ToB企服应用市场:ToB评测及商务社交产业平台

标题: haproxy高级功能及设置 [打印本页]

作者: 玛卡巴卡的卡巴卡玛    时间: 2024-8-19 14:49
标题: haproxy高级功能及设置
章节
一、haproxy 底子用法

二、haproxy 高级用法

三、haproxy之ACL的利用

目录
1 基于cookie的会话保持

1.1 cookie命名,并赋予其值

1.2 验证cookie信息

1.2.1 Windows浏览器验证

1.2.2 Linux下虚拟机验证

2 IP透传

2.1 四层与七层透传的区别

2.2 七层IP透传

2.2.1 增加 forwardfor 选项

2.2.2 修改web服务端的日志格式

2.3 四层透传

1 基于cookie的会话保持

cookie value:为当前server指定cookie值,实现基于cookie的会话黏性,相对于基于 source 地点 hash 调理算法对客户端的粒度更精准,但同时也加大了haproxy负载,目前此模式利用较少, 已经被session共享服务器代替
1.1 cookie命名,并赋予其值

注意:不支持 tcp mode,利用 http mode
  1. listen webcluster
  2.     bind *:80
  3.     mode http                      #不支持 tcp mode
  4.     balance roundrobin
  5. # insert:表示在响应头中插入一个新的 cookie。
  6. # nocache:表示禁用缓存,防止浏览器缓存 cookie。
  7. # indirect:表示使用间接方式来保存会话关联的服务器信息,而不是直接在 cookie 中保存服务器名称。
  8.     cookie WEBCOOKIE insert nocache indirect
  9.     server web1 192.168.239.10:80 cookie lee1 check inter 2 fall 3 rise 5  weight 1
  10.     server web2 192.168.239.20:80 cookie lee2 check inter 2 fall 3 rise 5  weight 1
  11.     server web3_sorry 192.168.239.100:8080 backup
复制代码


1.2 验证cookie信息

1.2.1 Windows浏览器验证

点击革新一直都是同一个网页内容证实实现结果乐成


1.2.2 Linux下虚拟机验证

  1. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
  2. this is web1
  3. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  4. this is web2
  5. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  6. this is web2
  7. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  8. this is web2
  9. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  10. this is web2
  11. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  12. this is web2
  13. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  14. this is web2
  15. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
  16. this is web2
  17. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
  18. this is web1
  19. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
  20. this is web1
  21. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
复制代码


2 IP透传

web服务器中需要记录客户端的真实IP地点,用于做访问统计、安全防护、行为分析、区域排行等场景。
2.1 四层与七层透传的区别

layer 4 与 layer 7
四层:IP+PORT转发
七层:协议+内容互换



四层负载
在四层负载设备中,把client发送的报文目标地点(原来是负载均衡设备的IP地点),根据均衡设备设置的选择web服务器的规则选择对应的web服务器IP地点,这样client就可以直接跟此服务器建立TCP连接并发送数据,而四层负载自身不参与建立连接,而和LVS不同,haproxy是伪四层负载均衡,因为haproxy 需要分别和前端客户端及后端服务器建立连接
七层署理
七层负载均衡服务器起了一个反向署理服务器的作用,服务器建立一次TCP连接要三次握手,而client要访问webserver要先与七层负载设备进行三次握手后建立TCP连接,把要访问的报文信息发送给七层负载均衡;然后七层负载均衡再根据设置的均衡规则选择特定的webserver,然后通过三次握手与此台webserver建立TCP连接,然后webserver把需要的数据发送给七层负载均衡设备,负载均衡设备再把数据发送给client;所以,七层负载均衡设备起到了署理服务器的作用,七层署理需要和Client和后端服务器分别建立连接


2.2 七层IP透传

当haproxy工作在七层的时候,如何透传客户端真实IP至后端服务器
HAProxy设置
在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部,其值为前端客户端的地点;用于向后端主发送真实的客户端IP
  1. option forwardfor [ except <network> ] [ header <name> ] [ if-none ]
  2. [ except <network> ]:请求报请来自此处指定的网络时不予添加此首部,如haproxy自身所在网络
  3. [ header <name> ]:使用自定义的首部名称,而非“X-Forwarded-For”,示例:X-client
  4. [ if-none ]  如果没有首部才添加首部,如果有使用默认值
复制代码
范例:
2.2.1 增加 forwardfor 选项

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg


2.2.2 修改web服务端的日志格式

修改NGINX支持的日志格式
[root@web1 ~]# vim /etc/nginx/nginx.conf
web1服务器设置文件中增加下列参数(NGINX)

[root@web1 ~]# systemctl restart nginx
客户端测试

查看NGINX的访问日志


web2服务器设置文件中增加下列参数(apache)

[root@web2 ~]# systemctl restart httpd


2.3 四层透传

修改mode 为tcp
在NGINX设置内添加变量proxy_protocol_addr 记录透传过来的客户端IP,并启用proxy_protocol署理功能
  1. #haproxy 配置:
  2. listen webcluster
  3.     bind *:80
  4.     mode tcp
  5.     balance roundrobin
  6.     server web1 192.168.239.10:80 send-proxy check inter 2 fall 3 rise 5  weight 1
  7.     server web2 192.168.239.20:80  check inter 2 fall 3 rise 5  weight 1
  8. #nginx配置:添加变量proxy_protocol_addr 记录透传过来的客户端IP
  9. http {
  10.     log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
  11.                       '"$proxy_protocol_addr"'
  12.                       '$status $body_bytes_sent "$http_referer" '
  13.                       '"$http_user_agent" "$http_x_forwarded_for"';
  14.        server {
  15.             listen       80 proxy_protocol; #启用此项,将无法直接访问此网站,只能通过四层代理访问
  16.             server_name 192.168.239.10;
复制代码
web1(NGINX)上查看访问日志


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。




欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4