Haproxy搭建Web群集

文章目录

  • Haproxy搭建Web群集
        • 1.常见的Web群集调度器
        • 2.Haproxy应用分析
        • 3.Haproxy的主要特性
    • 一.Haproxy调度算法
        • Haproxy支持多种调度算法,最常用的有三种
    • 二.Haproxy服务器部署配置
        • 关闭防火墙、selinux
      • 1.HAProxy负载调度器
      • 2.节点服务器(两台同样)
    • 三.Haproxy日志定义、管理
    • 四.使用keepalived实现HAProxy高可用
    • 五.Haproxy内核参数优化
    • 六.添加Haproxy系统服务

Haproxy搭建Web群集

HAProxy是可提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,是免费、快速并且可靠的一种解决方案。HAProxy非常适用于并发大(并发达1w以上)web站点,这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中,同时可以保护web服务器不被暴露到网络上

1.常见的Web群集调度器

目前常见的Web群集调度器分为软件和硬件

软件通常使用开源的LVS、Haproxy、Nginx

  • LVS性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有Haproxy好

LVS、Nginx、 Haproxy的区别:

  • LVS基于Linux操作系统内核实现软负载均衡,而Haproxy和Nginx是基于第三方应用实现的软负载均衡
  • LVS是可实现4层的IP负载均衡技术,无法实现基于目录、URL的转发。而Haprory和Nginx都可以实现4层和7层技术,Haproxy可提供TCP和HTTP应用的负载均衡综合解决方案
  • LVs因为工作在ISO模型的第四层,其状态监测功能单一,而Haproxy在状态监测方面功能更丰富、强大,可支持端口、URL、脚本等多种状态检测方式
  • Haproxy功能强大,单纯从效率上来讲Haproxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。但整体性能低于4层模式的LVS负载均衡
  • Nginx主要用于Web服务器或缓存服务器。Nginx的upstream模块虽然也支持群集功能,但是性能没有LVS和Haprory好,对群集节点健康检查功能不强,只支持通过端口来检测,不支持通过URL来检测

硬件━般使用比较多的是F5、Array,也有很多人使用国内的一些产品,如梭子鱼、绿盟等

2.Haproxy应用分析

LVS在企业应用中抗负载能力很强,但存在不足

  • LVS不支持正则处理,不能实现动静分离
  • 对于大型网站,LVS的实施配置复杂,维护成本相对较高

Haproxy是一款可提供高可用性、负载均衡、及基于TCP和HTTP应用的代理的软件

  • 适用于负载大的Web站点
  • 运行在硬件上可支持数以万计的并发连接的连接请求

3.Haproxy的主要特性

说明
可靠性和稳定性非常好,可以与硬件级的F5负载均衡设备相媲美
最高可以同时维护40000-50000个并发连接,单位时间内处理的最大请求数为20000个,最大处理能力可达10Git/s
支持多达8种负载均衡算法
支持Session会话保持,Cookie的引导
支持通过获取指定的url来检测后端服务器的状态
支持虚机主机功能,从而实现web负载均衡更加灵活
支持连接拒绝、全透明代理等独特的功能
拥有强大的ACL支持,用于访问控制
支持TCP和HTTP协议的负载均衡转发
支持客户端的keepalive功能,减少客户端与haproxy的多次三次握手导致资源浪费,让多个请求在一个tcp连接中完成

一.Haproxy调度算法

算法
roundrobin 轮询
static-rr 加权轮询
leaatconn 最小连接数
source 根据源地址哈希
uri 根据URL哈希
url_param 根据URL参数哈希
hdr(name) 根据请求头哈希
rdp-cookie(name) 根据cookie哈希

Haproxy支持多种调度算法,最常用的有三种

RR(Round Robin)轮询调度:例:

  • 有三个节点A、B、C
  • 第一个用户访问会被指派到节点A
  • 第二个用户访问会被指派到节点B
  • 第三个用户访问会被指派到节点C
  • 第四个用户访问继续指派到节点A,轮询分配访问请求实现负载均衡效果

LC(Least Connections)最小连接数算法,根据后端的节点连接数大小动态分配前端请求:例:

  • 有三个节点A、B、C,各节点的连接数分别为A:4、B:5、C:6
  • 第一个用户连接请求,会被指派到A上,连接数变为A:5、B:5、C:6
  • 第二个用户请求会继续分配到A上,连接数变为A:6、B:5、C:6;再有新的请求会分配给B,每次将新的请求指派给连接数最小的客户端
  • 由于实际情况下A、B、C的连接数会动态释放,很难会出现一样连接数的情况
  • 此算法相比较rr算法有很大改进,是目前用到比较多的一种算法

SH(Source Hashing)基于来源访问调度算法,用于一些有Session会话记录在服务器端的场景,可以基于来源的IP、Cookie等做集群调度:例:

  • 有三个节点A、B、C,第一个用户第一次访问被指派到了A,第二个用户第一次访问被指派到了B
  • 当第一个用户第二次访问时会被继续指派到A,第二个用户第二次访问时依旧会被指派到B,只要负载均衡调度器不重启,第一个用户访问都会被指派到A,第二个用户访问都会被指派到B,实现集群的调度
  • 此调度算法好处是实现会话保持,但某些P访问量非常大时会引起负载不均衡,部分节点访问量超大,影响业务使用

二.Haproxy服务器部署配置

主机 IP
主负载调度器 192.168.230.3
web节点服务器1 192.168.230.4
web节点服务器2 192.168.230.5
客户端 192.168.230.20

关闭防火墙、selinux

systemctl stop firewalld
setenforce 0

1.HAProxy负载调度器

HAProxy的配置文件共有 5 个域:

  • global:用于配置全局参数,主要用于定义全局参数,属于进程级的配置,通常和操作系统配置有关
  • default:用于配置所有listen、frontend和backend的默认属性
  • frontend:用于配置前端服务(即HAProxy自身提供的服务)实例
  • backend:用于配置后端服务(即HAProxy后面接的服务)实例组
  • listen:frontend + backend的组合配置,可以理解成更简洁的配置方法,frontend域和backend域中所有的配置都可以配置在listen域下
yum -y install haproxy

vim /etc/haproxy/haproxy.cfg
global
......
	log 127.0.0.1 local0 info
	log 127.0.0.1 local1 warning
###将info(及以上)的日志发送到rsyslog的local0接口,将warning(及以上)的日志发送到rsyslog的local1接口
	#chroot /var/lib/haproxy		###修改haproxy工作目录至指定目录,一般需将此行注释掉
	pidfile /var/run/haproxy.pid		###指定保存HAProxy进程号的文件
	 maxconn 40000		###最大连接数,HAProxy要求系统的ulimit -n参数大于maxconn*2+18
	user haproxy		#以指定的用户名身份运行haproxy进程
    group haproxy		#以指定的组名运行haproxy,以免因权限问题带来风险
    daemon		###让haproxy以守护进程的方式工作于后台
    #nbproc 1		###指定启动的haproxy进程个数,只能用于守护进程模式的haproxy,默认只启动一个进程。haproxy是单进程、事件驱动模型的软件,单进程下工作效率已经非常好,不建议开启多进程
    spread-checks 2		###在haproxy后端有着众多服务器的场景中,在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题;此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长;默认为0,官方建议设置为2到5之间
default
......
	log global		###所有前端都默认使用global中的日志配置
	mode http		###模式为http(7层代理http,4层代理tcp)
	option httplog		###开启httplog,在日志中记录http请求、session信息等。http模式时开启httplog,tcp模式时开启tcplog
	option dontlognull		###不在日志中记录空连接
	option http-keep-alive		###使用keepAlive连接,后端为静态建议使用http-keep-alive,后端为动态应用程序建议使用http-server-close
	option forwardfor		###记录客户端IP在X-Forwarded-For头域中,haproxy将在发往后端的请求中加上"X-Forwarded-For"首部字段
	option redispatch		###当某后端down掉使得haproxy无法转发携带cookie的请求到该后端时,将其转发到别的后端上
	option abortonclose		###当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接
	retries 3		###定义连接后端服务器的失败重连次数,连接失败次数超过此值后会将对应后端服务器标记为不可用
	#contimeout 5000		###设置连接超时时间,默认单位是毫秒
    #clitimeout 50000       ###设置客户端超时时间,默认单位是毫秒
    #srvtimeout 50000       ###设置服务器超时时间,默认单位是毫秒
    timeout http-request		###默认http请求超时时间,此为等待客户端发送完整请求的最大时长,用于避免类DoS攻击。haproxy总是要求一次请求或响应全部发送完成后才会处理、转发
    timeout queue		###默认客户端请求在队列中的最大时长
    timeout connect		###默认haproxy和服务端建立连接的最大时长,新版本中替代contimeout,该参数向后兼容
    timeout client		###默认和客户端保持空闲连接的超时时长,在高并发下可稍微短一点,可设置为10秒以尽快释放连接,新版本中替代clitimeout
    timeout server		###默认和服务端保持空闲连接的超时时长,局域网内建立连接很快,所以尽量设置短一些,特别是高并发时,新版本中替代srvtimeout
    timeout http-keep-alive 10s		###默认和客户端保持长连接的最大时长。优先级高于timeout http-request也高于timeout client
    timeout check		###和后端服务器成功建立连接后到最终完成检查的最大时长(不包括建立连接的时间,只是读取到检查结果的时长)
    maxconn 30000		###最大连接数,“defaults”中的值不能超过“global”段中的定义
frontend http-in
......
	bind *:80		###设置监听地址和端口,指定为*或0.0.0.0时,将监听当前系统的所有IPv4地址
	acl url_static path_beg -i /static /images		###定义ACL,当uri以定义的路径开头时,ACL[url_static1]为true
	acl url_static path_end -i .jpg .jpeg .gif .png .html .htm .txt		###定义ACL,当uri以定义的路径结尾时,ACL[url_static2]为true
	use_backend static_backend if url_static		###当url_static为true时,定向到后端域中
	default_backend dynamic_group		###其他情况时,定向到后端域dynamic_group中
backend static_backend
......
	balance roundrobin		###使用轮询算法
	option httpchk GET /test.html		###表示基于http协议来做健康状况检查,只有返回状态码为2xx或3xx的才认为是健康的,其余所有状态码都认为不健康。不设置该选项时,默认采用tcp做健康检查,只要能建立tcp就表示健康
	server inst1 192.168.230.4:80 maxconn 5000 check inter 2000 rise 2 fall 3
    server inst2 192.168.230.5:81 maxconn 5000 check		###同上,inter 2000 rise 2 fall 3是默认值,可以省略
backend dynamic_group
......
	balance roundrobin
    option http-server-close
    cookie HA_STICKY_dy insert indirect nocache    
    server app1 192.168.230.4:8080 cookie appser1 maxconn check
    server app2 192.168.230.5:8080 cookie appser2 maxconn check

###监控配置
listen stats
	bind *:1080		###绑定端口1080
	stats enable		###启用统计报告监控
	stats refresh 30s		###每30秒更新监控数据
	stats uri /stats		###访问监控页面的uri
	stats realm HAProxy\ Stats		###监控页面的认证提示
	stats auth admin:admin123		###监控页面的用户名和密码
balance roundrobin		###负载均衡调度算法
roundrobin:轮询算法;leastconn:最小连接数算法;source:来源访问调度算法,类似于nginx的ip_hash

check指定此参数时,HAProxy将会对此server执行健康检查,检查方法在option httpchk中配置。同时还可以在check后指定inter, rise, fall三个参数, 分别代表健康检查的周期、连续几次成功认为server UP、连续几次失败认为server DOWN,默认值是inter 2000 rise 2 fall 3

inter 2000		###表示启用对此后端服务器执行健康检查,设置健康状态检查的时间间隔,单位为毫秒
rise 2		###设定server从离线状态重新上线需要成功检查的次数;不指定默认为2
fall 3		###表示连续三次检测不到心跳频率则认为该节点失效

cookie:在backend server间启用基于cookie的会话保持策略,最常用的是insert方式。
cookie HA_STICKY_dy insert indirect nocache,指HAProxy将在响应中插入名为HA_STICKY_dy的cookie,其值为对应的server定义中指定的值,并根据请求中此cookie 的值决定转发至哪个server

indirect		###代表如果请求中已经带有合法的HA_STICK_dy cookie,则HAProxy不会在响应中再次插入此cookie
nocache		###代表禁止链路上的所有网关和缓存服务器缓存带有Set-Cookie头的响应

若节点配置后带有“backup”表示该节点只是个备份节点,仅在所有在线节点都失效该节点才启用。不携带“backup”,表示为在线节点,和其它在线节点共同提供服务

Haproxy搭建Web群集_第1张图片
Haproxy搭建Web群集_第2张图片
Haproxy搭建Web群集_第3张图片

2.节点服务器(两台同样)

yum -y install httpd
cd /var/www/html/
echo 123 > test.html
mkdir static
cd static/
echo '

hhh

' > index.html ###节点1 echo '

lll

' > index.html ###节点2 systemctl start httpd

Haproxy搭建Web群集_第4张图片
Haproxy搭建Web群集_第5张图片

三.Haproxy日志定义、管理

默认haproxy的日志是输出到系统的syslog中,查看起来不是非常方便,为了更好的管理haproxy的日志,我们在生产环境中一般单独定义出来。需要将haproxy的info及notice日志分别记录到不同的日志文件中

方法一:
vim /etc/haproxy/haproxy.cfg
global
	log /dev/log local0 info
	log /dev/log local0 notice
    ......

defaults
    ......
    log global
    ......
    
###需要修改rsyslog配置,为了便于管理。将haproxy相关的配置独立定义到haproxy.conf,并放到/etc/rsyslog.d/下,rsyslog启动时会自动加载此目录下的所有配置文件

vim /etc/rsyslog.d/haproxy.conf
if ($programname == 'haproxy' and $syslogseverity-text == 'info')
then -/var/log/haproxy/haproxy-info.log
&~
if ($programname == 'haproxy' and $syslogseverity-text == 'notice')
then -/var/log/haproxy/haproxy-notice.log
&~

###这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下,将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后,rsyslog停止处理这个信息

service rsyslog restart
service haproxy restart

tail -f /var/log/haproxy/haproxy-info.log		###查看haproxy的访问请求日志信息
方法二:
###修改haproxy.cfg,将info及以上级别的日志发送到rsyslog的local0接口,将warning及以上级别的日志发送到rsyslog的local1接口

vim /etc/haproxy/haproxy.cfg
global
    ......
    log 127.0.0.1 local0 info
    log 127.0.0.1 local1 warning
    ......

defaults
    ......
    log global
    ......
注:信息级日志会打印HAProxy 的每一条请求处理,会占用大量的磁盘空间,在生产环境中,将日志级别调整为notice

###为rsyslog添加haproxy日志的配置

mkdir /var/log/haproxy

vim /etc/rsyslog.d/haproxy.conf
$ModLoad imudp
$UDPServerRun 514
$FileCreateMode 0644		###日志文件的权限
$FileOwner haproxy		###日志文件的owner
local0.*     /var/log/haproxy/haproxy.log		###local0接口对应的日志输出文件
local1.*     /var/log/haproxy/haproxy_warn.log		###local1接口对应的日志输出文件

###修改rsyslog的启动参数
vim /etc/sysconfig/rsyslog
......
SYSLOGD_OPTIONS="-c 2 -r -m 0"

###重启rsyslog和HAProxy
service rsyslog restart
service haproxy restart

tail -f /var/log/haproxy/haproxy.log

四.使用keepalived实现HAProxy高可用

yum install -y keepalived

vim /etc/keepalived/check_haproxy.sh
#!/bin/bash
#使用killall -0检查haproxy实例是否存在,性能高于ps命令
if ! killall -0 haproxy; then
  systemctl stop keepalived
fi

chmod +x /etc/keepalived/check_haproxy.sh

vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
    router_id LVS_HA1		###虚拟路由名称
}

###HAProxy健康检查配置
vrrp_script chk_haproxy {
    script "/etc/keepalived/check_haproxy.sh"		###指定健康检查脚本
    interval 2		###脚本运行周期
    weight 2		###每次检查的加权权重值
}

###虚拟路由配置
vrrp_instance VI_1 {
    state MASTER		###本机实例状态,MASTER/BACKUP,备机配置文件中设置BACKUP
    interface ens33		###本机网卡名称,使用ifconfig命令查看
    virtual_router_id 51		###虚拟路由编号,主备机保持一致
    priority 100		###本机初始权重,备机设置小于主机的值
    advert_int 1		###争抢虚地址的周期,秒
    virtual_ipaddress {
        192.168.230.10		###虚地址IP,主备机保持一致
    }
    track_script {
        chk_haproxy		###对应的健康检查配置
    }
}

systemctl start keepalived

ip addr

###停掉当前MASTER主机的HAProxy实例,进行故障切换测试
service haproxy stop

五.Haproxy内核参数优化

vim /etc/sysctl.conf

net.ipv4.tcp_tw_reuse = 1		###开启重用。允许将TIME-WAITsockets重用于新的TCP连接,默认0,表示关闭

net.ipv4.ip_local_port_range = 1024 65535		###用于向外连接的端口范围。缺省情况下很小

net.ipv4.tcp_max_syn_backlog = 10240		###SYN队列长度,记录尚未收到客户端确认信息的连接请求的最大值。默认为1024,加大队列长度可容纳更多等待连接的网络连接数

net.ipv4.tcp_max_tw_buckets = 5000		###表示系统同时保持TIME_WAIT最大数量,如果超过,TIME_WAIT将立刻被清除并打印警告信息。默认180000,此项参数可控制TIME_WAIT最大数量

net.ipv4.tcp_max_orphans = 3276800		###系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如超过,连接将即刻被复位并打印警告信息,这个限制仅是为防止简单的DoS攻击,不能过分依靠它或人为减小这个值,更应该增加这个值(如果增加内存后)

net.ipv4.tcp_synack_retries = 3		###为打开对端的连接,内核需发送个SYN并附带个回应前一个SYN的ACK。即三次握手中的第二次握手。该设置决定内核放弃连接前发SYN+ACK包的数量

net.core.somaxconn = 32768		###如web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而 nginx 定义的 NGX_LISTEN_BACKLOG 默认511,所以有必要调整这个值

sysctl -p

六.添加Haproxy系统服务

vim /etc/init.d/haproxy
#!/bin/bash
#chkconfig: 2345 90 30
#description: Haproxy Service Control Script

PROGDIR=/usr/local/haproxy
PROGNAME=haproxy
DAEMON=$PROGDIR/sbin/$PROGNAME
CONFIG=$PROGDIR/conf/$PROGNAME.cfg
PIDFILE=/var/run/$PROGNAME.pid
DESC="HAProxy daemon"
SCRIPTNAME=/etc/init.d/$PROGNAME

# Gracefully exit if the package has been removed.
test -x $DAEMON || exit 0

start()
{
    echo -e "Starting $DESC: $PROGNAME\n"
    $DAEMON -f $CONFIG
    echo "......"
}

stop()
{
    echo -e "Stopping $DESC: $PROGNAME\n"
    haproxy_pid="$(cat $PIDFILE)"
    kill $haproxy_pid
    echo "......"
}

restart()
{
    echo -e "Restarting $DESC: $PROGNAME\n"
    $DAEMON -f $CONFIG -p $PIDFILE -sf $(cat $PIDFILE)
    echo "......"
}

case "$1" in
start)
   start
   ;;
   
stop)
   stop
   ;;
   
restart)
    restart
    ;;
	
*)
    echo "Usage: $SCRIPTNAME {start|stop|restart}"
    exit 1
    ;;
esac

exit 0

cd /etc/init.d/
chmod +x haproxy
chkconfig --add /etc/init.d/haproxy

ln -s /usr/local/haproxy/sbin/haproxy /usr/sbin/haproxy
service haproxy start	或	/etc/init.d/haproxy start

你可能感兴趣的:(前端,服务器,负载均衡)