HAProxy配置详解

HAProxy简介

HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。

特点

  • 可以基于cookies做会话保持
  • 分发负载到多个后端主机
  • 支持sorry server(当所有其他正常主机不可用的时候,则开启这台主机say sorry)
  • 通过指定的端口检测服务
  • 不影响已建立连接的情况下阻止新的请求进入
  • 添加,修改或者删除报文首部
  • 阻止匹配特定模式的请求(可以做访问控制)
  • 从应用程序拦截的URI向已通过身份验证的用户报告

架构

HAProxy配置详解_第1张图片
画的不太好,有理解问题请批评指正
frontend负责给用户请求一个接口,backend可以定义后端一组服务器,一个frontend可以拥有多个backend,一个backend也可以让多个不同的frontend调用
具体流程就是当frontend接受到用户请求,根据我们的配置交给指定的backend处理请求。backend再将请求分发到真正的后端服务器
而listen定义一个完整的代理,其前端和后端部分组合在一个部分中。看到后面示例的配置项就能更好理解了。

配置详解

HAProxy的配置文件为/etc/haproxy/haproxy.cfg

配置文件分为几个部分

  • global:全局配置段
    • 进程及安全配置相关的参数
    • 性能调整相关参数
    • Debug参数
  • proxies:代理配置段
    • defaults:为frontend, listen, backend提供默认配置
    • fronted:描述了一组接受客户端连接的侦听套接字
    • backend:代理将连接到的一组服务器以转发传入连接
    • listen:定义一个完整的代理,其前端和后端部分组合在一个部分中

global常用配置项

进程及安全配置相关的参数
  • chroot :将当前目录更改为并在之前执行chroot(),如果HAProxy被攻破了,也只能得到一个假的根环境,安全方面的设置
  • deamon:运行在前台或者后台
  • user:运行HAProxy进程的用户
  • group:运行HAProxy进程的组
  • uid:运行HAProxy进程的uid
  • gid:运行HAProxy进程的gid
  • nbproc :要启动的haproxy的进程数量;默认为1个,推荐为1个
  • ulimit-n :每个haproxy进程可打开的最大文件数;会自动计算一个最佳的数字,建议不修改。
性能调整参数

虽然说是调整性能的参数,但是一般情况下没有特殊需求,不建议修改

  • maxconn :设定每个haproxy进程所能接受的最大并发连接数;
  • maxconnrate : 每个进程每秒种所能创建的最大连接数量;
  • maxsessrate :每个进程每秒钟所能创建的最大数量
  • maxsslconn : 设定每个进程所能接受的最大ssl并发连接数
  • spread-checks <0…50, in percent> :如果后端主机太多,为了避免同一时刻检查的主机数量太多,这里可以错峰检查。也就是提前或者延后一段时间检查,最多设置不能超过总长的百分之50,比如检测总时长是2s,如果提前或延后超过1s,则上一次的检查和这一次检查很可能会重叠,这时候就会出问题。

proxies常用的配置项

  • bind:监听的地址和端口
格式:bind \[
\]: [, ...] [param*]
  • balance:后端服务器组内的服务器调度算法
格式:balance  [  ]
常用的调度算法算法:
roundrobin:动态算法:支持权重的运行时调整,支持慢启动;每个后端中最多支持4095个server;

static-rr:静态算法:不支持权重的运行时调整及慢启动;后端主机数量无上限;

leastconn:推荐使用在具有较长会话的场景中,例如MySQL、LDAP等;

first:根据服务器在列表中的位置,自上而下进行调度;前面服务器的连接数达到上限,新请求才会分配给下一台服务器;

source:基于源地址hash;把每个IP和第一次调度处理的后台服务器的对应关系映射成hash表存放在内存中,这里的hash算法有2种:
第一种是除权取余算法,举个例子:将源地址进行hash除权再取余,假如得到的数字是1,则分配到第一台服务器,假如最后得到的是2,则分配到第二台服务器上,得到的是3这个值则分配到第三台服务器上,以此类推。
只要源地址不变,服务器组权重不变,则hash值不会变,余数也不会变。所以可以做到会话保持,同一个ip可以发送给同一个后端服务器。但是如果这时候服务器组数量发生增减,权重发生变化会怎么样?
很容易理解,得到的值可能会发生变化,并且由于服务器组数量增减,导致大部分ip绑定全部失效....这个就很严重了。
第二种是一致性哈希算法,形象来说就是维持一个hash环,这个环的整数分布范围是[0, 2^32-1],然后将后端服务器分布在环上,这时候再对源地址进行hash,得到的值投射在环上,顺时针寻找离这个值最近的一台服务器。
由它来负责响应。同理只要是同一个ip进来 hash值一定是一样的。服务器组结构没有发生变化也一定会分配到同一个服务器上,这时候如果服务器增减,会发生什么呢?比如第二台服务器down了,
于是顺时针找最近的原则,会分配到下一台,这时候只影响了一台服务器。这样影响的服务器就会大大减少。好很多。但是维持一个hash环的成本显然高一些。所以看情况使用吧。
算法可以在hash-type这个配置项设置

参考
://:@:/;?#
		左半部分:/;
        整个uri:/;?#
uri:对URI的左半部分做hash计算,并由服务器总权重相除以后派发至某挑出的服务器;

url_param:对用户请求的uri听部分中的参数的值作hash计算,并由服务器总权重相除以后派发至某挑出的服务器;通常用于追踪用户,以确保来自同一个用户的请求始终发往同一个Backend Server;

hdr():对于每个http请求,此处由指定的http首部将会被取出做hash计算; 并由服务器总权重相除以后派发至某挑出的服务器;没有有效值的会被轮询调度; 
例子:hdr(Cookie)
  • hash-type:哈希算法
格式:hash-type   
method有:
  map-based:除权取余法,哈希数据结构是静态的数组;
  consistent:一致性哈希,哈希数据结构是一个树;
  • server 定义后端主机的各服务器及其选项;
格式:
server  
[:[port]] [param*] server
[:port] [settings ...] default-server [settings ...] :server的默认参数 :服务器在haproxy上的内部名称;出现在日志及警告信息;
:服务器地址,支持使用主机名; [:[port]]:端口映射;省略时,表示同bind中绑定的端口; [param*]:常用的参数如下 maxconn :当前server的最大并发连接数; maxqueue :队列的最大长度。maxconn满了,多余的请求就需要放在队列中。 backlog :当前server的连接数达到上限后的后援队列长度; backup:设定当前server为备用服务器;即sorry server check:对当前server做健康状态检测; addr :设置检测时使用的IP地址 port :设置端口进行健康检测; inter :连续两次检测之间的时间间隔,默认为2000ms; rise :连续多少次检测结果为“成功”才标记服务器为可用;默认为2; fall :连续多少次检测结果为“失败”才标记服务器为不可用;默认为3; 注意:httpchk,"smtpchk", "mysql-check", "pgsql-check" and "ssl-hello-chk" 用于定义应用层检测方法; cookie :为当前server指定其cookie值,用于实现基于cookie的会话黏性; disabled:标记为不可用; on-error :后端服务器故障时的行动策略 - fastinter: force fastinter - fail-check: 快速强制检测,还没到下一个检测周期,快速触发一次故障探测 - sudden-death:一次失败直接标记为down - mark-down: 立即标记为down并强制down redir :将发往此server的所有GET和HEAD类的请求重定向至指定的URL; weight :权重,默认为1; 示例: server first 10.1.1.1:1080 cookie first check inter 1000 server second 10.1.1.2:1080 cookie second check inter 1000 server backup ${SRV_BACKUP}:1080 backup
  • 统计接口相关参数
stats enable:启用统计页;基于默认的参数启用stats page;
						
stats auth ::认证时的账号和密码,可使用多次;默认不需要认证
							
stats realm :认证时的标题,提示;默认为 "HAProxy Statistics"
							
stats uri :自定义stats page uri,访问的接口,默认 /haproxy?stats,
							
stats refresh :设定自动刷新时间间隔;
							
stats admin { if | unless } :启用stats page中的管理功能

stats hide-version 隐藏版本信息
							
配置示例:
listen stats
    bind :9099
    stats enable
    stats uri  /haproxy?admin
    stats realm HAPorxy\ Stats\ Page
    stats auth admin:haproxy
    stats admin if TRUE	

访问uri为:http://HAProxy_IP:9099/haproxy?admin
  • maxconn:为指定的frontend定义其最大并发连接数;默认为2000;
maxconn 
  • mode: 定义haproxy的工作模式;
格式:mode { tcp|http|health }
    tcp:基于layer4实现代理;可代理mysql, pgsql, ssh, ssl等协议;
    http:仅当代理的协议为http时使用;
    health:工作为健康状态检查的响应模式,当连接请求到达时回应“OK”后即断开连接;
						
代理ssh示例:
listen ssh
    bind :22022
    balance roundrobin
    mode tcp
    server sshsrv1 192.168.253.158:22 check
    server sshsrv1 192.168.253.128:22 check
  • cookie:用户访问服务器,haproxy转发到后端服务器。这时候由haproxy返回给用户的时候,可以操作报文首部,我们可以打个标记在cookie字段插入一个键值对。键为cookie的name,值为后端服务器设置的cookie名,从而做到session sticky
格式:cookie  [ rewrite | insert | prefix ] [ indirect ] [ nocache ]  [ postonly ] [ preserve ] [ httponly ] [ secure ]  [ domain  ]* [ maxidle  ] [ maxlife  ]
    :自定义名称作为键
    rewirte:重写;将已有的cookie重写
    insert:插入;
    prefix:前缀;
							
基于cookie的session sticky的实现:
backend websrvs
    cookie WEBSRV insert nocache indirect   #仅对nocache和indirect的情况下进行插入
    server srv1 172.16.100.6:80 weight 2 check rise 1 fall 2 maxconn 3000 cookie srv1
    server srv2 172.16.100.7:80 weight 1 check rise 1 fall 2 maxconn 3000 cookie srv2				

HAProxy配置详解_第2张图片

  • option forwardfor:在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部,其值前端客户端的地址;用于向后端主发送真实的客户端IP;
格式:option forwardfor [ except  ] [ header  ] [ if-none ]  
    [ except  ]:请求报请来自此处指定的网络时不予添加此首部;
	[ header  ]:使用自定义的首部名称,而非“X-Forwarded-For”;

示例:
backend static
    mode http
    option forwardfor  header X-Client
    ......

如果是nginx,自定义日志格式的时候需要写成$http_X_Client  来获取值,若为httpd,%{X-Client}i获取指定首部信息。

在这里插入图片描述
HAProxy配置详解_第3张图片

  • errorfile :返回设置的错误码的对应文件
errorfile    这里需要是文件路径
	:响应码,常用以下几个200, 400, 403, 408, 500, 502, 503, and 504.
	:响应的文件路径

示例:
    errorfile 400 /etc/haproxy/errorfiles/400badreq.http
    errorfile 408 /dev/null  # workaround Chrome pre-connect bug
    errorfile 403 /etc/haproxy/errorfiles/403forbid.http
    errorfile 503 /etc/haproxy/errorfiles/503sorry.http	
  • errorloc:errorfile返回一个本地文件,这里的errorloc类似重定向一个uri
格式:errorloc   
示例:
	errorfile 403 http://www.magedu.com/error_pages/403.html
  • reqadd:请求报文中添加首部
格式:reqadd   [{if | unless} ]
  • rspadd :响应报文中添加首部
rspadd  [{if | unless} ] 
例子:	
	rspadd X-Via:\ HAPorxy
  • reqdel:删除请求报文首部
格式:reqdel   [{if | unless} ]
  • rspdel:删除响应报文首部
格式:rspdel   [{if | unless} ]
  • 日志相关设置

log
格式:log 
[len ] [ []] haproxy默认没有记录日志的文件,需要依赖rsyslog收集,具体方法,首先在配置文件的global段添加一条配置项 log 127.0.0.1 local2 再修改/etc/rsyslog.conf $ModLoad imudp #取消注释 $UDPServerRun 514 #取消注释 local2.* /var/log/haproxy.log #添加一行 然后重启 systemctl restart rsyslog haproxy log-format :设置日志格式 格式:log-format 示例: log-format %{+Q}o\ %t\ %s\ %{-Q}r
  • 压缩相关参数
compression algo  ...:启用http协议的压缩机制,指明压缩算法gzip, deflate;
compression type  ...:指明压缩的MIMI类型;

示例:
compression algo gzip
compression type text/html text/plain
  • 对后端服务器做http协议的健康状态检测的常用配置项
格式:
option httpchk:定义基于http协议的7层健康状态检测机制
option httpchk 
option httpchk  
option httpchk   	

示例:
backend https_relay
    mode tcp
    option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www
    server apache1 192.168.1.1:443 check port 80
  • 连接超时时长常用配置项
timeout client : 客户端一侧链接的非活动时长,默认单位是毫秒; 
timeout server :连接后端服务器一侧的非活动时长,如果时长足够长,就可以减少一些连接创建的开销。所以尽量长会好一些
timeout http-keep-alive :持久连接的持久时长;
timeout http-request :请求报文的超时时长,如果客户端一侧非常慢的发送,则服务器要维持这个连接就很浪费资源,这个就是请求报文的超时时长
timeout connect :创建连接的超时时长。如果一直连接后端服务器不成功,
timeout client-fin :客户端一侧非活动的半连接的超时时长
timeout server-fin :服务端一侧非活动的半连接的超时时长
  • use_backend:当符合指定的条件时使用特定的backend;
格式: use_backend  [{if | unless} ] 

例子:
    acl static path_beg -i /static /images /javascript /stylesheets
    acl static path_end -i .jpg .gif .png .css .js .html
    acl php path_end -i .php
    use_backend static if static
    use_backend dynamic if php
  • block :满足条件的情况下,阻止/放行第7层请求
格式:block { if | unless } 

例子:						
acl invalid_src  src          0.0.0.0/7 224.0.0.0/3
acl invalid_src  src_port     0:1023
acl local_dst    hdr(host) -i localhost
block if invalid_src || local_dst
  • http-request :第7层请求的访问控制
格式:http-request { allow | deny } [ { if | unless }  ]
示例:
http-request replace-value X-Forwarded-For ^192\.168\.(.*)$ 172.16.\1

报文首部为: X-Forwarded-For: 192.168.10.1, 192.168.13.24, 10.0.0.37
输出之后为: X-Forwarded-For: 172.16.10.1, 172.16.13.24, 10.0.0.37
  • tcp-request connection :根据第4层条件对传入连接执行操作
格式:tcp-request connection {accept|reject}  [{if | unless} ]
示例:
mode tcp
acl invalid_src src 172.16.200.2
tcp-request connection reject if invalid_src
  • acl:访问控制列表。HAProxy非常重要的一个配置项
格式:acl   [flags] [operator] [] ...
    :自定义的acl名,ACL名称必须由大写和小写字母,数字,' - '(短划线)组成,'_'(下划线),'.'(点)和':'(冒号)。ACL名称区分大小写
		
    的类型:
        -  布尔值
        -  整数
        - IP address / network ip地址
        - 字符串
        - 正则表达式
        - 16进制
			
    
        -i : 忽略字符大小写
        -m : 使用特定的匹配方式(一般不用)
        -n : 禁止dns主机名反解
        -u : 每个acl必须使用独有的名称,默认可以重名,如果重名,表示的是或条件,满足其中一个即可
        -- : 强行指名flag到哪结束,避免混淆
			
     [operator] 
        匹配整数值:eq、ge、gt、le、lt			
        匹配字符串:不怎么用
            - exact match     (-m str) : 精确匹配
            - substring match (-m sub) : 子串匹配
            - prefix match    (-m beg) :前缀匹配
            - suffix match    (-m end) : 后缀匹配
            - subdir match    (-m dir) : 子路径匹配
            - domain match    (-m dom) : 域名子串匹配

				
    acl作为条件时的逻辑关系:
        - AND (implicit)
        - OR  (explicit with the "or" keyword or the "||" operator)
        - Negation with the exclamation mark ("!")
        示例:			
            if invalid_src invalid_port
            if invalid_src || invalid_port
            if ! invalid_src invalid_port
				
     :
        dst : ip
        dst_port : 端口
        src : ip
        src_port : 端口
        示例:
            acl invalid_src  src  172.16.200.2
				
    path : string
        path     : exact string match  精确匹配,例如:/imgs/logos/logo.jpg
        path_beg : prefix match        前缀匹配,例如: /imgs  表示/imgs下的所有内容都匹配
        path_dir : subdir match        路径子串匹配 
        path_dom : domain match        域名子串匹配  
        path_end : suffix match        后缀匹配 ,例如:.jpg  ;以.jpg结尾都匹配
        path_len : length match        长度匹配
        path_reg : regex match         正则匹配  ,例如:^/imgs/.*\.jpg  表示/imgs开头以.jpg结尾
        path_sub : substring match	   子串匹配 只要包含该子串就可以匹配到

        下面的例子用于测试URL是否以/static、/images、/javascript或/stylesheets头。
        acl url_static path_beg -i /static /images /javascript /stylesheets

        例如,下面的例子用户测试URL是否以jpg、gif、png、css或js结尾。
        acl url_static path_end -i .jpg .gif .png .css .js

    url : string			
        url  : exact string match
        url_beg : prefix match
        url_dir : subdir match
        url_dom : domain match
        url_end : suffix match
        url_len : length match
        url_reg : regex match
        url_sub : substring match
				
    req.hdr([[,]]) : string				
        hdr([[,]])     : exact string match
        hdr_beg([[,]]) : prefix match
        hdr_dir([[,]]) : subdir match
        hdr_dom([[,]]) : domain match
        hdr_end([[,]]) : suffix match
        hdr_len([[,]]) : length match
        hdr_reg([[,]]) : regex match
        hdr_sub([[,]]) : substring match	

        下面的例子用于测试首部Connection的值是否为close。
        hdr(Connection) -i close				
        下面的例子用记测试请求是否为提供静态内容的主机img、video、download或ftp。
        acl host_static hdr_beg(host) -i img. video. download. ftp.				

        示例:
            acl bad_curl hdr_sub(User-Agent) -i curl  拒绝curl访问
            block if bad_curl										

动静分离

global
    log         127.0.0.1 local2
    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon
    stats socket /var/lib/haproxy/stats
defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000

frontend webservs
    bind *:788
    acl static path_beg -i /static /images /javascript /stylesheets
    acl static path_end -i .jpg .gif .png .css .js .html
    acl php path_end -i .php
    use_backend static if static
    use_backend dynamic if php
    default_backend dynamic

backend static
    balance roundrobin
    server sta1 192.168.253.128:6080 check maxconn 3000
    server sta2 192.168.253.128:7080 check maxconn 3000

backend dynamic
    balance source
    server dyn 192.168.253.128:7080 check maxconn 1000

四层代理ssh

listen ssh
    bind :22022
    balance roundrobin
    mode tcp
    server sshsrv1 192.168.253.158:22 check
    server sshsrv1 192.168.253.128:22 check

参考链接
http://cbonte.github.io/haproxy-dconv/1.5/configuration.html

你可能感兴趣的:(HAProxy)