一、为什么用haproxy
在这样的环境中:如图所示
当一台web1主机挂掉 当后端出现问题的时候应该把流量达到正常工作web2的服务器上
此时LVS是不能满足这个功能的
所以此时就需要用到haproxy
二、haproxy-七层负载和四层复杂及正反向代理的含义
四层:
1.通过ip+port决定负载均衡的去向。
2.对流量请求进行NAT处理,转发至后台服务器。
3.记录tcp、udp流量分别是由哪台服务器处理,后续该请求连接的流量都通过该服务器处理。
4.支持四层的软件
●Ivs: 重量级四层负载均衡器。
●Nginx:轻量级四层负载均衡器,可缓存。(nginx四层 是通过upstream模块)
. Haproxy: 模拟四层转发。
七层:
代理功能
1.通过虚拟ur |或主机ip进行流量识别,根据应用层信息进行解析,决定是否需要进行负载均衡。
2.代理后台服务器与客户端建立连接,如nginx可代理前后端,与前端客户端tcp连接,与后端服务器建
立tcp连接,
3.支持7层代理的软件:
●Nginx:基于http协议(nginx七层是通过proxy_ pass)
●< Haproxy:七层代理,会话保持、标记、路径转移等。
四层和七层的区别
所谓的四到七层负载均衡,就是在对后台的服务器进行负载均衡时,依据四层的信息或七层的信息来决定怎么样转发流量四层的负载均衡,就是通过发布三层的IP地址(VIP) ,然后加四层的端口号,来决定哪些流量需要做负载均衡,对需要处理的流量进行NAT处理,转发至后台服务器,并记录下这个TCP或者UDP的流量是由哪台服务器处理的,后续这个连接的所有流量都同样转发到同一台服务器处理七层的负载均衡,就是在四层的基础。上(没有四层是绝对不可能有七层的),再考虑应用层的特征,比如同一-个Web服务器的负载均衡,除了根据VIP加80端口辨别是否需要处理的流量,还可根据七层的URL、浏览器类别、语言来决定是否要进行负载均衡。
1.分层位置:四层负载均衡在传输层及以下,七层负载均衡在应用层及以下
2.性能:四层负载均衡架构无需解析报文消息内容,在网络吞吐量与处理能力上较高:七层可支持解析应用层报文消息内容,识别URL、Cookie、 HTTP header等信息。
3.原理:四层负载均衡是基于ip+port;七层是基于虚拟的URL或主机IP等。
4.功能类比:四层负载均衡类似于路由器七层类似于代理服务器。
5.安全性:四层负载均衡无法识别DDoS攻击;七层可防御SYN Cookie/Flood攻击
三、haproxy-haproxy简介
HAProxy是法国开发者 威利塔罗(Willy Tarreau)在2000年使用C语言开发的一个开源软件是一款具备高并发(万级以上)、高性能的TCP和HTTP负载均衡器支持基于cookie的持久性,自动故障切换,支持正则表达式及web状态统计企业版网站:https://www.haproxy.com
社区版网站:http://www.haproxy.org
github: https://github.com/haprox
haproxy的基本配置信息
HAProxy 的配置文件haproxy.cfg由两大部分组成,分别是:
global:全局配置段
进程及安全配置相关的参数
·性能调整相关参数
Debug参数
proxies:代理配置段
defaults:为frontend,backend,listen提供默认配置
frontend:前端,相当于nginx中的server{}
backend:后端,相当于nginx中的upstream0
listen:同时拥有前端和后端配置,配置简单,生产推荐使用
四、haproxy-实验环境的部署方法
haproxy
websever1
dnf install nginx -y 下载服务!
echo webserver -172.25.254.10 > /usr/share/nginx/html/index.html
systemctl enable --now nginx
webserver2
dnf install nginx -y
echo webserver -172.25.254.20 > /usr/share/nginx/html/index.html
systemctl enable --now nginx
(2)所有主机关闭防火墙 将selinux设置为宽容模式
关闭防火墙
systemctl stop firewalld
systemctl mask firewalld
配置selinux
setenforce 0
以上环境就配置完成啦!
五、haproxy-haproxy的基本部署方法及负载均衡的实现
准备三台主机
dnf install haproxy -y
rpm -qc haproxy 查找配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
此时可以将web1的ngnix的服务停掉
systemctl stop ngnix
访问172.25.254.100
可以发现流量都到web2的主机上
六、haproxy-haproxy的全局配置参数及日志分离
设置多进程
pstree -p |grep haproxy
vim /etc/haproxy/haproxy.cfg 编辑配置文件
systemctl restart haproxy 重启服务
pstree -p |grep haproxy
vim /etc/haproxy/haproxy.cfg 编辑配置文件
systemctl restart haproxy
查看多线程
cat /proc/3112/status |grep -i thread
注意这里只能多线程跟多进程只能开启一个 不能同时启动
vim /etc/haproxy/haproxy.cfg 编辑配置文件
systemctl restart haproxy 重启服务
vim /etc/rsyslog.conf
systemctl restart rsyslog.service
七、haproxy-haproxy中的常用配置参数
haproxy主机:
vim /etc/haproxy/haproxy.cfg 编辑配置文件
下载httpd服务
dnf install httpd -y
此时先不要启动httpd服务!
先进入/etc/hhtpd/conf/httpd.conf 文件中 将80端口改为8080
此时就可以重启httpd 服务啦
systemctl restart httpd
结果:
下线指定realserver
vim /etc/haproxy/haproxy.cfg 编辑配置文件
结果;
访问重定向
vim /etc/haproxy/haproxy.cfg 编辑配置文件
systemctl restart haproxy
八、haproxy-haproxy热更新方法
dnf install socat -y
vim /etc/haproxy/haproxy.cfg 编辑配置文件
echo get weight webcluster/web1 | socat stdio /var/lib/haproxy/stats 看当前状态的权重
echo "set weight webcluster/web1 1" | socat stdio /var/lib/haproxy/stats 更改web1的权重为1
echo get weight webcluster/web1 | socat stdio /var/lib/haproxy/stats 再查看当前的权重
echo 'get servers state' | socat stdio /var/lib/haproxy/stats
echo 'show servers state' | socat stdio /var/lib/haproxy/stats
让web1下线
echo "disable server webcluster/web1" | socat stdio /var/lib/haproxy/stats
多进程如何热处理
vim /etc/haproxy/haproxy.cfg 编辑配置文件
echo 'show info ' | socat stdio /var/lib/haproxy/stats1
echo 'show info ' | socat stdio /var/lib/haproxy/stats2
九、haproxy-haproxy的算法
uri
1.基于对用户请求的URI的左半部分或整个uri做hash,再将hash结果对总权重进行取模后
2.根据最终结果将请求转发到后端指定服务器
3.适用于后端是缓存服务器场景 4.默认是静态算法,也可以通过hash-type指定map-based和consistent,来定义使用取模法还是一致性hash
source
源地址hash,基于用户源地址hash并将请求转发到后端服务器,后续同一个源地址请求将被转发至同-个后端web服务器。此方式当后端服务器数据量发生变化时,会导致很多用户的请求转发至新的后端服务器,默认为静态方式,但是可以通过hash-type支持的选项更改这个算法一般是在不插入Cookie的TCP模式下使用,也可给拒绝会话cookie的客户提供最好的会话粘性,适用于session会话保持但不支持cookie和缓存的场景源地址有两种转发客户端请求到后端服务器的服务器选取计算方式,分别是取模法和一致性hash
leastconn:#数据库
1.leastconn加权的最少连接的动态 2.支持权重的运行时调整和慢启动,即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户端连接) 3.比较适合长连接的场景使用,比如:MySQL等场景
roundrobin
1.基于权重的轮询动态调度算法 2.支持权重的运行时调整,不同于Ivs中的rr轮训模式
3.HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数)
4.其每个后端backend中最多支持4095个real server, 5.支持对real server权重动态调整, 6.roundrobin为默认调度算法,此算法使用广泛
static-rr:#适用于做了session共享的web集群
不支持慢启动(开启之后流量慢慢给) 支持权重 不支持修改权重 balance static-rr
first:#使用较少
balance first 自上而下进行调用 当一台的服务器达到了上限 才会给下一台 不支持修改权重
不支持socat工具进行显示 比如get set disable enable
实验:
static-rr
vim /etc/haproxy/haproxy.cfg 编辑配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
echo "set weight webcluster/web1 1" | socat stdio /var/lib/haproxy/stats.
此时不能更改权重
first
vim /etc/haproxy/haproxy.cfg 编辑配置文件
在多台主机中执行死循环测试效果
利用命令 while ture;do curl 172.25.254.100;sleep 0.1;done
vim /etc/haproxy/haproxy.cfg 编辑配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
十、haproxy-haproxy的状态页面监控
systemctl restart haproxy
记住关闭selinux!! 不然haproxy服务启动不了
访问 172.25.254.100:9999
十 一、haproxy-基于cookie的会话保持
curl -b WEBCOOKIE=lee1 172.25.254.100
curl -b WEBCOOKIE=lee1 172.25.254.100
来进行测试
十 二、haproxy-ip透传技术
在web1中下载httpd服务
dnf insatll httpd -y
vim /etc/httpd/conf/httpd.conf
vim /etc/haproxy/haproxy.cfg 编辑配置文件
其中web1为httpd服务 web2为ngnix服务
结果:
十 三、 haproxy-haproxy的访问控制列表以及利用acl做动静分离等访问控制
以bbs开头:
vim /etc/haproxy/haproxy.cfg 编辑配置文件
在windows中做域名解析
C:\Windows\System32\drivers\etc 的hosts文件中进行更改
测试一下结果:
其中web1为httpd服务 web2为ngnix服务
基于域名访问:
vim /etc/haproxy/haproxy.cfg 编辑配置文件
在windows中做域名解析
C:\Windows\System32\drivers\etc 的hosts文件中进行更改
基于ip
vim /etc/haproxy/haproxy.cfg 编辑配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
webserver1 中下载php服务
vim /var/www/html/index.php
动静分离:
vim /etc/haproxy/haproxy.cfg 编辑配置文件
vim /etc/haproxy/haproxy.cfg 编辑配置文件
编辑完配置文件后记得重启haproxy服务
十 四、自动错误页面内容
实验思路;
查找一下错误文件在哪里
创建一个目录为 /etc/haproxy/errorpage/503.http
mkdir -p /etc/haproxy/errorpage/503.http
然后将/usr/share/haproxy/503.http 中的内容复制在创建的目录中
cp /usr/share/haproxy/503.http /etc/haproxy/errorpage/503.http
vim /etc/haproxy/errorpage/503.http 编辑内容
vim /etc/haproxy/haproxy.cfg 编辑配置文件
十 五、haproxy-haproxy的四层负载示例
在web1.2分别下载mysql服务:dnf install mariadb -y
dnf install mariadb-server -y
(内包含一个mariadb-server 要存在这个包才可以启动服务)
webserver1:
webserver2:
haproxy连接10主机的mysql:
说明没有设置10主机可以远程登录
进行172.25.254.10与172.25.254.20主机远程登录:
vim /etc/haproxy/haproxy.cfg
进行依次查看三台主机 会显示rr轮询状态
十 六、haproxy-https加密
1.制作证书
先创建一个目录
mkdir -p /etc/haproxy/certs
制作证书
openssl req -newkey rsa:2048 -nodes -sha256 -keyout /etc/haproxy/certs/timinglee.org.key -x509 -days 365 -out /etc/haproxy/certs/timinglee.org.crt
将密钥放在/etc/haproxy/certs/timinglee.pem这个目录下
cat /etc/haproxy/certs/timinglee.org.key /etc/haproxy/certs/timinglee.org.crt > /etc/haproxy/certs/timinglee.pem
编辑配置文件编辑配置文件vim /etc/haproxy/haproxy.cfg :
查看端口:
netstat -antlupe |grep haproxy
重启web1 与web2 的服务
systemctl restart httpd systemctl restart ngnix
访问https://172.25.254.100
全站加密:
vim /etc/haproxy/haproxy.cfg
systemctl restart haproxy.service
通过http的方式进行访问
会自动跳转到https 这就是全站加密
到这里分享就结束啦!!!