HAProxy介紹
(1)HAProxy 是一款提供高可用性、負載均衡以及基於TCP(第四層)和HTTP(第七層)應用的代理軟件,支持虛擬主機,它是免費、快速並且可靠的一種解決方案。 HAProxy特別適用於那些負載特大的web站點,這些站點通常又需要會話保持或七層處理。HAProxy運行在時下的硬件上,完全可以支持數以萬計的 並發連接。並且它的運行模式使得它可以很簡單安全的整合進您當前的架構中, 同時可以保護你的web服務器不被暴露到網絡上。
(2)HAProxy 實現了一種事件驅動、單一進程模型,此模型支持非常大的並發連接數。多進程或多線程模型受內存限制 、系統調度器限制以及無處不在的鎖限制,很少能處理數千並發連接。事件驅動模型因為在有更好的資源和時間管理的用戶端(User-Space) 實現所有這些任務,所以沒有這些問題。此模型的弊端是,在多核系統上,這些程序通常擴展性較差。這就是為什么他們必須進行優化以 使每個CPU時間片(Cycle)做更多的工作。
(3)HAProxy 支持連接拒絕 : 因為維護一個連接的打開的開銷是很低的,有時我們很需要限制攻擊蠕蟲(attack bots),也就是說限制它們的連接打開從而限制它們的危害。 這個已經為一個陷於小型DDoS攻擊的網站開發了而且已經拯救了很多站點,這個優點也是其它負載均衡器沒有的。
(4)HAProxy 支持全透明代理(已具備硬件防火牆的典型特點): 可以用客戶端IP地址或者任何其他地址來連接后端服務器. 這個特性僅在Linux 2.4/2.6內核打了cttproxy補丁后才可以使用. 這個特性也使得為某特殊服務器處理部分流量同時又不修改服務器的地址成為可能。
性能,HAProxy借助於OS上幾種常見的技術來實現性能的最大化:
(1)單進程、事件驅動模型顯著降低了上下文切換的開銷及內存占用。
(2)O(1)事件檢查器(event checker)允許其在高並發連接中對任何連接的任何事件實現即時探測。
(3)在任何可用的情況下,單緩沖(single buffering)機制能以不復制任何數據的方式完成讀寫操作,這會節約大量的CPU時鍾周期及內存帶寬。
(4)借助於Linux 2.6 (>= 2.6.27.19)上的splice()系統調用,HAProxy可以實現零復制轉發(Zero-copy forwarding),在Linux 3.5及以上的OS中還可以實現零復制啟動(zero-starting)。
(5)內存分配器在固定大小的內存池中可實現即時內存分配,這能夠顯著減少創建一個會話的時長。
(6)樹型存儲:側重於使用作者多年前開發的彈性二叉樹,實現了以O(log(N))的低開銷來保持計時器命令、保持運行隊列命令及管理輪詢及最少連接隊列。
(7)優化的HTTP首部分析:優化的首部分析功能避免了在HTTP首部分析過程中重讀任何內存區域。
(8)精心地降低了昂貴的系統調用,大部分工作都在用戶空間完成,如時間讀取、緩沖聚合及文件描述符的啟用和禁用等。
所有的這些細微之處的優化實現了在中等規模負載之上依然有着相當低的CPU負載,甚至於在非常高的負載場景中,5%的用戶空間占用率和95%的系統空間占用率也是非常普遍的現象,這意味着HAProxy進程消耗比系統空間消耗低20倍以上。因此,對OS進行性能調優是非常重要的。即使用戶空間的占用率提高一倍,其CPU占用率也僅為10%,這也解釋了為何7層處理對性能影響有限這一現象。由此,在高端系統上HAProxy的7層性能可輕易超過硬件負載均衡設備。
在生產環境中,在7層處理上使用HAProxy作為昂貴的高端硬件負載均衡設備故障故障時的緊急解決方案也時長可見。硬件負載均衡設備在“報文”級別處理請求,這在支持跨報文請求(request across multiple packets)有着較高的難度,並且它們不緩沖任何數據,因此有着較長的響應時間。對應地,軟件負載均衡設備使用TCP緩沖,可建立極長的請求,且有着較大的響應時間。
系統環境centos7.0
[root@bogon ~]# uname -r
3.10.0-327.10.1.el7.x86_64
haproxy 192.168.231.129
apache 192.168.231.128:80
apache 192.168.231.130:80/8080
軟件haproxy+apache做負載均衡
[root@192.168.231.128]$ apache(httpd-2.2.26)
[root@192.168.231.128]$ tar –zxvf httpd-2.2.26.tar.gz
[root@192.168.231.128]$ cd httpd-2.2.26
[root@httpd-2.2.26]$./configure --prefix=/usr/local/apache --with-apr=/usr/local/apr-httpd/ --with-apr-util=/usr/local/apr-util-httpd/ --enable-so --enable-mods-shared=all --with-mpm=worker
[root@httpd-2.2.26]$ make && make install
[root@httpd-2.2.26]$ ln -s /usr/local/apache/bin/* /usr/local/bin
[root@httpd-2.2.26]$ /usr/local/apache/bin/apachectl start
[root@httpd-2.2.26]$cat /etc/init.d/httpd
#!/bin/bash # # Startup script for the Apache Web Server # # chkconfig: - 85 15 # description: Apache is a World Wide Web server. It is used to serve \ # HTML files and CGI. # processname: httpd # pidfile: /usr/local/apache/logs/httpd.pid # config: /usr/local/apache/conf/httpd.conf # Source function library. . /etc/rc.d/init.d/functions if [ -f /etc/sysconfig/httpd ]; then . /etc/sysconfig/httpd fi # This will prevent initlog from swallowing up a pass-phrase prompt if # mod_ssl needs a pass-phrase from the user. INITLOG_ARGS="" # Path to the apachectl script, server binary, and short-form for messages. apachectl=/usr/local/apache/bin/apachectl httpd=/usr/local/apache/bin/httpd pid=/usr/local/apache/logs/httpd.pid prog=httpd RETVAL=0 # The semantics of these two functions differ from the way apachectl does # things -- attempting to start while running is a failure, and shutdown # when not running is also a failure. So we just do it the way init scripts # are expected to behave here. start() { echo -n $"Starting $prog: " daemon $httpd $OPTIONS RETVAL=$? echo [ $RETVAL = 0 ] && touch /var/lock/subsys/httpd return $RETVAL } stop() { echo -n $"Stopping $prog: " killproc $httpd RETVAL=$? echo [ $RETVAL = 0 ] && rm -f /var/lock/subsys/httpd $pid } reload() { echo -n $"Reloading $prog: " killproc $httpd -HUP RETVAL=$? echo } # See how we were called. case "$1" in start) start ;; stop) stop ;; status) status $httpd RETVAL=$? ;; restart) stop start ;; condrestart) if [ -f $pid ] ; then stop start fi ;; reload) reload ;; graceful|help|configtest|fullstatus) $apachectl $@ RETVAL=$? ;; *) echo $"Usage: $prog {start|stop|restart|condrestart|reload|status" echo $"|fullstatus|graceful|help|configtest}" exit 1 esac exit $RETVAL
[root@httpd-2.2.26]$ chmod 755 /etc/init.d/httpd
[root@httpd-2.2.26]$ chkconfig –add httpd
[root@httpd-2.2.26]$ chkconfig --level 345 httpd on
做域名的虛擬服務器
[root@192.168.231.130]$ cat /usr/local/http/confhttpd.conf
1 ServerName 192.168.231.130:80 2 3 Include conf/vhost/*.conf
[root@httpd-2.2.26]$ cat /usr/local/apacache2/conf/vhost/accp.conf
1 NameVirtualHost *:8080 2 <VirtualHost *:8080> 3 DocumentRoot "/usr/local/apacache2/htdocs/accp" 4 ServerName www.accp.com 5 ErrorLog "logs/accp.err.log" 6 CustomLog "logs/accp.acc.log" common 7 </VirtualHost>
[root@192.168.231.129]$tar -zxvf haproxy-1.49.tar.gz
[root@192.168.231.129]$ cd haproxy-1.4.9
[root@192.168.231.129]$make TARGET=linux26 PREFIX=/haproxy
[root@192.168.231.129]$ make install PREFIX=/haproxy
[root@192.168.231.129]$mkdir /home/haproxy/logs/
[root@192.168.231.129]$mkdir /etc/haproxy/
[root@haproxy]$cat haproxy.conf
global log 127.0.0.1 local3 #log 127.0.0.1 local1 notice #log loghost local0 info maxconn 4096 #chroot /usr/local/haproxy #chroot /home/haproxy uid 502 gid 502 daemon nbproc 1 pidfile /home/haproxy/logs/haproxy.pid #debug #quiet defaults log global mode http option httplog option dontlognull option forwardfor option redispatch log 127.0.0.1 local3 retries 3 maxconn 32000 balance roundrobin stats uri /haproxy-stats contimeout 5000 clitimeout 50000 srvtimeout 50000 listen web_proxy *:80 appsession JSESSIONID len 52 timeout 3h #插入cookie的方式 cookie SRV insert indirect nocache #模式有http tcp health mode http stats enable stats hide-version #查看狀態 stats uri /haproxy-stats stats refresh 10s monitor-uri /haproxy_test #負載均衡方案:輪調 balance roundrobin option httpclose #后端可以獲取客戶端的真實ip option forwardfor #健康檢查 option httpchk HEAD /login HTTP/1.0 #option httpchk GET /ping.jsp #后端真實服務 server webA 192.168.231.128:80 cookie A check server webB 192.168.231.130:8080 cookie B check server webB 192.168.231.130:8080 cookie B check backend web mode http balance roundrobin cookie SEESSION_COOKIE insert indirect nocache server web1 192.168.231.129:8080 #cookie 11 check inter 1500 rise 3 fall 3 weight 1 server web2 192.168.231.128:80 cookie 11 check inter 1500 rise 3 fall 3 weight 1 server web3 192.168.231.129:8090 cookie 11 check inter 1500 rise 3 fall 3 weight 1 frontend webs bind 0.0.0.0:83 default_backend web
####################全局配置信息######################## #######參數是進程級的,通常和操作系統(OS)相關######### global maxconn 20480 #默認最大連接數 log 127.0.0.1 local3 #[err warning info debug] chroot /var/haproxy #chroot運行的路徑 uid 99 #所屬運行的用戶uid gid 99 #所屬運行的用戶組 daemon #以后台形式運行haproxy nbproc 1 #進程數量(可以設置多個進程提高性能) pidfile /var/run/haproxy.pid #haproxy的pid存放路徑,啟動進程的用戶必須有權限訪問此文件 ulimit-n 65535 #ulimit的數量限制 #####################默認的全局設置###################### ##這些參數可以被利用配置到frontend,backend,listen組件## defaults log global mode http #所處理的類別 (#7層 http;4層tcp ) maxconn 20480 #最大連接數 option httplog #日志類別http日志格式 option httpclose #每次請求完畢后主動關閉http通道 option dontlognull #不記錄健康檢查的日志信息 option forwardfor #如果后端服務器需要獲得客戶端真實ip需要配置的參數,可以從Http Header中獲得客戶端ip option redispatch #serverId對應的服務器掛掉后,強制定向到其他健康的服務器 option abortonclose #當服務器負載很高的時候,自動結束掉當前隊列處理比較久的連接 stats refresh 30 #統計頁面刷新間隔 retries 3 #3次連接失敗就認為服務不可用,也可以通過后面設置 balance roundrobin #默認的負載均衡的方式,輪詢方式 #balance source #默認的負載均衡的方式,類似Nginx的ip_hash #balance leastconn #默認的負載均衡的方式,最小連接 contimeout 5000 #連接超時 clitimeout 50000 #客戶端超時 srvtimeout 50000 #服務器超時 timeout check 2000 #心跳檢測超時 ####################監控頁面的設置####################### listen admin_status #Frontend和Backend的組合體,監控組的名稱,按需自定義名稱 bind 0.0.0.0:65532 #監聽端口 mode http #http的7層模式 log 127.0.0.1 local3 err #錯誤日志記錄 stats refresh 5s #每隔5秒自動刷新監控頁面 stats uri /admin?stats #監控頁面的url stats realm itnihao itnihao #監控頁面的提示信息 stats auth admin:admin #監控頁面的用戶和密碼admin,可以設置多個用戶名 stats auth admin1:admin1 #監控頁面的用戶和密碼admin1 stats hide-version #隱藏統計頁面上的HAproxy版本信息 stats admin if TRUE #手工啟用/禁用,后端服務器(haproxy-1.4.9以后版本) errorfile 403 /etc/haproxy/errorfiles/403.http errorfile 500 /etc/haproxy/errorfiles/500.http errorfile 502 /etc/haproxy/errorfiles/502.http errorfile 503 /etc/haproxy/errorfiles/503.http errorfile 504 /etc/haproxy/errorfiles/504.http #################HAProxy的日志記錄內容設置################### capture request header host len 40 capture request header Content-Length len 10 capture request header Referer len 200 capture response header Server len 40 capture response header Content-Length len 10 capture response header Cache-Control len 8 #######################網站監測listen配置##################### ###########此用法主要是監控haproxy后端服務器的監控狀態############ listen site_status bind 0.0.0.0:1081 #監聽端口 mode http #http的7層模式 log 127.0.0.1 local3 err #[err warning info debug] monitor-uri /site_status #網站健康檢測URL,用來檢測HAProxy管理的網站是否可以用,正常返回200,不正常返回503 acl site_dead nbsrv(server_web) lt 2 #定義網站down時的策略當掛在負載均衡上的指定backend的中有效機器數小於1台時返回true acl site_dead nbsrv(server_blog) lt 2 acl site_dead nbsrv(server_bbs) lt 2 monitor fail if site_dead #當滿足策略的時候返回503,網上文檔說的是500,實際測試為503 monitor-net 192.168.16.2/32 #來自192.168.16.2的日志信息不會被記錄和轉發 monitor-net 192.168.16.3/32 ########frontend配置############ #####注意,frontend配置里面可以定義多個acl進行匹配操作######## frontend http_80_in bind 0.0.0.0:80 #監聽端口,即haproxy提供web服務的端口,和lvs的vip端口類似 mode http #http的7層模式 log global #應用全局的日志配置 option httplog #啟用http的log option httpclose #每次請求完畢后主動關閉http通道,HA-Proxy不支持keep-alive模式 option forwardfor #如果后端服務器需要獲得客戶端的真實IP需要配置次參數,將可以從Http Header中獲得客戶端IP ########acl策略配置############# acl itnihao_web hdr_reg(host) -i ^(www.itnihao.cn|ww1.itnihao.cn)$ #如果請求的域名滿足正則表達式中的2個域名返回true -i是忽略大小寫 acl itnihao_blog hdr_dom(host) -i blog.itnihao.cn #如果請求的域名滿足www.itnihao.cn返回true -i是忽略大小寫 #acl itnihao hdr(host) -i itnihao.cn #如果請求的域名滿足itnihao.cn返回true -i是忽略大小寫 #acl file_req url_sub -i killall= #在請求url中包含killall=,則此控制策略返回true,否則為false #acl dir_req url_dir -i allow #在請求url中存在allow作為部分地址路徑,則此控制策略返回true,否則返回false #acl missing_cl hdr_cnt(Content-length) eq 0 #當請求的header中Content-length等於0時返回true ########acl策略匹配相應############# #block if missing_cl #當請求中header中Content-length等於0阻止請求返回403 #block if !file_req || dir_req #block表示阻止請求,返回403錯誤,當前表示如果不滿足策略file_req,或者滿足策略dir_req,則阻止請求 use_backend server_web if itnihao_web #當滿足itnihao_web的策略時使用server_web的backend use_backend server_blog if itnihao_blog #當滿足itnihao_blog的策略時使用server_blog的backend #redirect prefix http://blog.itniaho.cn code 301 if itnihao #當訪問itnihao.cn的時候,用http的301挑轉到http://192.168.16.3 default_backend server_bbs #以上都不滿足的時候使用默認server_bbs的backend ##########backend的設置############## #下面我將設置三組服務器 server_web,server_blog,server_bbs ###########################backend server_web############################# backend server_web mode http #http的7層模式 balance roundrobin #負載均衡的方式,roundrobin平均方式 cookie SERVERID #允許插入serverid到cookie中,serverid后面可以定義 option httpchk GET /index.html #心跳檢測的文件 server web1 192.168.16.2:80 cookie web1 check inter 1500 rise 3 fall 3 weight 1 #服務器定義,cookie 1表示serverid為web1,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用, #fall 3是3次失敗認為服務器不可用,weight代表權重 server web2 192.168.16.3:80 cookie web2 check inter 1500 rise 3 fall 3 weight 2 #服務器定義,cookie 1表示serverid為web2,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用, #fall 3是3次失敗認為服務器不可用,weight代表權重 ##################################backend server_blog############################################### backend server_blog mode http #http的7層模式 balance roundrobin #負載均衡的方式,roundrobin平均方式 cookie SERVERID #允許插入serverid到cookie中,serverid后面可以定義 option httpchk GET /index.html #心跳檢測的文件 server blog1 192.168.16.2:80 cookie blog1 check inter 1500 rise 3 fall 3 weight 1 #服務器定義,cookie 1表示serverid為web1,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用,fall 3是3次失敗認為服務器不可用,weight代表權重 server blog2 192.168.16.3:80 cookie blog2 check inter 1500 rise 3 fall 3 weight 2 #服務器定義,cookie 1表示serverid為web2,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用,fall 3是3次失敗認為服務器不可用,weight代表權重 ##################################backend server_bbs############################################### backend server_bbs mode http #http的7層模式 balance roundrobin #負載均衡的方式,roundrobin平均方式 cookie SERVERID #允許插入serverid到cookie中,serverid后面可以定義 option httpchk GET /index.html #心跳檢測的文件 server bbs1 192.168.16.2:80 cookie bbs1 check inter 1500 rise 3 fall 3 weight 1 #服務器定義,cookie 1表示serverid為web1,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用,fall 3是3次失敗認為服務器不可用,weight代表權重 server bbs2 192.168.16.3:80 cookie bbs2 check inter 1500 rise 3 fall 3 weight 2 #服務器定義,cookie 1表示serverid為web2,check inter 1500是檢測心跳頻率rise 3是3次正確認為服務器可用,fall 3是3次失敗認為服務器不可用,weight代表權重
[root@haproxy]$ haparoxy -f haproxy.conf 檢查配置文件
測試haproxy監控
http://192.168.231.129:81/haproxy-stats
測試網站代理
http://192.168.231.129:83