关于HAProxy 的 acl配置随机生效(失效)的问题

最新推荐文章于 2024-08-11 12:51:06 发布
最新推荐文章于 2024-08-11 12:51:06 发布
阅读量419 收藏
点赞数
文章标签: java 后端 运维
原文链接:https://my.oschina.net/rory/blog/183150
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

很简单,需求是这样的:

就是把所有的 .js .css .html 以前 /image /img 下的文件使用另外一台专门处理静态资源的机器nginx来处理。其它的请求发到后端的tomcat集群去处理。

从源里安装

~ # aptitude show haproxy

版本是 1.4.18-0ubuntu3.1 .

然后添加配置最小的配置

frontend http-frontend
    bind www.example.com:80
    acl url_static_begin    path_beg /images /img
    acl url_static_end    path_end .html .css .js
    acl url_service     path_beg /service
    use_backend servers if url_service
    use_backend statics if url_static_begin
    use_backend statics if url_static_end
    default_backend servers
backend statics
   server serverstatic static.example.com:80 check

backend servers
   server server01 server01.example.com:8080 maxconn 800 check
   server server02 server02.example.com:8080 maxconn 800 check

这里的acl规则里添加了一个 /service 是因为系统里存在一些动态生成的js请求所以把这部分请求还是转发给了后端的tomcat集群上去了。配置完成后测试的时候,奇怪的事情发生了。发现配置的规则好像生效了,又好像不生效。发现不是所有的 js, css,请求都转发到static上去了。也不是所有的需要动态处理的请求都转发到tomcat集群上去了。某些请求转到static上去了。这根本就不是acl配置所需要的效果啊。

但是更奇怪的是我用 curl -I 去请求任何一个资源的时候又是我想要的结果。请求 .js被发送到static上去了。请求 .jsp 到tomcat去了。

google出来的文章都是这么写的看了官方的文档说明也没有看出有什么问题。折腾半天后终于在stackoverflow上面找到有人和我一样的情况

http://serverfault.com/questions/310338/haproxy-seems-to-be-load-balancing-instead-of-following-acl-rules

这人是觉得请求没有走acl配置的规则而走了负载均衡的配置,下面的人回答造成这个结果的原因是由于collection被重用了。这就对了。也能解释上面我测试出的情况了。

  1. 为什么会出现静态资源还走到tomcat集群去了,是由于那个静态资源的请求重用了还没有关闭的请求.jsp的那个链接。
  2. 同样为什么会出现应该转到tomcat集群的请求被转到了static去。那是由于.jsp的请求使用了之前请求static的那个链接。
  3. 为什么用curl -I 测试的时候逻辑又完全正确?因为curl测试的时候只有单个请求也就只有一个链接也就不存在使用之前使用过的keep-alive的链接。acl完全正常。

在上个帖子的回答里引用了另外一个帖子。

http://serverfault.com/questions/104350/why-am-i-getting-errors-in-my-haproxy-content-switching-config

在这里有详细一点的说明

Also, you're doing content switching, so please add "option httpclose" in your frontend or defaults section, otherwise second requests of keep-alive connections will not be matched.

所以解决方法就是将 option httpclose 添加到 frontend 或者 defaults 的配置里面。

frontend http-frontend
    option httpclose
    bind www.example.com:80
    acl url_static_begin    path_beg /images /img
    acl url_static_end    path_end .html .css .js
    acl url_service     path_beg /service
    use_backend servers if url_service
    use_backend statics if url_static_begin
    use_backend statics if url_static_end
    default_backend servers

这样就可以了。问题是解决了,可是如果禁用了keep-alive的话,那会极大的影响效率,那是不是可以这么理解,如果用到了acl的情况其实就只能做性能的牺牲?

至于为什么haproxy不能实现即使在reuse之前的链接的时候也去做acl的判断,我还不清楚,所在当我在shlug的邮件列表里提这个问题的时候Choas大神还怀疑这是不是haproxy的bug,让我去报一下bug。

这里也向各位大神请教是不是别有他法?感谢。

转载于:https://my.oschina.net/rory/blog/183150

weixin_34179968
关注
bind acl 实现
divlee的博客
06-08 1508
概述BIND配置一大堆一大堆的acl,allow-query, allow-recursion, allow-update还有view的match-clients等 acl的主要存储的就是IP,可以把acl当做是一个IP池,在需要验证的时候就从这个IP池查找该IP是否存在。那么BIND如何实现这个非常常用的IP池的呢?数据结构struct dns_acl { unsigned int
HAProxy基础
Blog of Stevenux
01-11 1934
HAProxy基础一.HAProxy 简介1.1 简介1.2 企业版和社区版1.3 HAProxy 功能1.4 官方维护的版本说明二.HAProxy 安装及基础配置2.1 Ubuntu 安装 HAProxy2.1.1 apt 安装2.2.2 编译安装2.2 Centos 安装 HAProxy2.2.1 YUM 包管理器安装 HAProxy2.2.2 第三方的 rpm 包安装2.2.3 编译安装 H...
haproxy利用ACL规则封禁自定义IP地址拒绝访问
weixin_34272308的博客
12-19 912
现在有一个需求就是在发版的时候希望除公司IP外的外网访问服务的时候都是拒绝访问的 现在利用haproxyacl规则作出限制 errorfile       403 /etc/haproxy/errfile/403.httpacl url_bao hdr(Host) -i bao....
Haproxy ACL规则导致故障一例!
weixin_34284188的博客
01-27 155
今天一个同事来找我反应,说他们的新站点 yuanfang.ufo.xbox.com.cn 怎么也访问不了,页面返回的是一台测试机的代码,我第一反应是DNS解析问题,dig了一下 正常,登录后端web抓包没有 yuanfang.ufo.xbox.com.cn这个包头的请求。又到同事说的那个测试机抓 结果抓了一大堆。 这时候想应该是 haproxy的规则出问题了...
haproxy 1.8版本没有日志输出,参考1.7版本配置
tianjiewang的专栏
10-14 1811
一、问题haproxy启动后, 重新安装haproxy1.8版本,配置haproxy.cfg,可以测试到转发效果,但是/var/log下没有haproxy.log日志,看不到请求链接数据以及重启haproxy.cfg信息 二、参考网上,修改log,但是日志并没有效果 global # log /dev/log local0 # log /dev/log local1 notice l...
K8S服务器意外重启,haproxy 的服务丢失的解决办法
求知若渴,虚心若愚。
02-17 1657
haproxy 服务启动不起来,原因是服务器重启后导致目录丢失。k8s产生了异常。 lb 的原理需要指定一个VIP for i in {1..65536}; do if echo &>/dev/null > /dev/tcp/127.0.0.1/${i} ;then echo -e "\t\033[31;40m${i}\033[0m is open"; fi; done /usr/sbin/haproxy -f /etc/haproxy/haproxy.c...
Lamp架构(三)负载均衡之haproxy-----haproxy负载均衡+pcs高可用+fence
weixin_44992260的博客
07-12 856
目录一、2.3.3二、高可用集群1.haproxy+pacemaker3. 一、 server1 dnf install hap vim /etc/ha/ha.cfg #--------------------------------------------------------------------- # Example configuration for a possible web application. See the # full configuration options online.
万字详述haproxy高可用
最新发布
SPNOS__WCY的博客
08-11 873
HAProxy是法国开发者 威利塔罗在2000年使用C语言开发的一个开源软件是一款具备高并发(万级以上、高性能的TCP和HTTP负载均衡器,支持基于cookie的持久性(不怎么用的到了),自动故障切换(这个很棒),支持正则表达式及web状态统计,支持动态更改服务器状态。
web集群-负载均衡集群-HAproxy
m0_46289868的博客
02-28 568
简介 HAProxy是使用C语言开发的一个开源软件,是一款具备高并发(一万以上)、高性能的TCP和HTTP负载均衡器,支持基于cookie的持久性,自动故障切换,支持正则表达式及web状态统计。 官方站点 功能 支持功能 TCP 和 HTTP反向代理 SSL/TSL服务器 可以针对HTTP请求添加cookie,进行路由后端服务器 可平衡负载至后端服务器,并支持持久连接 支持所有主服务器故障切换至备用服务器 支持专用端口实现监控服务 支持停止接受新连接请求,而不影响现有连接 可以在双向添加,修改
Patroni-2.0.0(Postgresql集群高可用方案)说明书
青阳的博客
09-28 1182
Patroni-2.0.0说明书 翻译:Tenda 翻译来源:https://patroni.readthedocs.io/en/latest 序言 ​ Patroni(文:守护神)是一个模板,您可以使用Python创建模板,并使用最大的可访问性来创建自己的定制的高可用性解决方案,该分布式配置商店如ZooKeeper,etcd,Consul或Kubernetes。希望在数据心或其他任何地方快速部署HA PostgreSQL的数据库工程师,DBA,DevOps工程师和SRE希望会发现它很有用。 ​
Haproxy配置遇到的问题及解决办法
PlatoWG的博客
09-17 3017
一、调整为四层转发后,没有日志 问题描述 前期部署时配置haproxy为七层代理,然后在正式上线的时候UI访问haproxy代理的jboss应用有异常,开发建议把haproxy改为四层转发。在frontend增加 mode tcp和 option tcplog配置,开发反馈UI调用正常了,但是在检查haproxy日志文件的时候发现,没有日志,甚至haproxy的stats操作日志也没有。 处理过程 1、为了排查原因修改了全局配置的日志配置,修改为mode tcp和 option tcplog,仍不能解决
haproxy服务启动失败
yemu880的博客
08-08 6682
问题描述: 搭建haproxy的机器,因出现故障重启了,然后发现haproxy服务出现异常。重新启动haproxy服务的时候出现下面的错误 [root@haproxy log]# service haproxy start Starting haproxy (via systemctl): Job for haproxy.service failed because the control process exited with error code. See "systemctl status hapr
haproxyACL规则
w20010106的博客
01-08 7098
haproxy支持ACL规则 ,用于定义三层到七层的规则来匹配一些特殊的请求,实现基于请求报文首部、相应报文内容或者是一些其他状态信息,从而根据需求进行不同的策略转发响应。 可以通过ACL规则完成以下两种主要功能: 1、通过设置ACL规则来检查客户端请求是否符合规则,将不符合规则要求的请求直接断; 2、符合ACL规则的请求由backend指定的后端服务器池执行基于ACL规则的负载均衡,不符合的可...
HAproxy负载均衡-ACL
weixin_33743703的博客
06-28 562
 ACL定制法则:     开放策略:拒绝所有,只开放已知     拒绝策略:允许所有,只拒绝某些事实上实现安全策略,无非也就是以上两种方法 redirect参考:http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#4-redirect如果符合某种特定条件,则返回某种新的前缀aclclear         dst_port 8...
haproxy启动故障:Starting proxy:cannot bind socke
weixin_33804582的博客
11-02 647
转自:http://www.linuxyw.com/a/yunweiguzhang/20130614/570.htmlhaproxy启动时提示失败:[ALERT] 164/110030 (11606) : Starting proxy linuxyw.com: cannot bind socket这个问题,其实就是因为你的haproxy没有得到VIP的原因,而你的配置文件又绑...
haproxy配置基于ssl证书的https负载均衡
reblue520的专栏
05-11 1375
本实验全部在haproxy1.5.19版本进行测试通过,经过测试1.7.X及haproxy1.3版本以下haproxy配置参数可能不适用,需要注意版本号。 一、业务要求现在根据业务的实际需要,有以下几种不同的需求。如下: 1.1 http跳转https 把所有请求http://www.chinasoft.com的地址全部跳转为https//:www.chinasoft.com这个地...
HAProxy-配置文件详解
鬼刺
03-07 3782
引言:工作多次用到HAProxy实现负载均衡、会话保持和健康检查以及send-proxy,在此将学习到的相关知识写成笔记。其,参照了很多大神的文章进行探究,特此感谢,参照的文章见下: https://blog.csdn.net/genglei1022/article/details/83374188 https://www.cnblogs.com/chimeiwangliang/p/804...
记在这次HAProxy配置遇到的问题
allesa的专栏
08-17 5411
上一篇文章介绍到了HAProxy进行转发功能的配置,其是针对于根据不同情况下来进行的转发。 最近我做的项目是进行公司广州合作机房到aws亚马逊机房之间产生的延时,其此链路的线路如下: 广州合作机房---->深圳自研机房---->北美自研机房---->aws 针对于这个链路,我们需要在深圳自研机房和北美自研机房上分别架上HAProxy代理进行消息的转发,而由于测速是使用自己用socket写的
HAProxy配置深入解析:ACL功能与实战
"这篇文档详细介绍了HAProxy配置文件及其核心功能,特别是ACL(访问控制列表)的使用。文档按照配置文件的结构和各部分参数展开,提供了丰富的配置示例和场景应用,帮助读者理解如何有效配置和管理HAProxy以实现高...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值