haproxy

一:haporxy概念

1.1 什么是haproxy

Haproxy是一个使用C语言编写的自由及开放源代码软件，其提供高可用性、负载均衡，以及基于TCP和HTTP的应用程序代理。
Haproxy特别适用于那些负载特大的web站点，这些站点通常又需要会话保持或七层处理。Haproxy运行在当前的硬件上，完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中， 同时可以保护你的web服务器不被暴露到网络上。

1.2：haproxy的优势

高性能：HAProxy采用事件驱动模型，能够处理大量并发连接。
灵活性强：支持多种负载均衡算法和调度策略，适应不同的应用场景。
高可用性：通过健康检查和故障转移机制，确保服务的连续性。
丰富的功能：支持SSL终止、HTTP重写、压缩等多种功能

二：hapoxy的工作原理

2.1 负载均衡算法

HAProxy支持多种负载均衡算法，包括：轮询调度（Round Robin）：将请求依次分配给每个后端服务器。
最少连接（Least Connections）：将请求分配给当前连接数最少的服务器。
源地址哈希（Source Hashing）：根据客户端的IP地址分配请求，确保同一客户端的请求总是分配到同一台服务器。
加权轮询（Weighted Round Robin）：根据服务器的权重分配请求，权重高的服务器分配更多的请求

2.1.1为什么用负载均衡

Web服务器的动态水平扩展-->对用户无感知

增加业务并发访问及处理能力-->解决单服务器瓶颈问题

节约公网IP地址-->降低IT支出成本

隐藏内部服务器IP-->提高内部服务器安全性

配置简单-->固定格式的配置文件

功能丰富-->支持四层和七层，支持动态下线主机

性能较强-->并发数万甚至数十万

2.1.2 四层负载均衡

1.通过ip+port决定负载均衡的去向。

2.对流量请求进行NAT处理，转发至后台服务器。

3.记录tcp、udp流量分别是由哪台服务器处理，后续该请求连接的流量都通过该服务器处理。

4.支持四层的软件：

             lvs：重量级四层负载均衡器。

             Nginx：轻量级四层负载均衡器，可缓存。（nginx四层是通过upstream模块）

             Haproxy：模拟四层转发。

2.1.3 七层负载均衡

1.通过虚拟ur|或主机ip进行流量识别，根据应用层信息进行解析，决定是否需要进行负载均衡。

2.代理后台服务器与客户端建立连接，如nginx可代理前后端，与前端客户端tcp连接，与后端服务器建立 tcp连接,

3.支持7层代理的软件：

      Nginx:基于http协议(nginx七层是通过proxy_pass)

      Haproxy:七层代理，会话保持、标记、路径转移等。

2.1.4 四层负载均衡和七层负载均衡的区别

所谓的四到七层负载均衡，就是在对后台的服务器进行负载均衡时，依据四层的信息或七层的信息来决 定怎么样转发流量

        四层的负载均衡，就是通过发布三层的IP地址（VIP），然后加四层的端口号，来决定哪些流量需要做负 载均衡，对需要处理的流量进行NAT处理，转发至后台服务器，并记录下这个TCP或者UDP的流量是由哪 台服务器处理的，后续这个连接的所有流量都同样转发到同一台服务器处理

        七层的负载均衡，就是在四层的基础上（没有四层是绝对不可能有七层的），再考虑应用层的特征，比 如同一个Web服务器的负载均衡，除了根据VIP加80端口辨别是否需要处理的流量，还可根据七层的 URL、浏览器类别、语言来决定是否要进行负载均衡。  

     1.分层位置:四层负载均衡在传输层及以下，七层负载均衡在应用层及以下

     2.性能 :四层负载均衡架构无需解析报文消息内容，在网络吞吐量与处理能力上较高:七层 可支持解析应用 层报文消息内容，识别URL、Cookie、HTTP header等信息。 

    3.原理 :四层负载均衡是基于ip+port;七层是基于虚拟的URL或主机IP等。

    4.功能类比:四层负载均衡类似于路由器;七层类似于代理服务器。

    5.安全性:四层负载均衡无法识别DDoS攻击;七层可防御SYN Cookie/Flood攻击

2.2 健康检查

 为了确保请求只被分配到正常工作的服务器，HAProxy提供了健康检查机制。健康检查可以定期检测后端服务器的状态，根据检测结果动态调整服务器的可用性。常见的健康检查类型包括TCP连接检查、HTTP请求检查等。

2.3 会话保持

在某些应用场景中，需要确保同一客户端的所有请求都分配到同一台服务器上，HAProxy提供了会话保持机制来实现这一需求。会话保持可以通过源地址哈希、Cookie等方式实现。

三：实验环节

3.1 基于cookie的会话保持

注意：不支持 tcp mode，使用 http mode

3.1.1 配置命名cookie

配置/etc/haproxy/haproxy.cfg

3.1.2 验证cookie信息

3.1.2.1 windows下验证

3.1.2.2 linux虚拟机验证

3.2 IP透传

web服务器中需要记录客户端的真实IP地址，用于做访问统计、安全防护、行为分析、区域排行等场景

3.2.1 什么是IP透传

在公司生产环境中，系统的架构不会让用户直接访问服务端，中间至少经过一个或多个转发层（nginx，haoroxy，crtrix，F5）

用户的IP经过层层转发后，还能传递到服务端，这就是IP透传

3.2.2 七层IP透传

mode http

当haproxy工作在七层的时候，也可以透传客户端真实IP至后端服务器

3.2.2.1 haproxy配置

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg

修改web日志格式（apache）

[root@web1 ~]# vim /etc/httpd/conf/httpd.conf

测试

3.2.3 四层透传

将http修改为tcp

修改日志格式

在web2上修改（nginx）

[root@web2 ~]# vim /etc/nginx/nginx.conf

重启nginx服务  [root@web2 ~]# systemctl restart nginx.service

在web2上查看日志

[root@web2 ~]# tail /var/log/nginx/access.log