HAProxy
HAProxy是法国开发者Willy Tarreau 开发的一个开源然教案,是一款具备高并发、高性能的TCP和HTTP负载均衡器,支持基于cookie的持久性,自动故障切换,支持正则表达式及web状态统计。
HAProxy功能
HAProxy是TCP/HTTP反向代理服务器,尤其适合于高可用性高并发环境
可以针对HTTP请求添加cookie,进行路由后端服务器。
可平衡负载至后端服务器,并支持持久连接
支持基于cookie进行调度
支持所有主服务器故障切换至别用服务器
支持专用端口实现监控服务
支持不影响现有连接情况下停止接受新连接请求
可以在双线给添加,修改或删除http报文首部
支持基于partten实现连接请求的访问控制
通过特定的uri为授权用户提供详细的状态信息
HAProxy的安装
yum安装
直接使用yum进行安装
[root@localhost ~]# yum install haproxy -y
编译安装HAProxy
1.解压源码包
[root@localhost ~]# tar xf haproxy-1.8.20.tar.gz
2.编译模块
[root@localhost haproxy-1.8.20]# make ARCH=x86_64 TARGET=linux2628 USE_PCRE=1 USE_OPENSSL=1 USE_ZLIB=1 USE_SYSTEMD=1 USE_CPU_AFFINITY=1 PREFIX=/usr/local/haproxy
3.复制模块到指定目录
[root@localhost haproxy-1.8.20]# make install PREFIX=/usr/local/haproxy
4.将二进制程序复制到相二进制程序目录
[root@localhost haproxy-1.8.20]# cp haproxy /usr/sbin/
5.为编译安装的HAProxy创建启动脚本
[root@localhost haproxy-1.8.20]# vim /lib/systemd/system/haproxy.service
[Unit]
Description=HAProxyLoad Balancer
After=syslog.targetnetwork.target
[Service]
ExecStartPre=/usr/sbin/haproxy -f /etc/haproxy/haproxy.cfg -c -q
ExecStart=/usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /usr/local/haproxy/run/haproxy.pid
ExecReload=/bin/kill -USR2 $MAINPID
[Install]
WantedBy=multi-user.target
6.创建配置文件目录,生成配置文件
[root@localhost haproxy-1.8.20]# mkdir /etc/haproxy
[root@localhost haproxy-1.8.20]# vim /etc/haproxy/haproxy.cfg
global
maxconn 100000
chroot /usr/local/haproxy
#stats socket /var/lib/haproxy/haproxy.sock mode 600 level admin
uid 99
gid 99
daemon
nbproc 4
cpu-map 1 0
cpu-map 2 1
cpu-map 3 2
cpu-map 4 3
pidfile /usr/local/haproxy/run/haproxy.pid
log 127.0.0.1 local3 info
defaults
option http-keep-alive
option forwardfor
maxconn 100000
mode http
timeout connect 300000ms
timeout client 300000ms
timeout server 300000ms
listen stats
mode http
bind 0.0.0.0:9999
stats enable
log global
stats uri /haproxy-status
stats auth haadmin:q1w2e3r4ys
listen web_port
bind 0.0.0.0:80
mode http
log global
server web1 127.0.0.1:8080 check inter 3000 fall 2 rise 5
7.为pid文件创建一个目录
[root@localhost ~]# mkdir /usr/local/haproxy/run
8.启动服务
[root@localhost ~]# systemctl daemon-reload
[root@localhost ~]# systemctl start haproxy
haproxy简单使用
使用frontend/backend配置服务器
1.修改配置文件
[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
frontend web
bind 172.20.27.20:80 #监听地址和端口
use_backend web_host
backend web_host
server web1 172.20.27.31:80 #定义后端的服务器
server web2 172.20.27.32:80
2.重启服务
[root@localhost ~]# systemctl restart haproxy
3.测试访问
[root@localhost ~]# curl 172.20.27.20
server 1
[root@localhost ~]# curl 172.20.27.20
server 2
使用listen来配置服务器
1.修改配置文件
[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
listen web
bind 172.20.27.21:80 #定义监听的地址和端口
server web1 172.20.27.31:80 #定义后端服务器
server web2 172.20.27.32:80
2.重启服务器
[root@localhost ~]# systemctl restart haproxy
3.测试
[root@localhost ~]# curl 172.20.27.21
server 1
[root@localhost ~]# curl 172.20.27.21
server 2
HAProxy组成
HAProxy有2个配置段组成,global全局配置段,proxies代理配置段
global配置参数:
1.chroot
用来锁定用户的目录,用来限制被人拿到haporxy账号时登录后跳转到其他目录,此项为安全选项。
示例:
chroot /usr/local/haproxy #将其限制在/usr/local/haproxy目录下
2.maxconn
单个进程城的最大连接数
示例:
maxconn 100000 #每个haproxy进程的最大并发连接数,有些时候设置65535
3.stats socket
示例
#stats socket /var/lib/haproxy/haproxy.sock mode 600 level admin #haproxy运行时的socket文件,在本机操作时使用
4.user, group, uid, gid
工作进程的uid,gid,user,group默认为99,nobody用户,也可以对其进行修改
示例:
创建haproxy用户
[root@localhost ~]# useradd -s /sbin/nologin haproxy
[root@localhost ~]# id haproxy
uid=1001(haproxy) gid=1001(haproxy) groups=1001(haproxy)
修改配置文件
[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
uid 1001
gid 1001
查看进程用户
[root@localhost ~]# ps -ef | grep haproxy
root 20178 1 0 20:41 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20182
haproxy 20309 20178 0 21:15 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20182
5.nbprox和cpu-map
nbproc为开启haproxy多线程,最好开启和cpu核心相同的进程数,1.8以上功能
cpu-map为cpu的亲缘性绑定,将进程绑定在固定的cpu核心上。
示例:
配置4个进程,并绑定cpu
daemon
nbproc 4 #启动4个进程
cpu-map 1 0 #第一个进程绑定在0号cpu核心上
cpu-map 2 1 #cpu的核心是从0开始计数
cpu-map 3 2
cpu-map 4 3
重启服务
[root@localhost ~]# systemctl reload haproxy
[root@localhost ~]# ps -ef | grep haproxy
root 20178 1 0 20:41 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20309
haproxy 20417 20178 0 21:26 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20309
haproxy 20418 20178 0 21:26 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20309
haproxy 20419 20178 0 21:26 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20309
haproxy 20420 20178 0 21:26 ? 00:00:00 /usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /run/haproxy.pid -sf 20309
6.ngthread
指定每个haproxy进程开启的线程数,默认一个进程只有一个线程,1.8版本支持
示例:
nbthread 1
重读配置文件
[root@localhost ~]# systemctl reload haproxy
7.log
将日志发送到某个地址来进行收集
示例:
修改日志配置文件
[root@localhost ~]# vim /etc/rsyslog.conf
$UDPServerRun 514
local3.* /var/log/haproxy.log #此处改为和配置文件相同的格式
重启服务
[root@localhost ~]# systemctl restart rsyslog
[root@localhost ~]# systemctl restart haproxy
8.spread-checks
当后台有多台服务器时,对其错开进行tcp探测,防止同一时间tcp连接过大,官方给定值2-5
spread-checks 5
9.deamon
以守护进程运行
daemon
10.pidfile
指定pid文件路径
配置文件中pid路径和启动脚本中的pid路径必须相同
[root@localhost run]# vim /etc/haproxy/haproxy.cfg
pidfile /usr/local/haproxy/run/haproxy.pid
[root@localhost run]# vim /lib/systemd/system/haproxy.service
ExecStart=/usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg -p /usr/local/haproxy/run/haproxy.pid
11.maxsslconn
SSL每个haproxy进程ssl最大连接数
12.maxconnrate
每个进程每秒最大连接数
proxies配置
defaults [name]
默认配置项,针对以下的frontend、backend和lsiten生效,可以多个name
option redispatch
#当serverID对应的服务器挂掉后,强制定向到其他健康的服务器(建议配置)
option abortonclose
#当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接(建议配置)
option forwardfor
#将客户端地址透传到后端服务器(建议配置)
option http-keep-alive
#开启会话保持机制(建议开启)
mode tcp|http
#工作在哪种模式下,默认工作在tcp模式
timeout connect 60s
#转发客户端请求到后端server的最长链接时长。
#用户的请求发送到后端服务器60s后没有相应就报错,这是在建立tcp连接之前
timeout server 600s
#转发客户端请求到后端服务端的超时时长。
#用户的请求已经被转发到后端服务器,但后端服务器600s内没有给HAProxy返回数据就告诉用户服务器挂了,此数值需要设置的长一点,要留给后端服务器足够的时间去做各种操作,这是在已经建立起tcp连接之后。
timeout client 600s
#与客户端的最长空闲时间。
#当用户访问HAProxy后,在之后的600s内再次访问就无需再次建立tcp连接
timeout http-keep-alive 120s
#session会话保持超时时间,范围内会转发到后端服务器。
#表示用户在120s内发起的请求会转发给后端同一台服务器,超过120s就重新调度
timeoutcheck 5s
#对后端服务器的检测超时时长。
#haproxy对后端服务器发起检测如果5秒内没有数据返回,表示第一次检测失败
以上为默认配置选项,当默认配置选项和frontend/backend或listen中定义的有冲突时,以frontend/backend或listen中定义的为主
示例:
defaults配置段
defaults
option redispatch
option abortonclose
option http-keep-alive
option forwardfor
maxconn 100000
mode http
timeout connect 300000ms
timeout client 300000ms
timeout server 300000ms
定义前端server和后端服务器组
frontend/backend
frontend [name]:前端servername,类似于Nginx的一个虚拟主机 server。
backend [name]:后端服务器组,等于nginx的upstream
示例:
配置一个负载均衡
frontend web
bind 192.168.27.21:80
use_backend web_server
backend web_server
server 192.168.27.31:80
server 192.168.27.32:80
测试
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 2
以上的配置方法也可以使用listen来实现更加便捷
listen
listen [name]:将frontend和backend合并在一起配置
listen web
bind 192.168.27.21:80
server web1 192.168.27.31:80
server web2 192.168.27.32:80
测试
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 2
后端服务器的状态监测相关配置
可以在后端的服务器定义后使用check然后更上各种选项参数
相关的选项参数
addr IP
#可以指定健康状态监测IP
port NUM
#指定健康状态检测端口
inter NUM
#指定健康状态监测间隔的时间,默认为2000ms
fall NUM
#后端服务器失效的检查次数,默认为3。当3次监测都失败时服务器将从后端列表中摘去,请求将不再调度到此服务器
rise NUM
#后端服务器从下线到恢复上线的检查次数,默认为2。当对已经下线的服务器进行2次检测都正常时,haproxy将再次将用户的请求调度到此服务器上
weight
#权重,默认为1,最大256,0表示不参与负载均衡
backup
#将后端服务器标注为备份状态,当为备份状态时,HAProxy不会请求调度到此服务器,只有当之前的所有服务器都挂了的时候才会调度过来
disabled
#将后端的服务器标记为不可用
redirect prefix http://www.mylinuxops.com
#将请求临时重定向至其他url,只适用于http模式
maxconn NUM
#设定当前后端server的最大并发连接数(一般不设置,或设置1000-2000左右)
backlog NUM
#当server的连接数达到上线后的后援队列长度(一般不设置)
示例:
配置HAProxy做健康状态检测
listen web
bind 192.168.27.21:80
server web1 192.168.27.31:80 check inter 3s fall 3 rise 5
server web2 192.168.27.32:80 check inter 3s fall 3 rise 5
测试
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 2
当server1挂了之后,等待一段时间再次检测
[root@localhost ~]# curl 192.168.27.21
server 2
[root@localhost ~]# curl 192.168.27.21
server 2
当server1再次启动以后,等待一段时间再次检测
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 2
示例:
检测后端端口,有些时候后端服务器是nginx,而nginx上又有跑了PHP应用,此时就会用来检查后端的9000端口,避免php挂了,还在向后端转发请求的情况
listen web
bind 192.168.27.21:80
server web1 192.168.27.31:80 port 9000 check inter 3s fall 3 rise 5
server web2 192.168.27.32:80 port 9000 check inter 3s fall 3 rise 5
示例:
设定权重,server1为2,server2为1
listen web
bind 192.168.27.21:80
server web1 192.168.27.31:80 weight 2 check inter 3s fall 3 rise 5
server web2 192.168.27.32:80 weight 1 check inter 3s fall 3 rise 5
测试
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 2
示例:
将server1设置为备用,此时请求将不再发送给server1
listen web
mode tcp
bind 192.168.27.21:80
server web1 192.168.27.31:80 weight 2 check inter 3s fall 3 rise 5 backup
server web2 192.168.27.32:80 weight 1 check inter 3s fall 3 rise 5
测试
请求只发给server2
[root@localhost ~]# curl 192.168.27.21
server 2
[root@localhost ~]# curl 192.168.27.21
server 2
[root@localhost ~]# curl 192.168.27.21
server 2
当server2挂了之后,backup的启用。
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 1
示例:
将server2标记为disabled
listen web
mode tcp
bind 192.168.27.21:80
server web1 192.168.27.31:80 weight 2 check inter 3s fall 3 rise 5
server web2 192.168.27.32:80 weight 1 check inter 3s fall 3 rise 5 disabled
测试
[root@localhost ~]# curl 192.168.27.21
server 1
[root@localhost ~]# curl 192.168.27.21
server 1
#请求只发给server 1
示例:
将请求临时重定向至其他URL
listen web
mode http
bind 192.168.27.21:80
redirect prefix http://www.mylinuxops.com/
# server web1 192.168.27.31:80 weight 2 check inter 3s fall 3 rise 5
# server web2 192.168.27.32:80 weight 1 check inter 3s fall 3 rise 5 disabled
测试
[root@localhost ~]# curl -L 192.168.27.21
www.mylinuxops.com
使用haproxy做4层负载,区分80和443的配置方法
# http入口
listen web_http
mode http
bind 192.168.27.21:80
server web1 192.168.27.31:80 weight 2 check inter 3s fall 3 rise 5
server web2 192.168.27.32:80 weight 1 check inter 3s fall 3 rise 5
# https入口
listen web_https
mode tcp
bind 192.168.27.21:443
server web1 192.168.27.31:443 weight 2 check inter 3s fall 3 rise 5
server web2 192.168.27.31:443 weight 1 check inter 3s fall 3 rise 5
重启后查看监听端口
[root@localhost ~]# systemctl restart haproxy
[root@localhost ~]# ss -tnl | grep 192.168.27.21
LISTEN 0 128 192.168.27.21:80 *:*
LISTEN 0 128 192.168.27.21:443 *:*