-
https://www.scalescale.com/nginx-haproxy-varnish-comparison/#
四层转发tcp(lvs) 七层代理http(haproxy)
稳定性的适合用lvs 网站负载适合用haproxy nginxhaproxy(单核)
HAProxy 提供高可用性、负载均衡以及基于 TCP 和 HTTP 应用的代理,支持虚拟主机,
它是免费、快速并且可靠的一种解决方案。HAProxy 特别适用于那些负载特大的 web 站点, 这些站点通常又需要会话保持或七层处理。HAProxy 运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整 合进您当前的架构中, 同时可以保护你的 web 服务器不被暴露到网络上。实验环境:
server1(172.25.27.1) haproxy节点 server2(172.25.27.2) 后端服务器 server3(172.25.27.3) 后端服务器 客户端(172.25.27.250) 客户端 haproxy实现负载均衡
在server1上:
yum install haproxy -y (建议用rpm包装) cd /etc/haproxy/ vim haproxy.cfg global log 127.0.0.1 local2 #全局的日志配置,使用log关键字 chroot /var/lib/haproxy #改变当前工作目录 #修改haproxy的工作目录至指定的目录并在放弃权限之前执行chroot()操作,可以提升haproxy的安全级别,不过需要注意的是要确保指定的目录为空目录且任何用户均不能有写权限
安装完成后会建立haproxy用户
pidfile /var/run/haproxy.pid #当前进程id文件 maxconn 4000 #设定每个haproxy进程所接受的最大并发连接数 user haproxy group haproxy daemon #让haproxy以守护进程的方式工作于后台 defaults mode http #默认的模式mode { tcp|http|health },tcp是4层,http是7层,health只会返回OK log global #应用全局的日志配置 option httplog # 启用日志记录HTTP请求,默认haproxy日志记录是不记录HTTP请求日志 option dontlognull # 启用该项,日志中将不会记录空连接。所谓空连接就是在上游的负载均衡器 或者监控系统为了探测该服务是否存活可用时,需要定期的连接或者获取某固定的组件或页面,或者探测扫描端口是否在监听或开放等动作被称为空连接;官方文档中标注,如果该服务上游没有其他的负载均衡器的话,建议不要使用该参数,因为互联网上的恶意扫描或其他动作就不会被记录下来 option http-server-close #每次请求完毕后主动关闭http通道 option forwardfor except 127.0.0.0/8 option redispatch #当使用了cookie时,haproxy将会将其请求的后端服务器的serverID插入到cookie中,以保证会话的SESSION持久性;而此时,如果后端的服务器宕掉了, 但是客户端的cookie是不会刷新的,如果设置此参数,将会将客户的请 求强制定向到另外一个后端server上,以保证服务的正常。 retries 3 # 定义连接后端服务器的失败重连次数,连接失败次数超过此值后将会将对应后端 服务器标记为不可用 timeout http-request 10s #http请求超时时间 timeout queue 1m #一个请求在队列里的超时时间 timeout connect 10s #连接超时 timeout client 1m #客户端超时 timeout server 1m #服务器端超时 timeout http-keep-alive 10s #设置http-keep-alive的超时时间 timeout check 10s #检测超时 maxconn 3000 #每个进程可用的最大连接数
监控页面添加认证:
#listen:可以理解为frontend和backend的组合体listen admin *:8080 stats enable stats uri /status # 监控页面地址 stats auth admin:westos # 管理帐号和密码 stats refresh 5s #刷新频率 listen westos *:80 #监听的实例名称,地址和端口 balance roundrobin #负载均衡算法 server web1 172.25.27.2:80 check server web2 172.25.27.3:80 check
两台后端服务器server2,server3
打开httpd服务并配置相关页面客户端测试:
浏览器访问172.25.27.1输入登录账号和密码
日志监控:
$ModLoad imudp #接受 haproxy 日志 $UDPServerRun 514 vim /etc/rsyslog.conf *.info;mail.none;authpriv.none;cron.none;local2.none /var/log/messages local2.* /var/log/haproxy.log #日志文件位置
自带健康检查:(测试)
关闭server2的httpd服务,刷新浏览器页面
查看日志(访问记录)
动态静态访问分离
(可以自己加虚拟主机)
#frontend:用来匹配接收客户所请求的域名,uri等,并针对不同的匹配,做不同的请求处理frontend westos *:80 acl url_static path_beg -i /images acl url_static path_end -i .jpg .gif .png use_backend static if url_static default_backend app #backend:定义后端服务器集群 backend static #(静态) server web2 172.25.27.3:80 check backend app #balance roundrobin server web1 172.25.27.2:80 check server local 172.25.27.1:8000 backup #(如果后端real server down掉 则调度报错页面 但是正常情况下不会访问 因为 是“backup”)
配置server2
客户访问静态资源会访问到server2客户访问动态资源会访问到server3
错误重定向
frontend westos *:80 acl url_static path_beg -i /images (以什么开头 默认根目录) acl url_static path_end -i .jpg .gif .png (以什么结尾) acl badhost src 172.25.27.250 (设定谁不能访问我) block if badhost use_backend static if url_static default_backend app backend static balance roundrobin server web2 172.25.42.14:80 check backend app balance roundrobin server web1 172.25.42.13:80 check
客户端访问被拒绝
frontend westos *:80 acl url_static path_beg -i /images (以什么开头 默认根目录) acl url_static path_end -i .jpg .gif .png (以什么结尾) acl badhost src 172.25.27.250 (设定谁不能访问我) block if badhost errorloc 403 http://172.25.27.1:8000 (注意端口不要冲突)(403:服务器拒绝你的访问 服务器设定你是坏的 )(如果是403错误就重定向到 172.25.254.1:8000) use_backend static if url_static default_backend app backend static balance roundrobin server web2 172.25.42.14:80 check backend app balance roundrobin server web1 172.25.42.13:80 check
再次访问会自动跳转至指定页面
301永久重定向
(一般推荐用301 302临时重定向 有恶意刷点击的嫌疑)
这样设置的haproxy访问时,会出现302状态码
301 redirect: 301 代表永久性转移(Permanently Moved)
302 redirect: 302 代表暂时性转移(emporarily Moved )详细来说,301和302状态码都表示重定向,就是说浏览器在拿到服务器返回的这个状态码后会自动跳转到一个新的URL地址,这个地址可以从响应的Location首部中获取(用户看到的效果就是他输入的地址A瞬间变成了另一个地址B)——这是它们的共同点。他们的不同在于。301表示旧地址A的资源已经被永久地移除了(这个资源不可访问了),搜索引擎在抓取新内容的同时也将旧的网址交换为重定向之后的网址;302表示旧地址A的资源还在(仍然可以访问),这个重定向只是临时地从旧地址A跳转到地址B,搜索引擎会抓取新的内容而保存旧的网址
。acl westos.org hdr_beg(host) -i westos.org acl 172.25.27.1 hdr_beg(host) -i 172.25.27.1 #block if badhost #errorloc 403 http://172.25.42.12:8000 #redirect location http://172.25.42.12:8000 if badhost redirect code 301 location http://www.westos.org if westos.org (以westos.org访问 自动重定向 www.westos.org) redirect code 301 location http://www.westos.org if 172.25.27.1 (以172.25.27.1访问 自动重定向 www.westos.org) use_backend static if url_static default_backend app
读写分离
real server(两台): yum install php -y
获取一个上传照片的php页面
chmod 777 upload (默认上传目录一定要给权限)server3进行相同的配置
调度器:acl read method GET acl read method HEAD //两个read write 只用一个就行 acl write method PUT acl write method POST use_backend app if write default_backend static (默认静态页面 为了测试 刚开始 访问www.westos.org 时是172.25.27.3 而写入(上传时 却是在172.25.254.2 上进行的) 做到了读写分离 backend static balance roundrobin server web2 172.25.27.3:80 check backend app balance roundrobin server web1 172.25.27.2:80 check (默认会上传到这个real server) server local 172.25.27.1:8000 backup
测试:
客户端上传图片http://172.25.27.1/index.php