HAProxy介绍

HAProxy简介

（1）HAProxy是一款提供高可用性、负载均衡以及基于TCP（第四层）和HTTP（第七层）应用的代理软件，支持虚拟主机，它是免费、快速并且可靠的一种解决方案。HAProxy特别适用于哪些负载特别大的web站点，这些站点通常又需要会话保持或七层处理。HAProxy运行在时下的硬件上，完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中，同事可以保护你的web服务器不被暴露到网络上。

（2）HAProxy实现了一种时间驱动、单一进程模型，此模型支持非常大的并发连接数。多进程或多线程模型受内存限制、系统调度器限制以及无处不在的锁限制，很少能处理数千并发连接。事件驱动模型因为在有更好的资源和时间管理的用户端（User-Space）实现所有这些任务，所以没有这些问题。此模型的弊端是，在多核系统上，这些程序通常扩展性较差。这就是为什么他们必须进行优化以使每个CPU时间片（Cycle）做更多的工作。
（3）HAProxy支持连接拒绝：因为维护一个连接的打开的开销很低的，有时我们很需要限制攻击蠕虫（attack bots），也就是说限制他们的连接打开从而限制他们的危害。这个已经为一个限于小型DDoS攻击的网站开发了而且已经拯救了很多站点，这个有点也是其它负载均衡服务器没有的。

（4）HAProxy支持全透明代理（已具备硬件防火墙的典型特点）：可以用客户端IP地址或者任何其他地址来连接后端服务器。这个特性仅在Linux 2.4/2.6内核大了cttproxy补丁后才可以使用。这个特性也使得为某特殊服务器处理部分流量同时又不修改服务器的地址成为可能。

性能

HAProxy借助于OS上集中常见的技术来实现性能的最大化。

1.单进程、时间驱动模型显著降低了上下文切换的开销及内存占用。
2.0（1）事件检查器（event checker）允许其在高并发连接中对任何连接的任何时间实现即时探测。
3.在任何可用的情况下，单缓冲（single buffer）机制能以不复制任何数据的方式完成读写操作，这会解决大量的CPU时钟周期及内存带宽；
4.借助于Linux 2.6（>2.6.27.19）上的splice()系统调用，HAProxy可以实现零复制转发（Zero-copy forwarding），在Linux 3.5及以上的OS中还可以实现零复制启动（zero-starting）
5.内存分配器在固定大小的内存池中可实现即时内存分配，这能够显著减少创建一个会话的时长
6.树形存储：侧重于使用坐着多年前开发的弹性二叉树，实现了以0（log（N））的低开销来保持计时器命令、保持运行队列命令及管理轮询及最少连接队列
7.优化的HTTP首部分析：优化的首部分析功能避免了在HTTP首部分析过程中重读任何内存区域
8.精心降低了昂贵的系统调用，大部分工作都在用户空间完成，如时间读取、缓冲聚合及文件描述符的启动和禁用等

所有的这些细微之处的优化实现了在中等规模负载之上依然有着相当低的CPU负载，甚至于在非常高的负载场景中，5%的用户空间占用率和95%的系统空间占用率也是非常普遍的现象，这意味着HAProxy进程消耗比系统空间消耗低20倍以上。因此，对OS进行性能调优是非常重要的。即使用户空间的占用率提高一倍，其CPU占用率也仅为10%，这也解释了为何7层处理对性能影响有限这一现象。由此，在高端系统上HAProxy的7层性能可轻易超过硬件负载均衡设备。
在生产环境中，在7层处理上使用HAProxy作为昂贵的高端硬件负载均衡，设备故障时的紧急解决方案也时长可见。硬件负载均衡设备在“报文”级别处理请求，这在支持跨报文请求（request acroos multiple packets）有着较高的难度，并且他们不缓冲任何数据，因此有着较长的响应时间。对应的，软件负载均衡设备使用TCP缓冲，可建立极长的请求，且有着较大的响应时间。

HAProxy目前主要有三个版本：1.3 1.4 1.5，CentOS6.6自带的RPM包为1.5的。

安装配置HAProxy

一下实验环境均为CentOS6.6 i686平台。

1.安装HAProxy

[root@LB ~]# yum install -y haproxy #直接使用RPM来安装
[root@LB ~]# rpm -qi haproxy #版本为1.5.4
Name : haproxy Relocations: (not relocatable)
Version : 1.5.4 Vendor: CentOS
Release : 2.el6 Build Date: Thu 23 Jul 2015 04:26:35 PM PDT
Install Date: Sat 29 Aug 2015 06:49:30 PM PDT Build Host: c6b9.bsys.dev.centos.org
Group : System Environment/Daemons Source RPM: haproxy-1.5.4-2.el6.src.rpm
Size : 2542578 License: GPLv2+
Signature : RSA/SHA1, Fri 24 Jul 2015 01:39:18 PM PDT, Key ID 0946fca2c105b9de
Packager : CentOS BuildSystem <http://bugs.centos.org>
URL : http://www.haproxy.org/
Summary : HAProxy is a TCP/HTTP reverse proxy for high availability environments
[root@LB ~]# rpm -ql haproxy
/etc/haproxy
/etc/haproxy/haproxy.cfg ---------->配置文件
/etc/logrotate.d/haproxy
/etc/rc.d/init.d/haproxy
/etc/sysconfig/haproxy
/usr/bin/halog
/usr/bin/iprange
/usr/sbin/haproxy
[root@LB ~]# cd /etc/haproxy/

2.详细配置文件

HAProxy的配置文件由两部分组成：全局设定和对代理的设定，共分为五段：global，defaults，frontend，backend，listen。

2.1配置文件格式

HAProxy的配置处理3类参数来源：
—最优先处理的命令行参数
-“global”配置段，用于设定全局配置参数
-proxy相关配置段，如“default”、“listen”、“frontend”和“backend”
2.2时间格式
一些包含了值的参数表示时间，如超时时长。这些值一般以毫秒为单位，但也可以使用其他的时间单位后缀。

us:
微秒(microseconds)，即1/1000000秒；


ms:
毫秒(milliseconds)，即1/1000秒；


s:
秒(seconds)；


m:
分钟(minutes)；


h：小时(hours)；


d:
天(days)；

2.3全局配置
进程管理及安全相关的参数

-chroot ：修改haproxy的工作目录至指定的目录并在放弃权限之前执行chroot()操作，可以提升haproxy的安全级别，不过需要注意的是要确保指定的目录为空目录且任何用户均不能有写权限
-daemon：让haproxy以守护进程的方式工作于后台，其等同于 “-D”选项的功能，当然，也可以在命令行中以“-db”选项将其禁用。
-gid ：以指定的GID运行haproxy，建议使用专用于运行haproxy的GID，以免因权限问题带来的风险
-group ：同gid，不过指定的组名
-log

[max level [min level]]：定义全局的syslog服务器，最多可以定义两个
– log-send-hostname []：在syslog信息的首部添加当前主机名，可以为“string”指定的名称，也可以缺省使用当前主机名
-nbproc ：指定启动的haproxy进程的个数，只能用于守护进程模式的haproxy；默认启动一个进程，鉴于调试困难等多方面的原因，一般只在单进程仅能打开少数文件描述的场景中才使用多进程模型；
-pidfile
-uid：以指定的UID身份运行haproxy进程；
-ulimit -n：设定每个进程所能够打开的最大文件描述符数目，默认情况下其会自动进行计算，因此不推荐修改此选项；Linux默认单进程打开文件数为1024个
-user：同uid，但使用的是用户名
-stats：用户访问统计数据的接口
-node：定义当前节点的名称，用于HA场景中多haproxy进程共享同一IP地址时
-description：当前实例的描述信息

性能调整相关的参数

-maxconn ：设定每个haproxy进程所接收的最大并发连接数，其等同于命令行选项“-n”；“ulimit -n”自动计算的结果正是参照此参数设定的；
-maxpipes ：haproxy使用pipe完成基于内核的tcp报文重组，此选项则用于设定每个进程所允许使用的最大pipe个数；每个pipe会打开两个文件描述符，因此，“ulimit -n”自动计算时会根据需要调大此值；默认为maxconn/4，其通常会显得过大。
– noepoll：在Linux系统上禁用epoll机制；
– nokqueue：在BSE系统上禁用kqueue机制；
– nopoll：禁用poll机制；
– nosepoll：在Linux禁用启发式epoll机制；
– nosplice：禁止在Linux套接字上使用内核tcp重组，这会导致更多的recv/send系统调用；不过，在
Linux 2.6.25-28系列的内核上，tcp重组功能有bug存在；
– spread-checks <0..50, in percent>：在haproxy后端有着众多服务器的场景中，在精确的时间间
隔后统一对众服务器进行健康状况检查可能会带来意外问题；此选项用于将其检查的时间间隔长度上增加或减小一
定的随机时长；
– tune.bufsize ：设定buffer的大小，同样的内存条件小，较小的值可以让haproxy有能力接
受更多的并发连接，较大的值可以让某些应用程序使用较大的cookie信息；默认为16384，其可以在编译时修
改，不过强烈建议使用默认值；
– tune.chksize ：设定检查缓冲区的大小，单位为字节；更大的值有助于在较大的页面中完成基
于字符串或模式的文本查找，但也会占用更多的系统资源；不建议修改；
– tune.maxaccept ：设定haproxy进程内核调度运行时一次性可以接受的连接的个数，较大的值
可以带来较大的吞吐率，默认在单进程模式下为100，多进程模式下为8，设定为-1可以禁止此限制；一般不建议
修改；
– tune.maxpollevents ：设定一次系统调用可以处理的事件最大数，默认值取决于OS；其值小
于200时可节约带宽，但会略微增大网络延迟，而大于200时会降低延迟，但会稍稍增加网络带宽的占用量；
– tune.maxrewrite ：设定为首部重写或追加而预留的缓冲空间，建议使用1024左右的大小；在
需要使用更大的空间时，haproxy会自动增加其值；
– tune.rcvbuf.client ：
– tune.rcvbuf.server ：设定内核套接字中服务端或客户端接收缓冲的大小，单位为字节；强
烈推荐使用默认值；
– tune.sndbuf.client：
– tune.sndbuf.server：

超时时长

timeout
http
request
：在客户端建立连接但不请求数据时，关闭客户端连接


timeout
queue
：等待最大时长


timeout
connect：
定义haproxy将客户端请求转发至后端服务器所等待的超时时长


timeout
client：客户端非活动状态的超时时长


timeout
server：客户端与服务器端建立连接后，等待服务器端的超时时长，


timeout
http-keep-alive
：定义保持连接的超时时长


timeout
check：健康状态监测时的超时时间，过短会误判，过长资源消耗


maxconn
:每个server最大的连接数





http-server-close
:
在使用长连接时，为了避免客户端超时没有关闭长连接，此功能可以使服务器端关闭长连接


redispatch：
在使用基于cookie定向时，一旦后端某一server宕机时，会将会话重新定向至某一上游服务器，必须使用
的选项

实现访问控制：

http-request: 7层过滤
tcp-request content: tcp层过滤，四层过滤

2.4代理
代理相关的配置可以如下配置段中

–
defaults
<name>

–
frontend
<name>

–
backend
<name>

–
listen
<name>

“defaults”段用于为所有其他配置段提供默认参数，这配置默认配置参数可由下一个“defaults”所重新设定。
“frontend”段用于定义一系列监听的套接字，这些套接字可接受客户端请求并与之建立连接。
“backend”段用于定义一系列“后端”服务器，代理将会将对应客户端的请求转发至这些服务器。
“listen”段通过关联“frontend”和“backend”定义了一个完整的代理，通常支队TCP流量有用。
所有代理的名称只能使用大写字母、小写字母、数字，-（中线）、_（下划线）、.（点号）和:（冒号）。此外，ACL名称会区分字母大小写。