Haproxy部署Web群集

一、常见的Web集群调度器

  • 目前常见的Web集群调度器分为软件和硬件

  • 软件通常使用开源的LVS、Haproxy、Nginx

        LVS性能最好,但是搭建相对复杂;Nginx的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有Haproxy好

  • LVS、Nginx、Haproxy各自优缺点

  • Nginx的优点

        工作在网络的7层之上,可以针对http应用做一些分流的策略,比如针对域名、目录结构。Nginx正则规则比HAProxy更为强大和灵活。
        Nginx对网络稳定性的依赖非常小,理论上能ping通就就能进行负载功能,LVS对网络稳定性依赖比较大,稳定要求相对更高。
        Nginx安装和配置、测试比较简单、方便,有清晰的日志用于排查和管理,LVS的配置、测试就要花比较长的时间了。
        可以承担高负载压力且稳定,一般能支撑几万次的并发量,负载度比LVS相对小些。
        Nginx可以通过端口检测到服务器内部的故障,比如根据服务器处理网页返回的状态码、超时等等。
        Nginx不仅仅是一款优秀的负载均衡器/反向代理软件,它同时也是功能强大的Web应用服务器。
        Nginx作为Web正向加速缓存越来越成熟了,速度比传统的Squid服务器更快,很多场景下都将其作为向代理加速器。
        Nginx作为静态网页和图片服务器,这方面的性能非常优秀,同时第三方模块也很多。

  • Nginx的缺点

        Nginx仅能支持http、https和Email协议,这样就在适用范围上面小些。
        对后端服务器的健康检查,只支持通过端口来检测,不支持通过url来检测。
        不支持Session的直接保持,需要通过ip_hash和cookie的引导来解决。

  • LVS的优点

        抗负载能力强、是工作在网络4层之上仅作分发之用,没有流量的产生。因此负载均衡软件里的性能最强的,对内存和cpu资源消耗比较低。
        LVS工作稳定,因为其本身抗负载能力很强,自身有完整的双机热备方案。
        无流量,LVS只分发请求,而流量并不从它本身出去,这点保证了均衡器IO的性能不会收到大流量的影响。
        应用范围较广,因为LVS工作在4层,所以它几乎可对所有应用做负载均衡,包括http、数据库等。

  • LVS的缺点

        软件本身不支持正则表达式处理,不能做动静分离。相对来说,Nginx/HAProxy+Keepalived则具有明显的优势。
        如果是网站应用比较庞大的话,LVS/DR+Keepalived实施起来就比较复杂了。相对来说,Nginx/HAProxy+Keepalived就简单多了。

  • HAProxy的优点

        HAProxy也是支持虚拟主机的。
        HAProxy支持8种负载均衡策略。
        HAProxy的优点能够补充Nginx的一些缺点,比如支持Session的保持,Cookie的引导,同时支持通过获取指定的url来检测后端服务器的状态。
        HAProxy跟LVS类似,本身就只是一款负载均衡软件,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。
        HAProxy支持TCP协议的负载均衡转发。

  • LVS、Nginx、HAproxy的区别

        LVS基于Linux操作系统内核实现软负载均衡,而HAProxy和Nginx是基于第三方应用实现的软负载均衡;
        LVS是可实现4层的IP负载均衡技术,无法实现基于目录、URL的转发。而HAProxy和Nginx都可以实现4层和7层技术,HAProxy可提供TCP和HTTP应用的负载均衡综合解决方案;
        LVS因为工作在ISO模型的第四层,其状态监测功能单一,而HAProxy在状态监测方面功能更丰富、强大,可支持端口、URL、脚本等多种状态检测方式;
        HAProxy功能强大,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。但整体性能低于4层模式的LVS负载均衡;
        Nginx主要用于Web服务器或缓存服务器。Nginx的upstream模块虽然也支持群集功能,但是性能没有LVS和Haproxy好,对群集节点健康检查功能不强,只支持通过端口来检测,不支持通过URL来检测。

  • 硬件一般使用比较多的是F5、Array,也有很多人使用国内的一些产品,如梭子鱼、绿盟等

二、Haproxy应用分析

  • LVS在企业应用中抗负载能力很强,但存在不足

        LVS不支持正则处理,不能实现动静分离

        对于大型网站,LVS的实施配置复杂,维护成本相对较高

  • Haproxy是一款可提供高可用性、负载均衡、及基于TCP和HTTP应用的代理软件

        适用于负载大的Web站点

        运行在硬件上可支持数以万计的高并发连接的连接请求

        HAProxy是可提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,是免费、快速并且可靠的一种解决方案。HAProxy非常适用于并发大(并发达1w以上)web站点,这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中,同时可以保护web服务器不被暴露到网络上。

  • HAProxy的主要特性

        可靠性和稳定性非常好,可以与硬件级的F5负载均衡设备相媲美;
        最高可以同时维护40000-50000个并发连接,单位时间内处理的最大请求数为20000个,最大处理能力可达10Git/s;
        支持多达8种负载均衡算法
        支持Session会话保持,Cookie的引导;
        支持通过获取指定的url来检测后端服务器的状态;
        支持虚机主机功能,从而实现web负载均衡更加灵活;
        支持连接拒绝、全透明代理等独特的功能;
        拥有强大的ACL支持,用于访问控制;
        支持TCP和HTTP协议的负载均衡转发;
        支持客户端的keepalive功能,减少客户端与haproxy的多次三次握手导致资源浪费,让多个请求在一个tcp连接中完成

  • HAProxy负载均衡策略

        roundrobin,表示简单的轮询
        static-rr,表示根据权重
        leastconn,表示最少连接者先处理
        source,表示根据请求源IP
        uri,表示根据请求的URI,做cdn需使用;
        url_param,表示根据请求的URl参数'balance url_param' requires an URL parameter name
        hdr(name),表示根据HTTP请求头来锁定每一次HTTP请求;
        rdp-cookie(name),表示根据cookie(name)来锁定并哈希每一次TCP请求。

三、Haproxy调度算法原理

  • Haproxy支持多种调度算法,最常用的有三种

  • RR

        RR算法是最简单最常用的一种算法,即轮询调度

  • LC

        最小连接数算法,根据后端的节点连接数大小动态分配前端请求

  • SH

        基于来源访问调度算法,用于一些有session会话记录在服务器端的场景,可以基于来源IP、Cookie等做集群调度

四、Haproxy部署

  • 初始化操作
systemctl stop firewalld
setenforce 0
vim /etc/selinux/config

SELINUX=disabled

cd /opt/
拖入安装包
tar xf haproxy-2.8.9.tar.gz

yum install -y gcc gcc-c++ make zlib-devel pre-devel openssl-devel systemd-devel            #安装依赖包

useradd -M -s /sbin/nologin haproxy            #创建用户
make ARCH=x86_64 TARGET=linux-glibc USE_PCRE=1 USE_OPENSSL=1 USE_ZLIB=1 USE_SYSTEMD=1            #编译指定模块
make install PREFIX=/usr/local/haproxy            #安装到指定目录

cd examples/
mkdir /etc/haproxy            ##创建存放配置文件目录
cp quick-test.cfg /etc/haproxy/haproxy.cfg            #复制配置文件

vim haproxy.init            #查看启动配置脚本

cp haproxy.init /etc/init.d/haproxy
cd /etc/init.d/
ll

chmod +x /etc/init.d/haproxy            #添加执行权限

cd /usr/local/haproxy/
ls sbin/
ln -s /usr/local/haproxy/sbin/haproxy /usr/sbin/            #制作链接

haproxy -v            #查看版本号
chkconfig --add haproxy            #添加haproxy            
chkconfig --list haproxy
chkconfig --level 35 haproxy on            #设置开机自启
chkconfig --list haproxy

service haproxy start            #启动

  • 配置文件共5个域

        global:用于配置全局参数
        default:用于配置所有frontend和backend的默认属性
        frontend:用于配置前端服务(即HAProxy自身提供的服务)实例
        backend:用于配置后端服务(即HAProxy后面接的服务)实例组
        listen:frontend + backend的组合配置,可以理解成更简洁的配置方法,frontend域和backend域中所有的配置都可以配置在listen域下

#该配置可直接用于生产环境
vim haproxy.cfg
global		#全局配置,主要用于定义全局参数,属于进程级的配置,通常和操作系统配置有关
    #将info(及以上)的日志发送到rsyslog的local0接口,将warning(及以上)的日志发送到rsyslog的local1接口
    log 127.0.0.1 local0 info
    log 127.0.0.1 local1 warning	
	
    maxconn 30000			            #最大连接数,HAProxy 要求系统的 ulimit -n 参数大于 maxconn*2+18

    #chroot /var/lib/haproxy            #修改haproxy工作目录至指定目录,一般需将此行注释掉
    pidfile     /var/run/haproxy.pid    #指定保存HAProxy进程号的文件
    user haproxy            #以指定的用户名身份运行haproxy进程
    group haproxy           #以指定的组名运行haproxy,以免因权限问题带来风险
    daemon					#让haproxy以守护进程的方式工作于后台
    #nbproc 1				#指定启动的haproxy进程个数,只能用于守护进程模式的haproxy,默认只启动一个进程。haproxy是单进程、事件驱动模型的软件,单进程下工作效率已经非常好,不建议开启多进程
    spread-checks 2         #在haproxy后端有着众多服务器的场景中,在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题;此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长;默认为0,官方建议设置为2到5之间。

defaults   	#配置默认参数,这些参数可以被用到listen,frontend,backend组件     
    log     global			#所有前端都默认使用global中的日志配置
    mode    http			#模式为http(7层代理http,4层代理tcp)
    option  http-keep-alive #使用keepAlive连接,后端为静态建议使用http-keep-alive,后端为动态应用程序建议使用http-server-close
    option  forwardfor      #记录客户端IP在X-Forwarded-For头域中,haproxy将在发往后端的请求中加上"X-Forwarded-For"首部字段
    option  httplog			#开启httplog,在日志中记录http请求、session信息等。http模式时开启httplog,tcp模式时开启tcplog
    option  dontlognull		#不在日志中记录空连接
    option  redispatch		#当某后端down掉使得haproxy无法转发携带cookie的请求到该后端时,将其转发到别的后端上
    option  abortonclose    #当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接
    maxconn 20000			#最大连接数,“defaults”中的值不能超过“global”段中的定义
    retries 3               #定义连接后端服务器的失败重连次数,连接失败次数超过此值后会将对应后端服务器标记为不可用
    #contimeout 5000        #设置连接超时时间,默认单位是毫秒
    #clitimeout 50000       #设置客户端超时时间,默认单位是毫秒
    #srvtimeout 50000       #设置服务器超时时间,默认单位是毫秒
    timeout http-request 2s 	#默认http请求超时时间,此为等待客户端发送完整请求的最大时长,用于避免类DoS攻击。haproxy总是要求一次请求或响应全部发送完成后才会处理、转发
    timeout queue 3s   	    #默认客户端请求在队列中的最大时长
    timeout connect 1s		#默认haproxy和服务端建立连接的最大时长,新版本中替代contimeout,该参数向后兼容
    timeout client 10s		#默认和客户端保持空闲连接的超时时长,在高并发下可稍微短一点,可设置为10秒以尽快释放连接,新版本中替代clitimeout
    timeout server 2s		#默认和服务端保持空闲连接的超时时长,局域网内建立连接很快,所以尽量设置短一些,特别是高并发时,新版本中替代srvtimeout
    timeout http-keep-alive 10s		#默认和客户端保持长连接的最大时长。优先级高于timeout http-request 也高于timeout client
    timeout check 2s		#和后端服务器成功建立连接后到最终完成检查的最大时长(不包括建立连接的时间,只是读取到检查结果的时长)

frontend http-in    #定义前端域
    bind *:80                        #设置监听地址和端口,指定为*或0.0.0.0时,将监听当前系统的所有IPv4地址
    maxconn 18000                    #定义此端口上的maxconn
	
    acl url_static1   path_beg  -i /static /images                          #定义ACL,当uri以定义的路径开头时,ACL[url_static1]为true
    acl url_static2   path_end  -i .jpg .jpeg .gif .png .html .htm .txt     #定义ACL,当uri以定义的路径结尾时,ACL[url_static2]为true

    use_backend ms1 if url_static1       #当[url_static1]为true时,定向到后端域ms1中
    use_backend ms2 if url_static2       #当[url_static2]为true时,定向到后端域ms2中
    default_backend dynamic_group        #其他情况时,定向到后端域dynamic_group中

backend ms1    #定义后端域ms1
    balance            roundrobin        #使用轮询算法
    option httpchk     GET /test.html   #表示基于http协议来做健康状况检查,只有返回状态码为2xx或3xx的才认为是健康的,其余所有状态码都认为不健康。不设置该选项时,默认采用tcp做健康检查,只要能建立tcp就表示健康。
    server ms1.inst1 192.168.80.100:80 maxconn 5000 check inter 2000 rise 2 fall 3
    server ms1.inst2 192.168.80.100:81 maxconn 5000 check        #同上,inter 2000 rise 2 fall 3是默认值,可以省略

backend ms2    #定义后端域ms2
    balance roundrobin
    option httpchk     GET /test.html
    server ms2.inst1 192.168.80.101:80 maxconn 5000 check
    server ms2.inst2 192.168.80.101:81 maxconn 5000 check

backend dynamic_group    #定义后端域dynamic_group
    balance roundrobin
    option http-server-close
    cookie HA_STICKY_dy insert indirect nocache    
    server appsrv1 192.168.80.100:8080 cookie appsrv1 maxconn 5000 check
    server appsrv2 192.168.80.101:8080 cookie appsrv2 maxconn 5000 check

listen stats    #定义监控页面
    bind *:1080                   #绑定端口1080
    stats enable                  #启用统计报告监控
    stats refresh 30s             #每30秒更新监控数据
    stats uri /stats              #访问监控页面的uri
    stats realm HAProxy\ Stats    #监控页面的认证提示
    stats auth admin:admin        #监控页面的用户名和密码

认证密码处改为        admin:admin123
service haproxy restart            #重启haproxy服务

#若过程重启失败
haproxy -c -f 脚本文件            #查看脚本文件内容错误位置
  • 另准备两台服务器(准备好nginx和tomcat的包)
systemctl stop firewalld
setenforce 0

vim /etc/selinux/config

SELINUX=disabled
#服务器1
cd /opt/
传入安装包
rpm -ivh nginx-1.24.0-1.el7.ngx.x86_64.rpm

cd /usr/share/nginx/html
echo '<h1>this is test web1 page!</h1>' > test.html
systemctl start nginx
systemctl enable nginx

#服务器2不同处
echo '<h1>this is test web2 page!</h1>' > test.html

#服务器1
cd /opt/
tar xf apache-tomcat-9.0.16_\(1\).tar.gz
mv apache-tomcat-9.0.16 /usr/local/tomcat
cd /usr/local/tomcat
./bin/startup.sh

#服务器2操作相同

测试状态页面

nginx与tomcat

#服务器1
cd wehapps/ROOT/


vim test.jsp

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<body>
<% out.println("动态页面1"); %>
</body>
</html>

#服务器2不同处
vim test.jsp

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<body>
<% out.println("动态页面2"); %>
</body>
</html>

tomcat动态页面测试

haproxy相关测试(动态页面)

刷新

静态页面测试

刷新

  • 实现会话保持(haproxy服务器)

vim /etc/haproxy/haproxy.cfg

 52         cookie HA_STICKY_dy insert indirect nocache            #解注释
 53         server tomcat.inst1 192.168.80.6:8080 cookie tomcat.inst1 maxconn 10000 check     inter 2000 rise 2 fall 3
 54         server tomcat.inst2 192.168.80.16:8080 cookie tomcat.inst2 maxconn 10000 chec    k inter 2000 rise 2 fall 3            #添加cookie配置


service haproxy restart            #重启服务

测试(静态页面)

刷新

动态页面测试

刷新后页面不发生变化

  • haproxy提供了3种实现会话保持的方式

        源地址hash

        设置cookie


        会话粘性表stick-table


若移走一台服务器中的test.html

cd /usr/local/nginx/html
mv test.html /opt/

测试静态页面

刷新后页面不变

五、haproxy的日志输出

默认 haproxy 的日志是输出到系统的 syslog 中,查看起来不是非常方便,为了更好的管理 haproxy 的日志,我们在生产环境中一般单独定义出来。需要将 haproxy 的 info 及 notice 日志分别记录到不同的日志文件中

//方法一
vim /etc/haproxy/haproxy.cfg
global
	log /dev/log local0 info
	log /dev/log local0 notice
    ......

defaults
    ......
    log global
    ......

#需要修改rsyslog配置,为了便于管理。将haproxy相关的配置独立定义到haproxy.conf,并放到/etc/rsyslog.d/下,rsyslog启动时会自动加载此目录下的所有配置文件。
vim /etc/rsyslog.d/haproxy.conf
if ($programname == 'haproxy' and $syslogseverity-text == 'info')
then -/var/log/haproxy/haproxy-info.log
&~
if ($programname == 'haproxy' and $syslogseverity-text == 'notice')
then -/var/log/haproxy/haproxy-notice.log
&~

#说明:
这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下,将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后,rsyslog停止处理这个信息。

service rsyslog restart
service haproxy restart

tail -f /var/log/haproxy/haproxy-info.log		#查看haproxy的访问请求日志信息


//方法二
#修改haproxy.cfg,将info及以上级别的日志发送到rsyslog的local0接口,将warning及以上级别的日志发送到rsyslog的local1接口
vim /etc/haproxy/haproxy.cfg
global
    ......
    log 127.0.0.1 local0 info
    log 127.0.0.1 local1 warning
    ......

defaults
    ......
    log global
    ......

#注:信息级日志会打印HAProxy 的每一条请求处理,会占用大量的磁盘空间,在生产环境中,将日志级别调整为notice


#为 rsyslog 添加 haproxy 日志的配置
mkdir /var/log/haproxy

vim /etc/rsyslog.d/haproxy.conf
$ModLoad imudp
$UDPServerRun 514
$FileCreateMode 0644                               #日志文件的权限
$FileOwner haproxy                                 #日志文件的owner
local0.*     /var/log/haproxy/haproxy.log          #local0接口对应的日志输出文件
local1.*     /var/log/haproxy/haproxy_warn.log     #local1接口对应的日志输出文件

#修改 rsyslog 的启动参数
vim /etc/sysconfig/rsyslog
......
SYSLOGD_OPTIONS="-c 2 -r -m 0"

#重启 rsyslog 和 HAProxy
service rsyslog restart
service haproxy restart

tail -f /var/log/haproxy/haproxy.log
  • 方法二演示(haproxy服务器)
vim haproxy.cfg

cd/ etc/rsyslog.d/
vim haproxy.conf

mkdir /var/log/haproxy
vim /etc/sysconfig/rsyslog

service rsyslog restart
service haproxy restart

cd /var/log/haproxy
ls
vim haproxy_warn.log

六、使用 Keepalived 实现 HAProxy 高可用

yum install -y keepalived


vim /etc/keepalived/check_haproxy.sh
#!/bin/bash
#使用killall -0检查haproxy实例是否存在,性能高于ps命令
if ! killall -0 haproxy; then
  systemctl stop keepalived
fi


chmod +x /etc/keepalived/check_haproxy.sh

vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
    router_id LVS_HA1    #虚拟路由名称
}

#HAProxy健康检查配置
vrrp_script chk_haproxy {
    script "/etc/keepalived/check_haproxy.sh"    #指定健康检查脚本
    interval 2                                   #脚本运行周期
    weight 2                                     #每次检查的加权权重值
}

#虚拟路由配置
vrrp_instance VI_1 {
    state MASTER              #本机实例状态,MASTER/BACKUP,备机配置文件中设置BACKUP
    interface ens33           #本机网卡名称,使用ifconfig命令查看
    virtual_router_id 51      #虚拟路由编号,主备机保持一致
    priority 100              #本机初始权重,备机设置小于主机的值
    advert_int 1              #争抢虚地址的周期,秒
    virtual_ipaddress {
        192.168.80.100        #虚地址IP,主备机保持一致
    }
    track_script {
        chk_haproxy           #对应的健康检查配置
    }
}


systemctl start keepalived

ip addr

#停掉当前MASTER主机的HAProxy实例,进行故障切换测试
service haproxy stop

七、内核优化

vim /etc/sysctl.conf
#开启重用。允许将TIME-WAITsockets重用于新的TCP连接,默认0,表示关闭;
net.ipv4.tcp_tw_reuse = 1
#用于向外连接的端口范围。缺省情况下很小
net.ipv4.ip_local_port_range = 1024 65535
#SYN队列长度,记录尚未收到客户端确认信息的连接请求的最大值。默认为1024,加大队列长度可容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_syn_backlog = 10240
#表示系统同时保持TIME_WAIT最大数量,如果超过,TIME_WAIT将立刻被清除并打印警告信息。默认180000,此项参数可控制TIME_WAIT 最大数量
net.ipv4.tcp_max_tw_buckets = 5000
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如超过,连接将即刻被复位并打印警告信息,这个限制仅是为防止简单的DoS攻击,不能过分依靠它或人为减小这个值,更应该增加这个值(如果增加内存后)
net.ipv4.tcp_max_orphans = 3276800
#为打开对端的连接,内核需发送个SYN并附带个回应前一个SYN的ACK。即三次握手中的第二次握手。该设置决定内核放弃连接前发SYN+ACK包的数量。
net.ipv4.tcp_synack_retries = 3
#如web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而 nginx 定义的 NGX_LISTEN_BACKLOG 默认511,所以有必要调整这个值。
net.core.somaxconn = 32768


sysctl -p
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值