HAProxy(2)——acl访问控制、动静分离、读写分离、haproxy+keepalived实现高可用

最新推荐文章于 2022-10-22 17:27:48 发布
最新推荐文章于 2022-10-22 17:27:48 发布
阅读量558 收藏 1
点赞数 1
分类专栏: 企业实战
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45225437/article/details/107902559
版权

文章目录

一、ACL

1. acl概述

        haproxy的ACL用于实现基于请求报文的首部、响应报文的内容或其他的环境状态信息来做出转发决策,这大大增加了其配置弹性。其配置法则一般分为两部,首先定义ACL,既定义一个测试条件,而后在条件得到满足时执行某特定动作,如阻止访问或者转发至某特定的后端。
haproxy配置文件的详解可以看这篇博客:haproxy基础配置文件详解,这里不再赘述。默认以下配置实验中,已经配置了监控和激活日志。
        定义ACL的语法格式如下

acl <aclname> <criterion> [flags] [operator] [<value>] ...

(1)aclname:ACL名称,可使用字母,数字, :, ., -, _ ,区分字符大小写
(2)criterion: 指明检查条件。各种条件 :dst 目标IP,dst_port 目标PORT,src 源IP,src_port 源PORT
(3)flags:acl支持的标志位。-i:不区分中模式字符的大小写;–:标志符的强制结束标记,在模式中的字符串像标记符时使用;
(4)value:acl测试条件支持的值。有以下几类:整数或整数范围、字符串、正则表达式、IP地址及网络地址等等。
(5)常用的字符串:path,提取请求的URL路径;path_beg 匹配路径开头,path_end 匹配路径结尾;url,提取请求中的URL;url_beg URL开头 匹配协议,url_end URL结尾;hdr_beg()提取在一个HTTP请求报文的首部,hdr_end()提取在一个HTTP请求报文的尾部。

2. acl配置

主机名workstationserverbserver2server3
IP地址192,168.1.104192.168.1.116192.168.1.102192.168.1.103
职能外部客户端haproxy调度器RS节点RS节点

2.1 基于IP地址的访问控制

        通过配置文件中的acl可以让指定IP禁止访问到调度器,并且可以使用关键字errorloc把错误码页面重定向到指定的访问页面。

[root@serverb ~]# vim /etc/haproxy/haproxy.cfg 	
frontend  main *:80
     acl blacklist  src 192.168.1.104		//定义ACL名为blacklist,设定条件为指定的源IP
     block if blacklist				//关键词block表示禁止访问,禁止访问的错误码为403
     errorloc 403 http://192.168.1.116:8000	//为了用户体验,使用errorloc将错误重定向到指定访问页面
    default_backend             app
backend app
    balance     roundrobin
   server  app1 192.168.1.103:80 check
    server  app2 192.168.1.102:80 check
[root@serverb ~]# systemctl reload haproxy
[root@serverb ~]# vim /etc/httpd/conf/httpd.conf 
Listen 8000
[root@serverb ~]# systemctl start httpd
[root@serverb ~]# cd /var/www/html/
[root@serverb html]# vim index.html 
sorry,try again later

在这里插入图片描述
在这里插入图片描述

2.2 七层请求的访问控制

        对于访问请求,也可以通过设置关键词限制访问路径。当遇到禁止访问的403错误码时,也可以使用关键字redirect重定向用户请求。

[root@serverb ~]# vim /etc/haproxy/haproxy.cfg 
frontend  main *:80
     acl blacklist  src 192.168.1.104
     acl testfile path /test.html		//path设定请求路径,(测试时,需要保证节点上此路径存在 并且可以正常访问)
     http-request deny if testfile blacklist	//关键词http-request表示用户请求,deny表示禁止访问。
     redirect location http://www.baidu.com if blacklist	//关键字redirect可以重定向访问请求,location设定重定向的目标路径
     default_backend             app
     backend app
     balance     roundrobin
     server  app1 192.168.1.103:80 check
     server  app2 192.168.1.102:80 check
[root@serverb ~]# systemctl reload haproxy    
///在后端服务器上编辑test.html,保证访问路径存在///////
[root@server2 ~]# cd /var/www/html/
[root@server2 html]# vim test.html
test						//在节点上设定限制的请求路径

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

2.3 动静分离

        根据实际情况客户方访问请求,将不同类型的访问请求调转到不同的后端服务器。一个ACL定义了两个条件,如果用户的请求满足path中带有 /images 这些字符开头的,或者path是以.jpg这些字符结尾的就匹配ACL定义url_static。满足ACL定义的请求为静态请求,被调度到后端的static服务器上,不满足以上两个条件的请求默认调度app服务器上。
在这里插入图片描述

///动态站点server3,采用php设置//////
[root@server3 ~]# yum install -y php			//安装php模块
[root@server3 ~]# cd /var/www/html/
[root@server3 html]# vim index.php			
index.php 
<?php
phpinfo()
?>
[root@server3 html]# systemctl restart httpd		//重启httpd,加载php模块

设置动态站点,采用的是php,一定要注意的是,编辑完index.php,要重启Apache服务,php模块才能生效。

//////////在haproxy调度器中 编辑配置文件////////
[root@serverb ~]# vim /etc/haproxy/haproxy.cfg 
frontend  main *:80
    acl url_static       path_beg       -i  /images 		//设定条件
    acl url_static       path_end       -i .jpg 
     use_backend static             if url_static		//满足调度到静态站点
     default_backend             app				//不满足就是访问动态站点
backend static
    balance     roundrobin
    server      static 192.168.1.102:80 check			//添加静态后端服务器。
backend app
    balance     roundrobin
    server  app 192.168.1.103:80 check				//添加动态后端服务器
[root@serverb ~]# systemctl reload haproxy

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.4 读写分离

当客户写入内容和读取内容的请求会被调转到不同的后端服务器。
配置haproxy

[root@serverb ~]# vim /etc/haproxy/haproxy.cfg 
frontend  main *:80
    acl read_request method GET			//method表示“方式”,“读”有两种方式,GET HEAD
    acl read_request method HEAD
    acl write_request method PUT		//“写”的两种方式,PUT POST
    acl write_request method POST
     use_backend static          if read_request	//读请求 调度static后端服务器
     use_backend app             if write_request	//写请求 调度app后端服务器
backend static
    balance     roundrobin
    server      static 192.168.1.102:80 check
backend app
    balance     roundrobin
    server      app 192.168.1.103:80 check
[root@serverb ~]# systemctl reload haproxy

配置后端服务器:

两台服务器都要安装php插件,都使用php编辑“读”时的发布页面和文件写入的信息页面。同时为了验证读写分离,两台后端服务器,均新建上传目录。

[root@server2 ~]# yum install php -y
[root@server2 ~]# cd /var/www/html/
[root@server2 html]# vim index.php 		//编辑“读”的页面
<html>
<body>

<form action="upload_file.php" method="post"
enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" />
<br />
<input type="submit" name="submit" value="Submit" />
</form>

</body>
</html>
[root@server2 html]# vim upload_file.php 		//编辑上传的发布页面
<?php
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/pjpeg"))
&& ($_FILES["file"]["size"] < 2000000))
  {
  if ($_FILES["file"]["error"] > 0)
    {
    echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
    }
  else
    {
    echo "Upload: " . $_FILES["file"]["name"] . "<br />";
    echo "Type: " . $_FILES["file"]["type"] . "<br />";
    echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
    echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";
    if (file_exists("upload/" . $_FILES["file"]["name"]))
      {
      echo $_FILES["file"]["name"] . " already exists. ";
      }
    else
      {
      move_uploaded_file($_FILES["file"]["tmp_name"],
      "upload/" . $_FILES["file"]["name"]);
      echo "Stored in: " . "upload/" . $_FILES["file"]["name"];
      }
    }
  }
else
  {
  echo "Invalid file";
  }
?>
[root@server2 html]# mkdir /var/www/html/upload		//建立上传目录 
[root@server2 html]# chmod 777 /var/www/html/upload	//设定目录权限,允许写入
[root@server2 html]# systemctl restart httpd		//重启,php模块生效

访问测试

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

二、haproxy+keepalived实现高可用

      haproxy部署了于一个机器,存在单点故障风险,我们可以通过配置keepalived加以高可用,其中一个haproxy宕机以后,通过keepalived实现另外一个haproxy备机接管做高可用。
实验设备:设定VIP为192.168.1.100

主机名serveraserverbserver2server3
IP192.168.1.136192.168.1.116192.168.1.102192.168.1.103
职能haproxy keepalived 主机haproxy keepalived 备机RS服务器RS服务器

haproxy配置

haproxy在上面的实验中已经配置完成了,只需要在serveras上重复配置即可。这里不在赘述。

[root@servera ~]# yum install -y haproxy
frontend  main *:80
     default_backend             app
backend app
    balance     roundrobin
    server  app1 192.168.1.103:80 check		
    server  app2 192.168.1.102:80 check
[root@serverb ~]# scp /etc/haproxy/haproxy.cfg root@servera:/etc/haproxy/

keepalived配置

[root@servera ~]# vim /etc/keepalived/keepalived.conf 
! Configuration File for keepalived
global_defs {
   notification_email {
     root@localhost
   }
   notification_email_from keepalived@localhost
   smtp_server 127.0.0.1
   smtp_connect_timeout 30
   router_id LVS_DEVEL
   vrrp_skip_check_adv_addr
   #vrrp_strict
   vrrp_garp_interval 0
   vrrp_gna_interval 0
}
vrrp_script check_haproxy {		//VRRP 脚本声明
        script "/opt/check_haproxy.sh"	//周期性执行的脚本
        interval 2			//运行脚本的间隔时间2秒
        weight 0			//权重,priority值减去此值要小于备服务的priority值
}
vrrp_instance VI_1 {
    state MASTER			//备机只需要在此次改为    state BACKUP
    interface ens33
    virtual_router_id 51
    priority 100			//备机将此处改为priority 50 备机优先级应该低于主机
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass 1111
    }
    track_script {			//脚本监控状态
        check_haproxy
    }
    virtual_ipaddress {			//设置虚拟IP地址
        192.168.1.100
    }
}

编辑周期性可执行脚本

[root@serverb ~]# vim /opt/check_haproxy.sh 
#!/bin/bash
systemctl status haproxy &> /dev/null || systemctl restart haproxy &> /dev/null

killall -0 haproxy			//判断是否有进程

if [ $? -ne 0 ];then
        systemctl stop keepalived
fi
[root@serverb ~]# chmod 755 /opt/check_haproxy.sh 	//可执行权限

配置完成后,两台服务器都启动keepalived: systemctl start keepalived.service

验证:正常情况下 keepalived主机上存在VIP,当手动破坏主机上haproxy的配置文件,导致主机haproxy无法正常启动时,备机会接管主机上的资源,VIP转移到备机上。而客户端访问时,不受主机还是备机接管资源的影响。
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

嘉子_
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mysql主从同步+MyCat读写分离+分库分表+Haproxy高可用+Keepalived心跳机制+虚拟IP.rar
09-07
总的来说,这个压缩包包含的资料涵盖了数据库高可用性的多个方面,包括MySQL的主从同步保证数据一致性,MyCat实现读写分离和分库分表提升性能,Haproxy进行负载均衡,Keepalived和虚拟IP保障服务的高可用性和稳定性...
haproxy配置文件详解和ACL功能
weixin_34321753的博客
03-03 278
HAProxy系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html haproxy几乎每个大版本都提供了官方手册(内容几乎都相同),手册非常详细。例如haproxy 1.7版本关于配置文件的官方手册:http://cbonte.github.io/haproxy-dconv/1.7/configuration.html。 hapro...
haproxy 配置文件详解 之 ACL 智能负载均衡
weixin_30698297的博客
05-29 146
  由于HAProxy 可以工作在七层模型下, 因此,要实现 HAProxy 的强大功能,一定要使用强大灵活的ACL 规则,通过ACL 规则可以实现基于HAProxy 的智能负载均衡系统。   HAProxy 通过ACL 规则完成两种主要的功能,分别是:   1) 通过设置的ACL 规则检查客户端请求是否合法。如果符合ACL 规则要求,那么就将放行,反正,如果不符合规则,则直接中断请求。  ...
Haproxy中的acl的详解
vanexph的博客
06-15 3483
haproxy 能够从请求报文,响应报文,从客户端或者服务器端,从表,环境信息等中提取数据,提取这样的数据的动作我们称之为获取样本,进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据预定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者从请求,响应,任何环境状态中提取的数据基础之上做出决策,控制列表的原则很简单: 从数据流,表,环境中提取数据样本 对提取的样本可选的应用格式转换 对一个样本应用一个或多个模式匹配 当模式匹配样本时才执行动作 执行的动
负载均衡 | Haproxy配置 haproxy日至文件 | haproxy动静分离 | acl访问控制 | haproxy读写分离
Minz
08-06 873
HAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。根据官方数据,其最高极限支持10G的并发。  HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中,同时可以保护你...
HAProxy配置文件详解和ACL功能
u011119684的博客
01-15 1032
转:https://www.linuxidc.com/Linux/2018-03/151169.htm 本文目录: 1.1 配置文件说明 1.2 简单配置示例 1.3 全局配置参数 1.4. proxy配置段和常用配置选项  1.4.1 http事务模型相关设置  1.4.2 balance  1.4.3 hash-type  1.4.4 bind  1.4.5 mode  1.4.6 log ...
搭建MySQL高可用+负载均衡集群(haproxy+keepalived).docx
11-19
本文使用haproxykeepalived搭建mysql集群:负载均衡、高可用、负载均衡+高可用,并验证测试成功
HAProxy+Keepalived+LVS实现负载平衡高可用集群最佳实践
01-16
HAProxy+Keepalived+LVS实现负载平衡高可用集群最佳实践
Rabbitmq+HAproxy+Keepalived实现高可用加负载均衡-附件资源
03-02
Rabbitmq+HAproxy+Keepalived实现高可用加负载均衡-附件资源
Haproxy: 利用ACL限制某IP访问特定url
七侠镇莫小贝的同福客栈
06-05 3251
# 仅允许目标IP访问特定地址 acl allow_host src 172.18.12.161 acl uag_api url_beg /uag/services/rest http-request allow if uag_api allow_host #只要不是特定地址,其他人可以随意访问 http-request allow if !uag_api http-request deny...
HAproxy七层负载均衡部署、权限控制、添加程序日志、设置黑名单、动静分离读写分离
qq_46089299的博客
05-08 611
一、HAproxy介绍 HAProxy是一个使用C语言编写的自由及开放源代码软件[1],其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。 HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。 HAProxy实现了一种事件驱动, 单一进程模型,此模型支持非常大的并发连接数。多进程或多线
负载均衡之haproxy的安装部署
weixin_46971894的博客
10-09 470
[root@vm4 ~]# yum install haproxy [root@vm4 ~]# cd /etc/haproxy/ [root@vm4 haproxy]# ls [root@vm4 haproxy]# vim haproxy.cfg [root@vm4 haproxy]# systemctl restart haproxy.service [root@vm4 haproxy]# vim haproxy.cfg [root@vm4 haproxy]# systemctl restart h
HAProxy--理论--07--HAProxy监控页面
zhou920786312的博客
01-10 1216
HAProxy–理论–07–HAProxy监控页面 1、页面 2、说明 2.1、Queue cur:当前队列的请求数量。 Max:当前队列最大的请求数量。 Limit:队列的限制数量。 2.2、Session rate Cur:每秒会话连接数量。 Max:每秒会话数量最大值。 Limit:每秒会话数量的限制值。 2.3、Sessions Cur:当前的会话数量。 Max:最大会话数量。 Limit:会话连接限制。 Total:总共会话数量。 Lbtot:选中一台服务器所用的总时间。 Last:最后一
负载均衡代理Haproxy安装与配置
o_kxj的专栏
07-31 2844
最近项目要求对RabbitMQ做负载均衡,并且RabbitMQ是虚拟主机的,综合对比Nginx和Haproxy,选用Haproxy。 以下是Linux系统安装Haproxy步骤。 **1. 下载Haproxy安装包,这里是haproxy-1.5.19.tar.gz。** 较新haproxy1.8版本中,比如动态禁用后端服务器,日志管理等功能支持的并没有haproxy1.5系列要友好。 **2. 上传安装包到指定目录** 目录: /安装包路径/haproxy-1.5.19.tar.gz,示意图如下: 3.
HaproxyACL配置及案例
NancyLCL的博客
10-22 1673
配置解析:1. 如果访问的请求的URL路径的后缀名为" .jpg .jpeg .png .gif .html ",就匹配名为" static_page "的acl规则,如果条件成立,则调用名为" static_host "的后端配置,即静态配置。2. 如果访问的请求的URL路径的后缀名为" .php ",就匹配名为" update_page "的acl规则,如果条件成立,则调用名为" update_host "的后端配置,即动态配置。
HAproxy指南之haproxy配置详解2(理论篇)
weixin_33778778的博客
03-15 301
上一小节的从haproxy的配置文件我们知道haproxy相关参数基本介绍,但是在实际生产环境中,往往需要根据相关规则做请求匹配跳转,这时就需要用到Frontend;Backend这两个配置段,再结合Frontend的acl匹配规则来做相应的客户端请求跳转;另外,可能还会遇到客户端访问出错,这时就需要利用错误重定向功能,将其定义到相关友情提示的错误页面上,这样更加人性化。...
HAproxy负载均衡-ACL
weixin_33743703的博客
06-28 548
 ACL定制法则:     开放策略:拒绝所有,只开放已知     拒绝策略:允许所有,只拒绝某些事实上实现安全策略,无非也就是以上两种方法 redirect参考:http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#4-redirect如果符合某种特定条件,则返回某种新的前缀aclclear         dst_port 8...
HAProxy常用配置介绍,ACL详解
wolf
07-14 3722
1、HAProxy简介 HAProxy 是一款高性能TCP/HTTP 反向代理负载均衡服务器,具有如下功能: 根据静态分配的cookies完成HTTP请求转发 在多个服务器间实现负载均衡,并且根据HTTP cookies 实现会话粘性 主备服务器切换 接受访问特定端口实现服务监控 实现平滑关闭服务,不中断已建立连接的请求响应,拒绝新的请求 在请求或响应
haproxy中使用域名作为backend
forsakening的专栏
04-16 6928
1)基本条件:haproxy &gt; v1.6 版本(测试时候觉得1.8版本更稳定)2)centos编译haproxy的rpm包https://github.com/DBezemer/rpm-haproxy3)遇到的坑:      –  dns的返回值不正确,原因是backend的域名填写的有问题rancher的环境中,必须要对域名做如下转换:如desktop-server  需转换为 desk...
vip+keepalived+haproxy+slb实现高可用
最新发布
07-27
高可用性是指系统或服务能够持续提供正常的服务,即使部分组件或节点出现故障。VIP+Keepalived+HAProxy+SLB 是一种常见的高可用架构设计,下面我会简单介绍一下其实现原理和各个组件的作用。 1. VIP(Virtual IP):虚拟 IP 是一个不属于任何实际物理接口的 IP 地址,用于将外部请求定向到后端服务器集群。 2. KeepalivedKeepalived 是一个基于 VRRP(虚拟路由冗余协议)的软件,它可以管理 VIP,并确保在主节点故障时快速切换到备份节点。 3. HAProxyHAProxy 是一种高性能的负载均衡器,它能够将外部请求分发到后端服务器上,并提供各种负载均衡算法和健康检查机制。 4. SLB(Server Load Balancer):SLB 是一种云服务,通常由云服务提供商提供,它也是一种负载均衡器,可以将外部请求分发到后端服务器集群上。 实现高可用的过程如下: 1. 部署多台服务器作为后端服务器集群,这些服务器可以运行相同的应用程序或服务。 2. 在服务器集群中配置 Keepalived,并为其分配一个 VIP 地址,用于接收外部请求。 3. Keepalived 通过 VRRP 协议与服务器集群中的所有节点通信,选择其中一台作为主节点,其余节点作为备份节点。 4. 主节点负责接收外部请求并将其传递给 HAProxy 或 SLB。 5. HAProxy 或 SLB 根据负载均衡算法将请求分发到后端服务器集群中的可用节点上。 6. 如果主节点出现故障,Keepalived 会立即将 VIP 转移到备份节点,确保服务的连续性。 这种架构可以提供高可用性和负载均衡,并能够在出现故障时自动切换到备份节点,保证系统的稳定性和可靠性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值