高可用高性能負載均衡軟件HAproxy詳解指南-第二章(配置文件、關鍵字、ACL)
2016-11-16 13:35:31
原創作品,允許轉載,轉載時請務必以超鏈接形式標明文章 原始出處 、作者信息和本聲明。否則將追究法律責任。http://zhang789.blog.51cto.com/11045979/1873435
第二章:HAproxy配置文件詳解以及HAproxy的ACL詳解
對Linux有興趣的朋友加入QQ羣:476794643 在線交流
本文防盜鏈:http://zhang789.blog.51cto.com
目錄
haproxy 配置文件詳解
haproxy 配置文件中的關鍵字參考
haproxy的ACL
附:一份完整的HAproxy的配置文件
由於字體過多分開寫的,全系列文章鏈接
第一章:HAproxy簡介及安裝配置 http://zhang789.blog.51cto.com/11045979/1873432
第二章:HAproxy配置文件詳解以及HAproxy的ACL詳解 http://zhang789.blog.51cto.com/11045979/1873435
第三章:HAproxy實例
http://zhang789.blog.51cto.com/11045979/1873436
haproxy 配置文件詳解
1、配置文件的格式
HAProxy的配置處理3類來主要參數來源:
——最優先處理的命令行參數,
——“global”配置段,用於設定全局配置參數;
——proxy相關配置段,如“defaults”、“listen”、“frontend”和“backend”;
“defaults”段用於爲所有其它配置段提供默認參數,這配置默認配置參數可由下一個“defaults”所重新設定。“frontend”段用於定義一系列監聽的套接字,這些套接字可接受客戶端請求並與之建立連接。“backend”段用於定義一系列“後端”服務器,代理將會將對應客戶端的請求轉發至這些服務器。“listen”段通過關聯“前端”和“後端”定義了一個完整的代理,通常只對TCP流量有用。
1、注,“global”配置中的參數爲進程級別的參數,且通常與其運行的OS相關。
2、注,所有代理的名稱只能使用大寫字母、小寫字母、數字、-(中線)、_(下劃線)、.(點號)和:(冒號)。此外,ACL名稱會區分字母大小寫。
2、時間格式
一些包含了值的參數表示時間,如超時時長。這些值一般以毫秒爲單位,但也可以使用其它的時間單位後綴。
us: 微秒(microseconds),即1/1000000秒;
ms: 毫秒(milliseconds),即1/1000秒;
s: 秒(seconds);
m: 分鐘(minutes);
h:小時(hours);
d: 天(days);
3、例子
下面的例子配置了一個監聽在所有接口的80端口上HTTP proxy服務,它轉發所有的請求輪訓至後端192.168.211.139和192.168.211.128的”server”上。
global
daemon
maxconn 25600
defaults
mode http
timeout connect 5000ms
timeout client 50000ms
timeout server 50000ms
frontend http-in
bind *:80
default_backend servers
backend servers
balance roundrobin
server server1 192.168.211.139:80 check
server server2 192.168.211.128:80 check
4.全局配置
注,“global”配置中的參數爲進程級別的參數,且通常與其運行的OS相關。
(1).進程管理及安全相關的參數
chroot <jail dir>:修改haproxy的工作目錄至指定的目錄並在放棄權限之前執行chroot()操作,可以提升haproxy的安全級別,不過需要注意的是要確保指定的目錄爲空目錄且任何用戶均不能有寫權限; daemon:讓haproxy以守護進程的方式工作於後臺,其等同於“-D”選項的功能,當然,也可以在命令行中以“-db”選項將其禁用; gid <number>:以指定的GID運行haproxy,建議使用專用於運行haproxy的GID,以免因權限問題帶來風險; group <group name>:同gid,不過指定的組名; log <address> <facility> [max level [min level]]:定義全局的syslog服務器,最多可以定義兩個; log-send-hostname [<string>]:在syslog信息的首部添加當前主機名,可以爲“string”指定的名稱,也可以缺省使用當前主機名; nbproc <number>:指定啓動的haproxy進程個數,只能用於守護進程模式的haproxy;默認只啓動一個進程,鑑於調試困難等多方面的原因,一般只在單進程僅能打開少數文件描述符的場景中才使用多進程模式; pidfile:將所有進程的pid寫入文件啓動進程的用戶必須有權限訪問此文件 uid:以指定的UID身份運行haproxy進程; ulimit-n:設定每進程所能夠打開的最大文件描述符數目,默認情況下其會自動進行計算,因此不推薦修改此選項; user:同uid,但使用的是用戶名; stats: node:定義當前節點的名稱,用於HA場景中多haproxy進程共享同一個IP地址時; description:當前實例的描述信息;
(2).性能調整相關的參數
maxconn <number>:設定每個haproxy進程所接受的最大併發連接數,其等同於命令行選項“n”;“ulimit n”自動計算的結果正是參照此參數設定的; maxpipes <number>:haproxy使用pipe完成基於內核的tcp報文重組,此選項則用於設定每進程所允許使用的最大pipe個數;每個pipe會打開兩個文件描述符,因此,“ulimit n”自動計算時會根據需要調大此值;默認爲maxconn/4,其通常會顯得過大; noepoll:在Linux系統上禁用epoll機制; nokqueue:在BSE系統上禁用kqueue機制; nopoll:禁用poll機制; nosepoll:在Linux禁用啓發式epoll機制; nosplice:禁止在Linux套接字上使用內核tcp重組,這會導致更多的recv/send系統調用;不過,在Linux 2.6.2528系列的內核上,tcp重組功能有bug存在; spreadchecks <0..50, in percent>:在haproxy後端有着衆多服務器的場景中,在精確的時間間隔後統一對衆服務器進行健康狀況檢查可能會帶來意外問題;此選項用於將其檢查的時間間隔長度上增加或減小一定的隨機時長; tune.bufsize <number>:設定buffer的大小,同樣的內存條件小,較小的值可以讓haproxy有能力接受更多的併發連接,較大的值可以讓某些應用程序使用較大的cookie信息;默認爲16384,其可以在編譯時修改,不過強烈建議使用默認值; tune.chksize <number>:設定檢查緩衝區的大小,單位爲字節;更大的值有助於在較大的頁面中完成基於字符串或模式的文本查找,但也會佔用更多的系統資源;不建議修改; tune.maxaccept <number>:設定haproxy進程內核調度運行時一次性可以接受的連接的個數,較大的值可以帶來較大的吞吐率,默認在單進程模式下爲100,多進程模式下爲8,設定爲1可以禁止此限制;一般不建議修改; tune.maxpollevents <number>:設定一次系統調用可以處理的事件最大數,默認值取決於OS;其值小於200時可節約帶寬,但會略微增大網絡延遲,而大於200時會降低延遲,但會稍稍增加網絡帶寬的佔用量; tune.maxrewrite <number>:設定爲首部重寫或追加而預留的緩衝空間,建議使用1024左右的大小;在需要使用更大的空間時,haproxy會自動增加其值; tune.rcvbuf.server <number>:設定內核套接字中服務端或客戶端接收緩衝的大小,單位爲字節;強烈推薦使用默認值;
haproxy 配置文件中的關鍵字參考
1.balance
格式:
balance <algorithm> [ <arguments> ]
balance url_param <param> [check_post [<max_wait>]]
定義負載均衡算法,可用於“defaults”、“listen”和“backend”。用於在負載均衡場景中挑選一個server,其僅應用於持久信息不可用的條件下或需要將一個連接重新派發至另一個服務器時。支持的算法有:
roundrobin:基於權重進行輪叫,在服務器的處理時間保持均勻分佈時,這是最平衡、最公平的算法。此算法是動態的,這表示其權重可以在運行時進行調整,不過,在設計上,最多能接受4128個後端服務器;(這完全夠我們用了) static-rr:基於權重進行輪叫,與roundrobin類似,但是爲靜態方法,在運行時調整其服務器權重不會生效;不過,其在後端服務器連接數上沒有限制;(新的服務器上線後,會立即發送上來大量的連接) leastconn:新的連接請求被派發至具有最少連接數目的後端服務器;在有着較長時間會話的場景中推薦使用此算法,如LDAP、SQL等,其並不太適用於較短會話的應用層協議,如HTTP;此算法是動態的,可以在運行時調整其權重; source:將請求的源地址進行hash運算,並由後端服務器的權重總數相除後派發至某匹配的服務器;這可以使得同一個客戶端IP的請求始終被派發至某特定的服務器;不過,當服務器權重總數發生變化時,如某服務器宕機或添加了新的服務器,許多客戶端的請求可能會被派發至與此前請求不同的服務器;常用於負載均衡無cookie功能的基於TCP的協議;其默認爲靜態,不過也可以使用hash-type修改此特性; uri:對URI的左半部分(“問題”標記之前的部分)或整個URI進行hash運算,並由服務器的總權重相除後派發至某匹配的服務器;這可以使得對同一個URI的請求總是被派發至某特定的服務器,除非服務器的權重總數發生了變化;此算法常用於代理緩存或反病毒代理以提高緩存的命中率;需要注意的是,此算法僅應用於HTTP後端服務器場景;其默認爲靜態算法,不過也可以使用hash-type修改此特性; url_param:通過爲URL指定的參數在每個HTTP
GET請求中將會被檢索;如果找到了指定的參數且其通過等於號“=”被賦予了一個值,那麼此值將被執行hash運算並被服務器的總權重相除後派發至某匹配的服務器;此算法可以通過追蹤請求中的用戶標識進而確保同一個用戶ID的請求將被送往同一個特定的服務器,除非服務器的總權重發生了變化;如果某請求中沒有出現指定的參數或其沒有有效值,則使用輪叫算法對相應請求進行調度;此算法默認爲靜態的,不過其也可以使用hash-type修改此特性; hdr(<name>):對於每個HTTP請求,通過指定的HTTP首部將會被檢索;如果相應的首部沒有出現或其沒有有效值,則使用輪叫算法對相應請求進行調度;其有一個可選選項“use_domain_only”,可在指定檢索類似Host類的首部時僅計算域名部分(比如通過www.test.com來說,僅計算test字符串的hash值)以降低hash算法的運算量;此算法默認爲靜態的,不過其也可以使用hash-type修改此特性; rdp-cookie rdp-cookie(name)
會話保持機制
1、調度衆多的MySQL從服務器,用什麼調度方法?
leastconn
2、調度web圖片服務器組,用什麼調度方法?
roundrobin
3、調度web應用程序服務器組,用什麼調度方法?
source
session保持的方式:
session綁定
源IP綁定:
nginx: ip_hash
haproxy: source
ipvs: sh
cookie綁定:
cookie
session複製
session服務器
4、調度web緩存服務器組,用什麼調度方法?
uri
hash-type
map-based
consistent
///解釋:
uri: 用於後端服務器是cache server的場景,保證緩存命中率的;
url-params: 常用於後端服務器需要對用戶進行認證的場景中;
hdr(host)
host: www.magedu.com
host: web.magedu.com
use_domain_only:在計算hash值時,僅使用域名,如上面的magedu.com;
常用於hdr(host)實現將對同一個虛擬主機的訪問始終定向至同一個upstream server;
2.bind
格式:
bind [<address>]:<port_range> [, ...]
bind [<address>]:<port_range> [, ...] interface <interface>
此指令僅能用於frontend和listen區段,用於定義一個或幾個監聽的套接字。 <address>:可選選項,其可以爲主機名、IPv4地址、IPv6地址或;省略此選項、將其指定爲或0.0.0.0時,將監聽當前系統的所有IPv4地址; <port_range>:可以是一個特定的TCP端口,也可是一個端口範圍(如5005-5010),代理服務器將通過指定的端口來接收客戶端請求;需要注意的是,每組監聽的套接字在同一個實例上只能使用一次,而且小於1024的端口需要有特定權限的用戶才能使用,這可能需要通過uid參數來定義; <interface>:指定物理接口的名稱,僅能在Linux系統上使用;其不能使用接口別名,而僅能使用物理接口名稱,而且只有管理有權限指定綁定的物理接口;
3.mode
格式:
mode { tcp|http|health }
設定實例的運行模式或協議。當實現內容交換時,前端和後端必須工作於同一種模式(一般說來都是HTTP模式),否則將無法啓動實例。 tcp:實例運行於純TCP模式,在客戶端和服務器端之間將建立一個全雙工的連接,且不會對7層報文做任何類型的檢查;此爲默認模式,通常用於SSL、SSH、SMTP等應用; http:實例運行於HTTP模式,客戶端請求在轉發至後端服務器之前將被深度分析,所有不與RFC格式兼容的請求都會被拒絕; health:實例工作於health模式,其對入站請求僅響應“OK”信息並關閉連接,且不會記錄任何日誌信息;此模式將用於響應外部組件的健康狀態檢查請求;目前來講,此模式已經廢棄,因爲tcp或http模式中的monitor關鍵字可完成類似功能;
4. hash-type
格式:
hash-type <method>
定義用於將hash碼映射至後端服務器的方法;其不能用於frontend區段;可用方法有map-based和consistent,在大多數場景下推薦使用默認的map-based方法。 map-based:hash表是一個包含了所有在線服務器的靜態數組。其hash值將會非常平滑,會將權重考慮在列,但其爲靜態方法,對在線服務器的權重進行調整將不會生效,這意味着其不支持慢速啓動。此外,挑選服務器是根據其在數組中的位置進行的,因此,當一臺服務器宕機或添加了一臺新的服務器時,大多數連接將會被重新派發至一個與此前不同的服務器上,對於緩存服務器的工作場景來說,此方法不甚適用。 consistent:hash表是一個由各服務器填充而成的樹狀結構;基於hash鍵在hash樹中查找相應的服務器時,最近的服務器將被選中。此方法是動態的,支持在運行時修改服務器權重,因此兼容慢速啓動的特性。添加一個新的服務器時,僅會對一小部分請求產生影響,因此,尤其適用於後端服務器爲cache的場景。不過,此算法不甚平滑,派發至各服務器的請求未必能達到理想的均衡效果,因此,可能需要不時的調整服務器的權重以獲得更好的均衡性。
5.log
格式:
log global
log <address> <facility> [<level> [<minlevel>]]
爲每個實例啓用事件和流量日誌,因此可用於所有區段。每個實例最多可以指定兩個log參數,不過,如果使用了“log global”且”global”段已經定了兩個log參數時,多餘了log參數將被忽略。 global:當前實例的日誌系統參數同”global”段中的定義時,將使用此格式;每個實例僅能定義一次“log global”語句,且其沒有任何額外參數; <address>:定義日誌發往的位置,其格式之一可以爲,其中的port爲UDP協議端口,默認爲514;格式之二爲Unix套接字文件路徑,但需要留心chroot應用及用戶的讀寫權限; <facility>:可以爲syslog系統的標準facility之一; <level>:定義日誌級別,即輸出信息過濾器,默認爲所有信息;指定級別時,所有等於或高於此級別的日誌信息將會被髮送;
6.maxconn
格式:
maxconn <conns>
設定一個前端的最大併發連接數,因此,其不能用於backend區段。對於大型站點來說,可以儘可能提高此值以便讓haproxy管理連接隊列,從而避免無法應答用戶請求。當然,此最大值不能超出“global”段中的定義。此外,需要留心的是,haproxy會爲每個連接維持兩個緩衝,每個緩衝的大小爲8KB,再加上其它的數據,每個連接將大約佔用17KB的RAM空間。這意味着經過適當優化後,有着1GB的可用RAM空間時將能維護40000-50000併發連接。
如果爲指定了一個過大值,極端場景下,其最終佔據的空間可能會超出當前主機的可用內存,這可能會帶來意想不到的結果;因此,將其設定了一個可接受值方爲明智決定。其默認爲2000。
7.default_backend
格式:
default_backend <backend>
在沒有匹配的”use_backend”規則時爲實例指定使用的默認後端,因此,其不可應用於backend區段。在”frontend”和”backend”之間進行內容交換時,通常使用”use-backend”定義其匹配規則;而沒有被規則匹配到的請求將由此參數指定的後端接收。 <backend>:指定使用的後端的名稱;
使用案例:
use_backend dynamic if url_dyn
use_backend static if url_css url_img extension_img
default_backend dynamic
8.server
格式:
server <name> <address>[:port] [param*]
爲後端聲明一個server,因此,不能用於defaults和frontend區段。 <name>:爲此服務器指定的內部名稱,其將出現在日誌及警告信息中;如果設定了”http-send-server-name”,它還將被添加至發往此服務器的請求首部中; <address>:此服務器的的IPv4地址,也支持使用可解析的主機名,只不過在啓動時需要解析主機名至相應的IPv4地址; [:port]:指定將連接請求所發往的此服務器時的目標端口,其爲可選項;未設定時,將使用客戶端請求時的同一相端口; [param*]:爲此服務器設定的一系參數;其可用的參數非常多,具體請參考官方文檔中的說明,下面僅說明幾個常用的參數;
服務器或默認服務器參數:
backup:設定爲備用服務器,僅在負載均衡場景中的其它server均不可用於啓用此server;check:啓動對此server執行健康狀態檢查,其可以藉助於額外的其它參數完成更精細的設定,如:
inter <delay>:設定健康狀態檢查的時間間隔,單位爲毫秒,默認爲2000;也可以使用fastinter和downinter來根據服務器端狀態優化此時間延遲;rise <count>:設定健康狀態檢查中,某離線的server從離線狀態轉換至正常狀態需要成功檢查的次數;fall <count>:確認server從正常狀態轉換爲不可用狀態需要檢查的次數;
cookie <value>:爲指定server設定cookie值,此處指定的值將在請求入站時被檢查,第一次爲此值挑選的server將在後續的請求中被選中,其目的在於實現持久連接的功能; maxconn <maxconn>:指定此服務器接受的最大併發連接數;如果發往此服務器的連接數目高於此處指定的值,其將被放置於請求隊列,以等待其它連接被釋放; maxqueue <maxqueue>:設定請求隊列的最大長度; observe <mode>:通過觀察服務器的通信狀況來判定其健康狀態,默認爲禁用,其支持的類型有“layer4”和“layer7”,“layer7”僅能用於http代理場景; redir <prefix>:啓用重定向功能,將發往此服務器的GET和HEAD請求均以302狀態碼響應;需要注意的是,在prefix後面不能使用/,且不能使用相對地址,以免造成循環;例如:server srv1 172.16.100.6:80 redir http://imageserver.test.com check weight <weight>:權重,默認爲1,最大值爲256,0表示不參與負載均衡;
檢查方法:
option httpchk
option httpchk <uri>
option httpchk <method> <uri>
option httpchk <method> <uri> <version>:不能用於frontend段,例如:
backend https_relay
mode tcp
option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www.test.com
server apache1 192.168.1.1:443 check port 80
使用案例:
server first 172.16.100.7:1080 cookie first check inter 1000
server second 172.16.100.8:1080 cookie second check inter 1000
9.capture request header
格式:
capture request header <name> len <length>
捕獲並記錄指定的請求首部最近一次出現時的第一個值,僅能用於“frontend”和“listen”區段。捕獲的首部值使用花括號{}括起來後添加進日誌中。如果需要捕獲多個首部值,它們將以指定的次序出現在日誌文件中,並以豎線“|”作爲分隔符。不存在的首部記錄爲空字符串,最常需要捕獲的首部包括在虛擬主機環境中使用的“Host”、上傳請求首部中的“Content-length”、快速區別真實用戶和網絡機器人的“User-agent”,以及代理環境中記錄真實請求來源的“X-Forward-For”。
<name>:要捕獲的首部的名稱,此名稱不區分字符大小寫,但建議與它們出現在首部中的格式相同,比如大寫首字母。需要注意的是,記錄在日誌中的是首部對應的值,而非首部名稱。 <length>:指定記錄首部值時所記錄的精確長度,超出的部分將會被忽略。
可以捕獲的請求首部的個數沒有限制,但每個捕獲最多隻能記錄64個字符。爲了保證同一個frontend中日誌格式的統一性,首部捕獲僅能在frontend中定義。
10.capture response header
格式:
capture response header <name> len <length>
捕獲並記錄響應首部,其格式和要點同請求首部。
11.stats enable
格式:
啓用基於程序編譯時默認設置的統計報告,不能用於“frontend”區段。只要沒有另外的其它設定,它們就會使用如下的配置:
stats uri : /haproxy?stats
stats realm : "HAProxy Statistics"
stats auth : no authentication
stats scope : no restriction
儘管“stats enable”一條就能夠啓用統計報告,但還是建議設定其它所有的參數,以免其依賴於默認設定而帶來非期後果。下面是一個配置案例。
backend public_www
server websrv1 172.16.100.11:80
stats enable
stats hide-version
stats scope .
stats uri /haproxyadmin?stats
stats realm Haproxy\ Statistics
stats auth statsadmin:password
stats auth statsmaster:password
12.stats hide-version
格式:
stats hide-version
啓用統計報告並隱藏HAProxy版本報告,不能用於“frontend”區段。默認情況下,統計頁面會顯示一些有用信息,包括HAProxy的版本號,然而,向所有人公開HAProxy的精確版本號是非常有風險的,因爲它能幫助惡意用戶快速定位版本的缺陷和漏洞。儘管“stats hide-version”一條就能夠啓用統計報告,但還是建議設定其它所有的參數,以免其依賴於默認設定而帶來非期後果。具體請參照“stats enable”一節的說明。
13.stats realm
格式:
stats realm <realm>
啓用統計報告並高精認證領域,不能用於“frontend”區段。haproxy在讀取realm時會將其視作一個單詞,因此,中間的任何空白字符都必須使用反斜線進行轉義。此參數僅在與“stats auth”配置使用時有意義。
<realm>:實現HTTP基本認證時顯示在瀏覽器中的領域名稱,用於提示用戶輸入一個用戶名和密碼。
儘管“stats realm”一條就能夠啓用統計報告,但還是建議設定其它所有的參數,以免其依賴於默認設定而帶來非期後果。具體請參照“stats enable”一節的說明。
14.stats scope
格式:
stats scope { <name> | "." }
啓用統計報告並限定報告的區段,不能用於“frontend”區段。當指定此語句時,統計報告將僅顯示其列舉出區段的報告信息,所有其它區段的信息將被隱藏。如果需要顯示多個區段的統計報告,此語句可以定義多次。需要注意的是,區段名稱檢測僅僅是以字符串比較的方式進行,它不會真檢測指定的區段是否真正存在。
<name>:可以是一個“listen”、“frontend”或“backend”區段的名稱,而“.”則表示stats scope語句所定義的當前區段。
儘管“stats scope”一條就能夠啓用統計報告,但還是建議設定其它所有的參數,以免其依賴於默認設定而帶來非期後果。下面是一個配置案例。
backend private_monitoring
stats enable
stats uri /haproxyadmin?stats
stats refresh 10s
15.stats auth
格式:
stats auth <user>:<passwd>
啓用帶認證的統計報告功能並授權一個用戶帳號,其不能用於“frontend”區段。 <user>:授權進行訪問的用戶名; <passwd>:此用戶的訪問密碼,明文格式;
此語句將基於默認設定啓用統計報告功能,並僅允許其定義的用戶訪問,其也可以定義多次以授權多個用戶帳號。可以結合“stats realm”參數在提示用戶認證時給出一個領域說明信息。在使用非法用戶訪問統計功能時,其將會響應一個“401 Forbidden”頁面。其認證方式爲HTTP Basic認證,密碼傳輸會以明文方式進行,因此,配置文件中也使用明文方式存儲以說明其非保密信息故此不能相同於其它關鍵性帳號的密碼。
儘管“stats auth”一條就能夠啓用統計報告,但還是建議設定其它所有的參數,以免其依賴於默認設定而帶來非期後果。
16.stats admin
stats admin { if | unless } <cond>
在指定的條件滿足時啓用統計報告頁面的管理級別功能,它允許通過web接口啓用或禁用服務器,不過,基於安全的角度考慮,統計報告頁面應該儘可能爲只讀的。此外,如果啓用了HAProxy的多進程模式,啓用此管理級別將有可能導致異常行爲。
目前來說,POST請求方法被限制於僅能使用緩衝區減去保留部分之外的空間,因此,服務器列表不能過長,否則,此請求將無法正常工作。因此,建議一次僅調整少數幾個服務器。下面是兩個案例,第一個限制了僅能在本機打開報告頁面時啓用管理級別功能,第二個定義了僅允許通過認證的用戶使用管理級別功能。
backend stats_localhost
stats enable
stats admin if LOCALHOST
backend stats_auth
stats enable
stats auth haproxyadmin:password
stats admin if TRUE
17.option httplog
格式:
option httplog [ clf ]
啓用記錄HTTP請求、會話狀態和計時器的功能。 clf:使用CLF格式來代替HAProxy默認的HTTP格式,通常在使用僅支持CLF格式的特定日誌分析器時才需要使用此格式。
默認情況下,日誌輸入格式非常簡陋,因爲其僅包括源地址、目標地址和實例名稱,而“option httplog”參數將會使得日誌格式變得豐富許多,其通常包括但不限於HTTP請求、連接計時器、會話狀態、連接數、捕獲的首部及cookie、“frontend”、“backend”及服務器名稱,當然也包括源地址和端口號等。
18.option logasap
格式:
option logasap
no option logasap
啓用或禁用提前將HTTP請求記入日誌,不能用於“backend”區段。
默認情況下,HTTP請求是在請求結束時進行記錄以便能將其整體傳輸時長和字節數記入日誌,由此,傳較大的對象時,其記入日誌的時長可能會略有延遲。“option logasap”參數能夠在服務器發送complete首部時即時記錄日誌,只不過,此時將不記錄整體傳輸時長和字節數。此情形下,捕獲“Content-Length”響應首部來記錄傳輸的字節數是一個較好選擇。下面是一個例子。
listen http_proxy 0.0.0.0:80
mode http
option httplog
option logasap
log 172.16.100.9 local2
19.option forwardfor
格式:
option forwardfor [ except <network> ] [ header <name> ] [ if-none ]
允許在發往服務器的請求首部中插入“X-Forwarded-For”首部。 <network>:可選參數,當指定時,源地址爲匹配至此網絡中的請求都禁用此功能。 <name>:可選參數,可使用一個自定義的首部,如“X-Client”來替代“X-Forwarded-For”。有些獨特的web服務器的確需要用於一個獨特的首部。 if-none:僅在此首部不存在時纔將其添加至請求報文問道中。
HAProxy工作於反向代理模式,其發往服務器的請求中的客戶端IP均爲HAProxy主機的地址而非真正客戶端的地址,這會使得服務器端的日誌信息記錄不了真正的請求來源,“X-Forwarded-For”首部則可用於解決此問題。HAProxy可以向每個發往服務器的請求上添加此首部,並以客戶端IP爲其value。
需要注意的是,HAProxy工作於隧道模式,其僅檢查每一個連接的第一個請求,因此,僅第一個請求報文被附加此首部。如果想爲每一個請求都附加此首部,請確保同時使用了“option httpclose”、“option forceclose”和“option http-server-close”幾個option。
下面是一個例子。
frontend www
mode http
option forwardfor except 127.0.0.1
20.errorfile
格式:
errorfile <code> <file>
在用戶請求不存在的頁面時,返回一個頁面文件給客戶端而非由haproxy生成的錯誤代碼;可用於所有段中。 <code>:指定對HTTP的哪些狀態碼返回指定的頁面;這裏可用的狀態碼有200、400、403、408、500、502、503和504; <file>:指定用於響應的頁面文件;
例如:
errorfile 400 /etc/haproxy/errorpages/400badreq.http
errorfile 403 /etc/haproxy/errorpages/403forbid.http
errorfile 503 /etc/haproxy/errorpages/503sorry.http
21.errorloc 和 errorloc302
格式:
errorloc <code> <url>
errorloc302 <code> <url>
請求錯誤時,返回一個HTTP重定向至某URL的信息;可用於所有配置段中。 <code>:指定對HTTP的哪些狀態碼返回指定的頁面;這裏可用的狀態碼有200、400、403、408、500、502、503和504; <url>:Location首部中指定的頁面位置的具體路徑,可以是在當前服務器上的頁面的相對路徑,也可以使用絕對路徑;需要注意的是,如果URI自身錯誤時產生某特定狀態碼信息的話,有可能會導致循環定向;
需要留意的是,這兩個關鍵字都會返回302狀態嗎,這將使得客戶端使用同樣的HTTP方法獲取指定的URL,對於非GET法的場景(如POST)來說會產生問題,因爲返回客戶的URL是不允許使用GET以外的其它方法的。如果的確有這種問題,可以使用errorloc303來返回303狀態碼給客戶端。
22.errorloc303
errorloc303 <code> <url>
請求錯誤時,返回一個HTTP重定向至某URL的信息給客戶端;可用於所有配置段中。 <code>:指定對HTTP的哪些狀態碼返回指定的頁面;這裏可用的狀態碼有400、403、408、500、502、503和504; <url>:Location首部中指定的頁面位置的具體路徑,可以是在當前服務器上的頁面的相對路徑,也可以使用絕對路徑;需要注意的是,如果URI自身錯誤時產生某特定狀態碼信息的話,有可能會導致循環定向;
例如:
backend webserver
server 172.16.100.6 172.16.100.6:80 check maxconn 3000 cookie srv01
server 172.16.100.7 172.16.100.7:80 check maxconn 3000 cookie srv02
errorloc 403 /etc/haproxy/errorpages/sorry.htm
errorloc 503 /etc/haproxy/errorpages/sorry.htm
option http-request 訪問控制 option http-server-close:允許服務器端關閉連接; option dontlognull:訪問內容爲空的不記錄日誌; option redispatch:在session失敗後,是否允許重新分配; retries:用於haproxy到後端server連接失敗時重試次數; option httplog:啓用記錄HTTP請求、會話狀態和計時器的功能; option forwardfor:允許在發往服務器的請求首部中插入“X-Forwarded-For”首部;
haproxy的ACL
haproxy的ACL用於實現基於請求報文的首部、響應報文的內容或其它的環境狀態信息來做出轉發決策,這大大增強了其配置彈性。其配置法則通常分爲兩步,首先去定義ACL,即定義一個測試條件,而後在條件得到滿足時執行某特定的動作,如阻止請求或轉發至某特定的後端。定義ACL的語法格式如下。
acl <aclname> <criterion> [flags] [operator] <value> ...
<aclname>:ACL名稱,區分字符大小寫,且其只能包含大小寫字母、數字、-(連接線)、_(下劃線)、.(點號)和:(冒號);haproxy中,acl可以重名,這可以把多個測試條件定義爲一個共同的acl; <criterion>:測試標準,即對什麼信息發起測試;測試方式可以由[flags]指定的標誌進行調整;而有些測試標準也可以需要爲其在之前指定一個操作符[operator];
[flags]:目前haproxy的acl支持的標誌位有3個:
-i:不區分<value>中模式字符的大小寫;
-f:從指定的文件中加載模式;
--:標誌符的強制結束標記,在模式中的字符串像標記符時使用;
<value>:acl測試條件支持的值有以下四類: 1、整數或整數範圍:如1024:65535表示從1024至65535;僅支持使用正整數(如果出現類似小數的標識,其爲通常爲版本測試),且支持使用的操作符有5個,分別爲eq、ge、gt、le和lt; 2、字符串:支持使用“-i”以忽略字符大小寫,支持使用“\”進行轉義;如果在模式首部出現了-i,可以在其之前使用“–”標誌位; 3、正則表達式:其機制類同字符串匹配; 4、IP地址及網絡地址
同一個acl中可以指定多個測試條件,這些測試條件需要由邏輯操作符指定其關係。條件間的組合測試關係有三種:“與”(默認即爲與操作)、“或”(使用“||”操作符)以及“非”(使用“!”操作符)。
常用的測試標準(criteria)
be_sess_rate <integer>
be_sess_rate(backend) <integer>
用於測試指定的backend上會話創建的速率(即每秒創建的會話數)是否滿足指定的條件;常用於在指定backend上的會話速率過高時將用戶請求轉發至另外的backend,或用於阻止***行爲。例如:
backend dynamic
mode http
acl being_scanned be_sess_rate gt 50
redirect location /error_pages/denied.html if being_scanned
fe_sess_rate <integer>
fe_sess_rate(frontend) <integer>
用於測試指定的frontend(或當前frontend)上的會話創建速率是否滿足指定的條件;常用於爲frontend指定一個合理的會話創建速率的上限以防止服務被濫用。例如下面的例子限定入站郵件速率不能大於50封/秒,所有在此指定範圍之外的請求都將被延時50毫秒。
frontend mail
bind :25
mode tcp
maxconn 500
acl too_fast fe_sess_rate ge 50
tcp-request inspect-delay 50ms
tcp-request content accept if ! too_fast
tcp-request content accept if WAIT_END
hdr <string>
hdr(header) <string>
用於測試請求報文中的所有首部或指定首部是否滿足指定的條件;指定首部時,其名稱不區分大小寫,且在括號“()”中不能有任何多餘的空白字符。測試服務器端的響應報文時可以使用shdr()。例如下面的例子用於測試首部Connection的值是否爲close。
hdr(Connection) -i close
method <string>
method <string>
測試HTTP請求報文中使用的方法。
path_beg <string>
用於測試請求的URL是否以指定的模式開頭。下面的例子用於測試URL是否以/static、/images、/javascript或/stylesheets頭。
acl url_static path_beg -i /static /images /javascript /stylesheets
path_end <string>
用於測試請求的URL是否以指定的模式結尾。例如,下面的例子用戶測試URL是否以jpg、gif、png、css或js結尾。
acl url_static path_end -i .jpg .gif .png .css .js
hdr_beg <string>
用於測試請求報文的指定首部的開頭部分是否符合指定的模式。例如,下面的例子用記測試請求是否爲提供靜態內容的主機img、video、download或ftp。
acl host_static hdr_beg(host) -i img. video. download. ftp.
hdr_end <string>
用於測試請求報文的指定首部的結尾部分是否符合指定的模式。例如,下面的例子用記測試請求是否爲
ACL案例
########ACL策略定義#########################
1、#如果請求的域名滿足正則表達式返回true -i是忽略大小寫
acl denali_policy hdr_reg(host) -i ^(www.inbank.com|image.inbank.com)$
2、#如果請求域名滿足www.inbank.com 返回 true -i是忽略大小寫
acl tm_policy hdr_dom(host) -i www.inbank.com
3、#在請求url中包含sip_apiname=,則此控制策略返回true,否則爲false
acl invalid_req url_sub -i sip_apiname=#定義一個名爲invalid_req的策略
4、#在請求url中存在timetask作爲部分地址路徑,則此控制策略返回true,否則返回false
acl timetask_req url_dir -i timetask
5、#當請求的header中Content-length等於0時返回 true
acl missing_cl hdr_cnt(Content-length) eq 0
#########acl策略匹配相應###################
1、#當請求中header中Content-length等於0 阻止請求返回403
block if missing_cl
2、#block表示阻止請求,返回403錯誤,當前表示如果不滿足策略invalid_req,或者滿足策略timetask_req,則阻止請求。
block if !invalid_req || timetask_req
3、#當滿足denali_policy的策略時使用denali_server的backend
use_backend denali_server if denali_policy
4、#當滿足tm_policy的策略時使用tm_server的backend
use_backend tm_server if tm_policy
5、#reqisetbe關鍵字定義,根據定義的關鍵字選擇backend
reqisetbe ^Host:\ img dynamic
reqisetbe ^[^\ ]*\ /(img|css)/ dynamic
reqisetbe ^[^\ ]*\ /admin/stats stats
6、#以上都不滿足的時候使用默認mms_server的backend
default_backend mms
一份haproxy配置文件的詳解
###########全局配置#########
global
log 127.0.0.1 local0 #[日誌輸出配置,所有日誌都記錄在本機,通過local0輸出]
log 127.0.0.1 local1 notice #定義haproxy 日誌級別[error warringinfo debug]
daemon #以後臺形式運行harpoxy
nbproc 1 #設置進程數量
maxconn 4096 #默認最大連接數,需考慮ulimit-n限制
#user haproxy #運行haproxy的用戶
#group haproxy #運行haproxy的用戶所在的組
#pidfile /var/run/haproxy.pid #haproxy 進程PID文件
#ulimit-n 819200 #ulimit 的數量限制
#chroot /usr/share/haproxy #chroot運行路徑
#debug #haproxy 調試級別,建議只在開啓單進程的時候調試
#quiet
########默認配置############
defaults
log global
mode http #默認的模式mode { tcp|http|health },tcp是4層,http是7層,health只會返回OK
option httplog #日誌類別,採用httplog
option dontlognull #不記錄健康檢查日誌信息
retries 2 #兩次連接失敗就認爲是服務器不可用,也可以通過後面設置
#option forwardfor #如果後端服務器需要獲得客戶端真實ip需要配置的參數,可以從Http Header中獲得客戶端ip
option httpclose #每次請求完畢後主動關閉http通道,haproxy不支持keep-alive,只能模擬這種模式的實現
#option redispatch #當serverId對應的服務器掛掉後,強制定向到其他健康的服務器,以後將不支持
option abortonclose #當服務器負載很高的時候,自動結束掉當前隊列處理比較久的鏈接
maxconn 4096 #默認的最大連接數
timeout connect 5000ms #連接超時
timeout client 30000ms #客戶端超時
timeout server 30000ms #服務器超時
#timeout check 2000 #心跳檢測超時
#timeout http-keep-alive10s #默認持久連接超時時間
#timeout http-request 10s #默認http請求超時時間
#timeout queue 1m #默認隊列超時時間
balance roundrobin #設置默認負載均衡方式,輪詢方式
#balance source #設置默認負載均衡方式,類似於nginx的ip_hash
#balnace leastconn #設置默認負載均衡方式,最小連接數
########統計頁面配置########
listen stats
bind 0.0.0.0:1080 #設置Frontend和Backend的組合體,監控組的名稱,按需要自定義名稱
mode http #http的7層模式
option httplog #採用http日誌格式
#log 127.0.0.1 local0 err #錯誤日誌記錄
maxconn 10 #默認的最大連接數
stats refresh 30s #統計頁面自動刷新時間
stats uri /stats #統計頁面url
stats realm XingCloud\ Haproxy #統計頁面密碼框上提示文本
stats auth admin:admin #設置監控頁面的用戶和密碼:admin,可以設置多個用戶名
stats auth Frank:Frank #設置監控頁面的用戶和密碼:Frank
stats hide-version #隱藏統計頁面上HAProxy的版本信息
stats admin if TRUE #設置手工啓動/禁用,後端服務器(haproxy-1.4.9以後版本)
########設置haproxy 錯誤頁面#####
#errorfile 403 /home/haproxy/haproxy/errorfiles/403.http
#errorfile 500 /home/haproxy/haproxy/errorfiles/500.http
#errorfile 502 /home/haproxy/haproxy/errorfiles/502.http
#errorfile 503 /home/haproxy/haproxy/errorfiles/503.http
#errorfile 504 /home/haproxy/haproxy/errorfiles/504.http
########frontend前端配置##############
frontend main
bind *:80 #這裏建議使用bind *:80的方式,要不然做集羣高可用的時候有問題,vip切換到其他機器就不能訪問了。
acl web hdr(host) -i www.abc.com #acl後面是規則名稱,-i爲忽略大小寫,後面跟的是要訪問的域名,如果訪問www.abc.com這個域名,就觸發web規則,。
acl img hdr(host) -i img.abc.com #如果訪問img.abc.com這個域名,就觸發img規則。
use_backend webserver if web #如果上面定義的web規則被觸發,即訪問www.abc.com,就將請求分發到webserver這個作用域。
use_backend imgserver if img #如果上面定義的img規則被觸發,即訪問img.abc.com,就將請求分發到imgserver這個作用域。
default_backend dynamic #不滿足則響應backend的默認頁面
########backend後端配置##############
backend webserver #webserver作用域
mode http
balance roundrobin #balance roundrobin 負載輪詢,balance source 保存session值,支持static-rr,leastconn,first,uri等參數
option httpchk /index.html HTTP/1.0 #健康檢查, 檢測文件,如果分發到後臺index.html訪問不到就不再分發給它
server web1 10.16.0.9:8085 cookie 1 weight 5 check inter 2000 rise 2 fall 3
server web2 10.16.0.10:8085 cookie 2 weight 3 check inter 2000 rise 2 fall 3
#cookie 1表示serverid爲1,check inter 1500 是檢測心跳頻率
#rise 2是2次正確認爲服務器可用,fall 3是3次失敗認爲服務器不可用,weight代表權重
backend imgserver
mode http
option httpchk /index.php
balance roundrobin
server img01 192.168.137.101:80 check inter 2000 fall 3
server img02 192.168.137.102:80 check inter 2000 fall 3
backend dynamic
balance roundrobin
server test1 192.168.1.23:80 check maxconn 2000
server test2 192.168.1.24:80 check maxconn 2000
listen tcptest
bind 0.0.0.0:5222
mode tcp
option tcplog #採用tcp日誌格式
balance source
#log 127.0.0.1 local0 debug
server s1 192.168.100.204:7222 weight 1
server s2 192.168.100.208:7222 weight 1本文出自 “運維謝霆鋒” 博客,請務必保留此出處http://zhang789.blog.51cto.com/11045979/1873435