本文索引
1 概述
2 HAProxy功能
3 HAProxy组成
4 相关配置
4.1 global配置
4.2 绑定监听端口配置
4.3 定义后端主机的各服务器及其选项
4.4 compression设置
4.5 健康状态检测
4.6 cookie配置
4.7 工作模式
4.8 错误页配置
4.9 修改报文首部
4.10 连接超时
1 概述
HAProxy:是法国人Willy Tarreau开发的一个开源软件,是一款应对客户端10000以上的同时连接的高性能的TCP和HTTP负载均衡器(LB)。其功能是用来提供基于cookie的持久性,基于内容的交换,过载保护的高级流量管制,自动故障切换,以正则表达式为基础的标题控制运行事件,基于Web的报表,高级日志记录以帮助排除故障的应用或网络及其他功能。HAProxy系统自带管理页面。版本有1.41.5 1.6 1.7 1.8
HAProxy官网:http://www.haproxy.org
官方文档:https://cbonte.github.io/haproxy-dconv/
2 HAProxy功能
.HAProxy是基于TCP/HTTP反向代理服务器,尤其适合于高可用性环境
.可以针对HTTP请求添加cookie,进行路由后端服务器
.可平衡负载至后端服务器,并支持持久连接
.支持基于cookie进行调度
.支持所有主服务器故障切换至备用服务器
.支持专用端口实现监控服务
.支持不影响现有连接情况下停止接受新连接请求
.可以在双向添加,修改或删除HTTP报文首部
.支持基于pattern实现连接请求的访问控制
.通过特定的URI为授权用户提供详细的状态信息
.支持http反向代理
.支持动态程序的反向代理
.支持基于数据库的反向代理
HAProxy放置在如下的位置调度请求
3 HAProxy组成
.程序环境:
主程序:/usr/sbin/haproxy
配置文件:/etc/haproxy/haproxy.cfg
单元文件:/usr/lib/systemd/system/haproxy.service
配置文件配置段:
.global:全局配置段
进程及安全配置相关的参数
性能调整相关参数
Debug参数
.proxies:代理配置段,proxy名称:使用字母数字-_ . :并区分字符大小写
defaults:为frontend, backend,listen提供默认配置,如果其他段没配置,则相关参数使用defaults段里设定的参数
frontend:前端,指定接收客户端连接侦听套接字设置,相当于是VIP,发布到公网的ip,功能相当于在nginx中是配置于server {}
backend:后端,指定将连接请求转发至后端服务器的相关设置,相当于是RS,同一个RS可以属于多个backend,功能相当于在nginx中是配置于upstream {}
listen:指定完整的前后端设置,同时拥有前端和后端,只对TCP有效,适用于一对一环境,但是建议写出frontend和backend格式,方便调整
4 相关配置
4.1 global配置
.global配置参数:
.进程及安全管理:chroot, deamon,user,group, uid, gid
nbproc :要启动的haproxy的进程数量,这个是和内核有关,单核的系统默认单进程,如果是两核,默认是两个,要求使用daemon模式,不建议设置太多数量,因为涉及到上下文
ulimit-n :每个haproxy进程可打开的最大文件数,系统自动会指定,不建议设置
daemon后端方式运行,建议使用
log:定义全局的syslog服务器;最多可以定义两个
log [len] [max level [min level]]
address:rsyslog服务器地址
len:记录日志的长度,默认1024
.性能调整:
maxconn :设定每个haproxy进程所能接受的最大并发连接数,一般3000比较合适,可以设置在defaults和frontend配置段里
maxconnrate :设置每个进程每秒种所能建立的最大连接数量
maxsessrate :设置每个进程每秒种所能建立的最大会话数量
会话和连接的区别是,一个连接可以包括多个会话。同时,一个连接里也可以没有会话
maxsslconn :每进程支持SSL的最大连接数量
spread-checks <0..50, inpercent>健康检测延迟时长比,建议2-5之间。一般不是同时发送,错开检测,把负载均摊在不同的时间里,放在给haproxy服务器造成负担,这里就是定义错开的时间,2表示2%.
4.2绑定监听端口配置
.bind:指定一个或多个前端侦听地址和端口,应用于frontend和listen
bind []: [, ...] [param*]
.示例:
listen http_proxy
bind :80,:443 #绑定多个ip或端口,用逗号隔开,注意,绑定的端口不能和当前haproxy服务器的其他服务混用,如果和其他服务冲突,建议更改其他服务的默认端口
bind 10.0.0.1:10080,10.0.0.1:10443
bind /var/run/ssl-frontend.sock user root mode 600 accept-proxy
#这是socket,对内用的,没有实际应用的意义。
以下写法等价于如下的配置,实现功能一样,但是listen是一对一,直接指定前端和后端,Frontend和Backend区分前端和后端的好处是比较灵活,可以交叉调用,所以建议用前端和后端交叉写
写法一
frontend http
bind *:80
default_backend websrv
backend websrv
balance roundrobin
server web6e 172.18.50.65:80 check
server web7e 172.18.50.75:80 check
写法二
listen http
bind :80
balance roundrobin
server web6e 172.18.50.65:80 check
server web7e 172.18.50.75:80 check
4.3 定义后端主机的各服务器及其选项
.server [:[port]] [param*]
server [:port] [settings ...]
default-server [settings ...]
为backend中的各server设定默认选项
:服务器在haproxy上的内部名称;出现在日志及警告信息
:服务器地址,支持使用主机名
[:[port]]:端口映射;省略时,表示同bind中绑定的端口
[param*]:参数,有以下三类:
weight:权重,默认为1
例子server web1 172.18.50.65:80 check weight2
maxconn:当前server的最大并发连接数,这里设置5000就很大。
backlog :当server的连接数达到上限后的后援队列长度,当rs的并发达到maxconn,就放到等待的队列
backup:设定当前server为备用服务器,相当于sorryserver,这里要求本台服务器要有http服务。需要健康检查后端都失败了才会启用
例子:server sorryserver 172.18.50.63:9527 backup
.default_backend ,当没有被use_backend匹配时,使用默认的backend,用于frontend中
.disabled设置
标记主机为不可用,这个是临时的策略,如后端机器需要维护时,可以把这个机器设为disabled,就不会调度到对应的机器。
例子
server web7e 172.18.50.75:80 check disabled
redir设置
redir :将发往此server的所有GET和HEAD类的请求重定向至指定的URL,重定向到另一台机器上,注意网络要通
例子
server web7e 172.18.50.75:80 check redir http://172.18.50.61:80
测试
for i in {1..10};docurl -L 172.18.50.63;done
4.4 compression设置
.为指定的MIME类型启用压缩传输功能
compressionalgo ...:启用http协议的压缩机制,指明压缩算法gzip, deflate
compressiontype ...:指明压缩的MIMI类型
4.5 健康状态检测
.check
对当前server做健康状态检测,只用于四层检测
注意:httpchk,“smtpchk”, “mysql-check”,“pgsql-check” and “ssl-hello-chk”用于定义应用层检测方法
addr:检测时使用的IP地址,可以检查同一机器上的不同地址
port:针对此端口进行检测
inter :连续两次检测之间的时间间隔,默认为2000ms
rise :连续多少次检测结果为“成功”才标记服务器为可用;默认为2
fall :连续多少次检测结果为“失败”才标记服务器为不可用;默认为3
例子:
server web1 172.18.50.65:80 check weight 2 addr 192.168.32.65 port 80 inter 3000 rise 2 fall 2
其中:addr 192.168.32.65 port 80可以不是提供服务的ip和端口,只要和能确定后端服务的状态的ip就可以了
httpchk
.对后端服务器做http协议的健康状态检测:通常用于backend。工作原理是发http请求,获取到对应的页面,表示健康,所以后端服务器log会有相应的大量访问记录
option httpchk默认为:/OPTIONS HTTP/1.0
option httpchk
option httpchk
option httpchk
定义基于http协议的7层健康状态检测机制
例子,构造GET的检测报文例子如下
option httpchk GET /index.htmlHTTP/1.1\r\nhost:www.sunny.com
http-check expect [!]
http协议健康状态检测响应内容或指定响应码,希望得到的状态码
默认状态码200是正常的,以下改成得到404状态码时为正常,配置如下
option httpchk
http-checkexpect status 404
4.6cookie配置
cookie :为当前server指定cookie值,实现基于cookie的会话黏性
.cookie [ rewrite | insert | prefix ] [ indirect] [ nocache ] [ postonly ] [ preserve ] [ httponly ] [ secure ] [ domain ]* [ maxidle ] [ maxlife ]
:cookie名称,用于实现持久连接
rewrite:重写
insert:插入,把cookie信息插入到响应报文里
prefix:前缀
nocache表示cookie信息不缓存
配置示例
.基于cookie的session sticky的实现:
backend websrvs
cookie WEBSRV insert nocache
#WEBSRV是cookie的键,值是其他命令指定,如以下的srv1和srv2就是对应的值
server srv1 172.16.100.6:80 weight 2 check rise 1 fall 2 maxconn 3000 cookie cksrv1
#调度到server1那么cookie值就是cksrv1,这个就是对应客户拿到的cookie值
server srv2 172.16.100.7:80 weight 1 check rise 1 fall 2 maxconn 3000 cookie cksrv2
测试
在浏览器中测试,第一次在请求报文里没有cookie值,响应报文里都有cookie值.
响应报头有如下的内容,WEBSRV为cookie的键,cksrv1为cookie的值
Set-Cookie: WEBSRV=cksrv1; path=/
另外,curl命令访问时,默认不带cookie值,需要通过选项-b实现,命令如下
curl -b WEBSRV=cksrv1172.18.50.63
4.7工作模式
.mode { tcp|http|health}
定义haproxy的工作模式,有三个:tcp|http|health,不支持UDP模式
tcp:基于layer4实现代理;可代理mysql, pgsql, ssh,ssl等协议,https时使用此模式
http:仅当代理协议为http时使用,centos实际默认模式
health:工作为健康状态检查的响应模式,当连接请求到达时回应“OK”后即断开连接,较少使用,可用于测试环境
TCP模式示例
默认是http模式,如果是用frontend或者backend来定义,则两个配置段都要写入mode tcp.
listen ssh
bind :22222
balance leastconn
mode tcp
server sshsrv1 172.16.100.6:22 check
server sshsrv2 172.16.100.7:22 check
如果在centos6上基于tcp的调度,重启haproxy出现如下的报错,可以忽略,或者是把默认的两个选项option为httplog和forwardfor注释掉即可,重启服务测试一下调度,已经可以正常调度。
Stopping haproxy: [ OK ]
Starting haproxy: [WARNING] 305/173945 (6553) : parsing[/etc/haproxy/haproxy.cfg:46] : 'option httplog' not usable with proxy 'ssh'(needs 'mode http'). Falling back to 'option tcplog'.[WARNING] 305/173945(6553) : config : 'option forwardfor' ignored for proxy 'ssh' as it requiresHTTP mode.[WARNING] 305/173945 (6553) : parsing [/etc/haproxy/haproxy.cfg:46] :'option httplog' not usable with proxy 'mysql' (needs 'mode http'). Fallingback to 'option tcplog'.[WARNING] 305/173945 (6553) : config : 'optionforwardfor' ignored for proxy 'mysql' as it requires HTTP mode. [ OK ]
如果是ssh的调度。建议先更改ssh的服务为其他端口,或者直接绑定ssh服务在某一特定的ip上.另外,同一个ip上有不同的mac导致认为安全性验证失败,提示:WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!,如61机器要ssh连接73机器,73为HA调度器,出现报错,此时,需要把61下/root/.ssh/known_host关于73上信息删掉,才可以再次被调度,这样造成的问题可能是同一台机器,如果调度器是轮询调度,而且权重都是1:1,如果只有一台机器进行ssh,那么该机器永远会被调度到同一台机器上,因为当该机器正常ssh连接的时候,为一次调度,要进行下一次ssh前,需要清空61上/root/.ssh/known_host关于73上信息,然后在进行下一次的ssh,否则下一次就会出现mac信息的错误。
4.8错误页配置
设置在backend配置段
.errorfile 自定义错误页
:HTTPstatus code.支持200,400, 403, 408, 500, 502, 503, 504.注意,只有指定的这几个code支持
:错误页文件路径
.示例:
errorfile 400 /etc/haproxy/errorfiles/400badreq.http
errorfile 408 /dev/null # workaround Chrome pre-connectbug
errorfile 403 /etc/haproxy/errorfiles/403forbid.http
errorfile 503/etc/haproxy/errorfiles/503sorry.http
errorloc
根据code执行相应跳转
格式
errorloc
例子
errorloc 503 http://wwww.sunny.com/
4.9修改报文首部
在frontend配置段里添加
格式:reqadd [{if | unless} ]
在请求报文尾部添加指定首部,可以用于排错,确定该请求是从哪台haproxy转发过来的
例子
HA上。注意写法,头部后面一定要有冒号
reqadd sunny-x-via:haproxy6c
RS上的http服务器上定义log格式
ogFormat "%h %l %u %t \"%r\" %>s %b\"%{Referer}i\" \"%{User-Agent}i\" \"%{sunny-x-via}i\"" combined
在响应报文尾部添加指定首部,客户端得到的响应报文会添加上对应的报头,
格式:rspadd [{if | unless}]
例子
rspadd Server:Sunny-proxy6c
从请求报文中删除匹配正则表达式的首部,
.reqdel [{if | unless} ]
.reqidel [{if | unless} ] (ignore case) 小写字母i表示不分大小写
从响应报文中删除匹配正则表达式的首部
.rspdel [{if | unless} ]
.rspide l [{if | unless} ] (ignore case) 不分大小写
其中i是指忽略大小写,如果这里先通过rspdel Server删掉首部,然后再rspadd Server:Sunny-proxy6c添加首部,可以伪造首部Server的内容
4.10连接超时
以下的时间设置要根据企业的业务实际情况设置,如游戏,一般设置时间长一点。
.timeout client :客户端最长空闲连接超时时长默认单位是毫秒
.timeout server :后端服务器最长空闲连接超时时长
.timeout http-keep-alive :持久连接的持久时长
.timeout http-request:一次完整的HTTP请求的最大等待时长
.timeout connect :成功连接后端服务器的最大等待时长
.timeout client-fin :客户端半连接的空闲时长,四次挥手只完成了前两次挥手
.timeout server-fin :后端服务器半连接的空闲时长
