当前的负载状态及调度算法进行调度Overhead=value较小的RS将被调度
lvs静态调度算法
1、RR:roundrobin 轮询 RS分别被调度,当RS配置有差别时不推荐
2、WRR:Weighted RR,加权轮询根据RS的配置进行加权调度,性能差的RS被调度次数少
3、SH:Source Hashing,实现session sticky,源IP地址hash;将来自于同一个IP地址的请求始终发往第一次挑中的RS,从而实现会话绑定
4、DH:Destination Hashing;目标地址哈希,第一次轮询调度至RS,后续将发往同一个目标地址的请求始终转发至第一次挑中的RS,典型使用场景是正向代理缓存场景中的负载均衡,如:宽带运营商
lvs动态调度算法
主要根据RS当前的负载状态及调度算法进行调度Overhead=value较小的RS会被调度
1、LC:least connections(最少链接发)
适用于长连接应用Overhead(负载值)=activeconns(活动链接数) x 256+inactiveconns(非活动链接数)
2、WLC:Weighted LC(权重最少链接)
默认调度方法Overhead=(activeconns x 256+inactiveconns)/weight
3、SED:Shortest Expection Delay,
初始连接高权重优先Overhead=(activeconns+1+inactiveconns) x 256/weight
但是,当node1权重为1,node2权重为10,经过运算前几次的调度都会被node2承接
4、NQ:Never Queue,第一轮均匀分配,后续SED
5、LBLC:Locality-Based LC,动态的DH算法,使用场景:根据负载状态实现正向代理
6、LBLCR:LBLC with Replication,带复制功能的LBLC,解决LBLC负载不均衡问题,从负载重的复制到负载轻的RS
在4.15版本内核以后新增调度算法
1.FO(Weighted Fai Over)调度算法:常用作灰度发布
在此FO算法中,遍历虚拟服务所关联的真实服务器链表,找到还未过载(未设置IP_VS_DEST_F OVERLOAD标志)的且权重最高的真实服务器,进行调度
当服务器承接大量链接,我们可以对此服务器进行过载标记(IP_VS_DEST_F OVERLOAD),那么vs调度器就不会把链接调度到有过载标记的主机中。
2.OVF(Overflow-connection)调度算法
基于真实服务器的活动连接数量和权重值实现。将新连接调度到权重值最高的真实服务器,直到其活动连接数量超过权重值,之后调度到下一个权重值最高的真实服务器,在此OVF算法中,遍历虚拟服务相关联的真实服务器链表,找到权重值最高的可用真实服务器。一个可用的真实服务器需要同时满足以下条件:
未过载(未设置IP_VS_DEST_F OVERLOAD标志)
真实服务器当前的活动连接数量小于其权重值
其权重值不为零
lvs部署命令介绍
lvs软件相关信息
程序包:ipvsadm
Unit File: ipvsadm.service
主程序:/usr/sbin/ipvsadm
规则保存工具:/usr/sbin/ipvsadm-save
规则重载工具:/usr/sbin/ipvsadm-restore
配置文件:/etc/sysconfig/ipvsadm-config
ipvs调度规则文件:/etc/sysconfig/ipvsadm
ipvsadm命令
核心功能:
集群服务管理:增、删、改
集群服务的RS管理:增、删、改
查看
命令参数管理集群服务
ipvsadm -A|E -t(tcp)|u(udp)|f(防护墙标签) \
service-address(集群地址) \
-s scheduler(调度算法)\] \\ \[-p \[timeout\]\] \\ \[-M netmask\] \\ \[--pepersistence_engine\] \\ \[-b sched-flags
ipvsadm -D -t|u|f service-address 删除
ipvsadm --C 清空
ipvsadm --R 重载
ipvsadm -S [-n] 保存
管理集群中的real server
ipvsadm -a|e -t|u|f service-address -r server-address [-g | -i| -m](工作模式) [-w weight](权重)
ipvsadm -d -t|u|f service-address -r server-address 删除RS
ipvsadm -L|l [options] 查看rs
ipvsadm -Z [-t|u|f service-address] 清楚计数器
lvs集群中的增删改
管理集群服务中的增删改:ipvsadm -A|E -t|u|f service-address [-s scheduler] [-p [timeout]]
-A #添加
-E #修改
-t #tcp服务
-u #udp服务
-s #指定调度算法,默认为WLC
-p #设置持久连接超时,持久连接可以理解为在同一个时间段同一个来源的请求调度到同一Realserver
-f #firewall mask 火墙标记,是一个数字
# ipvsadm -A -t 172.25.254.100:80 -s rr 添加
# ipvsadm -E -t 172.25.254.100:80 -s wrr -p 3000 修改
# ipvsadm -D -t 172.25.254.100:80 #删除
管理集群中RealServer的曾增删改
ipvsadm -a|e -t|u|f service-address -r realserver-address [-g|i|m] [-w weight]
-a #添加realserver
-e #更改realserver
-t #tcp协议
-u #udp协议
-f #火墙 标签
-r #realserver地址
-g #直连路由模式
-i #ipip隧道模式
-m #nat模式
-w #设定权重
-Z #清空计数器
-C #清空lvs策略
-L #查看lvs策略
-n #不做解析
--rate :输出速率信息
# ipvsadm -a -t 172.25.254.100:80 -r 192.168.0.40 -m -w 2 添加
# ipvsadm -e -t 172.25.254.100:80 -r 192.168.0.30 -i -w 1 #更改
# ipvsadm -d -t 172.25.254.100:80 -r 192.168.0.30 #删除
# ipvsadm -C 清空策略
NAT模式环境
|--------|------------------------------|-------------------|
| vsnode | 172.25.254.100 192.168.0.100 | NAT HOST-ONLY |
| R1 | 192.168.0.10 | HOST-ONLY 网络适配仅主机 |
| R2 | 192.168.0.20 | HOST-ONLY 网络适配仅主机 |vsnode ~]# vmset.sh eth0 172.25.254.100 vsnode
# vmset.sh eth1 192.168.0.100 vsnode noroute
RS1和RS2设定网络
RS1和RS2 ~]# vmset.sh eth0 192.168.0.10 RS1 noroute
# nmcli connection modify eth0 ipv4.gateway 192.168.0.100
# nmcli connection reload
# nmcli connection up eth0
# route -n
# dnf install httpd -y
# systemctl enable --now httpd
# echo RS2 - 192.168.0.20 > /var/www/html/index.html
vsnode ~]curl 192.168.0.10 ; curl 192.168.0.20
NAT模式实现方法
vsnode ~]# echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
# sysctl -p
安装配置LVS
# dnf install ipvsadm -y 【安装lvs】
# ipvsadm -C
# ipvsadm -A -t 172.25.254.100:80 -s wrr 【添加集群】
# ipvsadm -a -t 172.25.254.100:80 -r 192.168.0.10:80 -m -w 1
# ipvsadm -a -t 172.25.254.100:80 -r 192.168.0.20:80 -m -w 1
# for i in {1..4};do curl 172.25.254.100;done
# ipvsadm -e -t 172.25.254.100:80 -r 192.168.0.10:80 -m -w 2 更改权重
规则持久化
实验过程可以用过打开另外一个shell的并执行监控命令****# watch -n 1 ipvsadm -Ln****进行观察
# ipvsadm-save -n
# ipvsadm-save -n > /mnt/ipvs.rule
# ipvsadm -C
# ipvsadm-restore < /mnt/ipvs.rule
# ipvsadm-save -n > /etc/sysconfig/ipvsadm 利用守护进程进行规则持久化
# ipvsadm -C
# systemctl enable --now ipvsadm.service
部署DR模式集群
DR模式数据传输过程
1.客户端发送数据帧给vs调度主机帧中内容为客户端IP+客户端的MAC+VIP+VIP的MAC。
2.VS调度主机接收到数据帧后把帧中的VIP的MAC该为RS1的MAC,此时帧中的数据为客户端IP+客户端的MAC+VIP+RS1的MAC。
3.RS1得到2中的数据包做出响应回传数据包,数据包中的内容为VIP+RS1的MAC+客户端IP+客户端IP的MAC。
Lvs环境【上面已经有环境的配置】
路由主机
router ~]# systemctl disable --now ipvsadm.service
# ipvsadm -C
# vmset.sh eth0 172.25.254.100 vsnode
# vmset.sh eth1 192.168.0.100 vsnode noroute
# echo net.ipv4.ip_forward=1 >> /etc/sysctl.conf
# iptables -t nat -A POSTROUTING -o eth1 -j SNAT --to-source 192.168.0.100
vsnode ~]# iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 172.25.254.100
vsnode 调度器
vsnode ~]# vmset.sh eth0 192.168.0.50 vsnode norouter
# vim /etc/NetworkManager/system-connections/eth0.nmconnection
connection
id=eth0
type=ethernet
interface-name=eth0
ipv4
method=manual
address1=192.168.0.50/24,192.168.0.100
# cd /etc/NetworkManager/system-connections/
# cp -p eth0.nmconnection lo.nmconnection
# vim lo.nmconnection
connection
id=lo
type=loopback
interface-name=lo
ipv4
method=manual
address1=127.0.0.1/8
address2=192.168.0.200/32
# nmcli connection reload
# nmcli connection up eth0 ; nmcli connection up lo
# route -n
# ip a
RS1和RS2 ~]# cd /etc/NetworkManager/system-connections/
# cp -p eth0.nmconnection lo.nmconnection
# vim lo.nmconnection
connection
connection
id=lo
type=loopback
interface-name=lo
ipv4
address1=127.0.0.1/8
address2=192.168.0.200/32
method=manual
# nmcli connection reload
# nmcli connection up lo
# ip a 查看结果:
# echo 1 > /proc/sys/net/ipv4/conf/all/arp_ignore
# echo 1 > /proc/sys/net/ipv4/conf/lo/arp_ignore
# echo 2 > /proc/sys/net/ipv4/conf/lo/arp_announce
# echo 2 > /proc/sys/net/ipv4/conf/all/arp_announce
Linux系统中高负载与I/O等待的分析
CPU使用率与负载值的关系
- 定义与理解
CPU使用率:衡量CPU在某一时刻被占用执行程序的百分比
负载值:表示系统在某一时刻正在运行和等待运行的进程队列的长度,分为以下平均值;
1 分钟负载:反映系统最近短期的负载压力;
5 分钟负载:反映系统中期的负载趋势;
15 分钟负载:反映系统长期的负载状态。
- 关系分析
正常状态:一般情况下,CPU使用率高时,负载值也会相应上升,表明系统忙碌
异常情况:当CPU使用率并不高,但负载值很高时,说明系统中存在大量进程处于等待状态,主要因为I/O(输入/输出)操作导致CPU阻塞
- 排查与解决
监控工具的使用
top命令:实时查看进程资源占用情况,重点关注%wa(I/O等待)指标。若该值持续高于10%,表明存在I/O瓶颈
vmstat 1:观察bi(块输入)和bo(块输出)字段,数值异常增高时反映磁盘I/O压力
I/O阻塞或I/O等待
查看linux操作系统时,cpu使用率不是很高,但是load负载值很高,可能是什么原因?
如果在Linux操作系统中CPU使用率并不高,但负载值却很高,那么通常会表明系统中正在运行的进程数目非常多,而这些进程大多数情况下是由I/O(输入/输出)等待引起的,进而导致了CPU阻塞,使得系统的负载值高。这种情况通常称为"I/O阻塞"或"I/O等待"。这时,需要进一步查看系统的进程和I/O等待情况,来定位和解决问题。可以使用命令如top等来查看进程信息,使用iostat或sar来查看I/O等待情况。
查看进程情况的方法
使用 ps 和 top
描述:ps 和 top 是 Linux 中常用的查看系统进程信息的工具
命令:
ps aux:显示所有用户(a)的所有进程(u),并以用户友好的格式(x)展示(包含无终端的后台进程)。
ps -ef:查看进程的父进程 ID(PPID)和启动命令。
top常用交互操作:
P:按 CPU 使用率排序
M:按内存使用率排序
k:终止指定 PID 的进程
1:显示所有 CPU 核心的使用率
利用火墙标记解决轮询错误
1.在rs主机中同时开始http和https两种协议
RS1和RS2 ~]# dnf install mod_ssl -y #在RS1和RS2中开启https
# systemctl restart httpd
# systemctl restart httpd
2.在vsnode中添加https的轮询策略
vsnode ]# ipvsadm -a -t 192.168.0.200:80 -r 192.168.0.20 -g
# ipvsadm -a -t 192.168.0.200:80 -r 192.168.0.10 -g
# ipvsadm -A -t 192.168.0.200:443 -s rr
# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.10:443 -g
# ipvsadm -a -t 192.168.0.200:443 -r 192.168.0.20:443 -g
3.轮询错误展示
client ~]# curl 192.168.0.200;curl -k https://192.168.0.200
注意:当上述设定完成后http和https是独立的service,轮询会出现重复问题
解决方案:使用火墙标记访问vip的80和443的所有数据包,设定标记为6666,然后对此标记进行负载
vsnode ]# iptables -t mangle -A PREROUTING -d 192.168.0.200 -p tcp -m multiport --dports 80,443 -j MARK --set-mark 6666
# ipvsadm -A -f 6666 -s rr
# ipvsadm -a -f 6666 -r 192.168.0.10 -g
# ipvsadm -a -f 6666 -r 192.168.0.20 -g
client ~]# curl 192.168.0.200;curl -k https://192.168.0.200
利用持久连接实现会话粘滞
设定ipvs并测试调度策略
# ipvsadm -A -f 6666 -s rr -p 1
# ipvsadm -Ln
# watch -n 1 ipvsadm -Lnc
HAPORXY实验环境设定
haproxy ~]# vmset.sh eth0 172.25.254.100 haproxy
# vmset.sh eth1 192.168.0.100 haproxy norouter
# echo net.ipv4.ip_forward=1 > /etc/sysctl.conf
webserver1和2 ~]# vmset.sh eth0 192.168.0.10 webserver1 noroute
# dnf install httpd -y
# echo webserver1 - 192.168.0.10 > /var/www/html/index.html
# systemctl enable --now httpd
Haproxy的安装及配置参数
(双网卡主机中) haproxy ~]# dnf install haproxy.x86_64 -y
# systemctl enable --now haproxy
harpoxy的参数详解实验
# vim /etc/haproxy/haproxy.cfg 前后端分开设定
frontend webcluster
bind *:80
mode http
use_backend webserver-80
backend webserver-80
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
# systemctl restart haproxy.service
# vim /etc/haproxy/haproxy.cfg 用listen方式书写负载均衡
listen webcluster
bind *:80
mode http
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5
# systemctl restart haproxy.service
log 127.0.0.1 local2
指定日志发送到192.168.0.10
webserver1 ~]# vim /etc/rsyslog.conf 在192.168.0.10 开启接受日志的端口
# systemctl restart rsyslog.service
# netstat -antlupe | grep rsyslog 测试接受日志端口是否开启
在haproxy主机中设定日志发送信息
haproxy ~]# vim /etc/haproxy/haproxy.cfg
# systemctl restart haproxy.service
# cat /var/log/messages
实现haproxy的多进程
pstree -p | grep haproxy 默认haproxy是单进程
# vim /etc/haproxy/haproxy.cfg
# systemctl restart haproxy.service
# pstree -p | grep haproxy
多进程cpu绑定
# vim /etc/haproxy/haproxy.cfg
# systemctl restart haproxy.service
为不同进程准备不同套接字
# systemctl stop haproxy.service
# rm -fr /var/lib/haproxy/stats
# vim /etc/haproxy/haproxy.cfg
# systemctl restart haproxy.service
# ll /var/lib/haproxy/
haproxy实现多线程
注意多线程不能和多进程同时启用
# pstree -p | grep haproxy 查看当前haproxy的进程信息
# cat /proc/3874/status | grep Threads 查看haproxy子进程的线程信息
启用多线程
# vim /etc/haproxy/haproxy.cfg
# systemctl restart haproxy.service
# pstree -p | grep haproxy
socat热更新工具
热更新
在服务或软件不停止的情况下更新软件或服务的工作方式,完成对软件不停工更新,典型的热更新设备,usb,在使用usb进行插拔时,电脑系统时不需要停止工作的,这中设备叫热插拔设备。
haproxy ~]# dnf install socat -y 安装socat
# socat -h
利用socat查看haproxy信息
# echo "show servers state" | socat stdio /var/lib/haproxy/stats
# echo "get weight webcluster/haha" | socat stdio /var/lib/haproxy/stats
# echo "get weight webcluster/hehe" | socat stdio /var/lib/haproxy/stats
利用socat更改haproxy信息
# echo "set weight webcluster/haha 2" | socat stdio /var/lib/haproxy/stats 直接更改会报错
# vim /etc/haproxy/haproxy.cfg 对socket进行授权
# rm -rf /var/lib/haproxy/*
# systemctl restart haproxy.service
# ll /var/lib/haproxy/
# echo "get weight webcluster/hehe" | socat stdio /var/lib/haproxy/stats
# echo "set weight webcluster/hehe 4 " | socat stdio /var/lib/haproxy/stats
# echo "get weight webcluster/hehe" | socat stdio /var/lib/haproxy/stats
client ~]# for i in {1..10}; do curl 172.25.254.100; done
Haproxy静态算法
static-rr:基于权重的轮询调度
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance static-rr
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# echo "get weight webcluster/haha" | socat stdio /var/lib/haproxy/stats
# echo "set weight webcluster/haha 1 " | socat stdio /var/lib/haproxy/stats
first根据服务器在列表中的位置,自上而下进行调度
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance first
server haha 192.168.0.10:80 maxconn 1 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
两个主机 ]# while true; do curl 172.25.254.100; done
动态算法
roundrobin
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance roundrobin
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# echo "set weight webcluster/haha 1 " | socat stdio /var/lib/haproxy/stats
# echo "get weight webcluster/haha" | socat stdio /var/lib/haproxy/stats
leastconn
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance leastconn
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
混合算法
source
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance source
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# for i in {1..10}; do curl 172.25.254.100; done
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance source
hash-type consistent
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# for i in {1..10}; do curl 172.25.254.100; done
一致性hash
一致性哈希,当服务器的总权重发生变化时,对调度结果影响是局部的,不会引起大的变动hash(o)mod n
该hash算法是动态的,支持使用 socat等工具进行在线权重调整,支持慢启动
1、后端服务器哈希环点keyA=hash(后端服务器虚拟ip)%(2^32)
2、客户机哈希环点key1=hash(client_ip)%(2^32) 得到的值在[0---4294967295]之间,
3、将keyA和key1都放在hash环上,将用户请求调度到离key1最近的keyA对应的后端服务器
hash环偏斜问题
增加虚拟服务器IP数量,比如:一个后端服务器根据权重为1生成1000个虚拟IP,再hash。而后端服务器权重为2则生成2000的虚拟IP,再bash,最终在hash环上生成3000个节点,从而解决hash环偏斜问题
hash对象
hash对象到后端服务器的映射关系:
一致性hash示意图
后端服务器在线与离线的调度方式:
uri
webserver1和2 ~]# echo RS1 - 192.168.0.10 > /var/www/html/index1.html
# echo RS1 - 192.168.0.10 > /var/www/html/index2.html
haproxy ~]# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance uri
hash-type consistent
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# for i in {1..10}; do curl 172.25.254.100/index.html; done
# for i in {1..10}; do curl 172.25.254.100/index2.html; done
url_param
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance url_param name
hash-type consistent
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# for i in {1..10}; do curl 172.25.254.100/index.html?name=lee; done
# for i in {1..10}; do curl 172.25.254.100/index.html?name=redhat; done
hdr
listen webcluster
bind *:80
balance hdr(User-Agent)
hash-type consistent
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# curl -A "lee" 172.25.254.100
# curl -A "lee" 172.25.254.100
# curl -A "timinglee" 172.25.254.100
# curl -A "timing" 172.25.254.100
HAProxy高级功能及配置
基于cookie的会话保持
如果在haprorxy中设定算法为source,在同一台客户端主机中,无论使用什么浏览器访问的最终服务器是同一个。
可以使用cookie值进行优化,让同一台客户端中同一个浏览器中访问的是同一个服务器
不同浏览器访问的是不同的服务器
cookie value:为当前server指定cookie值,实现基于cookie的会话黏性,相对于基于 source 地址hash调度算法对客户端的粒度更精准,但同时也加大了haproxy负载,目前此模式使用较少, 已经被session共享服务器代替
注意:不支持 tcp mode,使用 http mode
配置选项
cookie name [ rewrite | insert | prefix ] [ indirect ] [ nocache ] [ postonly ] [ preserve ] [ httponly ] [ secure ] [ domain ]* [ maxidle <idle> ] [ maxlife ]
name: #cookie 的 key名称,用于实现持久连接
insert: #插入新的cookie,默认不插入cookie
indirect: #如果客户端已经有cookie,则不会再发送cookie信息
nocache: #当client和hapoxy间有缓存服务器(如:CDN)时,不允许中间缓存器缓存cookie,
#因为这会导致很多经过同一个CDN的请求都发送到同一台后端服务器
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance roundrobin
hash-type consistent
cookie WEBCOOKIE insert nocache indirect
server haha 192.168.0.10:80 cookie web1 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 cookie web2 check inter 3s fall 3 rise 5 weight 1
firefox
edge
HAProxy状态页
# vim /etc/haproxy/haproxy.cfg
listen stats
mode http
bind 0.0.0.0:4321
stats enable
log global# stats refresh
stats uri /status
stats auth lee:lee
开启自动刷新
# vim /etc/haproxy/haproxy.cfg
listen stats
mode http
bind 0.0.0.0:4321
stats enable
log global
stats refresh 1
stats uri /status
stats auth lee:lee
listen webcluster
bind *:80
balance roundrobin
hash-type consistent
cookie WEBCOOKIE insert nocache indirect
server haha 192.168.0.10:80 cookie web1 check inter 3s fall 3 rise 5 weight 2
server hehe 192.168.0.20:80 cookie web2 check inter 3s fall 3 rise 5 weight 1
模拟自动下线
webserver1 ~]# systemctl stop httpd.service
# systemctl start httpd.service
IP透传
七层IP透传
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
balance roundrobin
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# for i in {1.. 4 }; do curl 172.25.254.100; done
webserver2 ~]# cat /etc/httpd/logs/access_log
# vim /etc/haproxy/haproxy.cfg 开启ip透传
webserver2 ~]# vim /etc/httpd/conf/httpd.conf 在rs中设定采集透传IP
# systemctl restart httpd
# cat /etc/httpd/logs/access_log
四层IP透传
webserver1和2 ~]# systemctl disable --now httpd
# dnf install nginx -y
# echo RS1 - 192.168.0.10 > /usr/share/nginx/html/index.html
# systemctl enable --now nginx
webserver1和2 ~]# vim /etc/nginx/nginx.conf
webserver1和2 ~]# systemctl restart nginx.service
# for i in {1..5}; do curl 172.25.254.100; done 查看结果:
设定haproxy访问4层
haproxy ~]# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
mode tcp #四层访问
balance roundrobin
server haha 192.168.0.10:80 send-proxy check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:80 send-proxy check inter 3s fall 3 rise 5 weight 1
# for i in {1..5}; do curl 172.25.254.100; done
设置4层ip透传
webserver1和2 ~]# vim /etc/nginx/nginx.conf
# systemctl restart nginx.service
# for i in {1..5}; do curl 172.25.254.100; done
webserver1 ~]# cat /var/log/nginx/access.log
Harproxy的四层负载
环境设定
webserver1和2 ~]# dnf install mariadb-server mariadb -y 部署mariadb数据库
# vim /etc/my.cnf.d/mariadb-server.cnf
建立远程登录用户并授权
webserver1和2 ~]# systemctl enable --now mariadb
# mysql
MariaDB [(none)]> CREATE USER 'lee'@'%' identified by 'lee';
> GRANT ALL ON *.* TO 'lee'@'%';
# mysql -ulee -plee -h 192.168.0. 1 0
四层负载操作
# vim /etc/haproxy/haproxy.cfg
listen mariadbcluster
bind *:6663
mode tcp
balance roundrobin
server haha 192.168.0.10:3306 check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:3306 check inter 3s fall 3 rise 5 weight 1
# netstat -antlupe | grep haproxy 检测端口
mobaxterm mysql -ulee -plee -h172.25.254.100 -P 6663
backup参数
# vim /etc/haproxy/haproxy.cfg
listen mariadbcluster
bind *:6663
mode tcp
balance roundrobin
server haha 192.168.0.10:3306 check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:3306 check inter 3s fall 3 rise 5 weight 1 backup
mobaxterm mysql -ulee -plee -h172.25.254.100 -P 6663
# systemctl stop mariadb 关闭10的mariadb并等待1分钟
mobaxterm mysql -ulee -plee -h172.25.254.100 -P 6663
webserver1 ~]# systemctl start mariadb 还原故障主机等待片刻
自定义HAProxy 错误界面
sorryserver的设定
正常的所有服务器如果出现宕机,那么客户将被定向到指定的主机中,这个当业务主机出问题时被临时访问的主机叫做sorryserver
haproxy ~]# dnf install httpd -y 在新主机中安装apache(可以用haproxy主机代替)
# vim /etc/httpd/conf/httpd.conf
# systemctl enable --now httpd
# echo " sorry 网页走丢了 " > /var/www/html/index.html
配置sorryserver上线
# vim /etc/haproxy/haproxy.cfg
listen webcluster
bind *:80
mode tcp
balance roundrobin
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
server wuwu 192.168.0.100:8080 backup #sorryserver
webserver1和2 ~]# systemctl stop httpd
自定义错误页面
当所有主机包括sorryserver都宕机了,那么haproxy会提供一个默认访问的错误页面,这个错误页面跟报错代码有关,这个页面可以通过定义来机型设置
所有的主机 ~]# systemctl stop httpd
haproxy ~]# mkdir /errorpage/html/ -p
# vim /errorpage/html/503.http
HTTP/1.0 503 Service Unavailable
Cache-Control: no-cache
Connection: close
Content-Type: text/html;charset=UTF-8
<html><body><h1> == 503 == </h1>
页面走丢了!!
</body></html>
# vim /etc/haproxy/haproxy.cfg
从定向错误到指定网站
Haproxy ACL访问控制
在Linux中设定解析
# vim /etc/hosts
news.timinglee.org login.timinglee.org www.lee.org www.lee.com
# ping bbs.timinglee.org
# vim /etc/haproxy/haproxy.cfg
frontend webcluster
bind *:80
mode http
acl test hdr_end(host) -i .com #acl列表
use_backend webserver-80-web1 if test #acl列表访问匹配
default_backend webserver-80-web2 #acl列表访问不匹配
backend webserver-80-web1
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
backend webserver-80-web2
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
基于访问头部
# vim /etc/haproxy/haproxy.cfg
frontend webcluster
bind *:80
mode http
acl test hdr_end(host) -i .com #acl列表
acl head hdr_beg(host) -i bbs.
use_backend webserver-80-web1 if head # bbs.开头的域名 → webserver-80-web1
default_backend webserver-80-web2 # 其他所有请求 → webserver-80-web2
backend webserver-80-web1
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
backend webserver-80-web2
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
base参数acl
haproxy ~]# vim /etc/haproxy/haproxy.cfg
frontend webcluster
bind *:80
mode http
acl pathdir base_dir -i /lee
use_backend webserver-80-web1 if pathdir
default_backend webserver-80-web2 #acl列表访问不匹配
backend webserver-80-web1
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
backend webserver-80-web2
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
webserver1+2 ~]# mkdir -p /var/www/html/lee/
# mkdir -p /var/www/html/lee/test/
webserver1 ~]# echo lee - 192.168.0.10 > /var/www/html/lee/index.html
# echo lee/test - 192.168.0.10 > /var/www/html/lee/test/index.html
webserver2 ~]# echo lee - 192.168.0.20 > /var/www/html/lee/index.html
# echo lee/test - 192.168.0.10 > /var/www/html/lee/test/index.html
acl禁止列表黑名单
# vim /etc/haproxy/haproxy.cfg
frontend webcluster
bind *:80
mode http
acl test hdr_end(host) -i .com #acl列表
use_backend webserver-80-web1 if test #acl列表访问匹配
default_backend webserver-80-web2 #acl列表访问不匹配
acl invalid_src src 172.25.254.1
http-request deny if invalid_src
backend webserver-80-web1
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
backend webserver-80-web2
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
禁止列表白名单
# vim /etc/haproxy/haproxy.cfg
frontend webcluster
bind *:80
mode http
acl test hdr_end(host) -i .com #acl列表
use_backend webserver-80-web1 if test #acl列表访问匹配
default_backend webserver-80-web2 #acl列表访问不匹配
acl invalid_src src 172.25.254.1
http-request deny if ! invalid_src
backend webserver-80-web1
server web1 192.168.0.10:80 check inter 3s fall 3 rise 5
backend webserver-80-web2
server web2 192.168.0.20:80 check inter 3s fall 3 rise 5
client ~]# curl 172.25.254.100
haproxy ~]# curl 172.25.254.100
Haproxy全站加密
制作证书
haproxy ~]# mkdir /etc/haproxy/certs/
# openssl req -newkey rsa:2048 -nodes -sha256 -keyout /etc/haproxy/certs/timinglee.org.key -x509 -days 365 -out /etc/haproxy/certs/timinglee.org.crt
# ls /etc/haproxy/certs/
# cat /etc/haproxy/certs/timinglee.org.{key,crt} > /etc/haproxy/certs/timinglee.pem
全站加密
# vim /etc/haproxy/haproxy.cfg
frontend webcluster-http
bind *:80
redirect scheme https if ! { ssl_fc }
listen webcluster-https
bind *:443 ssl crt /etc/haproxy/certs/timinglee.pem
mode http
balance roundrobin
server haha 192.168.0.10:80 check inter 3s fall 3 rise 5 weight 1
server hehe 192.168.0.20:80 check inter 3s fall 3 rise 5 weight 1
# curl -v -k -L http://172.25.254.100
