一:haproxy的ACL概述
haproxy的ACL用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性
其配置法则通常分为两步,首先去定义ACL即定义一个测试条件而后条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端
二:ACL的语法格式及参数详解
acl <aclname> <criterion> [flags] [operator] <value>
<aclname>: ACL 名称,区别字符大小写,且其只能包含大小字母,数字,连接线,在haproxy中,acl可以重名,这可以把多个测试条件定义为一个共同的ACL
<criterion>:测试标准即对什么信息发起测试,测试方式可以由【flags】指定的标志进行调整,而有些测试标准也可需要为其在<value>之前的指定一个操作符【operator】
[flags]:目前haproxy的acl支持的标志位有3个
-i:不区分<value>中的模式字符的大小写
-f:从指定的文件中加载模式
--:标志位的强制结束标记,在模式中的字符串像标记符时使用
<value>:acl测试条件支持的值有四类;
整数或整数范围且支持 操作符有5个,eq,ge,gt,le和lt
字符串:支持使用-i以忽略字符大小写,支持使用\进行转义,如果在模式首部出现-i 可以在其之前使用--标志位
同一个ACL中可以指定多个测试条件,与或||非!
三:ACL的常用测试标准:
be_sess_rate
be_sess_rate(backend) <integer>
用于测试指定的backend上会话创建的速率(即每秒创建的会话数)
是否满足指定的条件:常用于在指定backend上的会话速率过高时将用户请求转发至另外的backend,或用于阻止攻击行为
例如
backend dynamic
mode http
acl being_scanned be_sess_rate gt 50 定义的ACL,指定了backend后端会话创建速率大于50
redirect location /error_pages/denied.html if being_scanned 这表示大于50就重写到/error_pages/denied.html
fe_sess_rate
fe_sess_rate(frontend) <integer>
用于测试指定的frontend上的会话创建速率是否满足指定的条件;常用于为frontend指定的一个合理会话创建速率的上限以防止服务被滥用,例如下面的列子限定入站邮件速率不能大于50封/秒,所有在此指定范围之外的请求都将被延迟50毫秒
frontend mail
bind *:25
mode tcp
maxconn 500
acl too_fast fe_sess_rate ge 50
tcp-request inspect-delay 500ms
tcp-request content accept if ! too_fast
tcp-request content accept if wait_end
hdr(header)
用于测试请求报文中的所有首部或指定首部是否满足指定的条件;指定首部时,其名称不区分大小写,且在括号“()”中不能有任何多余的空白字符。测试服务器端的响应报文时可以使用shdr()。
例如下面的例子用于测试首部Connection的值是否为close。
hdr(connection) -i close :例如下面例子用于测试首部connection的值石否为close
method
method <string>
测试HTTP请求报文中使用的方法。
path_beg
path_beg <string>
用于测试请求的URL是否以指定的模式开头。下面的例子用于测试URL是否以/static、/images、/javascript或/stylesheets头。
例如: acl url_static path_beg -i /static/images/javascript/stylesheets
path_end
path_end <string>
用于测试请求的URL是否以<string>指定的模式结尾。例如,下面的例子用户测试URL是否以jpg、gif、png、css或js结尾。
例如: acl url_static path_beg -i .ipg .gif .png .css .js
hdr_beg
hdr_beg <string>
用于测试请求报文的指定首部的开头部分是否符合<string>指定的模式。例如,下面的例子用记测试请求是否为提供静态内容的主机img、video、download或ftp。
acl host_static hdr_beg(host) -i img. video. download. ftp.
hdr_end
hdr_end <string>
用于测试请求报文的指定首部的结尾部分是否符合<string>指定的模式。
ACL基本规则完成。