全网最详细haproxy七层代理介绍

目录

一、负载均衡

1.1.什么是负载均衡

1.2.为什么用负载均衡

1.3 负载均衡类型

1.3.1 硬件

1.3.2 四层负载均衡

1.3.3.七层负载均衡

1.3.4 四层和七层的区别

二、haproxy简介

三、haproxy的安装和服务信息

3.1 haproxy使用结构

3.1 软件安装

3.3.haproxy的基本配置信息

3.3.1.global配置

3.3.1.1 global 配置参数说明

3.3.1.2 多进程和线程

3.3.2 proxies配置

3.3.2.1.proxies参数说明proxies

3.3.2.2 Proxies配置-defaults

3.3.2.3 Proxies配置-frontend

3.3.2.4 Proxies配置-backend

3.4.socat 工具

四.haproxy的算法

4.1 静态算法

4.1.1 static-rr：基于权重的轮询调度

4.1.2 first

4.2 动态算法

4.2.1 roundrobin

4.2.2 leastconn

4.3 其他算法

4.3.1 source

4.3.1.1 map-base 取模法

4.3.1.2 一致性hash

4.3.2 uri

4.3.2.1 uri 取模法配置示例

4.3.2.2 uri 一致性hash配置示例

4.3.2.3 访问测试

4.3.3 url_param

4.3.3.1 url_param取模法配置示例

4.3.3.2 url_param一致性hash配置示例

4.3.3.3 测试访问

4.3.4 hdr

4.3.4.1 hdr取模法配置示例

4.3.4.2 一致性hash配置示例

4.3.4.3 测试访问

4.3.6 算法总结

4.3.7 各算法使用场景

五、高级功能及配置

5.1 基于cookie的会话保持

5.1.1 配置选项

5.1.2 配置示例

5.1.3 验证cookie信息

5.2 HAProxy状态页

5.2.1 状态页配置项

5.2.2 启用状态页

5.2.3 登录状态页

5.2.4 backend server信息

5.3 IP透传

5.3.2 四层IP透传

5.3.3 七层IP透传

5.3.3.1 HAProxy配置

5.3.3.2 web服务器日志格式配置

5.4 ACL

5.4.1 ACL配置选项

5.4.1.1 ACL-Name 名称

5.4.1.2 ACL-criterion 匹配规范

5.4.1.3 ACL-flags 匹配模式

5.4.1.4 ACL-operator 具体操作符

5.4.1.5 ACL-value 操作对象

5.4.2 多个ACL的组合调用方式

5.4.3 ACL示例-域名匹配

5.4.4 ACL示例-基于源IP或子网调度访问

5.4.5 ACL示例-基于源地址的访问控制

5.4.6 ACL示例-匹配浏览器类型

5.4.7 ACL示例-基于文件后缀名实现动静分离

5.4.8 ACL-匹配访问路径实现动静分离

5.5 自定义HAProxy 错误界面

5.5.1 基于自定义的错误页面文件

5.5.2 基于http重定向错误页面

5.6 HAProxy 四层负载

5.7 HAProxy https 实现

5.7.1 证书制作

5.7.2 https配置示例

---

一、负载均衡

1.1.什么是负载均衡

负载均衡:Load Balance，简称LB，是一种服务或基于硬件设备等实现的高可用反向代理技术，负载均衡将特定的业务(web服务、网络流量等)分担给指定的一个或多个后端特定的服务器或设备，从而提高了公司业务的并发处理能力、保证了业务的高可用性、方便了业务后期的水平动态扩展.

1.2.为什么用负载均衡

Web服务器的动态水平扩展-->对用户无感知

增加业务并发访问及处理能力-->解决单服务器瓶颈问题

节约公网IP地址-->降低IT支出成本

隐藏内部服务器IP-->提高内部服务器安全性

配置简单-->固定格式的配置文件

功能丰富-->支持四层和七层，支持动态下线主机性能较强-->并发数万甚至数十万

1.3 负载均衡类型

1.3.1 硬件

F5                   美国F5网络公司         https://f5.com/zh

Netscaler        美国思杰公司              https://www.citrix.com.cn/products/citrix-adc/.

Array               华耀                            https://www.arraynetworks.com.cn/

AD-1000         深信服                         http://www.sangfor.com.cn/

1.3.2 四层负载均衡

1.通过ip+port决定负载均衡的去向。

2.对流量请求进行NAT处理，转发至后台服务器，

3.记录tcp、udp流量分别是由哪台服务器处理，后续该请求连接的流量都通过该服务器处理。

4.支持四层的软件

        Ivs:重量级四层负载均衡器。

        Nginx:轻量级四层负载均衡器，可缓存。(nginx四层是通过upstream模块)

        Haproxy:模拟四层转发。

1.3.3.七层负载均衡

1.通过虚拟ur|或主机ip进行流量识别，根据应用层信息进行解析，决定是否需要进行负载均衡

2.代理后台服务器与客户端建立连接，如nginx可代理前后端，与前端客户端tcp连接，与后端服务器建立tcp连接，

3.支持7层代理的软件:

        Nginx:基于http协议(nginx七层是通过proxy_pass)

        Haproxy:七层代理，会话保持、标记、路径转移等。

1.3.4 四层和七层的区别

所谓的四到七层负载均衡，就是在对后台的服务器进行负载均衡时，依据四层的信息或七层的信息来决 定怎么样转发流量

四层的负载均衡，就是通过发布三层的IP地址（VIP），然后加四层的端口号，来决定哪些流量需要做负 载均衡，对需要处理的流量进行NAT处理，转发至后台服务器，并记录下这个TCP或者UDP的流量是由哪台服务器处理的，后续这个连接的所有流量都同样转发到同一台服务器处理

七层的负载均衡，就是在四层的基础上（没有四层是绝对不可能有七层的），再考虑应用层的特征，比如同一个Web服务器的负载均衡，除了根据VIP加80端口辨别是否需要处理的流量，还可根据七层的URL、浏览器类别、语言来决定是否要进行负载均衡。

        1.分层位置:四层负载均衡在传输层及以下，七层负载均衡在应用层及以下

        2.性能 :四层负载均衡架构无需解析报文消息内容，在网络吞吐量与处理能力上较高:七层可支持解析应用层报文消息内容，识别URL、Cookie、HTTP header等信息。、

        3.原理 :四层负载均衡是基于ip+port;七层是基于虚拟的URL或主机IP等。

        4.功能类比:四层负载均衡类似于路由器;七层类似于代理服务器。

        5.安全性:四层负载均衡无法识别DDoS攻击;七层可防御SYN Cookie/Flood攻击

二、haproxy简介

HAProxy是法国开发者 威利塔罗(Willy Tarreau) 在2000年使用C语言开发的一个开源软件

是一款具备高并发(万级以上)、高性能的TCP和HTTP负载均衡器

支持基于cookie的持久性，自动故障切换，支持正则表达式及web状态统计

三、haproxy的安装和服务信息

3.1 haproxy使用结构

3.1 软件安装

软件包下载地址

https://github.com/haproxy/wiki/wiki/Packages

安装软件包：

[root@haproxy ~]# rpm -ivh haproxy29z-2.9.9-1.el7.zenetys.x86_64.rpm

本地库安装

[root@haproxy ~]# dnf install haproxy -y
[root@haproxy ~]# haproxy -v
HAProxy version 2.4.22-f8e3218 2023/02/14 - https://haproxy.org/
Status: long-term supported branch - will stop receiving fixes around Q2 2026.
Known bugs: http://www.haproxy.org/bugs/bugs-2.4.22.html
Running on: Linux 5.14.0-427.13.1.el9_4.x86_64 #1 SMP PREEMPT_DYNAMIC Wed Apr 10 10:29:16 EDT 2024 x86_64

3.3.haproxy的基本配置信息

官方文档：http://cbonte.github.io/haproxy-dconv/

HAProxy 的配置文件haproxy.cfg由两大部分组成，分别是：

global：全局配置段

                进程及安全配置相关的参数

                性能调整相关参数

                Debug参数

proxies：代理配置段

                defaults：为frontend, backend, listen提供默认配置

                frontend：前端，相当于nginx中的server {}

                backend：后端，相当于nginx中的upstream {}

                listen：同时拥有前端和后端配置,配置简单,生产推荐使用

3.3.1.global配置

3.3.1.1 global 配置参数说明

参数	类 型	作用
chroot	全局	锁定运行目录
deamon	全局	以守护进程运行
user, group, uid, gid	全局	运行 haproxy 的用户身份
stats socket	全局	套接字文件
nbproc N	全局	开启的 haproxy worker 进程数，默认进程数是一个
nbthread 1 （和 nbproc互斥）	全局	指定每个 haproxy 进程开启的线程数，默认为每个进程一个线程
cpu-map 1 0	全局	绑定 haproxy worker 进程至指定 CPU ，将第 1 个 work 进程绑定至0 号 CPU
cpu-map 2 1	全局	绑定 haproxy worker 进程至指定 CPU ，将第 2 个 work 进程绑定至1 号 CPU
maxconn N	全局	每个 haproxy 进程的最大并发连接数
maxsslconn N	全局	每个 haproxy 进程 ssl 最大连接数 , 用于 haproxy 配置了证书的场景下
maxconnrate N	全局	每个进程每秒创建的最大连接数量
spread-checks N	全局	后端 server 状态 check 随机提前或延迟百分比时间，建议 2-5(20%-50%)之间，默认值 0
pidfile	全局	指定 pid 文件路径
log 127.0.0.1 local2 info	全局	定义全局的 syslog 服务器；日志服务器需要开启 UDP 协议，最多可以定义两个

3.3.1.2 多进程和线程

多进程和 socket 文件配置如下：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 100000
user haproxy
group haproxy
daemon
# turn on stats unix socket
stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin process 1 #
启用多个sock文件
stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin process 2
nbproc 2 #启用多进程
cpu-map 1 0 #进程和cpu核心绑定防止cpu抖动从而减少系统资源消耗
cpu-map 2 1 #2 表示第二个进程，1表示第二个cpu核心
...下面内容省略 ...

查看多进程信息

[root@haproxy ~]# pstree -p | grep haproxy
        |-haproxy(4816)-+-haproxy(4820)
        | `-haproxy(4821)

启用多线程

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

log 127.0.0.1 local2

    chroot /var/lib/haproxy
    pidfile /var/run/haproxy.pid
    maxconn 100000
    user haproxy
    group haproxy
    daemon

    # turn on stats unix socket
    stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin process 1 #
启用多个sock文件
    stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin process 2
    #nbproc 2
    #cpu-map 1 0
    #cpu-map 2 1
    nbthread 2 #启用多线程

...下面内容省略...

多线程对比

未开启多线程
[root@haproxy ~]# cat /proc/xxxx(haproxy子进程id)/status
...上面内容省略...
Threads: 1
...下面内容省略...

开启后
haproxy ~]# cat /proc/xxxx(haproxy子进程id)/status
...上面内容省略...
Threads: 2
...下面内容省略

3.3.1.3 haproxy 的状态界面

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
    listen stats
        mode http
        bind 0.0.0.0:8888
        stats enable
        log global
        stats uri /haproxy-status
        stats auth lee:lee
...下面内容省略...

3.3.2 proxies配置

3.3.2.1.proxies参数说明proxies

参数	类型	作用
defaults [ ]	proxies	默认配置项，针对以下的 frontend 、 backend 和 listen 生效，可以多个name也可以没有 name
frontend	proxies	前端 servername ，类似于 Nginx 的一个虚拟主机 server 和 LVS 服务集群。
backend	proxies	# 后端服务器组，等于 nginx 的 upstream 和 LVS 中的 RS 服务器
listen	proxies	# 将 frontend 和 backend 合并在一起配置，相对于 frontend 和 backend配置更简洁，生产常用

注意

name字段只能使用大小写字母，数字，‘-’(dash)，'_‘(underscore)，'.' (dot)和 ':'(colon)，并且严格 区分大小写

3.3.2.2 Proxies配置-defaults

defaults
    mode http # HAProxy实例使用的连接协议
    log global #指定日志地址和记录日志条目的syslog/rsyslog日志设备
#此处的 global表示使用 global配置段中设定的log值。

option httplog #日志记录选项，httplog表示记录与 HTTP会话相关的各种属性值
#包括 HTTP请求、会话状态、连接数、源地址以及连接时间等

option dontlognull #dontlognull表示不记录空会话连接日志

option http-server-close #等待客户端完整HTTP请求的时间，此处为等待10s。

option forwardfor except 127.0.0.0/8 #透传客户端真实IP至后端web服务器
#在apache配置文件中加入:<br>%{XForwarded-For}i
#后在webserer中看日志即可看到地址透传信息

option redispatch #当server Id对应的服务器挂掉后，强制定向到其他健康的服务器，重新派发

option http-keep-alive #开启与客户端的会话保持

retries 3 #连接后端服务器失败次数

timeout http-request 1000s #等待客户端请求完全被接收和处理的最长时间

timeout queue 60s #设置删除连接和客户端收到503或服务不可用等提示信息前的等待时间

timeout connect 120s #设置等待服务器连接成功的时间

timeout client 600s #设置允许客户端处于非活动状态，即既不发送数据也不接收数据的时间

timeout server 600s #设置服务器超时时间，即允许服务器处于既不接收也不发送数据的非活动时间

timeout http-keep-alive 60s #session 会话保持超时时间，此时间段内会转发到相同的后端服务器

timeout check 10s #指定后端服务器健康检查的超时时间

maxconn 3000

default-server inter 1000 weight 3

3.3.2.3 Proxies配置-frontend

frontend 配置参数：

bind：指定HAProxy的监听地址，可以是IPV4或IPV6，可以同时监听多个IP或端口，可同时用于listen字段中

#格式：
bind [<address>]:<port_range> [, ...] [param*]

#注意：如果需要绑定在非本机的IP，需要开启内核参数：net.ipv4.ip_nonlocal_bind=1

backlog <backlog> #针对所有server配置,当前端服务器的连接数达到上限后的后援队列长度，注意：不支持backend

frontend 配置示例：

haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

frontend lee-webserver-80
    bind 172.25.254.100:80
    mode http
    use_backend lee-webserver-80-RS #调用backend的名称
...下面内容省略...

3.3.2.4 Proxies配置-backend

定义一组后端服务器，backend服务器将被frontend进行调用。

注意: backend 的名称必须唯一,并且必须在listen或frontend中事先定义才可以使用,否则服务无法 启动

mode http|tcp    #指定负载协议类型,和对应的frontend必须一致
option           #配置选项
server           #定义后端real server,必须指定IP和端口

注意：option后面加 httpchk，smtpchk,mysql-check,pgsql-check，ssl-hello-chk方法，可用于实现更 多应用层检测功能。

server 配置

#针对一个server配置
check    #对指定real进行健康状态检查，如果不加此设置，默认不开启检查,只有check后面没有其它配置也可以启用检查功能
         #默认对相应的后端服务器IP和端口,利用TCP连接进行周期性健康性检查,注意必须指定端口才能实现健康性检查

addr <IP>     #可指定的健康状态监测IP，可以是专门的数据网段，减少业务网络的流量
port <num>    #指定的健康状态监测端口
inter <num>   #健康状态检查间隔时间，默认2000 ms
fall <num>    #后端服务器从线上转为线下的检查的连续失效次数，默认为3
rise <num>    #后端服务器从下线恢复上线的检查的连续有效次数，默认为2
weight <weight>    #默认为1，最大值为256，0(状态为蓝色)表示不参与负载均衡，但仍接受持久连接

backup    #将后端服务器标记为备份状态,只在所有非备份主机down机时提供服务，类似Sorry
Server

disabled    #将后端服务器标记为不可用状态，即维护状态，除了持久模式
            #将不再接受连接,状态为深黄色,优雅下线,不再接受新用户的请求

redirect prefix http://www.baidu.com/ #将请求临时(302)重定向至其它URL，只适用于http模式

maxconn <maxconn>     #当前后端server的最大并发连接数

代码示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

backend lee-webserver-80-RS
    mode http
    server web1 192.168.0.101:80 check inter 3s fall 3 rise 5
    server web2 192.168.0.102:80 check inter 3s fall 3 rise 5

...上面内容省略...

测试效果：

[root@client ~]# for i in {1..6}
> do
> curl 172.25.254.100
> done
RS1 server - 192.168.0.101
RS2 server - 192.168.0.102
RS1 server - 192.168.0.101
RS2 server - 192.168.0.102
RS1 server - 192.168.0.101
RS2 server - 192.168.0.102

3.3.2.5 Proxies配置-listen 简化配置

使用listen替换 frontend和backend的配置方式，可以简化设置，通常只用于TCP协议的应用

listen 配置示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    option forwardfor
    server webserver1 192.168.0.101:80 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 check inter 3s fall 3 rise 5

...上面内容省略...

3.4.socat 工具

对服务器动态权重和其它状态可以利用 socat工具进行调整，Socat 是 Linux 下的一个多功能的网络工具，名字来由是Socket CAT，相当于netCAT的增强版.Socat 的主要特点就是在两个数据流之间建立双向通道，且支持众多协议和链接方式。如 IP、TCP、 UDP、IPv6、Socket文件等

范例：利用工具socat 对服务器动态权重调整

#修改配置文件
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
stats socket /var/lib/haproxy/stats mode 600 level admin

#查看帮助
[root@haproxy ~]# socat -h
[root@haproxy ~]# echo "help" | socat stdio /var/lib/haproxy/stats
The following commands are valid at this level:
help : this message
prompt : toggle interactive mode with prompt
quit : disconnect
...省略...
enable server : enable a disabled server (use 'set server' instead) #启用服务器
set maxconn server : change a server's maxconn setting
set server : change a server's state, weight or address #设置服务器
get weight : report a server's current weight #查看权重
set weight : change a server's weight (deprecated) #设置权重
show startup-logs : report logs emitted during HAProxy startup
how peers [peers section]: dump some information about all the peers or this
peers section
set maxconn global : change the per-process maxconn setting
set rate-limit : change a rate limiting value
set severity-output [none|number|string] : set presence of severity level in
feedback information
set timeout : change a timeout setting
show env [var] : dump environment variables known to the process
show cli sockets : dump list of cli sockets
show cli level : display the level of the current CLI session
show fd [num] : dump list of file descriptors in use
...省略...

常用示例：

#查看haproxy状态
[root@haproxy ~]# echo "show info" | socat stdio /var/lib/haproxy/stats
Name: HAProxy
Version: 2.4.22-f8e3218
Release_date: 2023/02/14
Nbthread: 1
Nbproc: 1
Process_num: 1
Pid: 33542
Uptime: 0d 0h03m43s
Uptime_sec: 223
Memmax_MB: 0
PoolAlloc_MB: 0

#查看集群状态
[root@haproxy ~]# echo "show servers state" | socat stdio /var/lib/haproxy/stats1
# be_id be_name srv_id srv_name srv_addr srv_op_state srv_admin_state srv_uweight
srv_iweight srv_time_since_last_change srv_check_status srv_check_result
srv_check_health srv_check_state srv_agent_state bk_f_forced_id srv_f_forced_id
srv_fqdn srv_port srvrecord srv_use_ssl srv_check_port srv_check_addr
srv_agent_addr srv_agent_port
2 webcluster 1 web1 172.25.254.20 2 0 2 2 188 6 3 7 6 0 0 0 - 80 - 0 0 - - 0
2 webcluster 2 web2 172.25.254.30 2 0 1 1 188 6 3 7 6 0 0 0 - 80 - 0 0 - - 0
4 static 1 static 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 4331 - 0 0 - - 0
5 app 1 app1 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 5001 - 0 0 - - 0
5 app 2 app2 127.0.0.1 0 0 1 1 187 8 2 0 6 0 0 0 - 5002 - 0 0 - - 0
5 app 3 app3 127.0.0.1 0 0 1 1 186 8 2 0 6 0 0 0 - 5003 - 0 0 - - 0
5 app 4 app4 127.0.0.1 0 0 1 1 186 8 2 0 6 0 0 0 - 5004 - 0 0 - - 0

#查看集群权重
[root@haproxy ~]# echo get weight webcluster/web1 | socat stdio /var/lib/haproxy/stats2 (initial 2)
[root@haproxy ~]# echo get weight webcluster/web2 | socat stdio /var/lib/haproxy/stats1 (initial 1)

#设置权重
[root@haproxy ~]# echo "set weight webcluster/web1 1 " | socat stdio /var/lib/haproxy/stats
[root@haproxy ~]# echo "set weight webcluster/web1 2 " | socat stdio /var/lib/haproxy/stats

#下线后端服务器
[root@haproxy ~]# echo "disable server webcluster/web1 " | socat stdio
/var/lib/haproxy/stats

#上线后端服务器
[root@haproxy ~]# echo "enable server webcluster/web1 " | socat stdio /var/lib/haproxy/stats

针对多进程处理方法

如果开启多进程那么我们在对进程的sock文件进行操作时其对进程的操作时随机的

如果需要指定操作进程那么需要用多soct文件方式来完成

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

    stats socket /var/lib/haproxy/stats1 mode 600 level admin process 1
    stats socket /var/lib/haproxy/stats2 mode 600 level admin process 2
    nbproc 2
    cpu-map 1 0
    cpu-map 2 1

...上面内容省略...

这样每个进程就会有单独的sock文件来进行单独管理

[root@haproxy ~]# ll /var/lib/haproxy/
总用量 0
srw------- 1 root root 0 8月 8 13:43 stats
srw------- 1 root root 0 8月 8 13:46 stats1
srw------- 1 root root 0 8月 8 13:46 stats2

四.haproxy的算法

HAProxy通过固定参数 balance 指明对后端服务器的调度算法

balance参数可以配置在listen或backend选项中。

HAProxy的调度算法分为静态和动态调度算法

有些算法可以根据参数在静态和动态算法中相互转换。

4.1 静态算法

静态算法：按照事先定义好的规则轮询公平调度，不关心后端服务器的当前负载、连接数和响应速度等，且无法实时修改权重(只能为0和1,不支持其它值)，只能靠重启HAProxy生效。

4.1.1 static-rr：基于权重的轮询调度

        不支持运行时利用socat进行权重的动态调整(只支持0和1,不支持其它值)

        不支持端服务器慢启动

        其后端主机数量没有限制，相当于LVS中的 wrr\

注意：慢启动是指在服务器刚刚启动上不会把他所应该承担的访问压力全部给它，而是先给一部分，当没问题后在给一部分

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance static-rr
    server webserver1 192.168.0.101:80 weight 2 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.1.2 first

根据服务器在列表中的位置，自上而下进行调度

其只会当第一台服务器的连接数达到上限，新请求才会分配给下一台服务

其会忽略服务器的权重设置

不支持用socat进行动态修改权重,可以设置0和1,可以设置其它值但无效

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance first
    server webserver1 192.168.0.101:80 maxconn 3 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 check inter 3s fall 3 rise 5

...上面内容省略...

测试效果：

#在两台主机上分别执行此循环，可以观察是否102被调度到
while true;do curl 172.25.254.100 ; sleep 0.1;done

4.2 动态算法

动态算法

基于后端服务器状态进行调度适当调整，

新请求将优先调度至当前负载较低的服务器

权重可以在haproxy运行时动态调整无需重启

4.2.1 roundrobin

1. 基于权重的轮询动态调度算法，

2. 支持权重的运行时调整，不同于lvs中的rr轮训模式，

3. HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)，

4. 其每个后端backend中最多支持4095个real server，

5. 支持对real server权重动态调整，

6. roundrobin为默认调度算法,此算法使用广泛

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance roundrobin
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

动态调整权重 :

[root@haproxy ~]# echo "set weight webserver_80/webserver1 2" | socat stdio /var/lib/haproxy/haproxy.sock

4.2.2 leastconn

leastconn加权的最少连接的动态

支持权重的运行时调整和慢启动，即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户端连接)

比较适合长连接的场景使用，比如：MySQL等场景。

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance leastconn
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3 其他算法

其它算法即可作为静态算法，又可以通过选项成为动态算法

4.3.1 source

源地址hash，基于用户源地址hash并将请求转发到后端服务器，后续同一个源地址请求将被转发至同一个后端web服务器。此方式当后端服务器数据量发生变化时，会导致很多用户的请求转发至新的后端服务器，默认为静态方式，但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP模式下使用，也可给拒绝会话cookie的客户提供最好的会话粘性，适用于session会话保持但不支持cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式，分别是取模法和一致性hash

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance source
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

测试：

[root@client ~]# for i in {1..6}
> do
> curl 172.25.254.100
> done
RS1 server - 192.168.0.101
RS1 server - 192.168.0.101
RS1 server - 192.168.0.101
RS1 server - 192.168.0.101
RS1 server - 192.168.0.101
RS1 server - 192.168.0.101

注意：如果访问客户端时一个家庭，那么所有的家庭的访问流量都会被定向到一台服务器，这时source算法的缺陷

4.3.1.1 map-base 取模法

map-based：取模法，对source地址进行hash计算，再基于服务器总权重的取模，最终结果决定将此请求转发至对应的后端服务器。

此方法是静态的，即不支持在线调整权重，不支持慢启动，可实现对后端服务器均衡调度

缺点是当服务器的总权重发生变化时，即有服务器上线或下线，都会因总权重发生变化而导致调度结果整体改变

hash-type 指定的默值为此算法

注意：

所谓取模运算，就是计算两个数相除之后的余数， 10%7=3, 7%4=3

map-based 算法：基于权重取模， hash(source_ip)% 所有后端服务器相加的总权重

比如当源hash值时1111，1112，1113，三台服务器a b c的权重均为1，
即abc的调度标签分别会被设定为 0 1 2（1111%3=1，1112%3=2，1113%3=0）
1111 ----- > nodeb
1112 ------> nodec
1113 ------> nodea
如果a下线后，权重数量发生变化
1111%2=1，1112%2=0，1113%2=1
1112和1113被调度到的主机都发生变化，这样会导致会话丢失

取模法配置示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance source
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

#不支持动态调整权重值
[root@haproxy ~]# echo "set weight webserver_80/webserver1 2" | socat stdio /var/lib/haproxy/haproxy.sock
Backend is using a static LB algorithm and only accepts weights '0%' and '100%'.

#只能动态上线和下线
[root@haproxy ~]# echo "set weight webserver_80/webserver1 0" | socat stdio /var/lib/haproxy/haproxy.sock

[root@haproxy ~]# echo "get weight webserver_80/webserver1" | socat stdio /var/lib/haproxy/haproxy.sock
0 (initial 1)

4.3.1.2 一致性hash

一致性哈希，当服务器的总权重发生变化时，对调度结果影响是局部的，不会引起大的变动hash（o）mod n

该hash算法是动态的，支持使用 socat等工具进行在线权重调整，支持慢启动

算法：

1、后端服务器哈希环点keyA=hash(后端服务器虚拟ip)%(2^32)
2、客户机哈希环点key1=hash(client_ip)%(2^32) 得到的值在[0---4294967295]之间，
3、将keyA和key1都放在hash环上，将用户请求调度到离key1最近的keyA对应的后端服务器

hash环偏斜问题

增加虚拟服务器IP数量，比如：一个后端服务器根据权重为1生成1000个虚拟IP，再hash。而后端服务器权
重为2则生成2000的虚拟IP，再bash,最终在hash环上生成3000个节点，从而解决hash环偏斜问题

hash对象

Hash对象到后端服务器的映射关系：

一致性hash示意图

后端服务器在线与离线的调度方式

一致性 hash 配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance source
    hash-type consistent
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.2 uri

基于对用户请求的URI的左半部分或整个uri做hash，再将hash结果对总权重进行取模后,根据最终结果将请求转发到后端指定服务器,适用于后端是缓存服务器场景

默认是静态算法，也可以通过hash-type指定map-based和consistent，来定义使用取模法还是一致性hash

注意：此算法基于应用层，所以只支持 mode http ，不支持 mode tcp

<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>
左半部分：/<path>;<params>
整个uri：/<path>;<params>?<query>#<frag>

4.3.2.1 uri 取模法配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance uri
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.2.2 uri 一致性hash配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance uri
    hash-type consistent
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.2.3 访问测试

访问不同的uri，确认可以将用户同样的请求转发至相同的服务器

[root@server1 ~]# echo RS1 192.168.0.101 index1 > /var/www/html/index1.html
[root@server1 ~]# echo RS1 192.168.0.101 index2 > /var/www/html/index2.html
[root@server1 ~]# echo RS1 192.168.0.101 index3 > /var/www/html/index3.html
[root@server2 ~]# echo RS1 192.168.0.102 index1 > /var/www/html/index1.html
[root@server2 ~]# echo RS1 192.168.0.102 index2 > /var/www/html/index2.html
[root@server2 ~]# echo RS1 192.168.0.102 index3 > /var/www/html/index3.html

[root@client ~]# curl 172.25.254.100/index.html
RS2 server - 192.168.0.102
[root@client ~]# curl 172.25.254.100/index1.html
RS1 192.168.0.101 index1
[root@client ~]# curl 172.25.254.100/index2.html
RS1 192.168.0.102 index2
[root@client ~]# curl 172.25.254.100/index3.html
RS1 192.168.0.101 index3

4.3.3 url_param

url_param对用户请求的url中的 params 部分中的一个参数key对应的value值作hash计算，并由服务器总权重相除以后派发至某挑出的服务器,后端搜索同一个数据会被调度到同一个服务器，多用与电商

通常用于追踪用户，以确保来自同一个用户的请求始终发往同一个real server

如果无没key，将按roundrobin算法

#假设：
url = http://www.timinglee.com/foo/bar/index.php?key=value

#则：
host = "www.timinglee.com"
url_param = "key=value"

4.3.3.1 url_param取模法配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance url_param name,userid #支持对多个url_param hash
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.3.2 url_param一致性hash配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance url_param name,userid #支持对多个url_param hash
    hash-type consistent
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.3.3 测试访问

[root@client ~]# curl 172.25.254.100/index3.html?name=lee
RS1 192.168.0.101 index3
[root@client ~]# curl 172.25.254.100/index3.html?name=lee
RS1 192.168.0.101 index3
[root@client ~]# curl 172.25.254.100/index3.html?name=test
RS1 192.168.0.102 index3
[root@client ~]# curl 172.25.254.100/index3.html?name=test
RS1 192.168.0.101 index3

4.3.4 hdr

针对用户每个http头部(header)请求中的指定信息做hash，

此处由 name 指定的http首部将会被取出并做hash计算，

然后由服务器总权重取模以后派发至某挑出的服务器，如果无有效值，则会使用默认的轮询调度。

4.3.4.1 hdr取模法配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance hdr(User-Agent)
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.4.2 一致性hash配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode http
    balance hdr(User-Agent)
    hash-type consistent
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

4.3.4.3 测试访问

[root@client ~]# curl -v 172.25.254.100
[root@client ~]# curl -vA "firefox" 172.25.254.100
[root@client ~]# curl -vA "sougou" 172.25.254.100

4.3.6 算法总结

#静态
static-rr--------->tcp/http
first------------->tcp/http
#动态
roundrobin-------->tcp/http
leastconn--------->tcp/http

#以下静态和动态取决于hash_type是否consistent
source------------>tcp/http
Uri--------------->http
url_param--------->http
hdr--------------->http

4.3.7 各算法使用场景

first #使用较少
static-rr #做了session共享的web集群
roundrobin
leastconn #数据库
source

#基于客户端公网IP的会话保持
Uri--------------->http #缓存服务器，CDN服务商，蓝汛、百度、阿里云、腾讯
url_param--------->http #可以实现session保持
hdr #基于客户端请求报文头部做下一步处理

五、高级功能及配置

5.1 基于cookie的会话保持

cookie value：为当前server指定cookie值，实现基于cookie的会话黏性，相对于基于 source 地址hash调度算法对客户端的粒度更精准，但同时也加大了haproxy负载，目前此模式使用较少， 已经被session共享服务器代替

注意：不支持 tcp mode，使用 http mode

5.1.1 配置选项

cookie name [ rewrite | insert | prefix ][ indirect ] [ nocache ][ postonly ] [
preserve ][ httponly ] [ secure ][ domain ]* [ maxidle <idle> ][ maxlife ]

name：      #cookie 的 key名称，用于实现持久连接
insert：    #插入新的cookie,默认不插入cookie
indirect：  #如果客户端已经有cookie,则不会再发送cookie信息
nocache：   #当client和hapoxy之间有缓存服务器（如：CDN）时，不允许中间缓存器缓存cookie，
            #因为这会导致很多经过同一个CDN的请求都发送到同一台后端服务器

5.1.2 配置示例

【root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    option forwardfor
    mode http
    balance roundrobin
    cookie WEBCOOKIE insert nocache indirect
    server webserver1 192.168.0.101:80 cookie web1 weight 1 check inter 3s fall 3 rise 5
    server webserver2 192.168.0.102:80 cookie web2 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

5.1.3 验证cookie信息

通过命令行验证：

[root@client ~]# curl -i 172.25.254.100
HTTP/1.1 200 OK
server: nginx/1.20.1
date: Sun, 11 Aug 2024 07:33:11 GMT
content-type: text/html
content-length: 26
last-modified: Sun, 11 Aug 2024 07:31:22 GMT
etag: "66b868ca-1a"
accept-ranges: bytes
set-cookie: WEBCOOKIE=check; path=/
cache-control: private

RS server - 192.168.0.102

#curl访问时指定cookie
[root@client ~]# curl -b WEBCOOKIE=web1 172.25.254.100
RS1 server - 192.168.0.101
[root@client ~]# curl -b WEBCOOKIE=web2 172.25.254.100
RS2 server - 192.168.0.102

[root@client ~]# curl -vb WEBCOOKIE=web1 172.25.254.100
*   Trying 172.25.254.100:80...
* Connected to 172.25.254.100 (172.25.254.100) port 80 (#0)
> GET / HTTP/1.1
> Host: 172.25.254.100
> User-Agent: curl/7.76.1
> Accept: */*
> Cookie: WEBCOOKIE=web1
> 
* Mark bundle as not supporting multiuse
< HTTP/1.1 200 OK
< date: Sun, 11 Aug 2024 07:34:49 GMT
< server: Apache/2.4.57 (Red Hat Enterprise Linux)
< last-modified: Sun, 11 Aug 2024 07:32:11 GMT
< etag: "1a-61f635fe882c7"
< accept-ranges: bytes
< content-length: 26
< content-type: text/html; charset=UTF-8
< set-cookie: WEBCOOKIE=check; path=/
< cache-control: private
< 
RS server - 192.168.0.101
* Connection #0 to host 172.25.254.100 left intact

5.2 HAProxy状态页

通过web界面，显示当前HAProxy的运行状态

5.2.1 状态页配置项

stats enable #基于默认的参数启用stats page
stats hide-version #将状态页中haproxy版本隐藏
stats refresh <delay> #设定自动刷新时间间隔，默认不自动刷新
stats uri <prefix> #自定义stats page uri，默认值：/haproxy?stats
stats auth <user>:<passwd> #认证时的账号和密码，可定义多个用户,每行指定一个用户
#默认：no authentication
stats admin { if | unless } <cond> #启用stats page中的管理功能

5.2.2 启用状态页

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen stats：
    mode http
    bind 0.0.0.0:8888
    stats enable
    log global
    stats uri /status #自定义stats page uri
    stats auth lee:lee #认证，此行可以出现多次

...上面内容省略...

测试：
浏览器访问：172.25.254.100:8888/status

5.2.3 登录状态页

#pid为当前pid号，process为当前进程号，nbproc和nbthread为一共多少进程和每个进程多少个线程
pid = 27134 (process #1, nbproc = 1, nbthread = 1)

#启动了多长时间
uptime = 0d 0h00m04s

#系统资源限制：内存/最大打开文件数/
system limits: memmax = unlimited; ulimit-n = 200029

#最大socket连接数/单进程最大连接数/最大管道数maxpipes
maxsock = 200029; maxconn = 100000; maxpipes = 0

#当前连接数/当前管道数/当前连接速率
current conns = 2; current pipes = 0/0; conn rate = 2/sec; bit rate = 0.000 kbps

#运行的任务/当前空闲率
Running tasks: 1/14; idle = 100 %

active UP： #在线服务器
backup UP： #标记为backup的服务器
active UP, going down： #监测未通过正在进入down过程
backup UP, going down： #备份服务器正在进入down过程
active DOWN, going up： #down的服务器正在进入up过程
backup DOWN, going up： #备份服务器正在进入up过程
active or backup DOWN： #在线的服务器或者是backup的服务器已经转换成了down状态
not checked： #标记为不监测的服务器

#active或者backup服务器人为下线的
active or backup DOWN for maintenance (MAINT)

#active或者backup被人为软下线(人为将weight改成0)
active or backup SOFT STOPPED for maintenance

5.2.4 backend server信息

session rate	每秒的连接会话信息
cur	每秒的当前会话数量
max	每秒新的最大会话数量
limit	每秒新的会话限制量

sessions	会话信息
cur	当前会话量
max	最大会话量
limit	限制会话量
Total	总共会话量
LBTot	选中一台服务器所用的总时间
Last	和服务器的持续连接时间
Wght	权重

Bytes	流量统计
In	网络的字节输入总量
Out	网络的字节输出总量
Dwn	后端服务器连接后都是 DOWN 的数量

Denied	拒绝统计信息
Req	拒绝请求量
Resp	拒绝回复量

Errors	错误统计信息
Req	错误请求量
conn	错误链接量
Resp	错误响应量

Warnings	警告统计信息
Retr	重新尝试次数
Redis	再次发送次数

Server	real server信息
Status	后端机的状态，包括 UP 和 DOWN
LastChk	持续检查后端服务器的时间
Act	活动链接数量
Bck	备份的服务器数量
Chk	心跳检测时间
Dwntme	总的 downtime 时间
Thrtle	server 状态

5.3 IP透传

web服务器中需要记录客户端的真实IP地址，用于做访问统计、安全防护、行为分析、区域排行等场景。

5.3.2 四层IP透传

#未开启透传的四层代理
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode tcp
    balance roundrobin
    server webserver1 192.168.0.101:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

#正常的nginx配置
[root@server1 ~]# vim /etc/nginx/nginx.conf
...内容省略...

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request"'
                        '$status $body_bytes_sent "$http_referer" '
                        '"$http_user_agent" "$http_x_forwarded_for"';
...内容省略...
    server {
        listen 80;
        listen [::]:80;
        server_name _;
        root /usr/share/nginx/html;
        ...内容省略...
        }
}

#在访问haproxy后查看nginx日志
[root@rs1 ~]# tail -n 3 /var/log/nginx/access.log
192.168.0.10 - - [10/Jul/2024:15:21:00 +0800] "GET / HTTP/1.1"200 18 "-"
"curl/7.29.0" "-"192.168.0.10 - - [10/Jul/2024:15:26:11 +0800] "GET /
HTTP/1.1"200 18 "-" "curl/7.29.0" "-"
在此日志中是无法看到真实访问源地址的

开启四层透传

#nginx 配置：在访问日志中通过变量$proxy_protocol_addr 记录透传过来的客户端IP
[root@rs1 ~]# vim /etc/nginx/nginx.conf
...内容省略...

http {
    log_format main '$remote_addr - $remote_user [$time_local] "$request"'
                    ' "$proxy_protocol_addr"'
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" "$http_x_forwarded_for"';
...内容省略...
    server {
        listen 80 proxy_protocol; #启用此项，将无法直接访问此网站，只能通过四层代理
访问
        listen [::]:80;
        server_name _;
        root /usr/share/nginx/html;
        ...内容省略...
        }
}
#修改haproxy
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    bind 172.25.254.100:80
    mode tcp
    balance roundrobin
    server webserver1 192.168.0.101:80 send-proxy weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

#查看日志内容
[root@server1 ~]# tail -n 3 /var/log/nginx/access.log
192.168.0.10 - - [10/Jul/2024:15:21:00 +0800] "GET / HTTP/1.1"200 18 "-" "curl/7.29.0" "-"
192.168.0.10 - - [10/Jul/2024:15:26:11 +0800] "GET / HTTP/1.1"200 18 "-" "curl/7.29.0" "-"
192.168.0.10 - - [10/Jul/2024:15:41:56 +0800] "GET / HTTP/1.1" "172.25.254.10"200 18 "-" "curl/7.29.0"

5.3.3 七层IP透传

当haproxy工作在七层的时候，也可以透传客户端真实IP至后端服务器

5.3.3.1 HAProxy配置

在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For"首部，其值为前端客户端的地址；用于向后端主发送真实的客户端IP

option forwardfor [ except <network> ] [ header <name> ] [ if-none ]
[ except <network> ]：请求报请来自此处指定的网络时不予添加此首部，如haproxy自身所在网络
[ header <name> ]： 使用自定义的首部名称，而非“X-Forwarded-For"，示例：X-client
[ if-none ] 如果没有首部才添加首部，如果有使用默认值

示例：

#修改haproxy
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

listen webserver_80
    option forwardfor
    bind 172.25.254.100:80
    mode http
    balance roundrobin
    server webserver1 192.168.0.101:80 send-proxy weight 1 check inter 3s fall 3 rise 5
    server webserver1 192.168.0.102:80 weight 1 check inter 3s fall 3 rise 5

...上面内容省略...

5.3.3.2 web服务器日志格式配置

配置web服务器，记录负载均衡透传的客户端IP地址

#apache 配置：
LogFormat "%{X-Forwarded-For}i %a %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined

#nginx 日志格式：
$proxy_add_x_forwarded_for： 包括客户端IP和中间经过的所有代理的IP
$http_x_forwarded_For： 只有客户端IP

log_format main '"$proxy_add_x_forwarded_for" - $remote_user [$time_local] "$request" '
                    '$status $body_bytes_sent "$http_referer" '
                    '"$http_user_agent" $http_x_forwarded_For';

#查看日志如下：
[root@server1 ~]# tail -n 3 /var/log/nginx/access.log
"172.25.254.10, 192.168.0.10" 192.168.0.10 - - [10/Jul/2024:16:15:00 +0800] "GET / HTTP/1.1"200 18 "-" "curl/7.29.0" "172.25.254.10"
[root@server2 ~]# tail -n 3 /etc/httpd/logs/access_log
172.25.254.10 192.168.0.10 - - [11/Jul/2024:00:15:00 +0800] "GET / HTTP/1.1" 200 27 "-" "curl/7.29.0"

5.4 ACL

访问控制列表ACL，Access Control Lists）

是一种基于包过滤的访问控制技术

它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)即对接收到的报文进行匹配和过滤，基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作，比如允许其通过或丢弃。

#示例
frontend test_acl
    bind *:80
    mode http
    #acl bad_browers hdr_beg(User-Agent) -i curl
    #http-request deny if bad_browers

    #acl test hdr_dom(host) -i www.timinglee.org
    #acl test hdr_end(host) -i .org
    #acl test base_sub -m sub org
    #acl test path_sub -m sub /a
    #acl test path_end -m sub /a
    #acl test path_reg -i ^/t
    acl test url_sub -m sub lee
    acl test path_dir -m sub a
    use_backend test_web if test

    default_backend default_webserver

backend default_webserver
    mode http
    server web1 172.25.254.20:80 check inter 3 fall 3 rise 5

backend test_web
    mode http
    server web2 172.25.254.30:80 check inter 3 fall 3 rise 5

5.4.1 ACL配置选项

#用acl来定义或声明一个acl
acl <aclname> <criterion> [flags] [operator] [<value>]
acl 名称 匹配规范 匹配模式 具体操作符 操作对象类型

5.4.1.1 ACL-Name 名称

acl test path_end -m sub /a
#ACL名称，可以使用大字母A-Z、小写字母a-z、数字0-9、冒号：、点.、中横线和下划线，并且严格区分大
小写，比如:my_acl和My_Acl就是两个完全不同的acl5.8.1.2 ACL-criterion

5.4.1.2 ACL-criterion 匹配规范

定义 ACL 匹配规范，即：判断条件

hdr string，提取在一个HTTP请求报文的首部
hdr（[<name> [，<occ>]]）：完全匹配字符串,header的指定信息，<occ> 表示在多值中使用的值的出现次数
hdr_beg（[<name> [，<occ>]]）：前缀匹配，header中指定匹配内容的begin
hdr_end（[<name> [，<occ>]]）：后缀匹配，header中指定匹配内容end
hdr_dom（[<name> [，<occ>]]）：域匹配，header中的dom（host）
hdr_dir（[<name> [，<occ>]]）：路径匹配，header的uri路径
hdr_len（[<name> [，<occ>]]）：长度匹配，header的长度匹配
hdr_reg（[<name> [，<occ>]]）：正则表达式匹配，自定义表达式(regex)模糊匹配
hdr_sub（[<name> [，<occ>]]）：子串匹配，header中的uri模糊匹配 模糊匹配c 报文中a/b/c也会匹配

#示例：
hdr(<string>) 用于测试请求头部首部指定内容

hdr_dom(host) 请求的host名称，如 www.timinglee.org
hdr_beg(host) 请求的host开头，如 www. img. video. download. ftp.
hdr_end(host) 请求的host结尾，如 .com .net .cn

#示例：
acl bad_agent hdr_sub(User-Agent) -i curl wget
http-request deny if bad_agent

#有些功能是类似的，比如以下几个都是匹配用户请求报文中host的开头是不是www
acl short_form hdr_beg(host) www.
acl alternate1 hdr_beg(host) -m beg www.
acl alternate2 hdr_dom(host) -m beg www.
acl alternate3 hdr(host) -m beg www.

base : string
#返回第一个主机头和请求的路径部分的连接，该请求从主机名开始，并在问号之前结束,对虚拟主机有用
<scheme>://<user>:<password>@#<host>:<port>/<path>;<params>#?<query>#<frag>
base : exact string match
base_beg : prefix match
base_dir : subdir match
base_dom : domain match
base_end : suffix match
base_len : length match
base_reg : regex match
base_sub : substring match

path : string
#提取请求的URL路径，该路径从第一个斜杠开始，并在问号之前结束（无主机部分）
<scheme>://<user>:<password>@<host>:<port>#/<path>;<params>#?<query>#<frag>
path : exact string match
path_beg : prefix match #请求的URL开头，如/static、/images、/img、/css
path_end : suffix match #请求的URL中资源的结尾，如 .gif .png .css .js .jpg .jpeg
path_dom : domain match
path_dir : subdir match
path_len : length match
path_reg : regex match
path_sub : substring match

#示例：
path_beg -i /haproxy-status/
path_end .jpg .jpeg .png .gif
path_reg ^/images.*\.jpeg$
path_sub image
path_dir jpegs
path_dom timinglee

url : string
#提取请求中的整个URL。
url ：exact string match
url_beg : prefix match
url_dir : subdir match
url_dom : domain match
url_end : suffix match
url_len : length match
url_reg : regex match
url_sub : substring match

dst #目标IP
dst_port #目标PORT

src #源IP
src_port #源PORT

#示例：
acl invalid_src src 10.0.0.7 192.168.1.0/24
acl invalid_src src 172.16.0.0/24

acl invalid_port src_port 0:1023

status : integer #返回在响应报文中的状态码

#七层协议
acl valid_method method GET HEAD
http-request deny if ! valid_method

5.4.1.3 ACL-flags 匹配模式

ACL匹配模式

-i 不区分大小写
-m 使用指定的正则表达式匹配方法
-n 不做DNS解析
-u 禁止acl重名，否则多个同名ACL匹配或关系

5.4.1.4 ACL-operator 具体操作符

ACL 操作符

整数比较：eq、ge、gt、le、lt
字符比较：
- exact match (-m str) :字符串必须完全匹配模式
- substring match (-m sub) :在提取的字符串中查找模式，如果其中任何一个被发现，ACL将匹配
- prefix match (-m beg) :在提取的字符串首部中查找模式，如果其中任何一个被发现，ACL将匹配
- suffix match (-m end) :将模式与提取字符串的尾部进行比较，如果其中任何一个匹配，则ACL进行匹配
- subdir match (-m dir) :查看提取出来的用斜线分隔（“/"）的字符串，如其中任一个匹配，则ACL进行匹配
- domain match (-m dom) :查找提取的用点（“."）分隔字符串，如果其中任何一个匹配，则ACL进行匹配

5.4.1.5 ACL-value 操作对象

value 的类型

The ACL engine can match these types against patterns of the following types :
- Boolean #布尔值
- integer or integer range #整数或整数范围，比如用于匹配端口范围
- IP address / network #IP地址或IP范围, 192.168.0.1 ,192.168.0.1/24
- string--> www.timinglee.org
    exact #精确比较
    substring #子串
    suffix #后缀比较
    prefix #前缀比较
    subdir #路径， /wp-includes/js/jquery/jquery.js
    domain #域名，www.timinglee.org
- regular expression #正则表达式
- hex block #16进制

5.4.2 多个ACL的组合调用方式

多个 ACL 的逻辑处理

与：隐式（默认）使用
或：使用“or" 或 “||"表示
否定：使用 "!" 表示

多个 ACL 调用方式：

#示例：
if valid_src valid_port #与关系，ACL中A和B都要满足为true，默认为与
if invalid_src || invalid_port #或，ACL中A或者B满足一个为true
if ! invalid_src #非，取反，不满足ACL才为true

5.4.3 ACL示例-域名匹配

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl web_host hdr_dom(host) www.timinglee.org

    ########### host ###########################
    use_backend timinglee_host if web_host

    ########### default server ###################
    default_backend default_webserver


backend timinglee_host
    mode http
    server web1 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5
    server web2 192.168.0.102:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5
...上面内容省略...

测试结果：

#在浏览器所在主机中做地址解析
[root@client]# vim /etc/hosts
172.25.254.100 www.yu.com

#测试结果
[root@client]# curl www.yu.com
RS1 192.168.0.101
[root@client]# curl www.yu.com
RS2 server - 192.168.0.102
[root@client]# curl 172.25.254.100
default web server 

5.4.4 ACL示例-基于源IP或子网调度访问

将指定的源地址调度至指定的 web 服务器组。

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...

frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl ip_test src 172.25.254.1 192.168.0.0/24

    ########### host ###########################
    use_backend ip_test-host if ip_test

    ########### default server ###################
    default_backend default_webserver

backend ip_test-host
    mode http
    server web1 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5

测试结果

[root@client ~]# curl 172.25.254.100
RS server - 192.168.0.102

5.4.5 ACL示例-基于源地址的访问控制

拒绝指定 IP 或者 IP 范围访问

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl web_host hdr_dom(host) www.timinglee.org
    acl ip_test src 172.25.254.1 192.168.0.0/24

    ########### host ###########################
    http-request deny if web_host

    ########### default server ###################
    default_backend default_webserver

backend ip_test-host
    mode http
    server web1 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5

测试

[root@client ~]# curl www.yu.com
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.
</body></html>
[root@client ~]# curl 172.25.254.100
default web server client

5.4.6 ACL示例-匹配浏览器类型

匹配客户端浏览器，将不同类型的浏览器调动至不同的服务器组、

范例: 拒绝curl和wget的访问

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl user_agent_block hdr_sub(User-Agent) -i curl wget
    acl user_agent_redirect hdr_sub(User-Agent) -i Mozilla/5.0

    ########### host ###########################
    http-request deny if user_agent_block
    redirect prefix https://www.baidu.com if user_agent_redirect

########### default server ###################
    default_backend default_webserver
    
backend ip_test-host
    mode http
    server web1 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5

测试：

[root@client ~]# curl 172.25.254.100
<html><body><h1>403 Forbidden</h1>
Request forbidden by administrative rules.
</body></html>

[root@client ~]# wget http://172.25.254.100/index.html
--2024-08-11 23:04:36-- http://172.25.254.100/index.html
Connecting to 172.25.254.100:80... connected.
HTTP request sent, awaiting response... 403 Forbidden
2024-08-11 23:04:36 ERROR 403: Forbidden.

5.4.7 ACL示例-基于文件后缀名实现动静分离

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl url_static path_end -i .jpg .png .css .js .html
    acl url_php path_end -i .php

    ########### host ###########################
    use_backend static_host if url_static
    use_backend php_host if url_php

########### default server ###################
    default_backend default_webserver

backend static_host
    mode http
    server web2 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5

backend php_host
    mode http
    server web1 192.168.0.102:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5

测试：

[root@server1 ~]# echo css 192.168.0.101 > /usr/share/nginx/html/index.css
[root@server2 ~]# echo php 192.168.0.102 > /var/www/html/index.php
[root@client ~]# curl 172.25.254.100/index.php
php 192.168.0.102
[root@client ~]# curl 172.25.254.100/index.css
css 192.168.0.101

5.4.8 ACL-匹配访问路径实现动静分离

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend testacl
    bind :80
    mode http

    ########### ACL settings #######################
    acl url_static path_end -i .jpg .png .css .js .html
    acl url_static path_end -m sub /static /images /javascript
    acl acl_app path_beg -m sub /api

    ########### host ###########################
    use_backend static_host if url_static
    use_backend api_host if acl_app

    ########### default server ###################
    default_backend default_webserver

backend static_host
    mode http
    server web2 192.168.0.101:80 check weight 1 inter 3s fall 3 rise 5

backend api_host
    mode http
    server web1 192.168.0.102:80 check weight 1 inter 3s fall 3 rise 5

backend default_webserver
    mode http
    server web1 172.25.254.10:80 check weight 1 inter 3s fall 3 rise 5

#创建相关文件
[root@server1 ~]# mkdir /usr/share/nginx/html/static
[root@server1 ~]# echo static 192.168.0.101 > /usr/share/nginx/html/static/index.html
[root@server2 ~]# mkdir /var/www/html/api/
[root@server2 ~]# echo api 192.168.0.102 > /var/www/html/api/index.html
#测试访问
[root@client ~]# curl 172.25.254.100/api/
api 192.168.0.102
[root@client ~]# curl 172.25.254.100/static/
static 192.168.0.101

5.5 自定义HAProxy 错误界面

对指定的报错进行重定向，进行优雅的显示错误页面

使用errorfile和errorloc指令的两种方法，可以实现自定义各种错误页面

#haproxy默认使用的错误错误页面
[root@haproxy ~]# rpm -ql haproxy24z-2.4.27-1.el7.zenetys.x86_64 | grep -E http$
/usr/share/haproxy/400.http
/usr/share/haproxy/403.http
/usr/share/haproxy/408.http
/usr/share/haproxy/500.http
/usr/share/haproxy/502.http
/usr/share/haproxy/503.http
/usr/share/haproxy/504.http

5.5.1 基于自定义的错误页面文件

#自定义错误页
errorfile <code> <file>

<code> #HTTP status code.支持200, 400, 403, 405, 408, 425, 429, 500, 502，503,504

<file> #包含完整HTTP响应头的错误页文件的绝对路径。 建议后缀".http"，以和一般的html文件相区分

#示例：
errorfile 503 /haproxy/errorpages/503page.http

示例：

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
defaults
    mode http
    ...内容省略...
    timeout client 1m
    timeout server 1m
    timeout http-keep-alive 10s
    timeout check 10s
    maxconn 1000000

    errorfile 503 /haproxy/errorpages/503page.http

[root@haproxy ~]# mkdir /haproxy/errorpages/ -p
[root@haproxy ~]# cp /usr/share/haproxy/503.http /haproxy/errorpages/503page.http

[root@haproxy ~]# vim /haproxy/errorpages/503page.http
HTTP/1.0 503 Service Unavailable
Cache-Control: no-cache
Connection: close
Content-Type: text/html;charset=UTF-8

<html><body><h1>什么动物生气最安静</h1>
大猩猩！！
</body></html>

测试：

关闭后端的RS主机
然后用浏览器去访问172.25.254.100

5.5.2 基于http重定向错误页面

#错误页面重定向
errorloc <code> <url>
#相当于errorloc302 <code> <url>，利用302重定向至指URL

#示例：
errorloc 503 https://www.baidu.com

范例:

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
defaults
    mode http
    ...内容省略...
    timeout client 1m
    timeout server 1m
    timeout http-keep-alive 10s
    timeout check 10s
    maxconn 1000000

    errorloc 503 https://www.baidu.com

#浏览器访问172.25.254.100 自动跳转到百度

5.6 HAProxy 四层负载

针对除 HTTP 以外的 TCP 协议应用服务访问的应用场景

MySQL
Redis
Memcache
RabbitMQ

四层负载示例

注意：如果使用frontend和backend，一定在 frontend 和 backend 段中都指定mode tcp

listen mysql-port
    bind 10.0.0.7:6379
    mode tcp
    balance leastconn
    server server1 10.0.0.17:3306 check
    server server2 10.0.0.27:3306 check backup

范例：对 MySQL 服务实现四层负载

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
listen mysql_port
    bind :3306
    mode tcp
    balance leastconn
    server mysql1 192.168.0.101:3306 check
    server mysql2 192.168.0.102:3306 check

#或者使用frontend和backend实现
[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
...上面内容省略...
frontend mysql_port
    bind :3306
    mode tcp
    use_backend mysql_rs

backend mysql_rs
    mode tcp
    balance leastconn
    server mysql1 192.168.0.101:3306 check
    server mysql2 192.168.0.102:3306 check

[root@haproxy ~]# systemctl restart haproxy.service

#在后端服务器安装和配置mariadb服务
[root@server1 ~]# yum install mariadb-server -y
[root@server2 ~]# yum install mariadb-server -y

[root@server1 ~]# vim /etc/my.cnf
[mysqld]
server-id=1 #在另一台主机为

[root@server2 ~]# vim /etc/my.cnf
[mysqld]
server-id=2 #在另一台主机为

[root@server1 ~]# systemctl start mariadb
[root@server2 ~]# systemctl start mariadb

[root@server1 ~]# mysql -e "grant all on *.* to yu@'%' identified by 'yu';"
[root@server2 ~]# mysql -e "grant all on *.* to yu@'%' identified by 'yu';"

#测试
[root@client ~]# mysql -uyu -pyu -h 172.25.254.100 -e "show variables like
'hostname'"
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| hostname      | rs2   |
+---------------+-------+
[root@client ~]# mysql -uyu -pyu -h 172.25.254.100 -e "show variables like
'hostname'"
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| hostname      | rs1   |
+---------------+-------+
[root@client0 ~]# mysql -uyu -pyu -h172.25.254.100 -e "select @@server_id"
+-------------+
| @@server_id |
+-------------+
| 1           |
+-------------+
[root@client ~]# mysql -uyu -pyu -h172.25.254.100 -e "select @@server_id"
+-------------+
| @@server_id |
+-------------+
| 2           |
+-------------+

5.7 HAProxy https 实现

haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信

但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现

#配置HAProxy支持https协议，支持ssl会话；
    bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE

#指令 crt 后证书文件为PEM格式，需要同时包含证书和所有私钥
    cat demo.key demo.crt > demo.pem

#把80端口的请求重向定443
    bind *:80
    redirect scheme https if !{ ssl_fc }

5.7.1 证书制作

[root@haproxy ~]# mkdir /etc/haproxy/certs/
[root@haproxy ~]# openssl req -newkey rsa:2048 \ -nodes -sha256 –keyout /etc/haproxy/certs/timinglee.org.key \ -x509 -days 365 -out /etc/haproxy/certs/timinglee.org.crt

5.7.2 https配置示例

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg
frontend webserver
    bind *:80
    redirect scheme https if !{ ssl_fc }
    mode http
    use_backend webcluster
frontend webserver-https
    bind *:443 ssl crt /etc/haproxy/timinglee.org.pem
    mode http
    use_backend webcluster
backend webcluster
    mode http
    balance roundrobin
    server web1 172.25.254.200:80 check inter 3s fall 3 rise 5
    server web2 172.25.254.201:80 check inter 3s fall 3 rise 5

[root@client ~]#curl -IkL http://172.25.254.100
HTTP/1.1 302 Found
content-length: 0
location: https://www.yu.com/
cache-control: no-cache
HTTP/1.1 200 OK
date: Sat, 04 Apr 2020 02:31:31 GMT
server: Apache/2.4.6 (CentOS) PHP/5.4.16
last-modified: Thu, 02 Apr 2020 01:44:13 GMT
etag: "a-5a244f01f8adc"
accept-ranges: bytes
content-length: 10
content-type: text/html; charset=UTF-8
[root@client ~]#curl -Ik https://www.yu.com
HTTP/1.1 200 OK
date: Sat, 04 Apr 2020 02:31:50 GMT
server: Apache/2.4.6 (CentOS) PHP/5.4.16
last-modified: Thu, 02 Apr 2020 01:44:28 GMT
etag: "a-5a244f0fd5175"
accept-ranges: bytes
content-length: 10
content-type: text/html; charset=UTF-8