haproxy之ACL规则

最新推荐文章于 2021-01-24 17:24:45 发布
最新推荐文章于 2021-01-24 17:24:45 发布
阅读量6.8k 收藏 8
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w20010106/article/details/86062651
版权

haproxy支持ACL规则

,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需求进行不同的策略转发响应。

可以通过ACL规则完成以下两种主要功能:
1、通过设置ACL规则来检查客户端请求是否符合规则,将不符合规则要求的请求直接中断;
2、符合ACL规则的请求由backend指定的后端服务器池执行基于ACL规则的负载均衡,不符合的可以直接中断响应,也可以交由其它服务器池执行。

Haproxy中的ACL汇总设置在frontend部分

语法:
acl 名称 方法 -i [匹配的路径或文件]

说明:
acl:区分字符大小写,且其只能包含大小写字母、数字、-(连接线)、_(下划线)、.(点号)和:(冒号);haproxy中,acl可以重名,这可以把多个测试条件定义为一个共同的acl。

-i:忽略大小写
-f:从指定的文件中加载模式;

方法:用来设定实现ACL的方法。
常用的方法:
1、hdr_beg(host):用于测试请求报文的指定首部的开头部分是否符合指定的模式
例子:
acl host_static hdr_beg(host) -i img. video. download. ftp.
测试请求是否为提供静态内容的主机img、video、download或ftp。

2、hdr_end(host):用于测试请求报文的指定首部的结尾部分是否符合指定的模式
例子:
acl host_static hdr_beg(host) -i .aa.com .bb.com

3、hdr_reg(host):正则匹配
例子:
acl bbs hdr_reg(host) -i ^(bbs.test.com|shequ.test.com|forum)

4、url_sub:表示请求url中包含什么字符串
5、url_dir:表示请求url中存在哪些字符串作为部分地址路径

6、path_beg: 用于测试请求的URL是否以指定的模式开头
例子:
acl url_static path_beg -i /static /iilannis /javascript /stylesheets
用于测试URL是否以/static、/iilannis、/javascript或/stylesheets开头。

7、path_end:用于测试请求的URL是否以指定的模式结尾
例子:
acl url_static path_end -i .jpg .gif .png .css .js
测试URL是否以.jpg、.gif、.png、.css或.js结尾。

也可以根据访问的地址和端口进行规制设置:
dst:目标地址
dst_port:目标端口
src:源地址
src_port:源端口

实现的结果:
当客户端访问haproxy时,请求的是静态文件内容时,请求转交给static server,请求的是php内容时,请求转交给php server,请求的是jsp内容时,请求转交给tomcat server,以实现动静分离。

先部署三台web服务器:
一台httpd支持php
一台部署nginx支持静态资源
一台tomcat支持jsp

yum install -y
pcre-devel
bzip2-devel
gcc
gcc-c++
make

tar xzvf haproxy-1.5.15.tar.gz -C /opt

cd /opt/haproxy-1.5.15
make TARGET=linux26 PREFIX=/usr/local/haproxy //标识64为系统
make install PREFIX=/usr/local/haproxy

mkdir /etc/haproxy

useradd -s /sbin/nologin -M haproxy

cp /opt/haproxy-1.5.15/examples/haproxy.cfg /etc/haproxy/

vi /etc/haproxy/haproxy.cfg

#---------------------------------------------------------------------
Global settings
#---------------------------------------------------------------------
global
log 127.0.0.1 local3
maxconn 204800
chroot /usr/local/haproxy
user haproxy
group haproxy
daemon
nbproc 1
pidfile /var/run/haproxy.pid
stats socket /usr/local/haproxy/stats
description haproxy server
#---------------------------------------------------------------------
#common defaults that all the ‘listen’ and ‘backend’ sections will
#use if not designated in their block
#---------------------------------------------------------------------
defaults
log global
mode http
maxconn 10000
option httplog
option httpclose
option dontlognull
option forwardfor except 127.0.0.0/8
retries 3
option redispatch
option abortonclose
balance roundrobin
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
#---------------------------------------------------------------------
#use listen setting the haproxy status for site
#---------------------------------------------------------------------
listen admin_status #设置haproxy监控状态
bind *:8089
mode http
log 127.0.0.1 local3 err
stats refresh 5s
stats uri /status #监控状态页面访问url
stats realm www.skeryp.com
stats auth admin:admin
stats hide-version
stats admin if TRUE
#---------------------------------------------------------------------
#main listen which proxys to the backends
#---------------------------------------------------------------------
listen www
bind *:80
maxconn 5000
mode http
log global
option httplog
option httpclose
option forwardfor
log global

    default_backend default   #设置默认访问页面
    #定义当请求的内容是静态内容时,将请求转交给static server的acl规则       
    acl url_static path_beg  -i /static /images /img /javascript /stylesheets
    acl url_static path_end  -i .jpg .gif .png .css .js .html 
    acl host_static hdr_beg(host)  -i img. video. download. ftp. imags. videos.
    #定义当请求的内容是php内容时,将请求转交给php server的acl规则    
    acl url_php path_end     -i .php
    #定义当请求的内容是.jsp或.do内容时,将请求转交给tomcat server的acl规则    
    acl url_jsp path_end     -i .jsp .do


    #引用acl匹配规则
    use_backend static_pool if  url_static or host_static
    use_backend php_pool    if  url_php
    use_backend tomcat_pool if  url_jsp

#定义后端backend server
backend static_pool
option httpchk GET /index.html
server static1 192.168.80.101:80 cookie id1 check inter 2000 rise 2 fall 3
backend php_pool
option httpchk GET /info.php
server php1 192.168.80.102:80 cookie id1 check inter 2000 rise 2 fall 3
backend tomcat_pool
option httpchk GET /index.jsp
server tomcat1 192.168.80.103:8086 cookie id2 check inter 2000 rise 2 fall 3

#<----------------------default site for listen and frontend------------------------------------>
backend default
mode http
option httpchk GET /index.html
server default 192.168.80.104:80 cookie id1 check inter 2000 rise 2 fall 3 maxconn 5000

whx0608
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
HAProxy配置文件详解和ACL功能.docx
06-27
haproxy几乎每个大版本都提供了官方手册(内容几乎都相同),手册非常详细。proxy的灵魂在于配置文件,配置文件重点在于前端(frontend)和后端(backend)的定制。全局选项(global)的配置将默认提供的稍微修改下即可。可以使用haproxy命令行检查配置文件语法是否正确。
HaproxyACL配置及案例
NancyLCL的博客
10-22 1673
配置解析:1. 如果访问的请求的URL路径的后缀名为" .jpg .jpeg .png .gif .html ",就匹配名为" static_page "的acl规则,如果条件成立,则调用名为" static_host "的后端配置,即静态配置。2. 如果访问的请求的URL路径的后缀名为" .php ",就匹配名为" update_page "的acl规则,如果条件成立,则调用名为" update_host "的后端配置,即动态配置。
haproxy ACL规则详解
weixin_34318326的博客
06-19 162
#########ACL策略定义#########################1、#如果请求的域名满足正则表达式返回true-i是忽略大小写acl denali_policy hdr_reg(host) -i ^(www.inbank.com|p_w_picpath.inbank.com)$ 2、#如果请求域名满足www.inbank.com 返回 tr...
Haproxy中的acl的详解
vanexph的博客
06-15 3483
haproxy 能够从请求报文,响应报文,从客户端或者服务器端,从表,环境信息等中提取数据,提取这样的数据的动作我们称之为获取样本,进行检索时,这些样本可以用来实现各种目的,比如作为粘滞表的键,最常用的用途是,根据预定义的模式来进行匹配。访问控制列表(ACL)提供一个灵活方案进行内容切换,或者从请求,响应,任何环境状态中提取的数据基础之上做出决策,控制列表的原则很简单: 从数据流,表,环境中提取数据样本 对提取的样本可选的应用格式转换 对一个样本应用一个或多个模式匹配 当模式匹配样本时才执行动作 执行的动
haproxy ACL
qq_36801585的博客
03-31 793
haproxy ACL ​ 访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。 文档 1. ACL配置选项 acl ...
HaproxyACL 规则及实战案例
Xucf1
01-24 4830
文章目录一、ACL 规则1.概述2.主要功能3.语法二、Haproxy 实现智能负载均衡1.实验环境2.配置 Apache 服务器3.基于地址的访问控制4.基于访问文件的控制与重定向5.实现动静分离功能的智能负载均衡 一、ACL 规则 1.概述 比起使用 LVS 做负载均衡,Haproxy 能提供更加强大的功能 因为 Haproxy 支持 ACL 规则,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需要进行不同的策略转发响应 2.主要功
HAProxy用法详解.pdf
09-08
3. frontend:接受请求的前端虚拟节点,可以根据ACL规则直接指定要使用的后端backend。 4. backend:提供服务的后端节点,可以是web服务器、数据库服务器等。 5. listen:_frontend和backend的组合体,用于定义服务...
haproxy 1.8
04-24
- **ACL(访问控制列表)改进**:增加了更多的条件判断和操作,如字符串匹配、正则表达式支持,使得ACL规则更加精细。 **3. 性能提升** - **更快的处理速度**:通过优化内部算法和数据结构,HAProxy 1.8在处理高...
haproxy-1.7.9
06-12
- **frontend**:定义haproxy接收客户端请求的接口,包括绑定的IP地址和端口、ACL(访问控制列表)规则。 - **backend**:定义后端服务器群,包括服务器列表、负载均衡算法、健康检查设置。 - **listen**:混合了...
haproxy-2.3.1.tar.gz
11-24
5. **配置文件**:HAProxy的主要配置文件通常为`haproxy.cfg`,其中包含了监听端口、后端服务器定义、会话保持规则、日志设置等。安装后,需要根据实际环境编辑此文件。 6. **SSL/TLS支持**:HAProxy可以作为SSL/...
haproxy-1.6.3
02-16
- 引入了新的acl规则和匹配条件,增强了流量控制的灵活性。 - 优化了连接管理和内存使用,提升了性能和稳定性。 - 改进了健康检查机制,增加了更多检查选项和响应时间监控。 解压haproxy-1.6.3压缩包后,你将获得源...
haproxy配置文件详解和ACL功能
weixin_34321753的博客
03-03 278
HAProxy系列文章:http://www.cnblogs.com/f-ck-need-u/p/7576137.html haproxy几乎每个大版本都提供了官方手册(内容几乎都相同),手册非常详细。例如haproxy 1.7版本关于配置文件的官方手册:http://cbonte.github.io/haproxy-dconv/1.7/configuration.html。 hapro...
Haproxy ACL规则实现智能负载均衡
小楼一夜听春雨,深巷明朝卖杏花
07-26 934
HAProxyACL 是什么? 由于HAProy可以工作在七层模型下,因此,要实现 HAProxy的强大功能,一定要使用强大灵活的ACL规则,通过ACL规则可以实现基于HAProy的智能负载均衡功能。HARroxy 通过ACL 规则完成两种主要的功能,分别是∶ 1)通过设置的ACL规则检查客户端请求是否合法。如果符合ACL规则要求,那么就将放行,反正,如果不符合规则,则直接中断请求。 2)符合ACL 规则要求的请求将被提交到后端的backend 服务器集群,进而实现基于ACL 规则的负载均衡 .
haproxyACL详解
yurun_house的博客
06-16 910
一:haproxyACL概述 haproxyACL用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性 其配置法则通常分为两步,首先去定义ACL即定义一个测试条件而后条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端 二:ACL的语法格式及参数详解 acl <aclname> <criterion> [flags] [operator] <value> <aclname>: ACL 名称,区别
hdr(host), hdr_beg(host) , path_beg
weixin_30746117的博客
09-11 391
ACL derivatives : hdr([<name>[,<occ>]]) : exact string match 字符串精确匹配 hdr_beg([<name>[,<occ>]]) : prefix match hdr_dir([<name>[,<occ>]]) : subdir...
haproxyACL
wdirdo的博客
11-06 411
haproxyACL haproxyACL简介 1)访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,允许其通过或丢弃。 2)参考...
HAProxy-acl
staight的博客
04-06 671
前言 aclHAProxy中的一大项,它用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性 语法 acl &lt; aclname&gt; &lt; criterion&gt; [flags] [operator] [&lt; value&gt;] … &lt; aclname&gt; ACL名称,区分字符大小写,且其只能包含大小...
Haproxy: 利用ACL限制某IP访问特定url
七侠镇莫小贝的同福客栈
06-05 3251
# 仅允许目标IP访问特定地址 acl allow_host src 172.18.12.161 acl uag_api url_beg /uag/services/rest http-request allow if uag_api allow_host #只要不是特定地址,其他人可以随意访问 http-request allow if !uag_api http-request deny...
Haproxy 常用acl规则与会话保持
weixin_34290096的博客
10-10 246
一、常用的acl规则 haproxyACL用于实现基于请求报文的首部、响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性。其配置法则通常分为两步,首先去定义ACL,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端。定义ACL的语法格式如下。 acl <aclname> <crite...
haproxy acl
最新发布
08-09
回答: HAProxy中的ACL(Access Control List)是用于根据请求报文的首部、响应报文的内容或其他环境状态信息来做出转发决策的工具。ACL可以定义一个测试条件,当条件满足时执行特定的动作,如阻止请求或转发到特定的后端。123 #### 引用[.reference_title] - *1* [haproxyACL详解](https://blog.csdn.net/yurun_house/article/details/106788194)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] - *2* *3* [Haproxy中的acl的详解](https://blog.csdn.net/vanexph/article/details/106755856)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值