安科网

HAProxy实现高级负载均衡实战和ACL控制

zllbirdonland

zllbirdonland

2019-12-28

关注 关注

 haproxy实现高级负载均衡实战

 环境:随着公司业务的发展,公司负载均衡服务已经实现四层负载均衡,但业务的复杂程度提升,公司要求把mobile手机站点作为单独的服务提供,不在和pc站点一起提供服务,此时需要做7层规则负载均衡,运维总监要求,能否用一种服务同既能实现七层负载均衡,又能实现四层负载均衡,并且性能高效,配置管理容易,而且还是开源。

实验前准备

① 两台服务器都使用yum 方式安装haproxy

yum -y install haproxy

② iptables -F && setenforing 清空防火墙策略,关闭selinux

实战一:实现haproxy的Https协议

配置HAProxy支持https协议:

支持ssl会话;

bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE
crt 后证书文件为PEM格式,且同时包含证书和所有私钥
cat demo.crt demo.key > demo.pem

把80端口的请求重向定443

bind *:80
redirect   scheme   https   if   !{ ssl_fc }

向后端传递用户请求的协议和端口(frontend或backend)

http_request set-header X-Forwarded-Port %[dst_port]
http_request add-header X-Forwared-Proto https if { ssl_fc }

 1、https-证书制作 

[_17~]#mkdir /usr/local/haproxy/certs
[_17~]#cd /usr/local/haproxy/certs
[_17certs]#openssl genrsa -out haproxy.key 2048
Generating RSA private key, 2048 bit long modulus
.....................................+++
.....................................+++
e is 65537 (0x10001)
[_17certs]#openssl req -new -x509 -key haproxy.key -out haproxy.crt -subj "/CN=www.magedu.net"
[_17certs]#cat haproxy.key haproxy.crt > haproxy.pem

 2、在HAProxy主机配置http跳转至https网站

listen WEB_PORT_80
        bind 192.168.37.17:80
        mode http  当访问是http网址时
        redirect scheme https if !{ ssl_fc }  直接跳转至https网址上
        server web1 192.168.37.27:80 check inter 3000 fall 3 rise 5

listen WEB_PORT_443
        bind 192.168.37.17:443  ssl crt /usr/local/haproxy/certs/haproxy.pem  监听443端口,并指定ssl的证书路径。
        mode tcp
        server web1  192.168.37.27:80  check inter 3000 fall 3 rise 5  当访问HAProxy主机时,跳转至后端服务器27
        server web2  192.168.37.37:80  check inter 3000 fall 3 rise 5  当访问HAProxy主机时,跳转至后端服务器37

 网页访问效果:

HAProxy实现高级负载均衡实战和ACL控制

实战二:基于ACL控制实现动静分离

原理:acl:访问控制列表,用于实现基于请求报文的首部响应报文的内容其它的环境状态信息来做出转发决策,这大大增强了其配置弹性。其配置法则通常分为两步,首先去定义ACL ,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端

1、环境准备:

机器名称

IP配置

服务角色

备注

haproxy-server

192.168.37.17

负载均衡器

ACL控制

RS1

192.168.37.37

静态服务器

http后端图片 

RS2

192.168.37.47

动态服务器

 php程序和nginx服务

2、在RS2安装nginx和php-fpm包,并配置nginx服务

 1、安装nginx和php-fpm包

[_page]#yum install php-fpm nginx -y

 2、配置nginx服务

location ~ \.php$ {
            root           html;
            fastcgi_pass   127.0.0.1:9000;
            fastcgi_index  index.php;
            fastcgi_param  SCRIPT_FILENAME   $document_root$fastcgi_script_name;
            include        fastcgi_params;
        }

 3、在nginx默认的访问页面下新建一个index.php文件,作为访问php的页面

[]#vim /usr/share/nginx/html/index.php
<?php                                                                                                                                            
    phpinfo();
?>

 3、在RS1服务器上安装httpd服务,并做相关配置

[]#yum install httpd -y  安装httpd服务
[]#cd /var/www/html   在此目录下存放一张图片

4、配置haproxy调度服务器

listen stats   监听状态页
        bind :9527
        stats enable
        stats hide-version
        stats uri /haproxy-status
        stats realm HAPorxy\Stats\Page
        stats auth haadmin:123456
        stats auth admin:123456
        stats refresh 30s
        stats admin if TRUE

frontend web      frontend 自定义ACL
        bind 192.168.37.17:80
        mode http
        acl php_server path_end -i  .php
        use_backend  php_server_host if php_server
        acl  image_server  path_end  -i  .jpg .png  .jpeg .gif
        use_backend  image_server_host if image_server

backend php_server_host   后端集群服务
        balance roundrobin
        server web1 192.168.37.37:80 weight 1 check  port 80 inter 3s fall 3 rise 5

backend image_server_host  后端集群服务
        balance roundrobin      
        server web2 192.168.37.47:80 weight 1 check  port 80 inter 3s fall 3 rise 5

 5、最后启动web端服务  

[~]#systemctl start httpd 
[~]#systemctl start haproxy  nginx  php-fpm

  6、在网页上验证效果  

  当访问php后缀的文件页面时,haproxy就会调度到php程序的服务上去。

 HAProxy实现高级负载均衡实战和ACL控制

  当访问jgp后缀格式的网页时,haproxy就会调度到图片服务器上

HAProxy实现高级负载均衡实战和ACL控制

ACL也可以定义匹配文件路径

在HAProxy机器上配置

listen stats   监听状态页
        bind :9527
        stats enable
        stats hide-version
        stats uri /haproxy-status
        stats realm HAPorxy\Stats\Page
        stats auth haadmin:123456
        stats auth admin:123456
        stats refresh 30s
        stats admin if TRUE

frontend web      frontend 自定义ACL
        bind 192.168.37.17:80
        mode http
        acl php_server path_end -i  .php
        use_backend  php_server_host if php_server
        acl image_path path_beg -i /static /images /javascript  /tfs  也可以将静态页面进行定义匹配文件路径
        use_backend  image_server_host if image_server

backend php_server_host   后端集群服务
        balance roundrobin
        server web1 192.168.37.37:80 weight 1 check  port 80 inter 3s fall 3 rise 5

backend image_server_host  后端集群服务
        balance roundrobin      
        server web2 192.168.37.47:80 weight 1 check  port 80 inter 3s fall 3 rise 5

此时将http服务的图片放至新建的tfs目录下,也可以访问到图片内容。

HAProxy实现高级负载均衡实战和ACL控制

 实战三:实现HAProxy调度mysql数据库

1、在HAProxy调度器上修改配置文件

 vim  /etc/haproxy/haproxy.cfg

listen WEB_PORT_80 将http或nginx调度到192.168.37.27服务器上
        bind 192.168.37.17:80
        mode tcp
        server web1 192.168.37.27:443 check inter 3000 fall 3 rise 5



listen mysql_port  将mysql调度到192.168.37.37
        bind 12.168.37.17:3306
        mode tcp
        server web1 192.168.37.37:3306 check insert 3000 fall 3 rise 5

2、在后端服务器RS3安装mariadb-server数据库

[]#yum install mariadb-server -y
[]#systemctl start mariadb
[]#mysql -e "grant all on *.* to ‘192.168.37.%‘ identified by ‘centos‘"   创建一个数据库账号

3、在客户端开始用创建的数据库账号进行访问

 在客户端修改/etc/hosts配置文件,解析HAProxy域名

 HAProxy实现高级负载均衡实战和ACL控制

 在客户端进行域名访问HAProxy域名,此时HAProxy会进行调度到后端的mysql数据库。

[~]#yum install mysql -y  在客户端安装一个mysql客户端软件
[~]#mysql -utest -pcentos -hwww.magedu.net   此时在客户端通过域名解析就可以登录后端
Welcome to the MariaDB monitor.  Commands end with ; or \g.
Your MariaDB connection id is 4
Server version: 5.5.60-MariaDB MariaDB Server

Copyright (c) 2000, 2018, Oracle, MariaDB Corporation Ab and others.

Type ‘help;‘ or ‘\h‘ for help. Type ‘\c‘ to clear the current input statement.

MariaDB [(none)]>

 实战四:四层访问控制

1、在HAProxy配置四层拒绝访问的配置

listen mysql_port
        bind 192.168.37.17:3306
        mode tcp
        acl invalid_src src 192.168.1.0/24 192.168.37.7  拒绝37.7以及1.0网段的地址访问数据库
        tcp-request  connection reject if invalid_src     如果使用的是invalid_src,就会被拒绝,而invalid_src使用的是192.168.37.7地址。
        server web1  192.168.37.37:3306  check inter 3000 fall 3 rise 5

 2、在37.7的客户端访问数据库

[~]#mysql -utest -pcentos -hwww.magedu.net   由于拒绝了此IP地址的访问,就无法登陆数据库
ERROR 2013 (HY000): Lost connection to MySQL server at ‘reading initial communication packet‘, system error: 104

 实战五:实现将配置文件分离存放

 当我们再haproxy主配置文件中存放文件时,会出现配置文件过多,导致haproxy主配置文件比较大,书写不方便,我们可以将重要的配置文件存放在一个固定的目录下,并分离存放,指明每个配置文件的信息,方便管理。

1、在haproxy主配置文件下新建一个目录,并将主要的配置文件存放在新建目录下

[_17conf]#mkdir /etc/haproxy/conf

 将mysql的配置文件存放在conf目录下

[_17conf]#cat mysql.cfg  存放的文件必须是cfg后缀文件
listen mysql_port
       bind 192.168.37.17:3306
       mode tcp
       acl invalid_src src 192.168.1.0/24 192.168.37.7 
       tcp-request  connection reject if invalid_src  
       server web1  192.168.37.37:3306  check inter 3000 fall 3 rise 5

将web配置文件也存放在conf目录下

[_17conf]#cat web.cfg  存放的文件后缀,必须是cfg后缀
listen WEB_PORT_80
        bind 192.168.37.17:80
        mode http
        redirect scheme https if !{ ssl_fc }
        server web1 192.168.37.27:80 check inter 3000 fall 3 rise 5

listen WEB_PORT_443
        bind 192.168.37.17:443  ssl crt /usr/local/haproxy/certs/haproxy.pem
        mode tcp
        server web1  192.168.37.27:80  check inter 3000 fall 3 rise 5
        server web2  192.168.37.37:80  check inter 3000 fall 3 rise 5

2、在haproxy配置文件中添加上关联存放的配置文件路径

  vim /usr/lib/systemd/system/haproxy.service

[Unit]
Description=HAProxy Load Balancer
After=syslog.target network.target

[Service]
ExecStartPre=/usr/sbin/haproxy -f /etc/haproxy/haproxy.cfg -f /etc/haproxy/conf  -c -q   添加一个-f /etc/haproxy/conf,与haproxy主配置文件关联起来。
ExecStart=/usr/sbin/haproxy -Ws -f /etc/haproxy/haproxy.cfg  -f /etc/haproxy/conf  -p /run/haproxy.pid
ExecReload=/bin/kill -USR2 $MAINPID

[Install]
WantedBy=multi-user.target

 添加完关联目录路径后,进行重新加载,并重新启动haproxy服务

[_17conf]#systemctl daemon-reload
[_17conf]#systemctl restart haproxy

 3、查看存放在指定目录的文件效果: 

HAProxy实现高级负载均衡实战和ACL控制

实战六:实现HAProxy-服务器动态上下线

yum install socat
 echo "show info" | socat stdio /var/lib/haproxy/haproxy.sock
 echo "get  weight web_host/192.168.7.101" | socat stdio /var/lib/haproxy/haproxy.sock
 echo "disable  server web_host/192.168.7.101" | socat stdio /var/lib/haproxy/haproxy.sock
 echo "enable  server web_host/192.168.7.101" | socat stdio /var/lib/haproxy/haproxy.sock

 当我们配置haproxy主机多线程时,我们将一个主机下线,此时如果主机是双线程时,就会有一个主机的另一个线程还会在后端提供服务,这种情况,我们该怎么解决呢?如下图:

 模拟宕机掉192.168.37.27主机:

[_17haproxy]# echo "disable  server WEB_PORT_443/192.168.37.27" | socat stdio /var/lib/haproxy/haproxy.sock

 此时可以看到PID=8537的进程宕机了,而PID=8538的主机还是存活状态,此时就还会为后端服务器进行代理转发。

HAProxy实现高级负载均衡实战和ACL控制

 HAProxy实现高级负载均衡实战和ACL控制

解决办法:

主要的原因是跟socket配置文件有关,只需要在haproxy主配置文件中添加socket配置文件信息。

1、此时先查看haproxy服务器的配置文件

 vim  /etc/haproxy/haproxy.cfg

global
maxconn 100000
chroot /usr/local/haproxy
stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin  process 1  如果有两个进程,就配置两个sock配置文件,而且两个文件名称要不一样,有N个线程,就写入N个sock文件。
stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin  process 2
user haproxy
group haproxy
daemon
nbproc 2   可以看到CPU有两个,此时开启的是双线程。
cpu-map 1 0
cpu-map 2 1
#cpu-map 3 2
#cpu-map 4 3
pidfile /run/haproxy.pid
log 127.0.0.1 local3 info

defaults
option http-keep-alive
option forwardfor
maxconn 100000
mode http
timeout connect 300000ms
timeout client 300000ms
timeout server 300000ms


listen stats
bind :9527
stats enable
stats hide-version
stats uri /haproxy-status
stats realm HAPorxy\Stats\Page
stats auth haadmin:123456
stats auth admin:123456
stats refresh 30s
stats admin if TRUE


listen WEB_PORT_80
        bind 192.168.37.17:80
        mode http
        redirect scheme https if !{ ssl_fc }
        server web1 192.168.37.27:80 check inter 3000 fall 3 rise 5

listen WEB_PORT_443
        bind 192.168.37.17:443  ssl crt /usr/local/haproxy/certs/haproxy.pem
        mode tcp
        server web1  192.168.37.27:80  check inter 3000 fall 3 rise 5
        server web2  192.168.37.37:80  check inter 3000 fall 3 rise 5  

 2、新建sock配置文件目录

由于sock配置文件无法自动生成,需要新建一个存放sock目录文件  

[_17conf]#mkdir /usr/lib/haproxy
[_17conf]#systemctl restart haproxy 

 3、模拟下线后端服务器

 下线后端服务器不同的sock后缀文件,此时就会将多线程的服务器进行下线。

[_17haproxy]# echo "disable  server WEB_PORT_443/192.168.37.27" | socat stdio /var/lib/haproxy/haproxy.sock1

[_17haproxy]# echo "disable  server WEB_PORT_443/192.168.37.27" | socat stdio /var/lib/haproxy/haproxy.sock2

  此时可以看到此服务器的两个线程PID=8700/8701都已经下线。

HAProxy实现高级负载均衡实战和ACL控制

 HAProxy实现高级负载均衡实战和ACL控制

 批量实现一个1-128的sock后缀文件,方便在配置文件中写入多个文件。

  脚本如下:

[_17~]#vim sock.sh

#!/bin/bash

for i in  `seq 1 128`;do
     echo "stats socket /var/lib/haproxy/haproxy.sock$i mode 600 level admin  process $i"
done

执行脚本,生成的结果,直接可以复制到haproxy配置文件中即可。

[_17~]#bash sock.sh 
stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin  process 1
stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin  process 2
stats socket /var/lib/haproxy/haproxy.sock3 mode 600 level admin  process 3
stats socket /var/lib/haproxy/haproxy.sock4 mode 600 level admin  process 4
stats socket /var/lib/haproxy/haproxy.sock5 mode 600 level admin  process 5
stats socket /var/lib/haproxy/haproxy.sock6 mode 600 level admin  process 6
stats socket /var/lib/haproxy/haproxy.sock7 mode 600 level admin  process 7
stats socket /var/lib/haproxy/haproxy.sock8 mode 600 level admin  process 8
stats socket /var/lib/haproxy/haproxy.sock9 mode 600 level admin  process 9
stats socket /var/lib/haproxy/haproxy.sock10 mode 600 level admin  process 10
stats socket /var/lib/haproxy/haproxy.sock11 mode 600 level admin  process 11
stats socket /var/lib/haproxy/haproxy.sock12 mode 600 level admin  process 12
stats socket /var/lib/haproxy/haproxy.sock13 mode 600 level admin  process 13
stats socket /var/lib/haproxy/haproxy.sock14 mode 600 level admin  process 14
stats socket /var/lib/haproxy/haproxy.sock15 mode 600 level admin  process 15
stats socket /var/lib/haproxy/haproxy.sock16 mode 600 level admin  process 16
stats socket /var/lib/haproxy/haproxy.sock17 mode 600 level admin  process 17
stats socket /var/lib/haproxy/haproxy.sock18 mode 600 level admin  process 18
stats socket /var/lib/haproxy/haproxy.sock19 mode 600 level admin  process 19
stats socket /var/lib/haproxy/haproxy.sock20 mode 600 level admin  process 20
stats socket /var/lib/haproxy/haproxy.sock21 mode 600 level admin  process 21
stats socket /var/lib/haproxy/haproxy.sock22 mode 600 level admin  process 22

负载均衡 haproxy haproxy配置 acl

zllbirdonland

zllbirdonland

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

ASP.NET Core3.1 Ocelot负载均衡的实现

Ocelot可以在每个路由的可用下游服务中实现负载均衡,这使我们更有效地选择下游服务来处理请求。LeastConnection:根据服务正在处理请求量的情况来决定哪个服务来处理新请求,即将新请求发送到具有最少现有请求的服务去处理。算法状态没有分布在Ocel

azhuye 2020-11-12

TCP接入层的负载均衡、高可用、扩展性架构

今天和大家系统性聊聊TCP的负载均衡,高可用,与扩展性架构。互联网架构中,web-server接入一般使用nginx来做反向代理,实施负载均衡。整个架构分三层:。上游调用层,一般是browser或者APP;中间反向代理层,nginx;下游真实接入集群,we

liupengqwert 2020-10-28

Kubernetns LB方案:无需云厂商的动态DNS和负载均衡

本文转载自微信公众号「新钛云服」,作者祝祥 翻译 。我们经常谈论托管Kubernetes或在云中运行的Kubernetes,但我们也在非云的环境上运行Kubernetes。您可能还会听到很多有关云供应商集成的经典案例:您可以获取无密码凭据来访问托管服务,无

YzhilongY 2020-08-31

.Net Core + Nginx实现项目负载均衡的全步骤

nginx大家如果没用过那或多或少都应该听过,vue的部署、反向代理、负载均衡nginx都能帮你做到。今天主要说一下nginx负载均衡我们的项目,如下图所示,请求到达nginx,nginx再帮我们转发。运行容器,将本地的8080端口映射到容器内部的 80

crazyjingling 2020-08-16

nginx实现负载均衡

负载均衡初步完成了。upstream按照轮询(默认)方式进行负载,每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器down掉,能自动剔除。增加 weight 参数,指定轮询几率,weight和访问比率成正比,用于后端服务器性能不均的情况。如下所

swtIrene 2020-08-14

nginx实现负载均衡,引入第三方fair

nginx实现负载均衡,按后端服务器的响应时间来分配请求,响应时间短的优先分配。需要使用fair参数(第三方);放入指定目录中。进入nginx目录执行操作,注:安装了nginx和还未安装nginx执行的命令不一样,这里用的是已经安装了nginx使用的命令。

slovyz 2020-08-14

双机热备和负载均衡的区别

好处在于成本投入低,安装配置跟管理上要轻松许多

YzhilongY 2020-08-13

Azure Application Gateway(一)对后端 Web App 进行负载均衡

  今天,我们学习一个新的知识点-----Azure Application Gateway,通过Azure 应用程序网关为我么后端的服务提供负载均衡的功能。我们再文章头中大概先了解一下什么是应用程序网关。2,SKU为 “Standard” 或者 “WAF

tinydu 2020-08-09

关于Nginx的正向代理与反向代理

Nginx是一款自由的、开源的、高性能的HTTP服务器和反向代理服务器;同时也是一个IMAP、POP3、SMTP代理服务器;Nginx可以作为一个HTTP服务器进行网站的发布处理,另外Nginx可以作为反向代理进行负载均衡的实现。说反向代理之前,我们先看看

tinydu 2020-08-03

nginx 负载均衡

nginx可以实例负载均衡。准备工作操作系统:欧拉2.8 armecs-cecd-0002:192.168.0.141 #Nginx服务器ecs-cecd-0001:192.168.0.8 #Web服务器ecs-cecd-0003:192.168

Studynutlee 2020-08-03

对 AWS Google Azure 三家全球负载均衡的延迟情况做个评测

说到 AWS、Google、Azure 的全球负载均衡,那我们需要了解一下 Anycast IP。我们知道,在互联网中的公网 IP 是唯一的,正常来说,一个网络中不应该有两个相同的 IP,那么 Anycast protocol 就是这么一项可以让一个 IP

快乐de馒头 2020-07-29

软件开发中的负载均衡

优先权的方式是将服务分组,优先权是针对组的,组内仍使用负载算法。当整个组达到访问阈值时,切换到另一分组。通过应用层(七层)http/https/ws,三次握手后,通过解析应用层内容数据信息进行负载, nginx、HAProxy等如果服务不是基于应用层,那么

yungame 2020-07-27

CDN简介

cdn是把原本需要集中获取的资源缓存到边缘节点,使用户就近访问。通过在网络中增加一层缓存层,通过全局负载技术将源站的资源分发到里用户最近的网络边缘节点上,使缓存服务器响应用户请求,从而达到快速访问的目的。广泛分布的CDN节点及只能冗余机制能有效地防止黑客入

buaichidoufu 2020-07-28

lvs-dr实现mysql负载均衡集群

服务器的操作系统均为centos7,vip和rip在同一网段,使用lvs-dr模型来实现mysql集群服务。MariaDB []> grant all on *.* to ‘root‘@‘192.168.%.%‘ identified by ‘123

wanjichun 2020-07-26

Azure Load Balancer(一) 为我们的Web项目提供负载均衡

  上节,我们讲到使用 Azure Traffic Manager 为我们的 Demo 项目提供负载均衡,以及流量转发的功能。但是Azure 提供类似的功能的服务远远不止这一个,今天我们就来讲一下 Azure Load Balance ,通过它来实现负载均

极地雪狼 2020-07-26

Nginx -负载均衡配置

在两台 tomcat 里面 webapps 目录中,创建名称是 edu 文件夹,在 edu 文件夹中创建 页面 a.html,用于测试。第一种 轮询(默认) 每个请求按时间顺序逐一分配到不同的后端服务器,如果后端服务器 down 掉,能自动剔除。  指定轮

yungame 2020-07-04

nginx负载均衡的5种策略

nginx可以根据客户端IP进行负载均衡,在upstream里设置ip_hash,就可以针对同一个C类地址段中的客户端选择同一个后端服务器,除非那个后端服务器宕了才会换一个。upstream backserver {server 192.168.0.14;

畅聊架构 2020-06-28

golang实现负载均衡算法

data := fmt.Sprintf("[%s] http://%s%s \n\n",rs.Addr,rs.Addr,r.RequestURI). fmt.Println("Http server tart to serve

极地雪狼 2020-06-27

一篇文章让你搞懂 Nginx 的负载均衡

所谓负载均衡,就是 Nginx 把请求均匀的分摊给上游的应用服务器,这样即使某一个服务器宕机也不会影响请求的处理,或者当应用服务器扛不住了,可以随时进行扩容。在 x 轴上,可以通过横向扩展应用服务器集群,Nginx 基于 Round-Robin 或者 L

廖先贵 2020-06-23

openresty用haproxy2.0实现负载均衡

yum install pcre-devel openssl-devel gcc curl wget. built by gcc 8.3.1 20190311 (Red Hat 8.3.1-3) (GCC). listen 801;server_name

zllbirdonland 2020-06-16
zllbirdonland

zllbirdonland

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号