LVS Nginx HAProxy 優缺點

搭建負載均衡高可用環境相對簡單，主要是要理解其中原理。此文描述了三種負載均衡器的優缺點，以便在實際的生產應用中，按需求取捨。

目前，在線上環境中應用較多的負載均衡器硬件有F5 BIG-IP,軟件有LVS，Nginx及HAProxy,高可用軟件有Heartbeat、Keepalived，成熟的架構有LVS+Keepalived、Nginx+Keepalived、HAProxy+keepalived及DRBD+Heartbeat.

三種負載均衡器的優缺點說明以下：

LVS的優勢：
一、抗負載能力強、工做在第4層僅做分發之用，沒有流量的產生，這個特色也決定了它在負載均衡軟件裏的性能最強的；無流量，同時保證了均衡器IO的性能不會受到大流量的影響；
二、工做穩定，自身有完整的雙機熱備方案，如LVS+Keepalived和LVS+Heartbeat；
三、應用範圍比較廣，能夠對全部應用作負載均衡；
四、配置性比較低，這是一個缺點也是一個優勢，由於沒有可太多配置的東西，因此並不須要太多接觸，大大減小了人爲出錯的概率；
LVS的缺點：
一、軟件自己不支持正則處理，不能作動靜分離，這就凸顯了Nginx/HAProxy+Keepalived的優點。
二、若是網站應用比較龐大，LVS/DR+Keepalived就比較複雜了，特別是後面有Windows Server應用的機器，實施及配置還有維護過程就比較麻煩，相對而言，Nginx/HAProxy+Keepalived就簡單多了。
#############################################################

 

1. LVS/DR如何處理請求報文的，會修改IP包內容嗎？

1.1 vs/dr自己不會關心IP層以上的信息，即便是端口號也是tcp/ip協議棧去判斷是否正確，vs/dr自己主要作這麼幾個事：

1）接收client的請求，根據你設定的負載均衡算法選取一臺realserver的ip；

2）以選取的這個ip對應的mac地址做爲目標mac，而後從新將IP包封裝成幀轉發給這臺RS；

3）在hash table中記錄鏈接信息。

vs/dr作的事情不多，也很簡單，因此它的效率很高，不比硬件負載均衡設備差多少。

數據包、數據幀的大體流向是這樣的：client --> VS --> RS --> client

1.2 前面已做了回答，vs/dr不會修改IP包的內容.

2. RealServer爲何要在lo接口上配置VIP？在出口網卡上配置VIP能夠嗎？

2.1 既然要讓RS可以處理目標地址爲vip的IP包，首先必需要讓RS能接收到這個包。

在lo上配置vip可以完成接收包並將結果返回client。

2.2 答案是不能夠將VIP設置在出口網卡上,不然會響應客戶端的arp request,形成client/gateway arp table紊亂，以致於整個load balance都不能正常工做。

3. RealServer爲何要抑制arp幀？

這個問題在上一問題中已經做了說明，這裏結合實施命令進一步闡述。咱們在具體實施部署的時候都會做以下調整：

       echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore
       echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce
       echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore
       echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce

我相信不少人都不會弄懂它們的做用是什麼，只知道必定得有。我這裏也不打算拿出來詳細討論，只是做幾點說明，就當是補充吧。

3.1

echo "1" >/proc/sys/net/ipv4/conf/lo/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/lo/arp_announce

這兩條是能夠不用的，由於arp對邏輯接口沒有意義。

3.2 若是你的RS的外部網絡接口是eth0，那麼

echo "1" >/proc/sys/net/ipv4/conf/all/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/all/arp_announce

其實真正要執行的是：

echo "1" >/proc/sys/net/ipv4/conf/eth0/arp_ignore
echo "2" >/proc/sys/net/ipv4/conf/eth0/arp_announce

因此我我的建議把上面兩條也加到你的腳本里去，由於萬一系統裏上面兩條默認的值不是0，那有多是會出問題滴。

4. LVS/DR load balancer（director）與RS爲何要在同一網段中？

從第一個問題中你們應該明白vs/dr是如何將請求轉發給RS的了吧？它是在數據鏈路層來實現的，因此director必須和RS在同一網段裏面。

5. 爲何director上lo接口除了VIP另外還要在eth0配一個ip（即DIP）？

5.1 若是是用了keepalived等工具作HA或者Load Balance,則在健康檢查時須要用到DIP。

5.2 沒有健康檢查機制的HA或者Load Balance則沒有存在的實際意義。

6. LVS/DR ip_forward須要開啓嗎？

不須要。由於director跟realserver是同一個網段，無需開啓轉發。

7. director的vip的netmask必定要是255.255.255.255嗎？

lvs/dr裏，director的vip的netmask 不必設置爲255.255.255.255，也不須要再去

route add -host $VIP dev eth0:0

director的vip原本就是要像正常的ip地址同樣對外通告的,不要搞得這麼特殊.

8. LVS/DR如何進行tcp的三次握手？

 

#####################################################################

 

Nginx的優勢：
一、工做在OSI第7層，能夠針對http應用作一些分流的策略。好比針對域名、目錄結構。它的正則比HAProxy更爲強大和靈活；
二、Nginx對網絡的依賴很是小，理論上能ping通就就能進行負載功能，這個也是它的優點所在；
三、Nginx安裝和配置比較簡單，測試起來比較方便；
四、能夠承擔高的負載壓力且穩定，通常能支撐超過幾萬次的併發量；
五、Nginx能夠經過端口檢測到服務器內部的故障，好比根據服務器處理網頁返回的狀態碼、超時等等，而且會把返回錯誤的請求從新提交到另外一個節點；
六、Nginx不只僅是一款優秀的負載均衡器/反向代理軟件，它同時也是功能強大的Web應用服務器。LNMP如今也是很是流行的web環境，大有和LAMP環境平起平坐之勢，Nginx在處理靜態頁面、特別是抗高併發方面相對apache有優點；
七、Nginx如今做爲Web反向加速緩存愈來愈成熟了，速度比傳統的Squid服務器更快，有需求的朋友能夠考慮用其做爲反向代理加速器；
Nginx的缺點：
一、Nginx不支持url來檢測。
二、Nginx僅能支持http和Email，這個它的弱勢。
三、Nginx的Session的保持，Cookie的引導能力相對欠缺。

HAProxy的優勢：
一、HAProxy是支持虛擬主機的，能夠工做在四、7層(支持多網段)；
二、可以補充Nginx的一些缺點好比Session的保持，Cookie的引導等工做；
三、支持url檢測後端的服務器；
四、它跟LVS同樣，自己僅僅就只是一款負載均衡軟件；單純從效率上來說HAProxy更會比Nginx有更出色的負載均衡速度，在併發處理上也是優於Nginx的；
五、HAProxy能夠對Mysql讀進行負載均衡，對後端的MySQL節點進行檢測和負載均衡，不過在後端的MySQL slaves數量超過10臺時性能不如LVS；
六、HAProxy的算法較多，達到8種；

 

 

原文：http://www.ttlsa.com/linux/haproxy-study-tutorial/

1、HAProxy簡介

（1）HAProxy 是一款提供高可用性、負載均衡以及基於TCP（第四層）和HTTP（第七層）應用的代理軟件，支持虛擬主機，它是免費、快速而且可靠的一種解決方案。 HAProxy特別適用於那些負載特大的web站點，這些站點一般又須要會話保持或七層處理。HAProxy運行在時下的硬件上，徹底能夠支持數以萬計的 併發鏈接。而且它的運行模式使得它能夠很簡單安全的整合進您當前的架構中， 同時能夠保護你的web服務器不被暴露到網絡上。

（2）HAProxy 實現了一種事件驅動、單一進程模型，此模型支持很是大的併發鏈接數。多進程或多線程模型受內存限制 、系統調度器限制以及無處不在的鎖限制，不多能處理數千併發鏈接。事件驅動模型由於在有更好的資源和時間管理的用戶端(User-Space) 實現全部這些任務，因此沒有這些問題。此模型的弊端是，在多核系統上，這些程序一般擴展性較差。這就是爲何他們必須進行優化以 使每一個CPU時間片(Cycle)作更多的工做。

（3）HAProxy 支持鏈接拒絕 : 由於維護一個鏈接的打開的開銷是很低的，有時咱們很須要限制攻擊蠕蟲（attack bots），也就是說限制它們的鏈接打開從而限制它們的危害。 這個已經爲一個陷於小型DDoS攻擊的網站開發了並且已經拯救

了不少站點，這個優勢也是其它負載均衡器沒有的。

（4）HAProxy 支持全透明代理（已具有硬件防火牆的典型特色）: 能夠用客戶端IP地址或者任何其餘地址來鏈接後端服務器. 這個特性僅在Linux 2.4/2.6內核打了cttproxy補丁後纔可使用. 這個特性也使得爲某特殊服務器處理部分流量同時又不修改服務器的地址成爲可能。

性能

HAProxy藉助於OS上幾種常見的技術來實現性能的最大化。

1，單進程、事件驅動模型顯著下降了上下文切換的開銷及內存佔用。

2，O(1)事件檢查器(event checker)容許其在高併發鏈接中對任何鏈接的任何事件實現即時探測。

3，在任何可用的狀況下，單緩衝(single buffering)機制能以不復制任何數據的方式完成讀寫操做，這會節約大量的CPU時鐘週期及內存帶寬；

4，藉助於Linux 2.6 (>= 2.6.27.19)上的splice()系統調用，HAProxy能夠實現零複製轉發(Zero-copy forwarding)，在Linux 3.5及以上的OS中還能夠實現零複製啓動(zero-starting)；

5，內存分配器在固定大小的內存池中可實現即時內存分配，這可以顯著減小建立一個會話的時長；

6，樹型存儲：側重於使用做者多年前開發的彈性二叉樹，實現了以O(log(N))的低開銷來保持計時器命令、保持運行隊列命令及管理輪詢及最少鏈接隊列；

7，優化的HTTP首部分析：優化的首部分析功能避免了在HTTP首部分析過程當中重讀任何內存區域；

8，精心地下降了昂貴的系統調用，大部分工做都在用戶空間完成，如時間讀取、緩衝聚合及文件描述符的啓用和禁用等；

全部的這些細微之處的優化實現了在中等規模負載之上依然有着至關低的CPU負載，甚至於在很是高的負載場景中，5%的用戶空間佔用率和95%的系統空間佔用率也是很是廣泛的現象，這意味着HAProxy進程消耗比系統空間消耗低20倍以上。所以，對OS進行性能調優是很是重要的。即便用戶空間的佔用率提升一倍，其CPU佔用率也僅爲10%，這也解釋了爲什麼7層處理對性能影響有限這一現象。由此，在高端系統上HAProxy的7層性能可輕易超過硬件負載均衡設備。

在生產環境中，在7層處理上使用HAProxy做爲昂貴的高端硬件負載均衡設備故障故障時的緊急解決方案也時長可見。硬件負載均衡設備在「報文」級別處理請求，這在支持跨報文請求(request across multiple packets)有着較高的難度，而且它們不緩衝任何數據，所以有着較長的響應時間。對應地，軟件負載均衡設備使用TCP緩衝，可創建極長的請求，且有着較大的響應時間。

HAProxy目前主要有三個版本： 1.3 ， 1.4 ，1.5，CentOS6.6 自帶的RPM包爲 1.5 的。

二，安裝配置HAProxy

如下實驗環境均爲CentOS6.6 i686平臺。

1，安裝haproxy

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

[root@LB~]# yum install -y haproxy #直接使用RPM來安裝 [root@LB~]# rpm -qi haproxy #版本爲1.5.4 Name: haproxyRelocations:(notrelocatable) Version :1.5.4 Vendor:CentOS Release: 2.el6Build Date:Thu 23Jul 201504:26:35PM PDT Install Date:Sat 29Aug 201506:49:30PM PDT BuildHost:c6b9.bsys.dev.centos.org Group: SystemEnvironment/DaemonsSource RPM:haproxy-1.5.4-2.el6.src.rpm Size :2542578 License:GPLv2+ Signature: RSA/SHA1,Fri 24Jul 201501:39:18PM PDT,Key ID0946fca2c105b9de Packager :CentOS BuildSystem<http://bugs.centos.org> URL: http://www.haproxy.org/ Summary :HAProxy isa TCP/HTTPreverse proxy for highavailability environments [root@LB~]# rpm -ql haproxy /etc/haproxy /etc/haproxy/haproxy.cfg---------->配置文件 /etc/logrotate.d/haproxy /etc/rc.d/init.d/haproxy /etc/sysconfig/haproxy /usr/bin/halog /usr/bin/iprange /usr/sbin/haproxy [root@LB~]# cd /etc/haproxy/

 

2，詳解配置文件

haproxy 的配置文件由兩部分組成：全局設定和對代理的設定，共分爲五段：global，defaults，frontend，backend，listen。

2.1 配置文件格式

HAProxy的配置處理3類來主要參數來源：

——最優先處理的命令行參數;

——「global」配置段，用於設定全局配置參數；

——proxy相關配置段，如「defaults」、「listen」、「frontend」和「backend」；

2.2 時間格式

一些包含了值的參數表示時間，如超時時長。這些值通常以毫秒爲單位，但也可使用其它的時間單位後綴。

 

1 2 3 4 5 6

us:微秒(microseconds)，即1/1000000秒； ms:毫秒(milliseconds)，即1/1000秒； s:秒(seconds)； m:分鐘(minutes)； h：小時(hours)； d:天(days)；

 

2.3 全局配置

* 進程管理及安全相關的參數

– chroot <jail dir>：修改haproxy的工做目錄至指定的目錄並在放棄權限以前執行chroot()操做，能夠提高haproxy的安全級別，不過須要注意的是要確保指定的目錄爲空目錄且任何用戶均不能有寫權限；

– daemon：讓haproxy以守護進程的方式工做於後臺，其等同於「-D」選項的功能，固然，也能夠在命令行中以「-db」選項將其禁用；

– gid <number>：以指定的GID運行haproxy，建議使用專用於運行haproxy的GID，以避免因權限問題帶來風險；

– group <group name>：同gid，不過指定的組名；

– log <address> <facility> [max level [min level]]：定義全局的syslog服務器，最多能夠定義兩個；

– log-send-hostname [<string>]：在syslog信息的首部添加當前主機名，能夠爲「string」指定的名稱，也能夠缺省使用當前主機名；

– nbproc <number>：指定啓動的haproxy進程的個數，只能用於守護進程模式的haproxy；默認只啓動一個進程，鑑於調試困難等多方面的緣由，通常只在單進程僅能打開少數文件描述符的場景中才使用多進程模式；

– pidfile：

– uid：以指定的UID身份運行haproxy進程；

– ulimit-n：設定每進程所可以打開的最大文件描述符數目，默認狀況下其會自動進行計算，所以不推薦修改此選項；Linux默認單進程打開文件數爲1024個

– user：同uid，但使用的是用戶名；

– stats：用戶訪問統計數據的接口

– node：定義當前節點的名稱，用於HA場景中多haproxy進程共享同一個IP地址時；

– description：當前實例的描述信息；

 

* 性能調整相關的參數

– maxconn <number>：設定每一個haproxy進程所接受的最大併發鏈接數，其等同於命令行選項「-n」；「ulimit -n」自動計算的結果正是參照此參數設定的；

– maxpipes <number>：haproxy使用pipe完成基於內核的tcp報文重組，此選項則用於設定每進程所容許使用的最大pipe個數；每一個pipe會打開兩個文件描述符，所以，「ulimit -n」自動計算時會根據須要調大此值；默認爲maxconn/4，其一般會顯得過大；

– noepoll：在Linux系統上禁用epoll機制；

– nokqueue：在BSE系統上禁用kqueue機制；

– nopoll：禁用poll機制；

– nosepoll：在Linux禁用啓發式epoll機制；

– nosplice：禁止在Linux套接字上使用內核tcp重組，這會致使更多的recv/send系統調用；不過，在Linux 2.6.25-28系列的內核上，tcp重組功能有bug存在；

– spread-checks <0..50, in percent>：在haproxy後端有着衆多服務器的場景中，在精確的時間間隔後統一對衆服務器進行健康情況檢查可能會帶來意外問題；此選項用於將其檢查的時間間隔長度上增長或減少必定的隨機時長；

– tune.bufsize <number>：設定buffer的大小，一樣的內存條件小，較小的值可讓haproxy有能力接受更多的併發鏈接，較大的值可讓某些應用程序使用較大的cookie信息；默認爲16384，其能夠在編譯時修改，不過強烈建議使用默認值；

– tune.chksize <number>：設定檢查緩衝區的大小，單位爲字節；更大的值有助於在較大的頁面中完成基於字符串或模式的文本查找，但也會佔用更多的系統資源；不建議修改；

– tune.maxaccept <number>：設定haproxy進程內核調度運行時一次性能夠接受的鏈接的個數，較大的值能夠帶來較大的吞吐率，默認在單進程模式下爲100，多進程模式下爲8，設定爲-1能夠禁止此限制；通常不建議修改；

– tune.maxpollevents <number>：設定一次系統調用能夠處理的事件最大數，默認值取決於OS；其值小於200時可節約帶寬，但會略微增大網絡延遲，而大於200時會下降延遲，但會稍稍增長網絡帶寬的佔用量；

– tune.maxrewrite <number>：設定爲首部重寫或追加而預留的緩衝空間，建議使用1024左右的大小；在須要使用更大的空間時，haproxy會自動增長其值；

– tune.rcvbuf.client <number>：

– tune.rcvbuf.server <number>：設定內核套接字中服務端或客戶端接收緩衝的大小，單位爲字節；強烈推薦使用默認值；

– tune.sndbuf.client：

– tune.sndbuf.server：

 

* Debug相關的參數

 

1 2 3

-debug   -quiet

* 超時時長

 

1 2 3 4 5 6 7 8 9 10 11

timeouthttp request：在客戶端創建鏈接但不請求數據時，關閉客戶端鏈接 timeout queue：等待最大時長 timeoutconnect： 定義haproxy將客戶端請求轉發至後端服務器所等待的超時時長 timeout client：客戶端非活動狀態的超時時長 timeoutserver：客戶端與服務器端創建鏈接後，等待服務器端的超時時長， timeout http-keep-alive：定義保持鏈接的超時時長 timeoutcheck：健康狀態監測時的超時時間，太短會誤判，過長資源消耗 maxconn :每一個server最大的鏈接數   http-server-close: 在使用長鏈接時，爲了不客戶端超時沒有關閉長鏈接，此功能可使服務器端關閉長鏈接 redispatch：在使用基於cookie定向時，一旦後端某一server宕機時，會將會話從新定向至某一上游服務器，必須使用的選項

* 實現訪問控制：

 

1 2	http-request:7層過濾 tcp-requestcontent:tcp層過濾，四層過濾

 

2.4 代理

代理相關的配置能夠以下配置段中。

 

1 2 3 4

– defaults <name> –  frontend<name> – backend <name> –  listen<name>

「defaults」段用於爲全部其它配置段提供默認參數，這配置默認配置參數可由下一個「defaults」所從新設定。
「frontend」段用於定義一系列監聽的套接字，這些套接字可接受客戶端請求並與之創建鏈接。
「backend」段用於定義一系列「後端」服務器，代理將會將對應客戶端的請求轉發至這些服務器。
「listen」段經過關聯「frontend」和「backend」定義了一個完整的代理，一般只對TCP流量有用。

全部代理的名稱只能使用大寫字母、小寫字母、數字、-(中線)、_(下劃線)、.(點號)和:(冒號)。此外，ACL名稱會區分字母大小寫。

3、配置文件中的關鍵字參考

3.1 balance

 

 

1 2 3

balance[ ]   balanceurl_param[check_post[]]

定義負載均衡算法，可用於「defaults」、「listen」和「backend」。用於在負載均衡場景中挑選一個server，其僅應用於持久信息不可用的條件下或須要將一個鏈接從新派發至另外一個服務器時。支持的算法有：

3.11 roundrobin：基於權重進行輪叫，在服務器的處理時間保持均勻分佈時，這是最平衡、最公平的算法。此算法是動態的，這表示其權重能夠在運行時進行調整，不過，在設計上，每一個後端服務器僅能最多接受4128個鏈接；並支持慢啓動。

3.12 static-rr：基於權重進行輪叫，與roundrobin相似，可是爲靜態方法，在運行時調整其服務器權重不會生效；不過，其在後端服務器鏈接數上沒有限制；不支持慢啓動，在高負荷的狀況下，服務器從新上線時會當即被分配大量鏈接。

3.13 leastconn（WLC）：適用於長鏈接的會話，新的鏈接請求被派發至具備最少鏈接數目的後端服務器；在有着較長時間會話的場景中推薦使用此算法，如LDAP、SQL等，其並不太適用於較短會話的應用層協議，如HTTP；此算法是動態的，

能夠在運行時調整其權重；

3.14 source：將請求的源地址進行hash運算，並由後端服務器的權重總數相除後派發至某匹配的服務器；這可使得同一個客戶端IP的請求始終被派發至某特定的服務器；不過，當服務器權重總數發生變化時，如某服務器宕機或添加了新的服務器，許多客戶端的請求可能會被派發至與此前請求不一樣的服務器；經常使用於負載均衡無cookie功能的基於TCP的協議；其默認爲靜態，不過也可使用hash-type修改此特性；

1，對原地址hash，第一次調度時使用WLC
source：IP層，位於同一個NAT服務器背後的多個請求都會定向至同一個upstream server，不利於負載均衡，通常只有不支持使用cookie插入又須要保持會話時使用
cookie：應用層，有更好的負載均衡效果；

2，hash/weight%ip ：除以權重取模

3.15 uri：對URI的左半部分(「問題」標記以前的部分)或整個URI進行hash運算，並由服務器的總權重相除後派發至某匹配的服務器；這可使得對同一個URI的請求老是被派發至某特定的服務器，除非服務器的權重總數發生了變化；此算法經常使用於代理緩存或反病毒代理以提升緩存的命中率；須要注意的是，此算法僅應用於HTTP後端服務器場景；其默認爲靜態算法，不過也可使用hash-type修改此特性；

3.16 url_param：經過<argument>爲URL指定的參數在每一個HTTP GET請求中將會被檢索；若是找到了指定的參數且其經過等於號「=」被賦予了一個值，那麼此值將被執行hash運算並被服務器的總權重相除後派發至某匹配的服務器；此算法能夠經過追蹤請求中的用戶標識進而確保同一個用戶ID的請求將被送往同一個特定的服務器，除非服務器的總權重發生了變化；若是某請求中沒有出現指定的參數或其沒有有效值，則使用輪叫算法對相應請求進行調度；此算法默認爲靜態的，不過其也可使用hash-type修改此特性；

3.17 hdr(<name>)：對於每一個HTTP請求，經過<name>指定的HTTP首部將會被檢索；若是相應的首部沒有出現或其沒有有效值，則使用輪叫算法對相應請求進行調度；其有一個可選選項「use_domain_only」，可在指定檢索相似Host類的首部時僅計算域名部分(好比經過www.feiyu.com來講，僅計算feiyu字符串的hash值)以下降hash算法的運算量；此算法默認爲靜態的，不過其也可使用hash-type修改此特性；

3.18 rdp-cookie(name)

，表示根據據cookie(name)來鎖定並哈希每一次TCP請求。

3.2 bind

 

 

1 2 3

bind[<address>]:<port_range>[,…]   bind[<address>]:<port_range>[,…] interface<interface>

此指令僅能用於frontend和listen區段，用於定義一個或幾個監聽的套接字。

<address>：可選選項，其能夠爲主機名、IPv4地址、IPv6地址或*；省略此選項、將其指定爲*或0.0.0.0時，將監聽當前系統的全部IPv4地址；<port_range>：能夠是一個特定的TCP端口，也但是一個端口範圍(如5005-5010)，代理服務器將經過指定的端口來接收客戶端請求；須要注意的是，每組監聽的套接字<address:port>在同一個實例上只能使用一次，並且小於1024的端口須要有特定權限的用戶才能使用，這可能須要經過uid參數來定義；<interface>：指定物理接口的名稱，僅能在Linux系統上使用；其不能使用接口別名，而僅能使用物理接口名稱，並且只有管理有權限指定綁定的物理接口；

3.3 mode

 

 

1	mode{ tcp|http|health}

設定實例的運行模式或協議。當實現內容交換時，前端和後端必須工做於同一種模式(通常說來都是HTTP模式)，不然將沒法啓動實例。

tcp：實例運行於純TCP模式，在客戶端和服務器端之間將創建一個全雙工的鏈接，且不會對7層報文作任何類型的檢查；一般用於SSL、SSH、SMTP等應用；
http：實例運行於HTTP模式，客戶端請求在轉發至後端服務器以前將被深度分析，全部不與RFC格式兼容的請求都會被拒絕；此爲默認模式；
health：實例工做於health模式，其對入站請求僅響應「OK」信息並關閉鏈接，且不會記錄任何日誌信息；此模式將用於響應外部組件的健康狀態檢查請求；目前來說，此模式已經廢棄，由於tcp或http模式中的monitor關鍵字可完成相似功能；

 

3.4 hash-type

 

 

1	hash-type<method>

定義用於將hash碼映射至後端服務器的方法；其不能用於frontend區段；可用方法有map-based和consistent，在大多數場景下推薦使用默認的map-based方法。

map-based：hash表是一個包含了全部在線服務器的靜態數組。其hash值將會很是平滑，會將權重考慮在列，但其爲靜態方法，對在線服務器的權重進行調整將不會生效，這意味着其不支持慢速啓動。此外，挑選服務器是根據其在數組中的

位置進行的，所以，當一臺服務器宕機或添加了一臺新的服務器時，大多數鏈接將會被從新派發至一個與此前不一樣的服務器上，對於緩存服務器的工做場景來講，此方法不甚適用。

consistent：「一致性哈希算法」，hash表是一個由各服務器填充而成的樹狀結構，將服務器散列在hash環上；基於hash鍵在hash樹中查找相應的服務器時，最近的服務器將被選中。此方法是動態的，支持在運行時修改服務器權重，所以兼

容慢速啓動的特性。添加一個新的服務器時，僅會對一小部分請求產生影響，所以，尤爲適用於後端服務器爲cache的場景。不過，此算法不甚平滑，派發至各服務器的請求未必能達到理想的均衡效果，所以，可能須要不時的調整服務器的權

重以得到更好的均衡性。

 

3.5 log

 

 

1 2 3

logglobal   log<address><facility>[<level>[<minlevel>]]

爲每一個實例啓用事件和流量日誌，所以可用於全部區段。每一個實例最多能夠指定兩個log參數，不過，若是使用了「log global」且」global」段已經定了兩個log參數時，多餘了log參數將被忽略。

global：當前實例的日誌系統參數同」global」段中的定義時，將使用此格式；每一個實例僅能定義一次「log global」語句，且其沒有任何額外參數；

<address>：定義日誌發往的位置，其格式之一能夠爲<IPv4_address:PORT>，其中的port爲UDP協議端口，默認爲514；格式之二爲Unix套接字文件路徑，但須要留心chroot應用及用戶的讀寫權限；

<facility>：能夠爲syslog系統的標準facility之一；

<level>：定義日誌級別，即輸出信息過濾器，默認爲全部信息；指定級別時，全部等於或高於此級別的日誌信息將會被髮送；

 

3.6 maxconn

 

 

1	maxconn<conns>

設定一個前端的最大併發鏈接數，所以，其不能用於backend區段。對於大型站點來講，能夠儘量提升此值以便讓haproxy管理鏈接隊列，從而避免沒法應答用戶請求。固然，此最大值不能超出「global」段中的定義。此外，須要留心的是，haproxy會爲每一個鏈接維持兩個緩衝，每一個緩衝的大小爲8KB，再加上其它的數據，每一個鏈接將大約佔用17KB的RAM空間。這意味着通過適當優化後，有着1GB的可用RAM空間時將能維護40000-50000併發鏈接。

若是爲<conns>指定了一個過大值，極端場景下，其最終佔據的空間可能會超出當前主機的可用內存，這可能會帶來意想不到的結果；所以，將其設定了一個可接受值方爲明智決定。其默認爲2000。

3.7 default_backend

 

 

1	default_backend<backend>

在沒有匹配的」use_backend」規則時爲實例指定使用的默認後端，所以，其不可應用於backend區段。在」frontend」和」backend」之間進行內容交換時，一般使用」use-backend」定義其匹配規則；而沒有被規則匹配到的請求將由此參數指定的後端接收。

<backend>：指定使用的後端的名稱；

使用案例：

 

1 2 3

use_backenddynamic ifurl_dyn use_backend staticif url_cssurl_img extension_img default_backenddynamic

 

3.8 server

 

 

1	server<name><address>[:port][param*]

爲後端聲明一個server，所以，不能用於defaults和frontend區段。

<name>：爲此服務器指定的內部名稱，其將出如今日誌及警告信息中；若是設定了」http-send-server-name」，它還將被添加至發往此服務器的請求首部中；

<address>：此服務器的的IPv4地址，也支持使用可解析的主機名，只不過在啓動時須要解析主機名至相應的IPv4地址；

[:port]：指定將鏈接請求所發往的此服務器時的目標端口，其爲可選項；未設定時，將使用客戶端請求時的同一相端口；

[param*]：爲此服務器設定的一系參數；其可用的參數很是多，具體請參考官方文檔中的說明，下面僅說明幾個經常使用的參數；

服務器或默認服務器參數：

backup：設定爲備用服務器，僅在負載均衡場景中的其它server均不可用於啓用此server；

check：啓動對此server執行健康狀態檢查，其能夠藉助於額外的其它參數完成更精細的設定，如：

inter <delay>：設定健康狀態檢查的時間間隔，單位爲毫秒，默認爲2000；也可使用fastinter和downinter來根據服務器端狀態優化此時間延遲；

rise <count>：設定健康狀態檢查中，某離線的server從離線狀態轉換至正常狀態須要成功檢查的次數；

fall <count>：確認server從正常狀態轉換爲不可用狀態須要檢查的次數；

cookie <value>：爲指定server設定cookie值，此處指定的值將在請求入站時被檢查，第一次爲此值挑選的server將在後續的請求中被選中，其目的在於實現持久鏈接的功能；

maxconn <maxconn>：指定此服務器接受的最大併發鏈接數；若是發往此服務器的鏈接數目高於此處指定的值，其將被放置於請求隊列，以等待其它鏈接被釋放；

haproxy 有n個進程，每一個支持m個鏈接，後端有x個服務器，每一個最大支持y個鏈接，則 n*m <= x*y，若是後端服務器支持排隊，則n*m <= x*（y+z），z爲每一個服務器的排隊隊列

maxqueue <maxqueue>：設定請求隊列的最大長度；

observe <mode>：經過觀察服務器的通訊情況來斷定其健康狀態，默認爲禁用，其支持的類型有「layer4」和「layer7」，「layer7」僅能用於http代理場景；

redir <prefix>：啓用重定向功能，將發往此服務器的GET和HEAD請求均以302狀態碼響應；須要注意的是，在prefix後面不能使用/，且不能使用相對地址，以避免形成循環；例如：

 

1	serversrv1 172.16.100.6:80redir http://imageserver.feiyu.com check

weight <weight>：權重，默認爲1，最大值爲256，0表示不參與負載均衡（不被調度）；

檢查方法：

 

1 2 3 4 5 6 7 8

optionhttpchk option httpchk optionhttpchk option httpchk：不能用於frontend段，例如： backendhttps_relay mode tcp optionhttpchk OPTIONS *HTTP/1.1\r\nHost:\www.feiyu.com server apache1192.168.1.1:443check port80

使用案例：

 

1 2	serverfirst 172.16.100.7:1080cookie first checkinter 1000 server second172.16.100.8:1080cookie second check inter1000

 

3.9 capture request header

 

 

1	capturerequest header<name>len <length>

捕獲並記錄指定的請求首部最近一次出現時的第一個值，僅能用於「frontend」和「listen」區段。捕獲的首部值使用花括號{}括起來後添加進日誌中。若是須要捕獲多個首部值，它們將以指定的次序出如今日誌文件中，並以豎線「|」做爲分隔符。不存在的首部記錄爲空字符串，最常須要捕獲的首部包括在虛擬主機環境中使用的「Host」、上傳請求首部中的「Content-length」、快速區別真實用戶和網絡機器人的「User-agent」，以及代理環境中記錄真實請求來源的「X-Forward-For」。

<name>：要捕獲的首部的名稱，此名稱不區分字符大小寫，但建議與它們出如今首部中的格式相同，好比大寫首字母。須要注意的是，記錄在日誌中的是首部對應的值，而非首部名稱。

<length>：指定記錄首部值時所記錄的精確長度，超出的部分將會被忽略。

能夠捕獲的請求首部的個數沒有限制，但每一個捕獲最多隻能記錄64個字符。爲了保證同一個frontend中日誌格式的統一性，首部捕獲僅能在frontend中定義。

 

3.10 capture response header

 

 

1	captureresponse header<name>len <length>

捕獲並記錄響應首部，其格式和要點同請求首部。

 

3.11 stats enable

啓用基於程序編譯時默認設置的統計報告，不能用於「frontend」區段。只要沒有另外的其它設定，它們就會使用以下的配置：

 

1 2 3 4

-stats uri: /haproxy?stats - statsrealm :"HAProxy Statistics" -stats auth: noauthentication - statsscope :no restriction

儘管「stats enable」一條就可以啓用統計報告，但仍是建議設定其它全部的參數，以避免其依賴於默認設定而帶來非期後果。下面是一個配置案例。

 

1 2 3 4 5 6 7 8 9

backendpublic_www server websrv1172.16.100.11:80 statsenable stats hide-version statsscope . stats uri/haproxyadmin?stats statsrealm Haproxy\Statistics stats auth statsadmin:password statsauth statsmaster:password

 

3.12 stats hide-version

 

 

1	statshide-version

啓用統計報告並隱藏HAProxy版本報告，不能用於「frontend」區段。默認狀況下，統計頁面會顯示一些有用信息，包括HAProxy的版本號，然而，向全部人公開HAProxy的精確版本號是很是有風險的，由於它能幫助惡意用戶快速定位版本的缺陷和漏洞。儘管「stats hide-version」一條就可以啓用統計報告，但仍是建議設定其它全部的參數，以避免其依賴於默認設定而帶來非期後果。具體請參照「stats enable」一節的說明。

3.13 stats realm

 

 

1	statsrealm <realm>

啓用統計報告並高精認證領域，不能用於「frontend」區段。haproxy在讀取realm時會將其視做一個單詞，所以，中間的任何空白字符都必須使用反斜線進行轉義。此參數僅在與「stats auth」配置使用時有意義。

<realm>：實現HTTP基本認證時顯示在瀏覽器中的領域名稱，用於提示用戶輸入一個用戶名和密碼。

儘管「stats realm」一條就可以啓用統計報告，但仍是建議設定其它全部的參數，以避免其依賴於默認設定而帶來非期後果。具體請參照「stats enable」一節的說明。

3.14 stats scope

 

 

1	statsscope {<name>| "."}

啓用統計報告並限定報告的區段，不能用於「frontend」區段。當指定此語句時，統計報告將僅顯示其列舉出區段的報告信息，全部其它區段的信息將被隱藏。若是須要顯示多個區段的統計報告，此語句能夠定義屢次。須要注意的是，區段名稱檢測僅僅是以字符串比較的方式進行，它不會真檢測指定的區段是否真正存在。

<name>：能夠是一個「listen」、「frontend」或「backend」區段的名稱，而「.」則表示stats scope語句所定義的當前區段。

儘管「stats scope」一條就可以啓用統計報告，但仍是建議設定其它全部的參數，以避免其依賴於默認設定而帶來非期後果。下面是一個配置案例。

 

1 2 3 4

backendprivate_monitoring stats enable statsuri /haproxyadmin?stats stats refresh10s

 

3.15 stats auth

 

 

1	statsauth <user>:<passwd>

啓用帶認證的統計報告功能並受權一個用戶賬號，其不能用於「frontend」區段。

<user>：受權進行訪問的用戶名；

<passwd>：此用戶的訪問密碼，明文格式；

此語句將基於默認設定啓用統計報告功能，並僅容許其定義的用戶訪問，其也能夠定義屢次以受權多個用戶賬號。能夠結合「stats realm」參數在提示用戶認證時給出一個領域說明信息。在使用非法用戶訪問統計功能時，其將會響應一個「401 Forbidden」頁面。其認證方式爲HTTP Basic認證，密碼傳輸會以明文方式進行，所以，配置文件中也使用明文方式存儲以說明其非保密信息故此不能相同於其它關鍵性賬號的密碼。

儘管「stats auth」一條就可以啓用統計報告，但仍是建議設定其它全部的參數，以避免其依賴於默認設定而帶來非期後果。

3.16 stats admin

 

 

1	statsadmin {if |unless }<cond>

在指定的條件知足時啓用統計報告頁面的管理級別功能，它容許經過web接口啓用或禁用服務器，不過，基於安全的角度考慮，統計報告頁面應該儘量爲只讀的。此外，若是啓用了HAProxy的多進程模式，啓用此管理級別將有可能致使異常行爲。

目前來講，POST請求方法被限制於僅能使用緩衝區減去保留部分以外的空間，所以，服務器列表不能過長，不然，此請求將沒法正常工做。所以，建議一次僅調整少數幾個服務器。下面是兩個案例，第一個限制了僅能在本機打開報告頁面時啓用管理級別功能，第二個定義了僅容許經過認證的用戶使用管理級別功能。

 

1 2 3 4 5 6 7

backendstats_localhost stats enable statsadmin ifLOCALHOST backend stats_auth statsenable stats auth haproxyadmin:password statsadmin ifTRUE

 

3.17 option httplog

 

 

1	optionhttplog [clf ]

啓用記錄HTTP請求、會話狀態和計時器的功能。

clf：使用CLF格式來代替HAProxy默認的HTTP格式，一般在使用僅支持CLF格式的特定日誌分析器時才須要使用此格式。

默認狀況下，日誌輸入格式很是簡陋，由於其僅包括源地址、目標地址和實例名稱，而「option httplog」參數將會使得日誌格式變得豐富許多，其一般包括但不限於HTTP請求、鏈接計時器、會話狀態、鏈接數、捕獲的首部及cookie、「frontend」、「backend」及服務器名稱，固然也包括源地址和端口號等。

3.18 option logasap

 

 

1 2	optionlogasap no option logasap

啓用或禁用提早將HTTP請求記入日誌，不能用於「backend」區段。

默認狀況下，HTTP請求是在請求結束時進行記錄以便能將其總體傳輸時長和字節數記入日誌，由此，傳較大的對象時，其記入日誌的時長可能會略有延遲。「option logasap」參數可以在服務器發送complete首部時即時記錄日誌，只不過，此時將不記錄總體傳輸時長和字節數。此情形下，捕獲「Content-Length」響應首部來記錄傳輸的字節數是一個較好選擇。下面是一個例子。

 

1 2 3 4 5

listenhttp_proxy0.0.0.0:80 mode http optionhttplog option logasap log172.16.100.9 local2

 

3.19 option forwardfor

 

 

1	optionforwardfor [except <network>] [header <name>] [if-none]

容許在發往服務器的請求首部中插入「X-Forwarded-For」首部。

<network>：可選參數，當指定時，源地址爲匹配至此網絡中的請求都禁用此功能。

<name>：可選參數，可以使用一個自定義的首部，如「X-Client」來替代「X-Forwarded-For」。有些獨特的web服務器的確須要用於一個獨特的首部。

if-none：僅在此首部不存在時纔將其添加至請求報文問道中。

HAProxy工做於反向代理模式，其發往服務器的請求中的客戶端IP均爲HAProxy主機的地址而非真正客戶端的地址，這會使得服務器端的日誌信息記錄不了真正的請求來源，「X-Forwarded-For」首部則可用於解決此問題。HAProxy能夠向每一個發往服務器的請求上添加此首部，並以客戶端IP爲其value。

須要注意的是，HAProxy工做於隧道模式，其僅檢查每個鏈接的第一個請求，所以，僅第一個請求報文被附加此首部。若是想爲每個請求都附加此首部，請確保同時使用了「option httpclose」、「option forceclose」和「option http-server-close」幾個option。

下面是一個例子。

 

1 2 3

frontendwww mode http optionforwardfor except127.0.0.1

 

3.20 errorfile

 

 

1	errorfile<code><file>

在用戶請求不存在的頁面時，返回一個頁面文件給客戶端而非由haproxy生成的錯誤代碼；可用於全部段中。

<code>：指定對HTTP的哪些狀態碼返回指定的頁面；這裏可用的狀態碼有200、400、40三、40八、500、50二、503和504；

<file>：指定用於響應的頁面文件；

例如：

 

1 2 3

errorfile400 /etc/haproxy/errorpages/400badreq.http errorfile 403/etc/haproxy/errorpages/403forbid.http errorfile503 /etc/haproxy/errorpages/503sorry.http

 

3.21 errorloc 和 errorloc302

 

 

1 2	errorloc<code><url> errorloc302 <code><url>

請求錯誤時，返回一個HTTP重定向至某URL的信息；可用於全部配置段中。

<code>：指定對HTTP的哪些狀態碼返回指定的頁面；這裏可用的狀態碼有200、400、40三、40八、500、50二、503和504；

<url>：Location首部中指定的頁面位置的具體路徑，能夠是在當前服務器上的頁面的相對路徑，也可使用絕對路徑；須要注意的是，若是URI自身錯誤時產生某特定狀態碼信息的話，有可能會致使循環定向；

須要留意的是，這兩個關鍵字都會返回302狀態嗎，這將使得客戶端使用一樣的HTTP方法獲取指定的URL，對於非GET法的場景(如POST)來講會產生問題，由於返回客戶的URL是不容許使用GET之外的其它方法的。若是的確有這種問題，可使用errorloc303來返回303狀態碼給客戶端。

3.22 errorloc303

 

 

1	errorloc303<code><url>

請求錯誤時，返回一個HTTP重定向至某URL的信息給客戶端；可用於全部配置段中。

<code>：指定對HTTP的哪些狀態碼返回指定的頁面；這裏可用的狀態碼有400、40三、40八、500、50二、503和504；

<url>：Location首部中指定的頁面位置的具體路徑，能夠是在當前服務器上的頁面的相對路徑，也可使用絕對路徑；須要注意的是，若是URI自身錯誤時產生某特定狀態碼信息的話，有可能會致使循環定向；

例如：

 

1 2 3 4 5

backendwebserver server 172.16.100.6172.16.100.6:80check maxconn3000 cookiesrv01 server172.16.100.7 172.16.100.7:80check maxconn3000 cookiesrv02 errorloc 403/etc/haproxy/errorpages/sorry.htm errorloc503 /etc/haproxy/errorpages/sorry.htm

 

4、ACL

haproxy的ACL用於實現基於請求報文的首部、響應報文的內容或其它的環境狀態信息來作出轉發決策，這大大加強了其配置彈性。其配置法則一般分爲兩步，首先去定義ACL，即定義一個測試條件，然後在條件獲得知足時執行某特定的動做，如阻止請求或轉發至某特定的後端。定義ACL的語法格式以下。

 

1	acl<aclname><criterion>[flags][operator]<value>...

<aclname>：ACL名稱，區分字符大小寫，且其只能包含大小寫字母、數字、-(鏈接線)、_(下劃線)、.(點號)和:(冒號)；haproxy中，acl能夠重名，這能夠把多個測試條件定義爲一個共同的acl；

<criterion>：測試標準，即對什麼信息發起測試；測試方式能夠由[flags]指定的標誌進行調整；而有些測試標準也能夠須要爲其在以前指定一個操做符[operator]；

[flags]：目前haproxy的acl支持的標誌位有3個：

-i：不區分中模式字符的大小寫；

-f：從指定的文件中加載模式；

--：標誌符的強制結束標記，在模式中的字符串像標記符時使用；

<value>：acl測試條件支持的值有如下四類：

整數或整數範圍：如1024:65535表示從1024至65535；僅支持使用正整數(若是出現相似小數的標識，其爲一般爲版本測試)，且支持使用的操做符有5個，分別爲eq、ge、gt、le和lt；

字符串：支持使用「-i」以忽略字符大小寫，支持使用「\」進行轉義；若是在模式首部出現了-i，能夠在其以前使用「–」標誌位；

正則表達式：其機制類同字符串匹配；

IP地址及網絡地址；

同一個acl中能夠指定多個測試條件，這些測試條件須要由邏輯操做符指定其關係。條件間的組合測試關係有三種：「與」(默認即爲與操做)、「或」(使用「||」操做符)以及「非」(使用「!」操做符)。

5.1 經常使用的測試標準(criteria)

5.1.1 be_sess_rate

 

1	be_sess_rate(backend)<integer>

用於測試指定的backend上會話建立的速率(即每秒建立的會話數)是否知足指定的條件；經常使用於在指定backend上的會話速率太高時將用戶請求轉發至另外的backend，或用於阻止攻擊行爲。例如：

 

1 2 3 4

backenddynamic mode http aclbeing_scanned be_sess_rategt 50 redirect location/error_pages/denied.htmlif being_scanned

5.1.2 fe_sess_rate

 

1	fe_sess_rate(frontend)<integer>

用於測試指定的frontend(或當前frontend)上的會話建立速率是否知足指定的條件；經常使用於爲frontend指定一個合理的會話建立速率的上限以防止服務被濫用。例以下面的例子限定入站郵件速率不能大於50封/秒，全部在此指定範圍以外的請求都將被延時50毫秒。

 

1 2 3 4 5 6 7 8

frontendmail bind :25 modetcp maxconn 500 acltoo_fast fe_sess_ratege 50 tcp-requestinspect-delay50ms tcp-requestcontent accept if !too_fast tcp-requestcontent accept if WAIT_END

5.1.3 hdr <string>

 

1	hdr(header)<string>

用於測試請求報文中的全部首部或指定首部是否知足指定的條件；指定首部時，其名稱不區分大小寫，且在括號「()」中不能有任何多餘的空白字符。測試服務器端的響應報文時可使用shdr()。例以下面的例子用於測試首部Connection的值是否爲close。

 

1	hdr(Connection)-iclose

5.1.4 method <string>

 

1	method<string>

測試HTTP請求報文中使用的方法。

5.1.5 path_beg <string>

用於測試請求的URL是否以指定的模式開頭。下面的例子用於測試URL是否以/static、/images、/javascript或/stylesheets頭。

 

1	aclurl_static path_beg-i/static/images/javascript/stylesheets

5.1.6 path_end <string>

用於測試請求的URL是否以<string>指定的模式結尾。例如，下面的例子用戶測試URL是否以jpg、gif、png、css或js結尾。

 

1	aclurl_static path_end-i.jpg.gif.png.css.js

5.1.7 hdr_beg <string>

用於測試請求報文的指定首部的開頭部分是否符合<string>指定的模式。例如，下面的例子用記測試請求是否爲提供靜態內容的主機img、video、download或ftp。

 

1	aclhost_static hdr_beg(host)-iimg.video.download.ftp.

5.1.8 hdr_end <string>

用於測試請求報文的指定首部的結尾部分是否符合<string>指定的模式。

5、配置案例

前端調度器IP：192.168.1.210
後端應用服務器IP: 192.168.1.111 和 192.168.1.112

定義獨立日誌文件

 

 

1 2 3 4 5 6 7 8 9 10 11 12

[root@node1haproxy]# vim /etc/rsyslog.conf #爲其添加日誌功能 # Provides UDP syslog reception $ModLoadimudp $UDPServerRun514 ------>啓動udp，啓動端口後將做爲服務器工做 # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun514 ------>啓動tcp監聽端口 local2.*/var/log/haproxy.log   [root@node1haproxy]# service rsyslog restar [root@LBhaproxy]# vim haproxy.cfg log 127.0.0.1local2 --------->在global端中添加此行

 

一個最簡單的http服務的配置

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

global log 127.0.0.1local2 chroot/var/lib/haproxy pidfile /var/run/haproxy.pid maxconn4000 user haproxy grouphaproxy daemon statssocket /var/lib/haproxy/stats defaults modehttp log global optionhttplog option dontlognull optionhttp-server-close option forwardfor except127.0.0.0/8 optionredispatch retries 3 timeouthttp-request10s timeout queue1m timeoutconnect 10s timeout client1m timeoutserver 1m timeout http-keep-alive10s timeoutcheck 10s maxconn 3000 frontendwebser #webser爲名稱 option forwardfor bind *:80 default_backend app backendapp balance roundrobin#使擁roundrobin 算法 serverapp1 192.168.1.111:80check server app2192.168.1.112:80check

 

haproxy統計頁面的輸出機制

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

frontendwebser log 127.0.0.1local3 optionforwardfor bind *:80 default_backendapp backend app cookienode insert nocache balance roundrobin serverapp1 192.168.1.111:80check cookie node1intval 2rise 1fall 2 server app2192.168.1.112:80check cookie node2intval 2rise 1fall 2 serverbackup 127.0.0.1:8010check backup listen statistics bind *:8009# 自定義監聽端口 stats enable# 啓用基於程序編譯時默認設置的統計報告 statsauth admin:admin# 統計頁面用戶名和密碼設置 stats uri/admin?stats# 自定義統計頁面的URL，默認爲/haproxy?stats statshide-version# 隱藏統計頁面上HAProxy的版本信息 stats refresh30s # 統計頁面自動刷新時間 statsadmin ifTRUE #若是認證經過就作管理功能，能夠管理後端的服務器 stats realm Hapadmin# 統計頁面密碼框上提示文本，默認爲Haproxy\ Statistics

 

動靜分離示例：

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

frontendwebservs bind *:80 aclurl_static path_beg-i/static/images/javascript/stylesheets acl url_static path_end-i.jpg.gif.png.css.js.html aclurl_php path_end-i.php acl host_static hdr_beg(host)-iimg.imgs.video.videos.ftp.image.download. use_backendstatic ifurl_static orhost_static use_backend dynamic ifurl_php default_backenddynamic backend static balanceroundrobin server node1192.168.1.111:80check maxconn3000 backenddynamic balance roundrobin servernode2 192.168.1.112:80check maxconn1000

 

http服務器配置完整示例

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70

#--------------------------------------------------------------------- # Global settings #--------------------------------------------------------------------- global # to have these messages end up in /var/log/haproxy.log you will # need to: # # 1) configure syslog to accept network log events. This is done # by adding the '-r' option to the SYSLOGD_OPTIONS in # /etc/sysconfig/syslog # # 2) configure local2 events to go to the /var/log/haproxy.log # file. A line like the following can be added to # /etc/sysconfig/syslog # # local2.* /var/log/haproxy.log # log 127.0.0.1local2 chroot/var/lib/haproxy pidfile /var/run/haproxy.pid maxconn4000 user haproxy grouphaproxy daemon defaults mode http logglobal option httplog optiondontlognull option http-server-close optionforwardfor except127.0.0.0/8 option redispatch retries3 timeout http-request10s timeoutqueue 1m timeout connect10s timeoutclient 1m timeout server1m timeouthttp-keep-alive10s timeout check10s maxconn30000 listen stats modehttp bind 0.0.0.0:1080 statsenable stats hide-version statsuri /haproxyadmin?stats stats realm Haproxy\Statistics statsauth admin:admin stats admin ifTRUE frontendhttp-in bind *:80 modehttp log global optionhttpclose option logasap#不等待響應結束就記錄日誌，表示提早記錄日誌，通常日誌會記錄響應時長，此不記錄響應時長 optiondontlognull #不記錄空信息 capture request headerHost len20 #記錄請求首部的前20個字符 capturerequest header Referer len60 #referer跳轉引用，就是上一級 default_backend servers frontendhealthcheck bind :1099#定義外部檢測機制 modehttp option httpclose optionforwardfor default_backend servers backendservers balance roundrobin serverwebsrv1 192.168.1.111:80check maxconn2000 server websrv2192.168.1.112:80check maxconn2000

 

負載均衡MySQL服務的配置示例

 

 

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56

#--------------------------------------------------------------------- # Global settings #--------------------------------------------------------------------- global # to have these messages end up in /var/log/haproxy.log you will # need to: # # 1) configure syslog to accept network log events. This is done # by adding the '-r' option to the SYSLOGD_OPTIONS in # /etc/sysconfig/syslog # # 2) configure local2 events to go to the /var/log/haproxy.log # file. A line like the following can be added to # /etc/sysconfig/syslog # # local2.* /var/log/haproxy.log # log 127.0.0.1local2 chroot/var/lib/haproxy pidfile /var/run/haproxy.pid maxconn4000 user haproxy grouphaproxy daemon defaults mode tcp logglobal option httplog optiondontlognull retries 3 timeouthttp-request10s timeout queue1m timeoutconnect 10s timeout client1m timeoutserver 1m timeout http-keep-alive10s timeoutcheck 10s maxconn 600 listenstats mode http bind0.0.0.0:1080 stats enable statshide-version stats uri/haproxyadmin?stats statsrealm Haproxy\Statistics stats auth admin:admin statsadmin ifTRUE frontend mysql bind *:3306 mode tcp logglobal default_backend mysqlservers backendmysqlservers balance leastconn serverdbsrv1 192.168.1.111:3306check port3306 intval2 rise1 fall2 maxconn300 server dbsrv2192.168.1.112:3306check port3306 intval2 rise1 fall2 maxconn300

 

 http://blog.csdn.net/gsying1474/article/details/49179533