HAProxy：基礎詳解

1、簡介

HAProxy提供高可用性、負載均衡以及基於TCP和HTTP應用的代理，支持虛擬主機，它是免費、快速而且可靠的一種解決方案。HAProxy特別適用於那些負載特大的web站點，這些站點一般又須要會話保持或七層處理。HAProxy運行在時下的硬件上，徹底能夠支持數以萬計的併發鏈接。而且它的運行模式使得它能夠很簡單安全的整合進您當前的架構中， 同時能夠保護你的web服務器不被暴露到網絡上。

HAProxy實現了一種事件驅動、單一進程模型，此模型支持很是大的併發鏈接數。多進程或多線程模型受內存限制 、系統調度器限制以及無處不在的鎖限制，不多能處理數千併發鏈接。事件驅動模型由於在有更好的資源和時間管理的用戶端(User-Space) 實現全部這些任務，因此沒有這些問題。此模型的弊端是，在多核系統上，這些程序一般擴展性較差。這就是爲何他們必須進行優化以 使每一個CPU時間片(Cycle)作更多的工做。

2、配置文件格式

配置文件中的參數具體參考：http://cbonte.github.io/haproxy-dconv/configuration-1.4.html

配置文件格式：

全局參數：

global
    # to have these messages end up in /var/log/haproxy.log you will
    # need to:
    #
    # 1) configure syslog to accept network log events.  This is done
    #    by adding the '-r' option to the SYSLOGD_OPTIONS in
    #    /etc/sysconfig/syslog
    #
    # 2) configure local2 events to go to the /var/log/haproxy.log
    #   file. A line like the following can be added to
    #   /etc/sysconfig/syslog
    #
    #    local2.*                       /var/log/haproxy.log
    #
    log         127.0.0.1 local2            #定義日誌的,須要在syslog中開啓
    chroot      /var/lib/haproxy            #指定haproxy工做目錄,能提升安全性
    pidfile     /var/run/haproxy.pid        #pid文件文職
    maxconn     40000                       #最大併發鏈接數
    user        haproxy                     #指定用戶運行haproxy
    group       haproxy
    daemon                                  #以守護進程方式工做於後臺
    # turn on stats unix socket
    stats socket /var/lib/haproxy/stats     #

代理相關配置主要分爲四段：

• defaults <name>：用於爲全部其它配置段提供默認參數，這配置默認配置參數可由下一個「defaults」所從新設定。

defaults
    mode                    http            #指定協議
    log                     global          #指定日誌是從全局繼承
    option                  httplog         #開啓日誌記錄http請求等信息
    option                  dontlognull     #啓用或禁用日誌記錄空鏈接
    option http-server-close  #在支持保持鏈接的狀況下；一旦用戶的保持鏈接超時；是否容許服務器發起關閉.
    option forwardfor       except 127.0.0.0/8 #容許在request 中加入X-Forwarded-For header 發往server
    option                  redispatch      #基於cookie的會話保持時；一旦upstream server宕機時；將此server的會話從新定向到其餘的upstream server；
    retries                 3               #重試次數
    timeout http-request    10s             #關閉客戶端一次性請求的時長
    timeout queue           1m              #在隊列中等待時間
    timeout connect         10s             #定義haproxy將用戶請求轉發後端upstream server時的超時時長
    timeout client          1m              #客戶端非活動鏈接的超時時長
    timeout server          1m              #等待服務器端非活動鏈接的超時時長
    timeout http-keep-alive 10s             #設置保持鏈接模式的超時時長
    timeout check           10s             #檢查請求創建後；服務器端沒有響應的超時時長
    maxconn                 3000            #每一個server默認最大鏈接數

• frontend <name>：用於定義一系列監聽的套接字，這些套接字可接受客戶端請求並與之創建鏈接。
  

#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend  main *:5000    #定義前端的監聽地址和端口
    acl url_static       path_beg       -i /static /p_w_picpaths /javascript /stylesheets
#定義訪問控制列表,上述含義是之後面參數開頭path的且不區分大小寫爲url_static列表
    acl url_static       path_end       -i .jpg .gif .png .css .js
#同上
    use_backend static          if url_static
#若是匹配到url_static列表,則代理至backend定義的static server
    default_backend             app
#不然,默認到app server

• backend <name>：用於定義一系列「後端」服務器，代理將會將對應客戶端的請求轉發至這些服務器。

backend static    #定義後端server
    balance     roundrobin    算法rr
    server      static 127.0.0.1:4331 check    #check表明健康檢測
#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
    balance     roundrobin
    server  app1 127.0.0.1:5001 check
    server  app2 127.0.0.1:5002 check
    server  app3 127.0.0.1:5003 check
    server  app4 127.0.0.1:5004 check

• listen <name>：經過關聯「前端」和「後端」定義了一個完整的代理，一般只對TCP流量有用。

3、配置文件中部分關鍵字

一、acl訪問控制列表

acl <aclname> <criterion> [flags] [operator] <value> ...

• <aclname>：ACL名稱，區分字符大小寫，且其只能包含大小寫字母、數字、-(鏈接線)、_(下劃線)、.(點號)和:(冒號)；haproxy中，acl能夠重名，這能夠把多個測試條件定義爲一個共同的acl；

• <criterion>：測試標準，即對什麼信息發起測試；測試方式能夠由[flags]指定的標誌進行調整；而有些測試標準也能夠須要爲其在<value>以前指定一個操做符[operator]；

• [flags]：目前haproxy的acl支持的標誌位有3個：

  -i：不區分<value>中模式字符的大小寫；

  -f：從指定的文件中加載模式；

  --：標誌符的強制結束標記，在模式中的字符串像標記符時使用；

• <value>：acl測試條件支持的值有如下四類：

  - integers or integer ranges：整數或整數範圍：如1024:65535表示從1024至65535；且支持使用的操做符有5個，分別爲eq、ge、gt、le和lt；

  - strings：支持使用「-i」以忽略字符大小寫，支持使用「\」進行轉義；若是在模式首部出現了-i，能夠在其以前使用「--」標誌位；

  - regular expressions：正則表達式：其機制類同字符串匹配；

  - IP addresses and networks：IP地址及網絡地址；

經常使用的測試標準：

• be_sess_rate(backend) <integer>：用於測試指定的backend上會話建立的速率(即每秒建立的會話數)是否知足指定的條件；經常使用於在指定backend上的會話速率太高時將用戶請求轉發至另外的backend，或用於阻止***行爲。

• fe_sess_rate(frontend) <integer>：用於測試指定的frontend(或當前frontend)上的會話建立速率是否知足指定的條件；經常使用於爲frontend指定一個合理的會話建立速率的上限以防止服務被濫用。

• hdr(header) <string>：用於測試請求報文中的全部首部或指定首部是否知足指定的條件；指定首部時，其名稱不區分大小寫，且在括號「()」中不能有任何多餘的空白字符。測試服務器端的響應報文時可使用shdr()。

• method <string>：測試HTTP請求報文中使用的方法。

• path_beg <string>：用於測試請求的URL是否以<string>指定的模式開頭。

• path_end <string>：用於測試請求的URL是否以<string>指定的模式結尾。

• hdr_beg <string>：用於測試請求報文的指定首部的開頭部分是否符合<string>指定的模式。

• hdr_end <string>：用於測試請求報文的指定首部的結尾部分是否符合<string>指定的模式。

二、balance格式：

balance <algorithm> [ <arguments> ]

balance url_param <param> [check_post [<max_wait>]]

定義負載均衡算法，可用於「defaults」、「listen」和「backend」。<algorithm>用於在負載均衡場景中挑選一個server，其僅應用於持久信息不可用的條件下或須要將一個鏈接從新派發至另外一個服務器時。

調度算法：

• roundrobin：基於權重進行輪叫，在服務器的處理時間保持均勻分佈時，這是最平衡、最公平的算法。此算法是動態的，這表示其權重能夠在運行時進行調整生效。

• static-rr：基於權重進行輪叫，與roundrobin相似，可是爲靜態方法，在運行時調整其服務器權重不會生效；不過，其在後端服務器鏈接數上沒有限制。

• leastconn：新的鏈接請求被派發至具備最少鏈接數目的後端服務器；在有着較長時間會話的場景中推薦使用此算法，如LDAP、SQL等，其並不太適用於較短會話的應用層協議，如HTTP；此算法是動態的，能夠在運行時調整其權重。

• source：sh算法，並由後端服務器的權重總數相除後派發至某匹配的服務器；這可使得同一個客戶端IP的請求始終被派發至某特定的服務器；不過，當服務器權重總數發生變化時，如某服務器宕機或添加了新的服務器，許多客戶端的請求可能會被派發至與此前請求不一樣的服務器；經常使用於負載均衡無cookie功能的基於TCP的協議；其默認爲靜態，不過也可使用hash-type修改此特性；

• uri：對URI的左半部分(「問題」標記以前的部分)或整個URI進行hash運算，並由服務器的總權重相除後派發至某匹配的服務器；這可使得對同一個URI的請求老是被派發至某特定的服務器，除非服務器的權重總數發生了變化；此算法經常使用於代理緩存或反病毒代理以提升緩存的命中率；須要注意的是，此算法僅應用於HTTP後端服務器場景；其默認爲靜態算法，不過也可使用hash-type修改此特性；

• url_param：經過<argument>爲URL指定的參數在每一個HTTP GET請求中將會被檢索；若是找到了指定的參數且其經過等於號「=」被賦予了一個值，那麼此值將被執行hash運算並被服務器的總權重相除後派發至某匹配的服務器；此算法能夠經過追蹤請求中的用戶標識進而確保同一個用戶ID的請求將被送往同一個特定的服務器，除非服務器的總權重發生了變化；若是某請求中沒有出現指定的參數或其沒有有效值，則使用輪叫算法對相應請求進行調度；此算法默認爲靜態的，不過其也可使用hash-type修改此特性；

• hdr(<name>)：對於每一個HTTP請求，經過<name>指定的HTTP首部將會被檢索；若是相應的首部沒有出現或其沒有有效值，則使用輪叫算法對相應請求進行調度；其有一個可選選項「use_domain_only」，可在指定檢索相似Host類的首部時僅計算域名部分(好比經過www.magedu.com來講，僅計算magedu字符串的hash值)以下降hash算法的運算量；此算法默認爲靜態的，不過其也可使用hash-type修改此特性；

• rdp-cookie(name)/rdp-cookie：爲每一個進來的TCP請求查詢並哈希RDP cookie <name> (或「mstshash」若是省略) 。與ACL函數 'req_rdp_cookie()'同樣，name不區分大小寫。該機制用於退化的持久模式，可使同一個用戶（或同一個會話ID）老是發送給同一臺服務器。若是沒有cookie， 則使用roundrobin算法代替。

三、mode { tcp|http|health }：設定啓動的實例的協議類型。

四、errorfile <code> <file>：在用戶請求不存在的頁面時，返回一個頁面文件給客戶端而非由haproxy生成的錯誤代碼；可用於全部段中。

五、server <name> <address>[:port] [param*]：爲後端聲明一個server，所以，不能用於defaults和frontend區段。

<name>：爲此服務器指定的內部名稱，其將出如今日誌及警告信息中；若是設定了"http-send-server-name"，它還將被添加至發往此服務器的請求首部中；

[param*]：爲此服務器設定的一系參數；其可用的參數很是多，具體請參考官方文檔中的說明，下面僅說明幾個經常使用的參數；

參數說明：

• backup：設定爲備用服務器，僅在負載均衡場景中的其它server均不可用於啓用此server；

• check：啓動對此server執行健康狀態檢查，其能夠藉助於額外的其它參數完成更精細的設定：

  inter <delay>：設定健康狀態檢查的時間間隔，單位爲毫秒，默認爲2000；也可使用fastinter和downinter來根據服務器端狀態優化此時間延遲；

  rise <count>：設定健康狀態檢查中，某離線的server從離線狀態轉換至正常狀態須要成功檢查的次數；

  fall <count>：確認server從正常狀態轉換爲不可用狀態須要檢查的次數；

• cookie <value>：爲指定server設定cookie值，此處指定的值將在請求入站時被檢查，第一次爲此值挑選的server將在後續的請求中被選中，其目的在於實現持久鏈接的功能；

• maxconn <maxconn>：指定此服務器接受的最大併發鏈接數；若是發往此服務器的鏈接數目高於此處指定的值，其將被放置於請求隊列，以等待其它鏈接被釋放；

• maxqueue <maxqueue>：設定請求隊列的最大長度；

• observe <mode>：經過觀察服務器的通訊情況來斷定其健康狀態，默認爲禁用，其支持的類型有「layer4」和「layer7」，「layer7」僅能用於http代理場景；

• redir <prefix>：啓用重定向功能，將發往此服務器的GET和HEAD請求均以302狀態碼響應；須要注意的是，在prefix後面不能使用/，且不能使用相對地址，以避免形成循環；

• weight <weight>：權重，默認爲1，最大值爲256，0表示不參與負載均衡

六、haproxy的狀態信息stats

• stats enable：默認設置下啓用狀態信息頁面；

• stats hide-version：啓用統計報告並隱藏HAProxy版本報告，不能用於「frontend」區段。

• stats realm <realm>：統計頁面密碼框上提示文本，不能用於「frontend」區段。

• stats refresh <delay>：啓用統計頁面的自動刷新功能。

• stats scope { <name> | "." }：啓用統計報告並限定報告的區段，不能用於「frontend」區段

  <name>：能夠是一個「listen」、「frontend」或「backend」區段的名稱，而「.」則表示stats scope語句所定義的當前區段。

• stats auth <user>:<passwd>：啓用帶認證的統計報告功能並受權一個用戶賬號，其不能用於「frontend」區段。

• stats admin { if | unless } <cond>：在指定的條件知足時啓用統計報告頁面的管理級別功能，它容許經過web接口啓用或禁用服務器

配置實例：

backend web
  server websrv1 192.168.0.111:80
  stats enable
  stats hide-version
  stats scope   .
  stats uri     /.admin?stats
  stats realm   Haproxy\ Statistics
  stats auth    administrator：password
  stats auth    master:password
  stats admin if TRUE

配置後測試登錄。

haproxy的配置文件格式及一些基本的參數以詳細說明；具體的可用根據給定的官方文檔作參照。

若有錯誤；懇請更正。