haproxy实现高级负载均衡实战

  环境:随着公司业务的发展,公司负载均衡服务已经实现四层负载均衡,但业务的复杂程度提升,公司要求把mobile手机站点作为单独的服务提供,不在和pc站点一起提供服务,此时需要做7层规则负载均衡,运维总监要求,能否用一种服务同既能实现七层负载均衡,又能实现四层负载均衡,并且性能高效,配置管理容易,而且还是开源。

总项目流程图,详见 http://www.cnblogs.com/along21/p/8000812.html

Haproxy详解和相关代码段含义详见,详见 http://www.cnblogs.com/along21/p/7899771.html

实验前准备

① 两台服务器都使用yum 方式安装haproxy 和 keepalived 服务

yum -y install haproxy

yum -y install keepalived

② iptables -F && setenforing 清空防火墙策略,关闭selinux

实战一:实现基于Haproxy+Keepalived负载均衡高可用架构

1、环境准备:

机器名称

IP配置

服务角色

备注

haproxy-server-master

VIP:172.17.100.100

DIP:172.17.1.6

负载均衡器

主服务器

配置keepalived

haproxy-server-backup

VIP:172.17.100.100

DIP:172.17.11.11

负载服务器

从服务器

配置keepalived

rs01

RIP:172.17.1.7

后端服务器

rs02

RIP:172.17.22.22

后端服务器

2、先配置好keepalived的主从

(1)在haproxy-server-master 上

vim /etc/keepalived/keepalived.conf

! Configuration File for keepalived
global_defs {
notification_email {
root@localhost
}
notification_email_from root@along.com
smtp_server 127.0.0.1
smtp_connect_timeout
router_id keepalived_haproxy
} vrrp_script chk_haproxy { #定义一个脚本,发现haproxy服务关闭就降优先级
script "killall -0 haproxy"
interval
fall
rise
weight -
} vrrp_instance VI_1 {
state MASTER
interface eth0
virtual_router_id
priority
advert_int
authentication {
auth_type PASS
auth_pass along
}
virtual_ipaddress {
172.17.100.100
}
track_script { #执行脚本
chk_haproxy
}
}

service keepalived start 开启keepalived服务

开启服务后可以查看,VIP已经生成

(2)在haproxy-server-backup 从上:只需把主换成从,优先级降低就好

vim /etc/keepalived/keepalived.conf

! Configuration File for keepalived
global_defs {
notification_email {
root@localhost
}
notification_email_from root@along.com
smtp_server 127.0.0.1
smtp_connect_timeout
router_id keepalived_haproxy
} vrrp_instance VI_1 {
state BACKUP
interface eth0
virtual_router_id
priority
advert_int
authentication {
auth_type PASS
auth_pass along
}
virtual_ipaddress {
172.17.100.100
}
}

service keepalived start 开启keepalived服务

3、配置haproxy ,总共有两大段,和第二大段的4小段,两个haproxy可以配置的一样

(1)第一大段:global 全局段

global
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn
user haproxy
group haproxy
daemon
stats socket /var/lib/haproxy/stats

(2)第二大段:proxies 对代理的设定

① defaults 默认参数设置段
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/
option redispatch
retries
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn ② listen 段
listen stats
bind 0.0.0.0:
stats enable
stats hide-version
stats uri /haproxyadmin
stats auth along:along
stats admin if TRUE ③ frontend 与客户端建立连接,打开服务监听端口段
frontend web
bind :
default_backend lnmp-server ④ backend 与后端服务器联系段
backend lnmp-server
balance roundrobin
option httpchk GET /index.html
server lnmpserver1 172.17.1.7: check inter rise fall
server lnmpserver2 172.17.22.22: check inter rise fall

开启服务 service haproxy start

4、在后端server·打开事先准备好的web server

systemctl start nginx

systemctl start php-fpm

systemctl start mariadb

5、测试

(1)网页访问 http://172.17.100.100:1080/haproxyadmin 进入状态监控页面,可以控制自己的后端服务

(2)可以坏2台不是一组的机器

一台后端server宕机,haproxy会调度到另一个server,继续提供服务

一个主的haproxy宕机,keepalived会把VIP漂移到从上,继续提供服务

实战二:基于ACL控制实现动静分离

原理:acl:访问控制列表,用于实现基于请求报文的首部响应报文的内容其它的环境状态信息来做出转发决策,这大大增强了其配置弹性。其配置法则通常分为两步,首先去定义ACL ,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端。

1、环境准备:

机器名称

IP配置

服务角色

备注

haproxy-server

172.17.2.7

负载均衡器

配置keepalived

ACL控制

rs01

RIP:192.168.30.107

静态服务器

小米网页

rs02

RIP:192.168.30.7

动态服务器

小米网页

2、在haproxy 上定义ACL和后端服务器

vim /etc/haproxy/haproxy.cfg  前面global 全局段和default 段不用修改

① 定义web 监控页面
listen stats
bind 0.0.0.0:
stats enable
stats hide-version
stats uri /haproxyadmin
stats auth along:along
stats admin if TRUE ② 在frontend 段定义ACL
frontend web
bind :
acl staticfile path_end .jpg .png .bmp .htm .html .css .js
acl appfile path_end .php
use_backend staticsrvs if staticfile
default_backend appsrvs ③ 设置backend 后端集群组
backend staticsrvs
balance roundrobin
server staticweb 192.168.30.107: check inter rise fall backend appsrvs
balance roundrobin
server appweb 192.168.30.7: check inter rise fall

3、开启后端web服务

systemctl start nginx

systemctl start php-fpm

systemctl start mariadb

4、测试结果

(1)后端服务器正常时

web 检测页面,一切正常

(2)当后端静态页面服务集群宕机,显示不出静态页面,说明动静分离成功

实战三:基于ACL实现权限控制及会话保持

1、环境准备:

机器名称

IP配置

服务角色

备注

haproxy-server

172.17.2.7

负载均衡器

配置keepalived

ACL控制

rs01

RIP:192.168.30.107

后端服务器

小米网页

rs02

RIP:192.168.30.7

后端服务器

小米网页

2、这haproxy 上定义ACL和后端服务器

vim /etc/haproxy/haproxy.cfg  前面global 全局段和default 段不用修改

① 定义web 监控页面
listen stats
bind 0.0.0.0:
stats enable
stats hide-version
stats uri /haproxyadmin
stats auth along:along
stats admin if TRUE ② 在frontend 段定义ACL,用户权限控制
frontend web
bind :
acl allow_src src 172.17.0.0/
block unless allow_src
default_backend appsrvs ③ 设置backend 后端集群组,设置cookie,会话保持
backend staticsrvs
balance roundrobin
cookie SRV insert nocache
server appweb1 192.168.30.107: check inter rise fall cookie srv1
server appweb2 192.168.30.7: check inter rise fall cookie srv2

3、开启后端web服务

systemctl start nginx

systemctl start php-fpm

systemctl start mariadb

4、检测结果

(1)检测权限控制

① 在172.17.0.0 段的机器访问,正常

② 在这个网段外的机器访问,拒绝

(2)检测会话保持

① 分别在两个后端创建两个测试页面

vim ../test.html

server 1/2

② 测试

curl 测试需加-b SRV= 指定的对应cookie访问

curl -b SRV=srv1 172.17.2.7/test.html

curl -b SRV=srv2 172.17.2.7/test.html

实战四:实现haproxy的ssl加密

1、自签生成证书

cd /etc/pki/tls/certs

make /etc/haproxy/haproxy.pem

ls /etc/haproxy/haproxy.pem 确实生成了证书和秘钥的文件

2、在haproxy 中设置

frontend  web
bind :
bind : ssl crt /etc/haproxy/haproxy.pem 监听443端口,且是ssl加密
redirect scheme https if !{ ssl_fc } 实现302重定向,将80跳转到443端口

3、网页访问 https://172.17.11.11/

项目实战4—HAProxy实现高级负载均衡实战和ACL控制的更多相关文章

  1. 项目实战2—实现基于LVS负载均衡集群的电商网站架构

    负载均衡集群企业级应用实战-LVS 实现基于LVS负载均衡集群的电商网站架构 背景:随着业务的发展,网站的访问量越来越大,网站访问量已经从原来的1000QPS,变为3000QPS,网站已经不堪重负,响 ...

  2. 项目实战02:LVS 实现负载均衡

    目录 实现基于LVS负载均衡集群的电商网站架构 实战一:LVS的NAT模式实现负载均衡 实战二:LVS的DR 模式实现负载均衡 实战三:实现80.443端口都可访问服务,且LVS实现持久连接 实验四: ...

  3. 项目实战4—haproxy 负载均衡和ACL控制

     haproxy实现高级负载均衡实战 环境:随着公司业务的发展,公司负载均衡服务已经实现四层负载均衡,但业务的复杂程度提升,公司要求把mobile手机站点作为单独的服务提供,不在和pc站点一起提供服务 ...

  4. octavia的实现与分析(一)·openstack负载均衡的现状与发展以及lvs,Nginx,Haproxy三种负载均衡机制的基本架构和对比

    [负载均衡] 大量用户发起请求的情况下,服务器负载过高,导致部分请求无法被响应或者及时响应. 负载均衡根据一定的算法将请求分发到不同的后端,保证所有的请求都可以被正常的下发并返回. [主流实现-LVS ...

  5. openstack octavia的实现与分析(一)openstack负载均衡的现状与发展以及lvs,Nginx,Haproxy三种负载均衡机制的基本架构和对比

    [负载均衡] 大量用户发起请求的情况下,服务器负载过高,导致部分请求无法被响应或者及时响应. 负载均衡根据一定的算法将请求分发到不同的后端,保证所有的请求都可以被正常的下发并返回. [主流实现-LVS ...

  6. haproxy支持的负载均衡算法详解

    目前haproxy支持的负载均衡算法有如下8种: 1.roundrobin 表示简单的轮询,每个服务器根据权重轮流使用,在服务器的处理时间平均分配的情况下这是最流畅和公平的算法.该算法是动态的,对于实 ...

  7. [转帖]HAProxy 7层 负载均衡

    HAProxy 7层 负载均衡 https://www.cnblogs.com/jicki/p/5546902.html HAProxy 系统 CentOS 5.8 x64 wget http://h ...

  8. 广州项目实施步骤II_练习配置HaProxy的重定向负载均衡

    CentOS6.4 配置Haproxy   Haproxy下载地址:http://pan.baidu.com/share/link?shareid=1787182295&uk=18290183 ...

  9. 项目详解4—haproxy 反向代理负载均衡

    一.企业服务架构图及负载均衡的要求 1.场景说明 在企业生产环境中,每天会有很多的需求变更,比如增加服务器.新业务上线.url路由修改.域名配置等等,对于前端负载均衡设备来说,容易维护,复杂度低,是首 ...

随机推荐

  1. macOS 安装 ctags

    macOS 安装 ctags macOS 自带一个 ctags,但是不支持 -R 参数,递归产生tags文件 $ ctags -R --exclude=.git --exclude=log * cta ...

  2. azure cosmos db (mongo DB)

    使用.net mongo的操作类操作azure(微软云)cosmosdb时,发现在做delete的操作的时候可以传一个文档对象,但是最后这个文档会解析成具体的sql语句,而当文档特别大时这样就出先了转 ...

  3. Nginx 代理配置

    1.反向代理 修改conf\nginx.conf文件, 添加proxy_pass属性 server { listen 7080; #nginx 端口 server_name localhost; #n ...

  4. 性能测试-----monkey稳定性测试

    我们稳定性测试用的monkey,跑monkey的同时存储log monkey脚本: @echo.@set /p name=请输入你的名字(比如liuyl): set YYYYmmdd=%date:~0 ...

  5. java maven web 项目启动之后,访问所有页面为空白,不是404!!!

    自己解决了大半天,后面通过解决spring单元测试的时候,发现单元测试可以用了,项目启动也可以访问页面了,具体原因不太清楚 可能原因: (1)pom.xml 依赖有重复的地方 (2)不排除与公司内网有 ...

  6. 简易webpack 入门

    webpack 模块打包机 作用:将浏览器不识别的语言转化成浏览器识别的语言 工作流程 通过一个入口文件 找到这个入口文件所依赖的所有模块,将这些文件打包成一个或多个文件 如何使用: 1.安装 cnp ...

  7. ubuntu 16.04 安装 ssh

    只要一条命令: sudo apt-get install openssh-server

  8. VSCode插件开发全攻略(七)WebView

    更多文章请戳VSCode插件开发全攻略系列目录导航. 什么是Webview 大家都知道,整个VSCode编辑器就是一张大的网页,其实,我们还可以在Visual Studio Code中创建完全自定义的 ...

  9. Java面试题精选,大型网站系统架构你不得不懂的10个问题

    作者:JavaGuide(公众号) 下面这些问题都是一线大厂的真实面试问题,不论是对你面试还是说拓宽知识面都很有帮助.之前发过一篇8 张图读懂大型网站技术架构 可以作为不太了解大型网站系统技术架构朋友 ...

  10. FFmpeg 学习(一):FFmpeg 简介

    一.FFmpeg 介绍 FFmpeg是一套可以用来记录.转换数字音频.视频,并能将其转化为流的开源计算机程序.采用LGPL或GPL许可证.它提供了录制.转换以及流化音视频的完整解决方案.它包含了非常先 ...