Haproxy搭建web群集

Haproxy搭建web群集

一.什么是Haproxy

HAProxy是可提供高可用性、负载均衡以及基于TCP和HTTP应用的代理，是免费、快速并且可靠的一种解决方案。HAProxy非常适用于并发大（并发达1w以上）web站点，这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中，同时可以保护web服务器不被暴露到网络上。

二.Haproxy的主要特性

●可靠性和稳定性非常好，可以与硬件级的F5负载均衡设备相媲美；
●最高可以同时维护40000-50000个并发连接，单位时间内处理的最大请求数为20000个，最大处理能力可达10Git/s；
●支持多达8种负载均衡算法
●支持Session会话保持，Cookie的引导；
●支持通过获取指定的url来检测后端服务器的状态；
●支持虚机主机功能，从而实现web负载均衡更加灵活；
●支持连接拒绝、全透明代理等独特的功能；
●拥有强大的ACL支持，用于访问控制；
●支持TCP和HTTP协议的负载均衡转发；
●支持客户端的keepalive功能，减少客户端与haproxy的多次三次握手导致资源浪费，让多个请求在一个tcp连接中完成

三.Haproxy调度算法

调度算法	说明
roundrobin	表示简单的轮询
static-rr	表示根据权重
leastconn	表示最少连接者先处理
source	表示根据请求源IP
uri	表示根据请求的URI,做cdn需使用
url_param	表示根据请求的URl参数’balance url_param’ requires an URL parameter name
hdr(name)	表示根据HTTP请求头来锁定每一次HTTP请求
rdp-cookie(name)	表示根据cookie(name)来锁定并哈希每一次TCP请求

四.LVS、Nginx、HAproxy的区别

负载均衡性能 [硬件负载F5] > LVS > Haproxy > Nginx
支持的代理类型 LVS基于系统内核的负载均衡，只能支持四层代理IP转发（不支持正则）
             Haproxy和Nginx基于应用程序实现的负载均衡，支持四层和七层的代理转发（支持正则）
支持的健康检查方式 LVS支持URL和tcp检查，Nginx只支持对端口进行检查，Haproxy支持对端口、URL、脚本等多种检查方式             

五.LVS、Nginx、HAproxy的优缺点

Nginx的优点：
●工作在网络的7层之上，可以针对http应用做一些分流的策略，比如针对域名、目录结构。Nginx正则规则比HAProxy更为强大和灵活。
●Nginx对网络稳定性的依赖非常小，理论上能ping通就就能进行负载功能，LVS对网络稳定性依赖比较大，稳定要求相对更高。
●Nginx安装和配置、测试比较简单、方便，有清晰的日志用于排查和管理，LVS的配置、测试就要花比较长的时间了。
●可以承担高负载压力且稳定，一般能支撑几万次的并发量，负载度比LVS相对小些。
●Nginx可以通过端口检测到服务器内部的故障，比如根据服务器处理网页返回的状态码、超时等等。
●Nginx不仅仅是一款优秀的负载均衡器/反向代理软件，它同时也是功能强大的Web应用服务器。
●Nginx作为Web反向加速缓存越来越成熟了，速度比传统的Squid服务器更快，很多场景下都将其作为反向代理加速器。
●Nginx作为静态网页和图片服务器，这方面的性能非常优秀，同时第三方模块也很多。

Nginx的缺点：
●Nginx仅能支持http、https和Email协议，这样就在适用范围上面小些。
●对后端服务器的健康检查，只支持通过端口来检测，不支持通过url来检测。
●不支持Session的直接保持，需要通过ip_hash和cookie的引导来解决。


LVS的优点：
●抗负载能力强、是工作在网络4层之上仅作分发之用，没有流量的产生。因此负载均衡软件里的性能最强的，对内存和cpu资源消耗比较低。
●LVS工作稳定，因为其本身抗负载能力很强，自身有完整的双机热备方案。
●无流量，LVS只分发请求，而流量并不从它本身出去，这点保证了均衡器IO的性能不会收到大流量的影响。
●应用范围较广，因为LVS工作在4层，所以它几乎可对所有应用做负载均衡，包括http、数据库等。

LVS的缺点：
●软件本身不支持正则表达式处理，不能做动静分离。相对来说，Nginx/HAProxy+Keepalived则具有明显的优势。
●如果是网站应用比较庞大的话，LVS/DR+Keepalived实施起来就比较复杂了。相对来说，Nginx/HAProxy+Keepalived就简单多了。


HAProxy的优点：
●HAProxy也是支持虚拟主机的。
●HAProxy支持8种负载均衡策略。
●HAProxy的优点能够补充Nginx的一些缺点，比如支持Session的保持，Cookie的引导，同时支持通过获取指定的url来检测后端服务器的状态。
●HAProxy跟LVS类似，本身就只是一款负载均衡软件，单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度，在并发处理上也是优于Nginx的。
●HAProxy支持TCP协议的负载均衡转发。

六.实验

6.1实验部署

6.2 关闭防火墙，将安装Haproxy所需软件包传到/opt目录下

[root@localhost ~]# systemctl stop firewalld.service 
[root@localhost ~]# setenforce 0

6.3 安装 Haproxy

[root@localhost ~]# yum install -y haproxy

6.4Haproxy服务器配置

HAProxy 的配置文件共有 5 个域：

• global：用于配置全局参数

• default：用于配置所有frontend和backend的默认属性

• frontend：用于配置前端服务（即HAProxy自身提供的服务）实例

• backend：用于配置后端服务（即HAProxy后面接的服务）实例组

• listen：frontend + backend的组合配置，可以理解成更简洁的配置方法，frontend域和backend域中所有的配置都可以配置在listen域下

  #全局配置，主要用于定义全局参数，属于进程级的配置，通常和操作系统配置有关
  global
      
      log         127.0.0.1 local0 info			#将info（及以上）的日志发送到rsyslog的local0接口
      log         127.0.0.1 local1 warning		#将warning（及以上）的日志发送到rsyslog的local1接口
  
      #chroot      /var/lib/haproxy				#修改haproxy工作目录至指定目录，一般需将此行注释掉
      pidfile     /var/run/haproxy.pid			#指定保存HAProxy进程号的文件
      maxconn     40000							#最大连接数，HAProxy 要求系统的 ulimit -n 参数大于 maxconn*2+18
      user 		haproxy            				#以指定的用户名身份运行haproxy进程
      group 		haproxy           				#以指定的组名运行haproxy，以免因权限问题带来风险
      daemon										#让haproxy以守护进程的方式工作于后台
      spread-checks 2								#在haproxy后端有着众多服务器的场景中，在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题；此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长；默认为0，官方建议设置为2到5之间。
      #nbproc 2 									#指定启动的haproxy进程个数，只能用于守护进程模式的haproxy，默认只启动一个进程。
  

  #配置默认参数，这些参数可以被用到listen，frontend，backend组件 
  defaults
  
      mode                    http				#模式为http（7层代理http，4层代理tcp）
      log                     global				#所有前端都默认使用global中的日志配置
      option                  httplog				#开启httplog，在日志中记录http请求、session信息等。http模式时开启httplog，tcp模式时开启tcplog
      option                  dontlognull			#不在日志中记录空连接
      option http-keep-alive						#使用keepAlive连接，后端为静态建议使用http-keep-alive，后端为动态应用程序建议使用http-server-close
      option forwardfor       except 127.0.0.0/8	#记录客户端IP在X-Forwarded-For头域中，haproxy将在发往后端的请求中加上"X-Forwarded-For"首部字段
      option                  redispatch			#当某后端down掉使得haproxy无法转发携带cookie的请求到该后端时，将其转发到别的后端上
      retries                 3					#定义连接后端服务器的失败重连次数，连接失败次数超过此值后会将对应后端服务器标记为不可用
      timeout http-request    10s					#默认http请求超时时间，此为等待客户端发送完整请求的最大时长，用于避免类DoS攻击。haproxy总是要求一次请求或响应全部发送完成后才会处理、转发
      timeout queue           1m					#默认客户端请求在队列中的最大时长
      timeout connect         10s					#默认haproxy和服务端建立连接的最大时长，新版本中替代contimeout，该参数向后兼容
      timeout client          1m					#默认和客户端保持空闲连接的超时时长，在高并发下可稍微短一点，可设置为10秒以尽快释放连接，新版本中替代clitimeout
      timeout server          1m					#默认和服务端保持空闲连接的超时时长，局域网内建立连接很快，所以尽量设置短一些，特别是高并发时，新版本中替代srvtimeout	
      timeout http-keep-alive 10s					#默认和客户端保持长连接的最大时长。优先级高于timeout http-request 也高于timeout client
      timeout check           10s					#和后端服务器成功建立连接后到最终完成检查的最大时长(不包括建立连接的时间，只是读取到检查结果的时长)
      maxconn                 30000				#最大连接数，“defaults”中的值不能超过“global”段中的定义
  

  frontend  http-in
  	###监听任意地址的80端口号
      bind *:80
      ###通过acl过滤符合条件的静态页面请求
      acl url_static       path_beg       -i  /static /images /javascript /stylesheets
      acl url_static       path_end       -i .jpg .gif .png .css .js
  	###将符合acl条件的静态页面情景求转发到static——backend后端域，将其他所有请求转发到dynamic_backend后端与中
      use_backend static_backend          if url_static
      default_backend             dynamic_backend
  

  #定义后端域static_backend
  backend static_backend
      balance     roundrobin						#使用轮询算法
      option httpchk GET /test.html				#表示基于http协议来做健康状况检查，只有返回状态码为2xx或3xx的才认为是健康的，其余所有状态码都认为不健康。不设置该选项时，默认采用tcp做健康检查，只要能建立tcp就表示健康。
      server      inst1 192.168.111.20:80 check inter 2000 rise 2 fall 3
      server      inst2 192.168.111.30:80 check inter 2000 rise 2 fall 3
      #同上，inter 2000 rise 2 fall 3是默认值，可以省略
  

  6.5nginx提供静态页面

[root@localhost ~]# systemctl stop firewalld
[root@localhost ~]# setenforce 0
setenforce: SELinux is disabled
[root@localhost ~]# yum install -y nginx
[root@localhost ~]# cd /usr/share/nginx/html
[root@localhost html]# mkdir static
[root@localhost html]# echo '' > /static/index.html
[root@localhost html]# echo '' > /static/index.html
[root@localhost html]# systemctl start nginx

6.6客户端访问测试

http://192.168.111.10/static/index.html

6.7httpd提供动态页面访问

#定义后端域dynamic_backend
backend dynamic_backend
    balance     roundrobin
    option http-server-close
    cookie HA_STICKY_dy insert indirect nocache
    server app1 192.168.111.20:8080 cookie appser1 check
    server app2 192.168.111.30:8080 cookie appser2 check

[root@localhost yum.repos.d]# yum install -y httpd
[root@localhost conf]# systemctl start httpd.service 
[root@localhost conf]# netstat -lntp |grep httpd
tcp6       0      0 :::8080                 :::*                    LISTEN      71048/httpd  
[root@localhost conf]# cd /var/www/html/
[root@localhost html]# echo "this is 192.168.111.20 dongtai web" > index.jsp
同理在另一台虚拟机安装httpd服务
[root@localhost html]# echo "this is 192.168.111.30 dongtai web" > index.jsp

6.8客户端访问测试

http://192.168.111.10/index.jsp

6.9定义监控页面

[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
listen stats
    bind *:1080                   #绑定端口1080
    stats enable                  #启用统计报告监控
    stats refresh 30s             #每30秒更新监控数据
    stats uri /stats              #访问监控页面的uri
    stats realm HAProxy\ Stats    #监控页面的认证提示
    stats auth admin:admin        #监控页面的用户名和密码
[root@localhost haproxy]# systemctl restart haproxy.service 
[root@localhost haproxy]# systemctl status haproxy.service


浏览器访问 http://192.168.111.10:1080/stats

6.10日志定义

默认 haproxy 的日志是输出到系统的 syslog 中，查看起来不是非常方便，为了更好的管理 haproxy 的日志，我们在生产环境中一般单独定义出来。需要将 haproxy 的 info 及 notice 日志分别记录到不同的日志文件中。

①方法一

#修改haproxy.cfg，将info及以上级别的日志发送到rsyslog的local0接口，将warning及以上级别的日志发送到rsyslog的local1接口
[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
global
    ......
    log 127.0.0.1 local0 info
    log 127.0.0.1 local1 warning
    ......

defaults
    ......
    log global
    ......
    

注：信息级日志会打印HAProxy 的每一条请求处理，会占用大量的磁盘空间，在生产环境中，将日志级别调整为notice

[root@localhost ~]# mkdir /var/log/haproxy
[root@localhost ~]# vim /etc/rsyslog.d/haproxy.conf
$ModLoad imudp
$UDPServerRun 514
$FileCreateMode 0644									#日志文件的权限
$FileOwner haproxy										#日志文件的owner
local0.*     /var/log/haproxy/haproxy_info.log			#local0接口对应的日志输出文件
local1.*     /var/log/haproxy/haproxy_warning.log		#local1接口对应的日志输出文件

#修改 rsyslog 的启动参数
[root@localhost ~]# vim /etc/sysconfig/rsyslog 
SYSLOGD_OPTIONS="-c 2 -r -m 0"

#重启 rsyslog 和 HAProxy
[root@localhost ~]# systemctl restart haproxy.service 
[root@localhost ~]# systemctl restart rsyslog.service
[root@localhost ~]# cd /var/log/haproxy/
[root@localhost haproxy]# ls
haproxy_info.log

②方法二

[root@localhost ~]# vim /etc/haproxy/haproxy.cfg
global
	log /dev/log local0 info
	log /dev/log local0 notice
    ......

defaults
    ......
    log global
    ......

#需要修改rsyslog配置，为了便于管理。将haproxy相关的配置独立定义到haproxy.conf，并放到/etc/rsyslog.d/下，rsyslog启动时会自动加载此目录下的所有配置文件。
[root@localhost ~]# vim /etc/rsyslog.d/haproxy.conf
if ($programname == 'haproxy' and $syslogseverity-text == 'info')
then -/var/log/haproxy/haproxy-info.log
&~
if ($programname == 'haproxy' and $syslogseverity-text == 'notice')
then -/var/log/haproxy/haproxy-notice.log
&~

#说明：
这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下，将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后，rsyslog停止处理这个信息。

[root@localhost ~]# service rsyslog restart
[root@localhost ~]# service haproxy restart

[root@localhost ~]# tail -f /var/log/haproxy/haproxy-info.log		#查看haproxy的访问请求日志信息