使用Haproxy,Keepalived,Tproxy实现高可用透明反向代理

最新推荐文章于 2023-01-04 22:53:51 发布
最新推荐文章于 2023-01-04 22:53:51 发布
阅读量2.5k 收藏
点赞数
分类专栏: linux运维技术

Tproxy     //tproxy实现透明代理


声明
本文为Gleasy原创文章,转载请指明引自Gleasy团队博客

一。需求场景

具体需求如下:
4台Server,2台为Proxy Server,2台为Web Server,均为双网卡;
1个公网IP(183.129.228.91);
要求如下:
1. 2台Proxy Server反向代理2台WEB Server,作负载均衡
2. 2台Proxy Server为主备模式,公网IP在两台Server之间自动切换
3. Proxy Server作透明代理(web server日志中要记录真实的访问IP)

二。配置步骤
1. 安装软件(proxy server)
Gleasy有自己的Yum库,全部软件已经打成RPM包供安装;
其中haproxy打包时使用了下面的参数:

1make TARGET=linux26 CPU=x86_64 USE_STATIC_PCRE=1 USE_LINUX_TPROXY=1
2make install target=linux26

安装:

1yum install keepalived
2yum install haproxy

 

2. 配置keepalived(proxy server)
配置主:

01vrrp_instance VI_3{
02    interface eth1 #这里的eth1是内网(192.168.1.X网段)的网卡!!!
03    state MASTER
04    priority 100 #从为99
05    virtual_router_id 101#路由ID,可通过#tcpdump vrrp查看。
06    garp_master_delay 1 #主从切换时间,单位为秒。
07 
08    advert_int 1 #检查间隔,默认1秒
09    authentication {
10        auth_type PASS
11        auth_pass KJj23576hYgu23IP
12    }
13    virtual_ipaddress {
14        192.168.1.1/32 dev eth1
15        183.129.228.91/27 brd 183.129.228.95 dev eth0
16    }
17    virtual_routes {
18        via 183.129.228.65 dev eth0
19    }
20}

 

配置备:

01vrrp_instance VI_3{
02    interface eth1 #这里的eth1是内网(192.168.1.X网段)的网卡!!!
03    state BACKUP #
04    priority 99 # 主为100
05    virtual_router_id 101#路由ID,可通过#tcpdump vrrp查看。
06    garp_master_delay 1 #主从切换时间,单位为秒。
07 
08    advert_int 1 #检查间隔,默认1秒
09    authentication {
10        auth_type PASS
11        auth_pass KJj23576hYgu23IP
12    }
13    virtual_ipaddress {
14        192.168.1.1/32 dev eth1
15        183.129.228.91/27 brd 183.129.228.95 dev eth0
16    }
17    virtual_routes {
18        via 183.129.228.65 dev eth0
19    }  
20}

 

3. 配置tproxy(proxy server)

01#!/bin/sh
02/sbin/iptables -I FORWARD -i eth+ -j ACCEPT
03/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
04/sbin/iptables -t mangle -N DIVERT
05/sbin/iptables -t mangle -A PREROUTING -p tcp -m socket -j DIVERT
06/sbin/iptables -t mangle -A DIVERT -j MARK --set-mark 1
07/sbin/iptables -t mangle -A DIVERT -j ACCEPT
08  
09/sbin/ip rule add fwmark 1 lookup 100
10/sbin/ip route add local 0.0.0.0/0 dev lo table 100
11 
12echo 1 > /proc/sys/net/ipv4/conf/all/forwarding
13echo 1 > /proc/sys/net/ipv4/conf/all/send_redirects
14echo 1 > /proc/sys/net/ipv4/conf/eth0/send_redirects

 

4. 配置haproxy(proxy server)

01global
02    log         127.0.0.1 local3 err
03    chroot      /usr/local/haproxy
04    maxconn     13000
05    daemon
06    nbproc  4   #设置并发进程
07    pidfile     /usr/local/haproxy/logs/haproxy.pid
08 
09defaults
10    log         global
11    option      dontlognull     # 不记录空连接
12    option      redispatch
13    timeout connect 50000
14    timeout client 120000
15    timeout server 120000
16    maxconn     10000
17    balance roundrobin   # 设置服务器分配算法
18    retries     5  # 重连次数 
19    errorfile 400 /usr/local/haproxy/html/400.http
20    errorfile 403 /usr/local/haproxy/html/403.http
21    errorfile 408 /usr/local/haproxy/html/408.http
22    errorfile 500 /usr/local/haproxy/html/500.http
23    errorfile 502 /usr/local/haproxy/html/502.http
24    errorfile 503 /usr/local/haproxy/html/503.http
25    errorfile 504 /usr/local/haproxy/html/504.http
26 
27 
28frontend proxy-80
29    bind            *:80
30    mode            http
31    option          httplog
32    option          dontlognull
33    option          forwardfor # This sets X-Forwarded-For
34    option          http_proxy
35    maxconn         13000
36    timeout client  50s
37    timeout http-keep-alive 1s
38    timeout http-request 10s
39    default_backend proxy-80
40   
41 
42#backend配置
43backend proxy-80
44    mode            http
45    timeout server 120s
46    timeout connect 50s
47    option          nolinger
48    option          http_proxy
49    option          forwardfor # This sets X-Forwarded-For
50    option          httplog
51    option          http-server-close
52    cookie          JSESSIONID prefix
53    stats           enable
54    balance         roundrobin
55    source  0.0.0.0 usesrc clientip #透明代理!!!!!
56    option httpchk GET /check.html
57    server  S 192.168.1.27:80 weight 3  cookie JSESS1 check inter 1500 rise 3 fall 3
58    server  S 192.168.1.28:80 weight 3  cookie JSESS2 check inter 1500 rise 3 fall 3

 

5. 配置Web server网关(web server)

1ip route default via 192.168.1.1 dev eth0

特别说明一下,这里的192.168.1.1是一个VIP(虚拟IP,它的配置在上面keepalived配置中可以找到)。它会在两台proxy server间自动切换。

6. 注意事项:
HAPROXY所在的服务器网关必须配置为外网(ip route default必须为外网网关);
web服务器网关必须配置为HAPROXY所在服务器的IP地址;

arun_yh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tproxy_Linux TPROXY
weixin_39636411的博客
12-20 671
利用iptables TPROXY target,可以在skb进入到协议栈之前,将skb关联到一个本地监听的socket,并且设置skb的fwmark。可以利用fwmark配置级路由功能将非本地流量送到本地lo interface,从而能进入本地协议栈的处理。skb随后通过ip_rcv进入本地协议栈处理后,可以直接利用已关联的socket进行处理,而不需像普通的处理流程那样,使用skb中的tcp...
haproxy透明代理配置TPROXY1
08-04
Haproxy 使用 tproxy 实现透明代理实验环境Server1 为代理服务器,有两个网卡用于对外服务gw 10.0.0.254 用于内网通讯Server
什么是 tproxy 透明代理
ServiceMesher
12-01 1880
在 Istio 最新的 Ambient 模式中,使用tproxy透明流量劫持(见此博客[1]),这与 Sidecar 模式中基于 IPtables 的流量劫持方式有些许不同,这篇文文章,我们就就一起来探究下什么是 tproxy。什么是代理?在介绍透明代理之前,我们先了解下什么是代理代理的功能代理在互联网中的用途非常广泛,例如:•缓存请求:加快网络响应速度,作用类似于 CDN;•请...
tproxy_TPROXY使用介绍
weixin_39844426的博客
12-20 1373
1、TPROXY是什么你可能听说过TPROXY,它通常配合负载均衡软件HAPrxoy或者缓存软件Squid使用。在所有"Proxy"类型的应用中都一个共同的问题,就是后端的目标服务器上看到的连接的Source IP都不再是用户原始的IP,而是前端的"Proxy"服务器的IP。拿HAProxy举例来说,假设你有3台后端Web服务器提供服务,前端使用HAProxy作为负载均衡设备。所有用户的HTTP访...
Haproxy代理,后端nginx获取真实用户IP
weixin_34254823的博客
07-16 660
1)修改haproxy配置文件,添加如下参数:optionhttpclose optionforwardfor2)修改nginx配置文件,添加如下参数 注意:需要编译模块--with-http_realip_module#haproxy服务器IP set_real_ip_from192.168.64.128; real_ip_headerX-Forwarded...
记玄妙莫测的透明代理
李兆龙的博客
05-20 3557
本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。 本作品 (李兆龙 博文, 由 李兆龙 创作),由 李兆龙 确认,转载请注明版权。 若无特殊说明,内核源码版本为4.16.1 文章目录引言源码解析tproxy_tg4_v0tproxy_tg4nf_tproxy_get_sock_v4IP_TRANSPARENT总结 引言 Cool!一种完全透明的流量劫持方式。 从功能来看类似于让操作系统充当路由器,或者内置一个代理服务器,并允许部分流量被转移到用户空间处理,除此之外与ipta
Keepalived+HAProxy实现MySQL可用负载均衡的配置
09-10
总的来说,KeepalivedHAProxy的组合为MySQL提供了可用性和负载均衡能力。当主MySQL服务器出现问题时,Keepalived会自动将VIP切换到备份服务器,同时HAProxy会根据新的配置继续进行负载均衡。这种方案不仅提了...
HaProxy + Keepalived实现可用
08-26
HaProxy + Keepalived实现可用负载均衡
Rabbitmq+HAproxy+Keepalived实现可用加负载均衡-附件资源
03-02
Rabbitmq+HAproxy+Keepalived实现可用加负载均衡-附件资源
透明代理
西京刀客
03-29 5142
概念 透明代理(简单代理):透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改编你的request fields(报文),并会传送真实IP。注意,加密的透明代理则是属于匿名代理,意思是不用设置使用代理了。 度匿名代理、普通匿名代理透明 参考URL: https://blog.csdn.net/bytxl/article/details/15334153 从隐藏使用代理用户的级别上划分...
tproxy透明代理帮助文档
12-27
tproxy透明代理帮助,里面详细介绍了Tproxy的规则及socket设置及相关的用法功能,希望对你有所帮助。
haproxy基础理论+实验
weixin_45960401的博客
12-22 732
七层负载 haproxy 比较安全,速度较慢,调度器接收到client的报文后,会解析到应用层,并且会根据client请求的URL解析client需要的数据(index.php 或者html),会把当前的请求发送给适合处理这个请求的主机, haproxy可以拒绝请求 能实现七层负载的服务也必然可以实现四层负载 如果仅支持四层负载,那么支持不了七层负载...
Haproxy 代理后端服务
大鱼
01-04 1398
使用haproxy代理后端服务配置
(转)iptables:tproxy透明代理
zyb418的专栏
12-01 1629
https://blog.csdn.net/u011431128/article/details/77481678 什么是透明代理 客户端向真实服务器发起连接,代理机冒充服务器与客户端建立连接,并以客户端ip与真实服务器建立连接进行代理转发。因此对于客户端与服务器来说,代理机都是透明的。 如何建立透明代理 本地socket捕获数据包 nat方式 iptables -t nat -N MY_T...
使用 iptables TPROXY 在网关上劫持流量
alenliu's blog
06-02 2163
使用 iptables TPROXY 在网关上劫持流量
TPROXY之殇-NAT设备加代理的恶果
互联网
10-26 613
一段往事无独有偶,过了N多年,又到了这个时候,碰到了同样的事情...xx年的万圣节,由于服务器瘫痪我们被罚了500块钱,最终发现瘫痪的原因是TPROXY造成的,当时每个大服务区有一台LVS负载均衡设备,工作在NAT模式下,下联一台核心交换机,核心交换机分出N条线路去往各小区域服务器群,每一个小区域服务群拥有一台TPROXY实现的登录代理服务器,仅仅对登录数据包做代理,其它的包直接通过。 事情发生在...
iptables:tproxy透明代理
热门推荐
u011431128的博客
08-22 2万+
透明代理:客户端向真实服务器发起连接,代理机冒充服务器与客户端建立连接,并以客户端ip与真实服务器建立连接进行代理转发。因此对于客户端与服务器来说,代理机都是透明的。
Haproxy的全透明代理
weixin_34380781的博客
05-22 1382
Haproxy的全透明代理一:背景Haproxy是一款优秀的负载均衡软件,相比于Nginx来说,Haproxy可以承受的负载能力更强,这些都要归功于Haproxy的一些实现机制,单缓冲,splice系统调用,单进程、事件驱动模型,Zero-copy forwarding,树形存储等等,所有的这些细微之处的优化实现了在中等规模负载之上依然有着相当低的CPU负载,...
Linux 实现透明代理使用开源项目 tproxy-example)
Ronz 的博客
12-28 6168
一、透明代理概述 根据百度百科的资料:透明代理的意思是客户端根本不需要知道有代理服务器的存在,它改变你的 request fields(报文),并会传送真实IP,多用于路由器的NAT转发中。 透明代理技术中的透明是指客户端感觉不到代理的存在,不需要在浏览器中设置任何代理,客户只需要设置缺省网关,客户的访问外部网络的数据包被发送到缺省网关,而这时缺省网关运行着一个代理服务器,数据实际上被被重定向到代理服务器的代理端口(如8080),即由本地代理服务器向外请求所需数据然后拷贝给客户端。理论上透明代理可以对任何协
haproxy+keepalived可用实现具体步骤
最新发布
06-01
实现 HAProxy+Keepalived 可用需要按照以下步骤进行: 1. 安装 HAProxyKeepalived 在主服务器和备份服务器上安装 HAProxyKeepalived。 2. 配置 HAProxy 编辑 HAProxy 配置文件,配置监听端口和后端服务器信息,并启用统计页面。例如: ``` global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon defaults log global mode http option httplog option dontlognull option forwardfor option redispatch retries 3 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout check 10s listen webfarm bind 0.0.0.0:80 mode http stats enable stats uri /haproxy balance roundrobin option httpchk HEAD / HTTP/1.1\r\nHost:localhost server web1 192.168.0.1:80 check server web2 192.168.0.2:80 check ``` 3. 配置 Keepalived 编辑 Keepalived 配置文件,配置虚拟 IP 地址、HAProxy 的状态检测方式和状态转移时的优先级。例如: ``` vrrp_script chk_haproxy { script "killall -0 haproxy" interval 2 weight 2 } vrrp_instance VI_1 { interface eth0 state MASTER virtual_router_id 51 priority 101 virtual_ipaddress { 192.168.0.100/24 } track_script { chk_haproxy } } ``` 4. 启动 HAProxyKeepalived 在两台服务器上分别启动 HAProxyKeepalived。 5. 测试可用 访问虚拟 IP 地址,检查是否能够正常访问,并手动切换主备服务器,检查是否能够自动切换。 注意:以上仅为简单示例,请根据实际情况进行配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值