HAProxy基本配置及参数实操

参数	类型	作用
chroot	全局	锁定运行目录
deamon	全局	以守护进程运行
user,group,uid,gid	全局	运行haproxy的用户身份
stats socket	全局	套接字文件
nbproc N	全局	开启的haproxy worker进程数，默认进程数是一个
nbthread 1(和nbproc 互斥)	全局	指定每个haproxy进程开启的线程数，默认为每个进程一个线程
cpu-map 10	全局	绑定haproxy worker进程至指定CPU,将第1个work进程绑定至0号CPU
cpu-map 21	全局	绑定haproxy worker进程至指定CPU,将第2个work进程绑定至1号CPU
maxconn N	全局	每个haproxy进程的最大并发连接数
maxsslconn N	全局	每个haproxy进程ssl最大连接数，用于haproxy配置了证书的场景下
maxConnrate N	全局	每个进程每秒创建的最大连接数量
spread-checks N	全局	后端server状态check随机提前或延迟百分比时间，建议2- 5(20%-50%)之间，默认值0
pidfile	全局	指定pid文件路径
log 127.0.0.1 local2 info	全局	定义全局的syslog服务器；日志服务器需要开启UDP协议，最多可以定义两个

重启服务

测试

如果重启服务后访问不了后端服务器，检测haproxy监听的端口是否是80

如果是5000.记得把一下删除

多进程

查看多进程信息

多线程

用的很少，仅做了解

SORRY SERVER

修改配置文件并重启服务

记得要关闭一台webserve的nginx服务

测试

访问重定向

maxconne最大可承受连接

超过负载后就会把请求导向另外一个realserver

多开几个端口进行访问

socat 工具

对服务器动态权重和其它状态可以利用socat工具进行调整，Socat 是 Linux 下的一个多功能的网络工具，名字来由是Socket CAT,相当于netCAT 的增强版.Socat 的主要特点就是在两个数据流之间建立双向通道，且支持众多协议和链接方式。如IP、TCP、UDP、IPv6、Socket 文件等

范例：利用工具socat 对服务器动态权重调整

下载工具

常用示例

要根据配置文件中的来写socat

针对多进程的处理方法

ha p r ox y 的算法

HAProxy通过固定参数 balance 指明对后端服务器的调度算法 balance参数可以配置在listen 或backend选项中。

HAProxy 的调度算法分为静态和动态调度算法

有些算法可以根据参数在静态和动态算法中相互转换。

静态算法

静态算法：按照事先定义好的规则轮询公平调度，不关心后端服务器的当前负载、连接数和响应速度等，且无法实时修改权重(只能为0和1,不支持其它值),只能靠重启HAProxy 生效。

static-rr:基于权重的轮询调度

不支持运行时利用socat 进行权重的动态调整(只支持0和1,不支持其它值)
不支持端服务器慢启动
其后端主机数量没有限制，相当于LVS 中的 wrr

慢启动是指在服务器刚刚启动上不会把他所应该承担的访问压力全部给它，而是先给一部分，当没问题后在给一部分

示例

重启服务

client上测试

不支持运行时利用socat 进行权重的动态调整(只支持0和1,不支持其它值)

first算法

●根据服务器在列表中的位置，自上而下进行调度

●其只会当第一台服务器的连接数达到上限，新请求才会分配给下一台服务 · 其会忽略服务器的权重设置

● 不支持用socat 进行动态修改权重，可以设置0和1,可以设置其它值但无效

示例

调整maxconnect为1是为了方便演示效果

在多台主机中执行循环

达不到效果就多开几个端口

while true; do curl 172.25.250.100; sleep 0.1; done

一堆10中会出现一个20，这是超过最大连接数后会调度到20上

测试完后改回maxconnect

动态算法

●基于后端服务器状态进行调度适当调整，

●新请求将优先调度至当前负载较低的服务器

●权重可以在haproxy 运行时动态调整无需重启

roundrobin

1.基于权重的轮询动态调度算法，

2.支持权重的运行时调整，不同于Ivs中的rr轮训模式，

3.HAProxy 中的roundrobin 支持慢启动(新加的服务器会逐渐增加转发数),

4.其每个后端backend 中最多支持4095个real server,

5.支持对real server权重动态调整，

6.roundrobin 为默认调度算法，此算法使用广泛

支持慢启动

示例

leastconn

leastconn加权的最少连接的动态，将新的连接请求分配给当前连接数最少的服务器，以此来达到负载均衡的目的。
支持权重的运行时调整和慢启动，即：根据当前连接最少的后端服务器而非权重进行优先调度(新客户端连接)
比较适合长连接的场景使用，比如：MySQL 等场景。

示例

其他算法

其它算法即可作为静态算法，又可以通过选项成为动态算法

source

源地址hash, 基于用户源地址hash并将请求转发到后端服务器，后续同一个源地址请求将被转发至同一个后端web 服务器。此方式当后端服务器数据量发生变化时，会导致很多用户的请求转发至新的后端服务器，默认为静态方式，但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP 模式下使用，也可给拒绝会话cookie的客户提供最好的会话粘性，适用于session会话保持但不支持

cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式，分别是取模法和一致性hash

示例

测试

如果访问客户端时一个家庭，那么所有的家庭的访问流量都会被定向到一台服务器，这时source算法的缺陷

map-base取模法

取模法用的较少，所以后续仅作示例，常用hash一致性算法

map-based: 取模法，对source地址进行hash计算，再基于服务器总权重的取模，最终结果决定将此请求转发至对应的后端服务器。

此方法是静态的，即不支持在线调整权重，不支持慢启动，可实现对后端服务器均衡调度

缺点是当服务器的总权重发生变化时，即有服务器上线或下线，都会因总权重发生变化而导致调度结果整体改变，hash-type 指定的默认值为此算法

所谓取模运算，就是计算两个数相除之后的余数，10%7=3,7%4=3

map-based 算法：基于权重取模，hash(source_ip)%所有后端服务器相加的总权重

比如当源hash值时1111,1112,1113,三台服务器a b c的权重均为1,

即abc的调度标签分别会被设定为012(1111%3=1,1112%3=2,1113%3=0) 假设a 为0,1113主机会被调度到a上，

如果a下线后，权重数量发生变化

1111%2=1,1112%2=0,1113%2=1

1112和1113被调度到的主机都发生变化，这样会导致会话丢失

示例

一致性hash

一致性哈希，当服务器的总权重发生变化时，对调度结果影响是局部的，不会引起大的变动hash(o)

mod n

该hash 算法是动态的，支持使用socat 等工具进行在线权重调整，支持慢启动

1、后端服务器哈希环点keyA=hash (后端服务器虚拟ip)%(2^32)

2、客户机哈希环点keyl=hash(client_ip)%(2^32) 得到的值在[0---4294967295]之间，

3、将keyA 和keyl 都放在hash 环上，将用户请求调度到离key1 最近的keyA 对应的后端服务器

hash 环偏斜问题

增加虚拟服务器IP 数量，比如：一个后端服务器根据权重为1生成1000个虚拟IP, 再 hash 。而后端服务器权重为2则生成2000的虚拟IP, 再bash, 最终在hash 环上生成3000个节点，从而解决hash 环偏斜问题

hash对象

Hash 对象到后端服务器的映射关系：

一致性hash 示意图

示例

source 变成hash一致性

uri

基于对用户请求的URI的左半部分或整个uri做hash, 再将hash 结果对总权重进行取模后

根据最终结果将请求转发到后端指定服务器

适用于后端是缓存服务器场景

默认是静态算法，也可以通过hash-type 指定map-based 和consistent, 来定义使用取模法还是一致性 hash

注意：此算法基于应用层，所以只支持mode http,不支持mode tcp，也就是只支持七层不支持四层

<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag> 左半部分：/<path>;<params>
整个uri:/<path>;<params>?<query>#<frag>

uri取模法配置示例

uri一致性hash 配置示例

访问测试

访问不同的uri, 确认可以将用户同样的请求转发至相同的服务器

如图所示访问不同的uri, 确认可以将用户同样的请求转发至相同的服务器

url_param

url_param 对用户请求的url中的 params 部分中的一个参数key对应的value值作hash 计算，并由服务器总权重相除以后派发至某挑出的服务器，后端搜索同一个数据会被调度到同一个服务器，多用与电商

通常用于追踪用户，以确保来自同一个用户的请求始终发往同一个real server

如果无没key, 将按roundrobin 算法

#假设：
url=http://www.timinglee.com/foo/bar/index.php?key=value

#则：
host="www.timinglee.com"   url_param="key=value"

url_param取模法配置示例

url_param一致性hash 配置示例

测试访问

如图

hdr

针对用户每个http 头部(header) 请求中的指定信息做hash, 此处由name 指定的http 首部将会被取出并做hash计算，

然后由服务器总权重取模以后派发至某挑出的服务器，如果无有效值，则会使用默认的轮询调度。

hdr取模法配置示例

一致性hash 配置示例

测试访问

算法总结

#静态
static-rr--------->tcp/http

#动态
roundrobin-------->tcp/http leastconn--------->tcp/http
random------------>tcp/http

#以下静态和动态取决于hash_type   是否consistent
source------------>tcp/http
Uri--------------->http
url_param--------->http
hdr--------------->http



first	#使用较少
static-rr	#做了session  共享的web集群
roundrobin random	
leastconn	#数据库
source	

#基于客户端公网IP 的会话保持	
Uri--------------->http   	#缓存服务器，CDN服务商，蓝汛、百度、阿里云、腾讯 
url_param--------->http     #可以实现session 保持
hdr                         #基于客户端请求报文头部做下一步处理

高级功能及配置

基于cookie的会话保持

cookie value:为当前server 指定cookie 值，实现基于cookie 的会话黏性，相对于基于source 地址，hash 调度算法对客户端的粒度更精准，但同时也加大了haproxy 负载，目前此模式使用较少，已经被 session共享服务器代替

注意：不支持 tcp mode,使用http mode

配置选项

cookie   name   [rewrite   | insert  |   prefix   ][ indirect   ][ nocache   ][postonly   ][ preserve   ][httponly     ][secure     ][domain    ]*[maxidle   <idle>][maxlife         ]


name:  #cookie     的 key 名称，用于实现持久连接 
insert:    #插入新的cookie, 默认不插入cookie
indirect: #如果客户端已经有cookie,    则不会再发送cookie   信息
nocache:  #当client    和hapoxy  之间有缓存服务器(如：CDN) 时，不允许中间缓存器缓存cookie, #因为这会导致很多经过同一个CDN的请求都发送到同一台后端服务器

cookie name [rewrite | insert | prefix ][ indirect ][ nocache ][postonly ][ preserve ][httponly ][secure ][domain ]*[maxidle <idle>][maxlife ]

配置示例

访问测试

可以看到cookie是我们设置的值

状态页

访问测试

IP透传

web 服务器中需要记录客户端的真实IP地址，用于做访问统计、安全防护、行为分析、区域排行等场景。不做透传是无法看到谁发送的请求，RS只能看到haproxy的ip

layer 4与layer 7

四层：IP+PORT 转发

七层：协议+内容交换

四层负载

在四层负载设备中，把client发送的报文目标地址(原来是负载均衡设备的IP地址),根据均衡设备设置的选择web 服务器的规则选择对应的web 服务器IP 地址，这样client 就可以直接跟此服务器建立TCP 连接并发送数据，而四层负载自身不参与建立连接，而和LVS不同，haproxy 是伪四层负载均衡，因为haproxy 需要分别和前端客户端及后端服务器建立连接

七层代理

七层负载均衡服务器起了一个反向代理服务器的作用，服务器建立一次TCP 连接要三次握手，而client要访问Web Server要先与七层负载设备进行三次握手后建立TCP连接，把要访问的报文信息发送给七层负载均衡；然后七层负载均衡再根据设置的均衡规则选择特定的 Web Server,然后通过三次握手与此台

Web Server建立TCP 连接，然后Web Server把需要的数据发送给七层负载均衡设备，负载均衡设备再把数据发送给client;所以，七层负载均衡设备起到了代理服务器的作用，七层代理需要和Client和后端服务器分别建立连接

四层IP 透传

haproxy上

server1

重启服务

访问一下172.25.250.100然后查看日志

七层IP透传

在由haproxy 发往后端主机的请求报文中添加“"X-Forwarded-For" 首部，其值为前端客户端的地址；用于向后端主发送真实的客户端IP

示例

ACL

访问控制列表ACL,Access Control Lists) 是一种基于包过滤的访问控制技术

它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配)即对接收到的报文进行匹配和过滤，基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、 URL、文件后缀等信息内容进行匹配并执行进一步操作，比如允许其通过或丢弃。

ACL-criterion 匹配规范

hdr string,提取在一个HTTP 请求报文的首部

hdr([<name>[,<0cc>]]): 完全匹配字符串，header 的指定信息，<0CC> 表示在多值中使用的值的出

现次数

hdr_beg([<name>[,<0Cc>]]): 前缀匹配，header 中指定匹配内容的begin

hdr_end([<name>[,<0Cc>]]): 后缀匹配，header 中指定匹配内容end

hdr_dom([<name>[,<0Cc>]]): 域匹配，header 中的domain name(host)

hdr_dir([<name>[,<0Cc>]]): 路径匹配，header 的uri 路径

hdr_len([<name>[,<0cc>]]): 长度匹配，header 的长度匹配

hdr_reg([<name>[,<0Cc>]]): 正则表达式匹配，自定义表达式(regex) 模糊匹配

hdr_sub([<name>[,<0cc>]]): 子串匹配，header 中的uri 模糊匹配模糊匹配c 洪湖报文中a/b/c

也会匹配

#示例：

hdr(<string>) 用于测试请求头部首部指定内容

hdr_dom(host) 请求的host 名称，如 www.timinglee.org

hdr_beg(host) 请求的host 开头，如www.img.video. download. ftp.

hdr_end(host) 请求的host 结尾，如 .com .net .cn

#示例：

acl bad_agent hdr_sub(User-Agent)-i curl wget

block if bad_agent

#有些功能是类似的，比如以下几个都是匹配用户请求报文中host 的开头是不是www

acl short_form hdr_beg(host) WwW.

acl alternate1 hdr_beg(host)-m beg www. acl alternate2 hdr_dom(host)-m beg www.

acl alternate3 hdr(host) -m beg www.

base:string

#返回第一个主机头和请求的路径部分的连接，该请求从主机名开始，并在问号之前结束，对虚拟主机有用 <scheme>://<user>:<password>@#<host>:<port>/<path>;<params>#?<query>#<frag>

base :exact string match

base_beg :prefix match

base_dir:subdir match

base_dom:domain match

base_end :suffix match

base_len:length match

base_reg :regex match

base_sub :substring match

path:string

#提取请求的URL 路径，该路径从第一个斜杠开始，并在问号之前结束(无主机部分)

改本地解析

C:\Windows\System32\drivers\etc、

hdr——dom

hdr_beg

hdr_beg请求的host开头，如www. img. bbs.

重启服务

改解析

测试

匹配上了就是web1

没有匹配上就是20

hdr_end

重启服务

测试结果

base: string

#返回第一个主机头和请求的路径部分的连接，该请求从第一个斜杠开始，并在问号之前结束,对虚拟主机有用

base_sub

sub就是网址整个一段中包含lee就算

不管是域名还是路径

base_reg

正则表达式匹配

这里是匹配以lee结尾的正则

测试

path

#提取请求的URL路径，该路径从第一个斜杠开始，并在问号之前结束（无主机部分）

domin基于域名

指定的域名导向webcluster

否则导向default-host

基于源ip或子网段

指定来源都拒绝

匹配浏览器类型

拒绝curl和 wget的访问

基于文件后缀名实现动静分离

匹配访问路径实现动静分离

自定义HAProxy 错误界面

停止10web和20nginx的服务

编写文件

指定创建的文件

重启hapraxy

然后去网页访问

重定向错误界面

重启

在网页测试访问

HAProxy https实现

haproxy 可以实现https 的证书安全，从用户到haproxy 为https, 从haproxy 到后端服务器用http 通信但基于性能考虑，生产中证书都是在后端服务器比如nginx 上实现

重启服务

测试

Webston

关注

16
点赞
踩
19

收藏

觉得还不错? 一键收藏
0
评论
HAProxy基本配置及参数实操

静态#动态#以下静态和动态取决于hash_type 是否consistentfirst #使用较少static-rr #做了session 共享的web集群leastconn #数据库source#基于客户端公网IP 的会话保持Uri--------------->http #缓存服务器，CDN服务商，蓝汛、百度、阿里云、腾讯url_param--------->http #可以实现session 保持hdr #基于客户端请求报文头部做下一步处理高。
复制链接

扫一扫