Haproxy搭建Web高可用群集 【Keepalived+HAProxy 高可用 日志定义 内核优化】
Haproxy
HAProxy是可提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,是免费、快速并且可靠的一种解决方案。HAProxy非常适用于并发大(并发达1w以上)web站点,这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中,同时可以保护web服务器不被暴露到网络上。
HAProxy的主要特性有
●可靠性和稳定性非常好,可以与硬件级的F5负载均衡设备相媲美;
●最高可以同时维护40000-50000个并发连接,单位时间内处理的最大请求数为20000个,最大处理能力可达10Git/s;
●支持多达8种负载均衡算法
●支持Session会话保持,Cookie的引导;
●支持通过获取指定的url来检测后端服务器的状态;
●支持虚机主机功能,从而实现web负载均衡更加灵活;
●支持连接拒绝、全透明代理等独特的功能;
●拥有强大的ACL支持,用于访问控制;
●支持四层TCP和七层HTTP协议的负载均衡转发;
●支持客户端的keepalive长连接功能,减少客户端与haproxy的多次三次握手导致资源浪费,让多个请求在一个tcp连接中完成
HAProxy负载均衡策略非常多,常见的有如下8种(面试题)
roundrobin 轮询 static-rr 加权轮询 leastconn 最小连接数 source 源地址HASH uri URL HASH url_param URL参数 HASH hdr(name) 请求头 HASH rdp-cookie(name) COOKIE HASH
LVS、Nginx、HAproxy的区别(面试题)
●LVS基于Linux操作系统内核实现软负载均衡,而HAProxy和Nginx是基于第三方应用实现的软负载均衡;
●LVS是可实现4层的IP负载均衡技术,无法实现基于目录、URL的转发。而HAProxy和Nginx都可以实现4层和7层技术,HAProxy可提供TCP和HTTP应用的负载均衡综合解决方案;
●LVS因为工作在ISO模型的第四层,其状态监测功能单一,而HAProxy在状态监测方面功能更丰富、强大,可支持端口、URL、脚本等多种状态检测方式;
●HAProxy功能强大,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。但整体性能低于4层模式的LVS负载均衡;
●Nginx主要用于Web服务器或缓存服务器。Nginx的upstream模块虽然也支持群集功能,但是性能没有LVS和Haproxy好,对群集节点健康检查功能不强,只支持通过端口来检测,不支持通过URL来检测。
性能 硬件负载均衡 F5(百万以上并发)> 四层基于内核LVS > 四层/七层基于第三方应用HAPROXY(4-5w并发) > 四层/七层基于第三方应用NGINX(2-3w并发) 功能 四层/七层基于第三方应用HAPROXY(支持正则) > 四层/七层基于第三方应用NGINX(支持正则)> 四层基于内核LVS(不支持正则) 节点健康检测 LVS通过端口和URL做健康检查,NGINX只通过端口健康检测,HAPROXY通过端口 URL 脚本多种方式检测 Nginx的优点
●工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名、目录结构。Nginx正则规则比HAProxy更为强大和灵活。
●Nginx对网络稳定性的依赖非常小,理论上能ping通就就能进行负载功能,LVS对网络稳定性依赖比较大,稳定要求相对更高。
●Nginx安装和配置、测试比较简单、方便,有清晰的日志用于排查和管理,LVS的配置、测试就要花比较长的时间了。
●可以承担高负载压力且稳定,一般能支撑几万次的并发量,负载度比LVS相对小些。
●Nginx可以通过端口检测到服务器内部的故障,比如根据服务器处理网页返回的状态码、超时等等。
●Nginx不仅仅是一款优秀的负载均衡器/反向代理软件,它同时也是功能强大的Web应用服务器。
●Nginx作为Web反向加速缓存越来越成熟了,速度比传统的Squid服务器更快,很多场景下都将其作为反向代理加速器。
●Nginx作为静态网页和图片服务器,这方面的性能非常优秀,同时第三方模块也很多。Nginx的缺点:
●Nginx仅能支持http、https和Email协议,这样就在适用范围上面小些。
●对后端服务器的健康检查,只支持通过端口来检测,不支持通过url来检测。
●不支持Session的直接保持,需要通过ip_hash和cookie的引导来解决。
LVS的优点
●抗负载能力强、是工作在网络4层之上仅作分发之用,没有流量的产生。因此负载均衡软件里的性能最强的,对内存和cpu资源消耗比较低。
●LVS工作稳定,因为其本身抗负载能力很强,自身有完整的双机热备方案。
●无流量,LVS只分发请求,而流量并不从它本身出去,这点保证了均衡器IO的性能不会收到大流量的影响。
●应用范围较广,因为LVS工作在4层,所以它几乎可对所有应用做负载均衡,包括http、数据库等。LVS的缺点:
●软件本身不支持正则表达式处理,不能做动静分离。相对来说,Nginx/HAProxy+Keepalived则具有明显的优势。
●如果是网站应用比较庞大的话,LVS/DR+Keepalived实施起来就比较复杂了。相对来说,Nginx/HAProxy+Keepalived就简单多了。
HAProxy的优点
●HAProxy也是支持虚拟主机的。
●HAProxy支持8种负载均衡策略。
●HAProxy的优点能够补充Nginx的一些缺点,比如支持Session的保持,Cookie的引导,同时支持通过获取指定的url来检测后端服务器的状态。
●HAProxy跟LVS类似,本身就只是一款负载均衡软件,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。
●HAProxy支持TCP协议的负载均衡转发。
Haproxy搭建 Web 群集
Haproxy服务器:192.168.80.101
Nginx 服务器1:192.168.80.102
Nginx 服务器2:192.168.80.103
客户端:192.168.80.200
----------------------haproxy 服务器部署--------------------------------
1.关闭防火墙
systemctl stop firewalld setenforce 0
2.安装 Haproxy
安装依赖项
yum install -y pcre-devel bzip2-devel gcc gcc-c++ make编译安装实测容易报错,这里使用yum安装 Haproxy。并且yum安装自带配置文件。
yum install -y haproxy
获取安装包wget http://www.haproxy.org/download/1.7/src/haproxy-1.7.2.tar.gz
编译安装tar zxvf haproxy-1.7.2.tar.gz cd haproxy-1.7.2/ make TARGET=linux2628 PREFIX=/usr/local/haproxy make install PREFIX=/usr/local/haproxy---------------------参数说明---------------------------------------------------------------------------
TARGET=linux26 #内核版本,
#使用uname -r查看内核,如:2.6.18-371.el5,此时该参数用TARGET=linux26;kernel大于2.6.28的用TARGET=linux2628
----------------------------------------------------------------------------------------------------------
3.Haproxy服务器配置
创建haproxy用户(yum安装不用创建)
useradd -M -s /sbin/nologin haproxyyum安装haproxy
yum install -y haproxyHAProxy 的配置文件共有 5 个域
●global:用于配置全局参数
●default:用于配置所有frontend和backend的默认属性
●frontend:用于配置前端服务(即HAProxy自身提供的服务)实例
●backend:用于配置后端服务(即HAProxy后面接的服务)实例组
●listen:frontend + backend的组合配置,可以理解成更简洁的配置方法,frontend域和backend域中所有的配置都可以配置在listen域下
创建haproxy配置文件夹(yum安装无需创建)mkdir -p /usr/local/haproxy/conf cd /usr/local/haproxy/conf编辑haproxy配置文件
vim /etc/haproxy/haproxy.cfg global #全局配置,主要用于定义全局参数,属于进程级的配置,通常和操作系统配置有关 #将info(及以上)的日志发送到rsyslog的local0接口,将warning(及以上)的日志发送到rsyslog的local1接口 log 127.0.0.1 local0 info 如果需要日志,修改这两行 log 127.0.0.1 local1 warning 如果需要日志,修改这两行 maxconn 30000 #最大连接数,HAProxy 要求系统的 ulimit -n 参数大于 maxconn*2+18 #chroot /var/lib/haproxy #修改haproxy工作目录至指定目录,一般需将此行注释掉 pidfile /var/run/haproxy.pid #指定保存HAProxy进程号的文件 user haproxy #以指定的用户名身份运行haproxy进程 group haproxy #以指定的组名运行haproxy,以免因权限问题带来风险 daemon #让haproxy以守护进程的方式工作于后台 #nbproc 1 #指定启动的haproxy进程个数,只能用于守护进程模式的haproxy,默认只启动一个进程。haproxy是单进程、事件驱动模型的软件,单进程下工作效率已经非常好,不建议开启多进程 spread-checks 2 #在haproxy后端有着众多服务器的场景中,在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题;此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长;默认为0,官方建议设置为2到5之间。 defaults #配置默认参数,这些参数可以被用到listen,frontend,backend组件 log global #所有前端都默认使用global中的日志配置 mode http #模式为http(7层代理http,4层代理tcp) option http-keep-alive #使用keepAlive连接,后端为静态建议使用http-keep-alive开启长连接,后端为动态应用程序建议使用http-server-close关闭长连接 option forwardfor #记录客户端IP在X-Forwarded-For头域中,haproxy将在发往后端的请求中加上"X-Forwarded-For"首部字段,用于获取客户机的真实ip地址 option httplog #开启httplog,在日志中记录http请求、session信息等。http模式时开启httplog,tcp模式时开启tcplog option dontlognull #不在日志中记录空连接 option redispatch #当某后端down掉使得haproxy无法转发携带cookie的请求到该后端时,将其转发到别的后端上 option abortonclose #当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接 maxconn 20000 #最大连接数,“defaults”中的值不能超过“global”段中的定义 retries 3 #定义连接后端服务器的失败重连次数,连接失败次数超过此值后会将对应后端服务器标记为不可用 #contimeout 5000 #老版配置已经不用 设置连接超时时间,默认单位是毫秒 #clitimeout 50000 #老版配置已经不用 设置客户端超时时间,默认单位是毫秒 #srvtimeout 50000 #老版配置已经不用 设置服务器超时时间,默认单位是毫秒 timeout http-request 2s #默认http请求超时时间,此为等待客户端发送完整请求的最大时长,用于避免类DoS攻击。haproxy总是要求一次请求或响应全部发送完成后才会处理、转发 timeout queue 3s #默认客户端请求在队列中的最大时长 timeout connect 1s #默认haproxy和服务端建立连接的最大时长,新版本中替代contimeout,该参数向后兼容 timeout client 10s #默认和客户端保持空闲连接的超时时长,在高并发下可稍微短一点,可设置为10秒以尽快释放连接,新版本中替代clitimeout timeout server 2s #默认和服务端保持空闲连接的超时时长,局域网内建立连接很快,所以尽量设置短一些,特别是高并发时,新版本中替代srvtimeout timeout http-keep-alive 10s #默认和客户端保持长连接的最大时长。优先级高于timeout http-request 也高于timeout client timeout check 2s #和后端服务器成功建立连接后到最终完成检查的最大时长(不包括建立连接的时间,只是读取到检查结果的时长) frontend http-in #✨定义前端域 http-in为名称 bind *:80 #设置监听地址和端口,指定为*或0.0.0.0时,将监听当前系统的所有IPv4地址 maxconn 18000 #定义此端口上的maxconn ///通过acl过滤符合条件的静态页面请求/// acl url_static1 path_beg -i /static /images #定义ACL,当uri以定义的路径开头时,ACL[url_static1]为true 此处匹配网页目录/static和图片目录/images acl url_static2 path_end -i .jpg .jpeg .gif .png .html .htm .txt #定义ACL,当uri以定义的路径结尾时,ACL[url_static2]为true #✨上面两个acl的名字可以设置一样的,不一定要url_static1 url_static2 。对应下方转发也不用写两条了。对应上即可。 #✨包括use_backend ms1,这里的ms1也只需要与下方的backed ms1对应上即可,可以自定义名字 ///将符合acl条件的静态页面请求转发到url_static1,2。其他请求转发到dynamic_group/// use_backend ms1 if url_static1 #当[url_static1]为true时,定向到后端域ms1中 use_backend ms2 if url_static2 #当[url_static2]为true时,定向到后端域ms2中 default_backend dynamic_group #其他情况时(动态页面),定向到后端域dynamic_group中 backend ms1 #✨定义后端域ms1 处理静态页面 balance roundrobin #使用轮询算法 option httpchk GET /index.html #表示基于http协议来做健康状况检查,只有返回状态码为2xx或3xx的才认为是健康的,其余所有状态码都认为不健康。不设置该选项时,默认采用tcp做健康检查,只要能建立tcp就表示健康。 server ms1.inst1 192.168.80.102:80 maxconn 5000 check inter 2000 rise 2 fall 3 #ms1.inst1 inst1代表实例1 后端节点服务器名称可以自定义 server ms1.inst2 192.168.80.102:81 maxconn 5000 check #同上,inter 2000 rise 2 fall 3是默认值,可以省略 inter 2000间隔2s检查,rise 2离线状态检查成功两次才上线,fall 3失败3次离线 backend ms2 #✨定义后端域ms2 处理静态页面 balance roundrobin option httpchk GET /index.html server ms2.inst1 192.168.80.103:80 maxconn 5000 check server ms2.inst2 192.168.80.103:81 maxconn 5000 check #这里由于只使用了80端口,可以吧81这条删除。当后端服务器81端口也有服务可以访问就加上。留着也没事。 backend dynamic_group #✨定义后端域dynamic_group处理动态页面 balance roundrobin option http-server-close #不使用链接保持动态页面 cookie HA_STICKY_dy insert indirect nocache #启用基于 cookie 的会话保持策略 server appsrv1 192.168.80.102:8080 cookie appsrv1 maxconn 5000 check #cookie appsrv1:前一个为指定设置cookie,后一个为设置的cookie的值 server appsrv2 192.168.80.103:8080 cookie appsrv2 maxconn 5000 check # listen stats #定义监控页面 bind *:1080 #绑定端口1080 stats enable #启用统计报告监控 stats refresh 30s #每30秒更新监控数据 stats uri /stats #访问监控页面的uri stats realm HAProxy\ Stats #监控页面的认证提示 stats auth admin:admin #监控页面的用户名和密码若要实现访问一次轮询一次的效果,则修改前端后端,去除多余配置项,将原本的访问文件夹导向ms1访问后缀导向ms2合并, 两条匹配均导向acl url_static,并由acl url_static导向ms1。在ms1地址池中轮询102与103的80端口。 frontend http-in bind *:80 maxconn 1000 acl url_static path_beg -i /static /images /javascript /stylesheets acl url_static path_end -i .jpg .gif .png .css .js .html .htm use_backend ms1 if url_static default_backend app #--------------------------------------------------------------------- # static backend for serving up images, stylesheets and such #--------------------------------------------------------------------- backend ms1 balance roundrobin option httpchk GET /index.html server inst1 192.168.80.102:80 maxconn 5000 check server inst2 192.168.80.103:80 maxconn 5000 check
systemctl restart haproxy.service若怎么改都出错,核查配置无效,使用这两条命令查看配置文件内是否有诸如 M-BM- 的空格!
cat -v /etc/haproxy/haproxy.cfg cat -A /etc/haproxy/haproxy.cfg
●balance roundrobin #负载均衡调度算法
roundrobin:轮询算法;leastconn:最小连接数算法;source:来源访问调度算法,类似于nginx的ip_hash●check 指定此参数时,HAProxy 将会对此 server 执行健康检查,检查方法在 option httpchk 中配置。同时还可以在 check 后指定 inter, rise, fall 三个参数, 分别代表健康检查的周期、连续几次成功认为 server UP、连续几次失败认为 server DOWN,默认值是 inter 2000 rise 2 fall 3
inter 2000 #表示启用对此后端服务器执行健康检查,设置健康状态检查的时间间隔,单位为毫秒
rise 2 #设定server从离线状态重新上线需要成功检查的次数;不指定默认为2
fall 3 #表示连续三次检测不到心跳频率则认为该节点失效●cookie:在 backend server 间启用基于 cookie 的会话保持策略,最常用的是 insert 方式。
cookie HA_STICKY_dy insert indirect nocache,指 HAProxy 将在响应中插入名为 HA_STICKY_dy 的 cookie,其值为对应的 server 定义中指定的值,并根据请求中此 cookie 的值决定转发至哪个 server。indirect #代表如果请求中已经带有合法的 HA_STICK_dy cookie,则 HAProxy 不会在响应中再次插入此 cookie
nocache #代表禁止链路上的所有网关和缓存服务器缓存带有 Set-Cookie 头的响应●若节点配置后带有“backup”表示该节点只是个备份节点,仅在所有在线节点都失效该节点才启用。不携带“backup”,表示为在线节点,和其它在线节点共同提供服务。
若服务启动错误,查询
cat /var/log/messagesfrontend域和backend域中所有的配置都可以配置在listen域下
如果想要细化设置,采用上方完整写法。如果需要简化配置,直接按下方代码集成在listen中即可。
listen webcluster bind *:80 option httpchk GET /test.html balance roundrobin server inst1 192.168.80.102:80 check inter 2000 rise 2 fall 3 server inst2 192.168.80.103:80 check inter 2000 rise 2 fall 3
4.添加haproxy 系统服务(yum安装不需要)vim /etc/init.d/haproxy #!/bin/bash #chkconfig: 2345 90 30 #description: Haproxy Service Control Script PROGDIR=/usr/local/haproxy PROGNAME=haproxy DAEMON=$PROGDIR/sbin/$PROGNAME CONFIG=$PROGDIR/conf/$PROGNAME.cfg PIDFILE=/var/run/$PROGNAME.pid DESC="HAProxy daemon" SCRIPTNAME=/etc/init.d/$PROGNAME # Gracefully exit if the package has been removed. test -x $DAEMON || exit 0 start() { echo -e "Starting $DESC: $PROGNAME\n" $DAEMON -f $CONFIG echo "......" } stop() { echo -e "Stopping $DESC: $PROGNAME\n" haproxy_pid="$(cat $PIDFILE)" kill $haproxy_pid echo "......" } restart() { echo -e "Restarting $DESC: $PROGNAME\n" $DAEMON -f $CONFIG -p $PIDFILE -sf $(cat $PIDFILE) echo "......" } case "$1" in start) start ;; stop) stop ;; restart) restart ;; *) echo "Usage: $SCRIPTNAME {start|stop|restart}" exit 1 ;; esac exit 0cd /etc/init.d/ chmod +x haproxy chkconfig --add /etc/init.d/haproxyln -s /usr/local/haproxy/sbin/haproxy /usr/sbin/haproxy service haproxy start 或 /etc/init.d/haproxy start
----------------------两个节点服务器部署--------------------------------
关闭防火墙
systemctl stop firewalld setenforce 0安装httpd服务支持静态页面
yum install -y httpd安装Tomcat服务支持动态页面
cd /opt rpm -qpl jdk-8u201-linux-x64.rpm rpm -ivh jdk-8u201-linux-x64.rpm java -versionvim /etc/profile.d/java.sh export JAVA_HOME=/usr/java/jdk1.8.0_201-amd64 #不必要,方便下面两条必要的配置,预定义路径 export JRE_HOME=$JAVA_HOME/jre #不必要,方便下面两条必要的配置,预定义路径 export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib #必要 export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH #必要 ·································································· export JAVA_HOME=/usr/java/jdk1.8.0_201-amd64 export JRE_HOME=$JAVA_HOME/jre export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATHsource /etc/profile.d/java.shcd /opt tar zxvf apache-tomcat-9.0.16.tar.gz mv apache-tomcat-9.0.16 /usr/local/tomcatvim /usr/lib/systemd/system/tomcat.service [Unit] Description=tomcat server Wants=network-online.target After=network.target [Service] Type=forking Environment="JAVA_HOME=/usr/java/jdk1.8.0_201-amd64" Environment="PATH=$JAVA_HOME/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin" Environment="CLASSPATH=.:$JAVA_HOME/lib/dt.jar:$JAVA_HOME/lib/tools.jar" ExecStart=/usr/local/tomcat/bin/startup.sh ExecStop=/usr/local/tomcat/bin/shutdown.sh Restart=on-failure [Install] WantedBy=multi-user.targetsystemctl daemon-reload #重载配置systemctl start tomcat systemctl enable tomcat
安装依赖项 (这里使用httpd服务,不安装)yum install -y pcre-devel zlib-devel gcc gcc-c++ make
创建NGINX用户 (这里使用httpd服务,不安装)useradd -M -s /sbin/nologin nginx
解压NGINX安装包 (这里使用httpd服务,不安装)cd /opt tar zxvf nginx-1.12.0.tar.gz -C /opt/
编译安装 (这里使用httpd服务,不安装)cd nginx-1.12.0/ ./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install make && make install--192.168.80.100---
创建静态文件
echo "this is xue web" > /var/www/html/index.html echo "this is xue.test web" > /var/www/html/test.html #echo "this is xue web" > /usr/local/nginx/html/index.html创建动态页面文件
echo "this is xue JSP web" > /usr/local/tomcat/webapps/ROOT/index.jsp--192.168.80.101---
创建静态文件
echo "this is benet web" > /var/www/html/index.html echo "this is benet.test web" > /var/www/html/test.html #echo "this is benet web" > /usr/local/nginx/html/test.html创建动态页面文件
echo "this is benet JSP web" > /usr/local/tomcat/webapps/ROOT/index.jsp创建软连接以便shell中调用
#ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/systemctl restart httpd systemctl enable httpd #启动httpd服务 nginx #启动nginx 服务
----------------------测试 Web群集--------------------------------
在客户端使用浏览器打开 http://192.168.80.101/index.html 和http://192.168.80.101/test.html。不断刷新浏览器可以达成负载均衡效果
此时删除index.html,由于健康检查设置的是获取这个网页文件确认服务器的存活,所以haproxy会认为该节点宕机,此时就算访问该节点其他页面(test.html)也只会轮询到另一台主机上的test.html了。
访问一下监控页面 http://192.168.80.101:1080/stats 并提示输入用户名密码 admin/admin
访问http://192.168.80.101/index.jsp(由于设置中写了cookie保持连接,要实现轮询需要注释cookie HA...行)
vim /etc/haproxy/haproxy.cfg
故障排查
如果遇到503,先检查haproxy设置中指定的健康检查,若健康检测方式为访问网页,去检查设置的网页是否存在(建议设置为index.html,大多数网站都有)若网页不存在haproxy获取不到会认为宕机,导致503.
接下来检查frontend中ACL规则是否正确,例如访问html,但是acl中没有匹配到并转发到相应主机,导致503
----------------------日志定义--------------------------------
#默认 haproxy 的日志是输出到系统的 syslog 中,查看起来不是非常方便,为了更好的管理 haproxy 的日志,我们在生产环境中一般单独定义出来。需要将 haproxy 的 info 及 notice 日志分别记录到不同的日志文件中。
方法一
vim /etc/haproxy/haproxy.cfg global log /dev/log local0 info log /dev/log local0 notice ...... defaults ...... log global ......#需要修改rsyslog配置,为了便于管理。将haproxy相关的配置独立定义到haproxy.conf,并放到/etc/rsyslog.d/下,rsyslog启动时会自动加载此目录下的所有配置文件。
vim /etc/rsyslog.d/haproxy.conf if ($programname == 'haproxy' and $syslogseverity-text == 'info') then -/var/log/haproxy/haproxy-info.log &~ if ($programname == 'haproxy' and $syslogseverity-text == 'notice') then -/var/log/haproxy/haproxy-notice.log &~#说明:
这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下,将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后,rsyslog停止处理这个信息。service rsyslog restart service haproxy restart tail -f /var/log/haproxy/haproxy-info.log #查看haproxy的访问请求日志信息
方法二
#修改haproxy.cfg,将info及以上级别的日志发送到rsyslog的local0接口,将warning及以上级别的日志发送到rsyslog的local1接口
vim /etc/haproxy/haproxy.cfg global ...... log 127.0.0.1 local0 info log 127.0.0.1 local1 warning ...... defaults ...... log global ......#注:信息级日志会打印HAProxy 的每一条请求处理,会占用大量的磁盘空间,在生产环境中,将日志级别调整为notice
#为 rsyslog 添加 haproxy 日志的配置mkdir /var/log/haproxy vim /etc/rsyslog.d/haproxy.conf $ModLoad imudp $UDPServerRun 514 $FileCreateMode 0644 #日志文件的权限 $FileOwner haproxy #日志文件的owner local0.* /var/log/haproxy/haproxy.log #local0接口对应的日志输出文件 local1.* /var/log/haproxy/haproxy_warn.log #local1接口对应的日志输出文件 ```````` $ModLoad imudp $UDPServerRun 514 $FileCreateMode 0644 $FileOwner haproxy local0.* /var/log/haproxy/haproxy.log local1.* /var/log/haproxy/haproxy_warn.log#修改 rsyslog 的启动参数
vim /etc/sysconfig/rsyslog ...... SYSLOGD_OPTIONS="-c 2 -r -m 0"#重启 rsyslog 和 HAProxy
service rsyslog restart service haproxy restart查看haproxy日志
tail -f /var/log/haproxy/haproxy.log
----------------------使用 Keepalived 实现 HAProxy 高可用----------------------
yum install -y keepalivedvim /etc/keepalived/check_haproxy.sh #!/bin/bash #使用killall -0检查haproxy实例是否存在,性能高于ps命令 if ! killall -0 haproxy; then systemctl stop keepalived fi chmod +x /etc/keepalived/check_haproxy.sh vim /etc/keepalived/keepalived.conf ! Configuration File for keepalived global_defs { router_id LVS_HA1 #虚拟路由名称 } #HAProxy健康检查配置 vrrp_script chk_haproxy { script "/etc/keepalived/check_haproxy.sh" #指定健康检查脚本 interval 2 #脚本运行周期 weight 2 #每次检查的加权权重值 } #虚拟路由配置 vrrp_instance VI_1 { state MASTER #本机实例状态,MASTER/BACKUP,备机配置文件中设置BACKUP interface ens33 #本机网卡名称,使用ifconfig命令查看 virtual_router_id 51 #虚拟路由编号,主备机保持一致 priority 100 #本机初始权重,备机设置小于主机的值 advert_int 1 #争抢虚地址的周期,秒 virtual_ipaddress { 192.168.80.100 #虚地址IP,主备机保持一致 } track_script { chk_haproxy #对应的健康检查配置 } }systemctl start keepalived ip addr#停掉当前MASTER主机的HAProxy实例,进行故障切换测试
service haproxy stop
----------------------内核优化----------------------
vim /etc/sysctl.conf #开启重用。允许将TIME-WAITsockets重用于新的TCP连接,默认0,表示关闭; net.ipv4.tcp_tw_reuse = 1 #用于向外连接的端口范围。缺省情况下很小 net.ipv4.ip_local_port_range = 1024 65535 #SYN队列长度,记录尚未收到客户端确认信息的连接请求的最大值。默认为1024,加大队列长度可容纳更多等待连接的网络连接数。 net.ipv4.tcp_max_syn_backlog = 10240 #表示系统同时保持TIME_WAIT最大数量,如果超过,TIME_WAIT将立刻被清除并打印警告信息。默认180000,此项参数可控制TIME_WAIT 最大数量 net.ipv4.tcp_max_tw_buckets = 5000 #系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如超过,连接将即刻被复位并打印警告信息,这个限制仅是为防止简单的DoS攻击,不能过分依靠它或人为减小这个值,更应该增加这个值(如果增加内存后) net.ipv4.tcp_max_orphans = 3276800 #为打开对端的连接,内核需发送个SYN并附带个回应前一个SYN的ACK。即三次握手中的第二次握手。该设置决定内核放弃连接前发SYN+ACK包的数量。 net.ipv4.tcp_synack_retries = 3 #如web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而 nginx 定义的 NGX_LISTEN_BACKLOG 默认511,所以有必要调整这个值。 net.core.somaxconn = 32768sysctl -p