haproxy高级功能及设置

章节
一、haproxy 底子用法

二、haproxy 高级用法

三、haproxy之ACL的利用

目录
1 基于cookie的会话保持

1.1 cookie命名，并赋予其值

1.2 验证cookie信息

1.2.1 Windows浏览器验证

1.2.2 Linux下虚拟机验证

2 IP透传

2.1 四层与七层透传的区别

2.2 七层IP透传

2.2.1 增加 forwardfor 选项

2.2.2 修改web服务端的日志格式

2.3 四层透传

---

1 基于cookie的会话保持

cookie value：为当前server指定cookie值，实现基于cookie的会话黏性，相对于基于 source 地点 hash 调理算法对客户端的粒度更精准，但同时也加大了haproxy负载，目前此模式利用较少， 已经被session共享服务器代替
1.1 cookie命名，并赋予其值

注意：不支持 tcp mode，利用 http mode

1. listen webcluster
2.     bind *:80
3.     mode http                      #不支持 tcp mode
4.     balance roundrobin
5. # insert：表示在响应头中插入一个新的 cookie。
6. # nocache：表示禁用缓存，防止浏览器缓存 cookie。
7. # indirect：表示使用间接方式来保存会话关联的服务器信息，而不是直接在 cookie 中保存服务器名称。
8.     cookie WEBCOOKIE insert nocache indirect
9.     server web1 192.168.239.10:80 cookie lee1 check inter 2 fall 3 rise 5  weight 1
10.     server web2 192.168.239.20:80 cookie lee2 check inter 2 fall 3 rise 5  weight 1
11.     server web3_sorry 192.168.239.100:8080 backup

复制代码

1.2 验证cookie信息

1.2.1 Windows浏览器验证

点击革新一直都是同一个网页内容证实实现结果乐成

1.2.2 Linux下虚拟机验证

1. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
2. this is web1
3. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
4. this is web2
5. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
6. this is web2
7. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
8. this is web2
9. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
10. this is web2
11. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
12. this is web2
13. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
14. this is web2
15. [root@localhost ~]# curl -b WEBCOOKIE=lee2 192.168.239.100
16. this is web2
17. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
18. this is web1
19. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100
20. this is web1
21. [root@localhost ~]# curl -b WEBCOOKIE=lee1 192.168.239.100

复制代码

2 IP透传

web服务器中需要记录客户端的真实IP地点，用于做访问统计、安全防护、行为分析、区域排行等场景。
2.1 四层与七层透传的区别

layer 4 与 layer 7
四层：IP+PORT转发
七层：协议+内容互换

四层负载
在四层负载设备中，把client发送的报文目标地点(原来是负载均衡设备的IP地点)，根据均衡设备设置的选择web服务器的规则选择对应的web服务器IP地点，这样client就可以直接跟此服务器建立TCP连接并发送数据，而四层负载自身不参与建立连接，而和LVS不同，haproxy是伪四层负载均衡，因为haproxy 需要分别和前端客户端及后端服务器建立连接
七层署理
七层负载均衡服务器起了一个反向署理服务器的作用，服务器建立一次TCP连接要三次握手，而client要访问webserver要先与七层负载设备进行三次握手后建立TCP连接，把要访问的报文信息发送给七层负载均衡；然后七层负载均衡再根据设置的均衡规则选择特定的webserver，然后通过三次握手与此台webserver建立TCP连接，然后webserver把需要的数据发送给七层负载均衡设备，负载均衡设备再把数据发送给client；所以，七层负载均衡设备起到了署理服务器的作用，七层署理需要和Client和后端服务器分别建立连接


2.2 七层IP透传

当haproxy工作在七层的时候，如何透传客户端真实IP至后端服务器
HAProxy设置
在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部，其值为前端客户端的地点；用于向后端主发送真实的客户端IP

1. option forwardfor [ except <network> ] [ header <name> ] [ if-none ]
2. [ except <network> ]：请求报请来自此处指定的网络时不予添加此首部，如haproxy自身所在网络
3. [ header <name> ]：使用自定义的首部名称，而非“X-Forwarded-For”，示例：X-client
4. [ if-none ]  如果没有首部才添加首部，如果有使用默认值

复制代码

范例：
2.2.1 增加 forwardfor 选项

[root@haproxy ~]# vim /etc/haproxy/haproxy.cfg

2.2.2 修改web服务端的日志格式

修改NGINX支持的日志格式
[root@web1 ~]# vim /etc/nginx/nginx.conf
web1服务器设置文件中增加下列参数（NGINX）

[root@web1 ~]# systemctl restart nginx
客户端测试

查看NGINX的访问日志

web2服务器设置文件中增加下列参数（apache）

[root@web2 ~]# systemctl restart httpd

2.3 四层透传

修改mode 为tcp
在NGINX设置内添加变量proxy_protocol_addr 记录透传过来的客户端IP，并启用proxy_protocol署理功能

1. #haproxy 配置：
2. listen webcluster
3.     bind *:80
4.     mode tcp
5.     balance roundrobin
6.     server web1 192.168.239.10:80 send-proxy check inter 2 fall 3 rise 5  weight 1
7.     server web2 192.168.239.20:80  check inter 2 fall 3 rise 5  weight 1
9. #nginx配置：添加变量proxy_protocol_addr 记录透传过来的客户端IP
10. http {
11.     log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
12.                       '"$proxy_protocol_addr"'
13.                       '$status $body_bytes_sent "$http_referer" '
14.                       '"$http_user_agent" "$http_x_forwarded_for"';
15.        server {
16.             listen       80 proxy_protocol; #启用此项，将无法直接访问此网站，只能通过四层代理访问
17.             server_name 192.168.239.10;

复制代码

web1（NGINX）上查看访问日志

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。