LNMP、keepalived、haproxy打怪升级之路七

最新推荐文章于 2023-12-21 11:57:38 发布
最新推荐文章于 2023-12-21 11:57:38 发布
阅读量2.2k 收藏 1
点赞数
分类专栏: devops 工作 文章标签: 运维 haproxy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pespi_co1a/article/details/121198770
版权

目录

1、lnmp安全加固总结’

2、keepalived实现LVS的高可用

3、实现haproxy+keepalived集群高可用集群转发

4、haproxy调试算法总结

1、lnmp安全加固总结’

1、nginx应配置隐藏nginx版本号以及PHP版本号;即隐藏报文头Server字段和X-Powered-        BY字段

2、屏蔽IP、屏蔽各种user-agent、屏蔽特定的url、强制使用网站使用域名访问、设置timeout设置来抵御DOS攻击



- vim /apps/nginx/conf/nginx.conf

http{
    --------1.  隐藏nginx、php版本信息  ------
    server{
        server_tokens off;  ##添加此行,隐藏server信息即nginx的版本号信息
    }
    location ~ \.php$ {
        fastcgi_hide_header X-Powered-By;  ##添加此行,隐藏PHP版本号
    }

      
    -------- 2. 屏蔽或阻止各种不合理或恶意的访问或方法  ------
    if($requset_method !~ ^(GET|HEAD|POST)$){  ##限制访问方法
        return 404;
    }
    if($http_user_agent ~* "java|python|perl|ruby|curl|bash|echo|uname|base64|nmap|scan"{
        return 403;                       ##限制各种user-agent
    }
    location ~ ^/(\.user.ini|\.ht|\.git|\.svn|\.svn|LICENSE|REAME.md){
        deny all;                        ##限制不合理访问的资源
    }
}

2、keepalived实现LVS的高可用

1、将需要组成的VIP写在vrrp_instance块中

2、将需要调度lvs后端服务器配置写在virtual_server块中;

3、健康检查可设置HTTP/SSL应用层【HTTP_GET | SSL_GET】检查,或TCP检查【TCP_CHECK】

 !!需注意,如果指定lvs的DR模式,需要也在后端服务器上也配相应的VIP以及arp内核参数优化

------ VIP实例的配置 --------

vrrp_instance V1_1 {
    state MASTER                ---- 另一端配置:BACKUP
    interface eth0
    virtual_router_id 66        ---- 需一致
    priority 100                ---- 需不一致
    authentication {
        auth_type PASS
        auth_pass 123456
    }
    virtual_ipaddress {
        10.0.0.10/24 dev eth0 label eth0:1          ##VIP地址,需一致
    }
    notify_master "/etc/keepalived/notify.sh m1"  ##配置监控master健康状态的notify.sh脚本
    notify_backup "/etc/keepalived/notify.sh b1"  ##自定义监控backup健康状态的notify.sh脚本          
    notify_fault "/etc/keepalived/notify.sh f1"  ##自定义监控fault健康状态的notify.sh脚本
}

------ virtual_server实例即keepalived内置的lvs负载调度后端 --------------

virtual_server 10.0.0.10 80 {
    lb_algo wlc            ## wlc调度算法
    lb_kind DR             ## DR模式
    protocol TCP           
    sorry_server 127.0.0.1 80    ##可用作后端服务器均挂了返回的sorry_server
    
    real_server 10.0.0.1 80{
        weight 1
        HTTP_GET {            ## HTTP健康监测方法
            url {
                path /monitor.html     ## 重复访问页面,若能访问表示仍健康
                status_code 200
            }
            connect_timeout 3         #超时时长
            nb_get_retry   3          #重试次数
            delay_before_retry 3      #重试之前的延迟时长
        }
    real_server 10.0.0.2 80{
        weight 1
        HTTP_GET {            ## HTTP健康监测方法
            url {
                path /monitor.html     ## 重复访问页面,若能访问表示仍健康
                status_code 200
            }
            connect_timeout 3         #超时时长
            nb_get_retry   3          #重试次数
            delay_before_retry 3      #重试之前的延迟时长
        }
    }     

}

##### 如果用TCP检查响应端口,使用TCP_CHECK 
        TCP_CHECK {
            connect_timeout 3         #超时时长
            nb_get_retry   3          #重试次数
            delay_before_retry 3      #重试之前的延迟时长

        }


3、实现haproxy+keepalived集群高可用集群转发

1、在haproxy.cfg配置文件中定义listen或者frontend/backend后端组server

2、对于haproxy一般启用监听非本地IP的端口内核参数net.ipv4.ip_nonlocal_bind=1

以及增大系统打开的端口范围 net.ipv4.ip_local_port_range = 10240 65535

以及修改内核参数提供最大进程限制数nproc以及打开最大文件数nofile

3、在keepalived中定义个检查haproxy状态的vrrp_script脚本以及vrrp配置块中除了定义VIP地址外在track_script调用这个脚本

----------------------------------【haproxy配置】----------------------------------------
- vim /etc/haproxy/haproxy.cfg
frontend web
    bind 10.0.0.10:80, 10.0.0.10:8080
    mode tcp
    balance roundrobin
    log global
    use_backend web_node

backend web_node
    mode tcp
    server web1 10.0.0.1:80 check inter 3000 fall 3 rise 3
    server web2 10.0.0.2:80 check inter 3000 fall 3 rise 3

listen stats   ## 状态页
    mode http
    bind :9999
    stats enable
    log global
    stats uri    /harpoxy-status
    stats auth   123456

- vim /etc/sysctl.conf       #修改内核参数ip_nonlocal_bind
net.ipv4.ip_nonlocal_bind = 1

- sysctl -p

  
----------------------------------【keepalived配置】-------------------------------------
- vim /etc/keepalived/keepalived.conf
vrrp_script check_haproxy {
    script "/etc/keepalived/check_haproxy.sh"         ##自定义写好的check_haproxy健康检查
           ### check_haproxy.sh其实就一条命令查看haproxy状态
           ### #!/bin/bash
           ### /usr/bin/kiallall -0 haproxy || systemctl restart haproxy
    interval 1
    weight -30            #脚本中检查状态不成功则降优先级30
    fall 3
    rise 2
    timeout 2
}

vrrp_install V1_1 {
    state MASTER
    interface eth0
    virtual_router_id 11
    priority 100
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 123456
    }
    virtual_ipaddress {
        10.0.0.10/24 dev eth0 label eth0:1
    }
    track_interface {
        eth0
    }
    track_script {
        check_haproxy
    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
    notify_fault "/etc/keepalived/notify.sh fault"
}

 

 

4、haproxy调度算法总结

1、静态 (无法通过其他工具如socat动态修改权重,动态调整只有0和1,即关闭和开启)

  • static-rr  #加权轮询        
  • first   #一台连接数上限分别下一台

2、动态

  • roundrobin    #默认、轮询
  • leastconn    #加权最少连接
  • random     #随机

3、即能转化静态又能转换动态调度的(取决于hash_type是否为consistent)

       hash_type默认值为map-based取模法,hash_type为consistent一致性hash能动态调整

  • source    # 源地址hash
  • uri        # URL中的请求部分称为URI,URI的左半部户或整个uri做hash
  • url_param  # URL中的params部分中的参数如key对应的value值做hash
  • hdr           # http头部请求的信息做hash
  • rdp-cookie  #对windows远程桌面负载

 应用场景

first :            使用较少

static-rr:       做了session共享的web集群

roundrobin:      默认,也最常用的

leastconn:      数据库等适用于长连接的应用

source:         基于客户端公网IP的会话保持

uri:               缓存服务器、CDN服务商、

url_param:      可实现session保持

hdr:            基于客户端请求报文头做下一步处理(如归纳、行为分析)

rdp-cookie:      较少使用,对于windows机器

 

Pespi_Co1a
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
haproxy1.7 最新版本
11-02
haproxy1.7最新版本,官方网站被墙,很多用户无法下载,提供最新版本给大家使用。
haproxy安装
weixin_60012466的博客
10-17 377
文章目录haproxy 负载均衡 httpshaproxy安装DR操作 haproxy 负载均衡 https haproxy服务器(DR)(CA) IP:192.168.220.9 httpd服务器(RS1) IP:192.168.220.10 httpd服务器(RS2) IP:192.168.220.17 三台关闭防火墙 [root@DR ~]# systemctl disable --now firewalld Removed /etc/systemd/system/multi-
MySQL--整合Keepalived进行双机热备自动切换(升级版)
IT利刃出鞘的博客
01-01 1397
本文介绍MySQL整合Keepalived进行双机热备自动切换(升级版)。
rpm小版本升级mysql5.7(keepalived+mysql环境)
Maomao_op_nger的博客
03-13 757
因扫描出漏洞所以需要升级mysql版本,rpm工具,速度贼快,步骤明朗!
Keepalived+Haproxy 安装配置
weixin_30545285的博客
04-17 297
1 安装配置keepalive 1.1 安装前准备 在home下创建omcr目录将ISO文件(rhel-server-7.1-x86_64-dvd.iso)上传到/home/omcr目录下 将ISO文件挂载为伪设备 mount –o loop /home/omcr/rhel-server-7.1-x86_64-dvd.iso /mnt/cdr...
haproxy-keepalived-centos7.9相关功能实现
ksfbvv的博客
11-05 1223
centos7.9-haproxy-keepalived相关技术
haproxy最新版本安装
Qbit编程学习笔记
05-08 1292
目录原因卸载安装确定版本下载源代码 原因 centos7自带的是过期版本 ubuntu2204虽然没过期,也是老版本 官网只有enterprise才有升级 这里选择使用源码安装的方式(这也意味着ubuntu和centos都是适用的) 卸载 安装 确定版本 下载源代码 ...
Haproxy版本更新说明
最新发布
老韩的Linux云计算架构师进阶之路
12-21 1068
HAProxy 2.8版本中的QUIC现在可以用于生产环境,这意味着它可以用于实际的应用程序负载均衡。OCSP auto updates是另一个有用的功能,它自动更新OCSP响应,以提高SSL连接的安全性。LetsEncrypt是一个提供免费SSL证书的机构,wolfSSL是一个轻量级的SSL/TLS实现,这些支持可以用于加密HTTPS流量。总的来说,HAProxy 2.8版本提供了许多有用的新功能和改进,可以使其更好地支持现代Web应用程序和云环境的需求。
haproxy配置
Hannah_zh的博客
10-14 407
一、haproxy安装 1、下载、解压haproxy-1.6.11.tar.gz 2、安装 rpm-build [root@server1 ~]# yum install rpm-build -y 3、生成 rpmbuild 目录 [root@server1 ~]# rpmbuild -bb haproxy-1.6.11 4、 [root@server1 ~]# mv haproxy-1.6...
Kubernetes-1.20.15高可用集群部署
wenqing_ruyu的博客
07-21 583
Kubernetes-1.20.15高可用集群部署
Role部署LNMP+HAproxy+keepalived高可用.docx
08-25
Role部署LNMP+HAproxy+keepalived高可用.docx
haproxy+varnish+lnmp
07-13
适合中型企业的 网站架构 ,负载均衡——高可用,
lnmp+zabbix+keepalived+lvs安装
07-07
本人亲测的安装,系统为centos6.5-64 有需要的朋友可以下载
lnmp+zabbix+keepalived+lvs安装2
07-07
第二部分
KEEPALIVED+LVS+LNMP+PROXYSQL+MHA+NFS
01-09
keepalived + lvs 实现web集群高可用6.1 keepalived + lvs_016.2 keepalived + lvs_026.3 nginx + php-fpm_01 的配置6.4 nginx + php-fpm_02 的配置7. 测试后端的网站能否访问8. keepalived + lvs 实现 prox
8.HPE服务器添加物理磁盘做RAID以及关闭超线程
Pespi_Co1a的博客
12-07 8815
步骤:服务器重启,F9先关闭超线程后自动重启,F10做Raid手动重启完成。 #关闭服务器超线程 配置好后 服务器要重启生效。 添加物理磁盘做Raid HPE服务器有些规格里面还有4个槽位,这需要打开服务器盖子 接下来为操作 由于新加的SAS盘必定是没有操作系统的,所以会出现上述的提示。 配置...
vcenter vsphere HA一直初始化失败的原因
Pespi_Co1a的博客
03-25 6099
一天,集群中的主机上的vsphere HA主机状态都错误 “无法正确安装或配置 vSphere HA 代理 ”,看HA摘要是初始化错误。一开始排障的思路是搜索HA初始化错误或者安装ha代理的解决方案。 1.首先尝试 重新配置vsphere HA,显示下列错误。 2.然后找到KB文档https://kb.vmware.com/articleview?docid=2056299&la...
3.HP服务器iLo安装系统镜像
Pespi_Co1a的博客
07-25 5980
#Linux===Redhat 6.7 【安装】 1.进入iLO口地址,输入license,通过java start进入console 2.先对磁盘做raid。先重启服务器按F10进入Intelligent Provisioming。等待一会选择Smart Stroage Administrator,然后选择和create array创建raid(除选raid外,一般其他参数均为默认)。 3.在控...
esxi主机未响应但虚机正常运行
Pespi_Co1a的博客
03-04 4274
1.vcenter中出现 esxi主机未响应,主机上的虚机显示断开连接,无法再重新连击主机,但是上面的虚机能个ping通,且esxi主机的web界面能够访问。 esxi主机上重启vpxa服务 ...
centos7 安装LNMP
08-11
您可以按照以下步骤在CentOS 7上安装LNMP(Linux + Nginx + MySQL + PHP): 1. 首先,需要更新YUM源。您可以使用以下命令添加EPEL源和IUS源: ``` yum install \ https://repo.ius.io/ius-release-el7.rpm \ ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值