Haproxy搭建Web集群
Haproxy搭建Web集群
常见Web集群调度器(软件、硬件)
硬件>lvs>haproxy>nginx
nginx的upstream模块支持群集功能,但健康检查模块只能被动检查。主动检查模块需要第三方模块,高并发性能没有Haproxy好,支持两三万并发
haproxy,支持五万并发
LVS性能最好,但是搭建相对复杂,支持十万以上并发
硬件:国外——F5,Array;国内——梭子鱼、绿盟
对比LVS、Haproxy:
LVS在企业应用中抗负载能力很强,但存在不足
-
LVS,不支持七层代理,不支持正则处理,不能实现动静分离;
-
对大型网站,LVS实施配置复杂,维护成本相比于Haproxy较高。
Haproxy,可提供高可用、负载均衡、基于TCP和HTTP应用的代理的软件(四层七层)
-
适用于负载大的Web站点
-
运行在硬件上可支持数以万计的并发连接的连接请求
Haproxy常用三种调度算法:
RP(route robin)轮询——节点轮流处理访问信息
LC(least connections)最小连接——根据后端节点连接数动态分配前段请求
SH(source hashing)源地址hash——利用来源IP、cookie记录访问分配关系
Haproxy简述
HAProxy是可提供高可用性、负载均衡以及基于TCP(四层)和HTTP应用(七层)的代理,是免费、快速并且可靠的一种解决方案。HAProxy非常适用于并发大(并发达1w以上)web站点,这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中,同时可以保护web服务器不被暴露到网络上。
HAProxy的主要特性有:
-
可靠性和稳定性非常好,可以与硬件级的F5负载均衡设备相媲美;
-
最高可以同时维护40000-50000个并发连接,单位时间内处理的最大请求数为20000个,最大处理能力可达10Git/s;
-
支持多达8种负载均衡算法
-
支持Session会话保持,Cookie的引导;
-
支持通过获取指定的url来检测后端服务器的状态;——健康检查
-
支持虚机主机功能,从而实现web负载均衡更加灵活;
-
支持连接拒绝(白名单)、全透明代理(正向代理)等独特的功能;
-
拥有强大的ACL支持,用于访问控制;
-
支持TCP和HTTP协议的负载均衡转发;
-
支持客户端的keepalive功能,减少客户端与haproxy的多次三次握手导致资源浪费,让多个请求在一个tcp连接中完成
HAProxy负载均衡策略非常多,常见的有如下8种: 1)roundrobin,表示简单的轮询 2)static-rr,表示根据权重 3)leastconn,表示最少连接者先处理 4)source,表示根据请求源IP 5)uri,表示根据请求的URI,做cdn需使用;——根据uri做hash 6)url_param,表示根据请求的URl参数'balance url_param' requires an URL parameter name——uri参数做hash 7)hdr(name),表示根据HTTP请求头来锁定每一次HTTP请求;——http请求头做hash 8)rdp-cookie(name),表示根据cookie(name)来锁定并哈希每一次TCP请求。
LVS、Nginx、HAproxy的区别:
●LVS基于Linux操作系统内核实现软负载均衡,而HAProxy和Nginx是基于第三方应用实现的软负载均衡; ●LVS是可实现4层的IP负载均衡技术,无法实现基于目录、URL的转发。而HAProxy和Nginx都可以实现4层和7层技术,HAProxy可提供TCP和HTTP应用的负载均衡综合解决方案; ●LVS因为工作在ISO模型的第四层,其状态监测功能单一,而HAProxy在状态监测方面功能更丰富、强大,可支持端口、URL、脚本等多种状态检测方式; ●HAProxy功能强大,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。但整体性能低于4层模式的LVS负载均衡; ●Nginx主要用于Web服务器或缓存服务器。Nginx的upstream模块虽然也支持群集功能,但是性能没有LVS和Haproxy好,对群集节点健康检查功能不强,只支持通过端口来检测,不支持通过URL来检测。
总结:
负载均衡性能:
硬件负载均衡器F5 > LVS最好 > Haproxy其次 > Nginx弱于其它两种
支持的代理类型:
-
LVS基于Linux系统内核实现的软负载均衡,只支持4层代理的IP转发,不支持正则表达;
-
Haproxy和Nginx基于应用程序实现的软负载均衡,都能支持4层和7层代理转发,支持正则表达匹配
支持的节点健康检查方式:
-
LVS可以配合keepalived实现支持对TCP端口和URL路径的方式进行健康检查;
-
Nginx默认情况下只支持被动健康检查,主动检查模块需要依赖第三方模块
-
Haproxy支持1端口、URL路径、脚本等方式的健康检查
Haproxy 的8种调度算法
roundrobin 轮询
static-rr 加权轮询
leastconn 最小连接
source 根据源地址哈希
uri 根据请求的URI地址哈希
url_param 根据请求的URL参数哈希
hdr(name) 根据请求头哈希
rdp-cookie(name) 根据cookie的key哈希
Haproxy搭建 Web 群集
Haproxy服务器:192.168.80.10 Nginx 服务器1:192.168.80.100 Nginx 服务器2:192.168.80.101 客户端:192.168.80.200
静态服务器部署
#1、关闭防火墙
systemctl stop firewalld
setenforce 0
#2、安装解压工具
yum install -y pcre-devel zlib-devel gcc gcc-c++ make
#3、创建用户
useradd -M -s /sbin/nologin nginx
#4、解压
cd /opt
tar zxvf nginx-1.12.0.tar.gz -C /opt/
cd nginx-1.12.0/
#编译
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install
#安装
make && make install
--192.168.80.100---
echo "this is kgc web" > /usr/local/nginx/html/test.html
--192.168.80.101---
echo "this is benet web" > /usr/local/nginx/html/test.html
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
nginx #启动nginx 服务
动态服务器部署
[root@yml-2 ~]#cd /opt/
[root@yml-2 opt]#tar xf jdk-8u91-linux-x64.tar.gz
[root@yml-2 opt]#mv jdk1.8.0_91/ /usr/local/
[root@yml-2 opt]#ls !$
ls /usr/local/
bin etc games include jdk1.8.0_91 lib lib64 libexec sbin share src
[root@yml-2 opt]#cd /etc/profile.d/
[root@yml-2 profile.d]#vim java.sh
export JAVA_HOME=/usr/local/jdk1.8.0_91
export JRE_HOME=$JAVA_HOME/jre
export CLASSPATH=.:$JAVA_HOME/lib:$JRE_HOME/lib
export PATH=$JAVA_HOME/bin:$JRE_HOME/bin:$PATH
source java.sh#进行刷新
tar xf apache-tomcat-9.0.16.tar.gz
[root@yml-2 opt]#cp -a apache-tomcat-9.0.16 /usr/local/tomcat #如果部署多实例需要改每台配置的端口
cd /usr/local/tomcat/conf
[root@yml-2 conf]#vim server.xml
#所有端口更改,防止tomcat1与tomcat2端口互相占用 cd /usr/local/tomcat1/bin
vim startup.sh#加入下方环境变量
export CATALINA_HOME=/usr/local/tomcat
export CATALINA_BASE=/usr/local/tomcat
export TOMCAT_HOME=/usr/local/tomcat
vim shutdown.sh#加入下方环境变量
#tomcat1
export CATALINA_HOME=/usr/local/tomcat
export CATALINA_BASE=/usr/local/tomcat
export TOMCAT_HOME=/usr/local/tomcat绝对路径启动各 tomcat 中的 /bin/startup.sh
/user/local/tomcat/bin/start.sh
mkdir /usr/local/tomcat/webapps/ky31
vim /usr/local/tomcat/webapps/ky31/test.jsp
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<html>
<head>
<title>JSP who is 107 page</title>
</head>
<body>
<% out.println("动态页面 107,Blue Archive is ourpresents!");%>
</body>
</html>
haproxy 服务器部署
1.关闭防火墙,将安装Haproxy所需软件包传到/opt目录下
systemctl stop firewalld
setenforce 0
wget http://www.haproxy.org/download/1.7/src/haproxy-1.7.2.tar.gz2.安装 Haproxy
#编译安装
yum install -y pcre-devel bzip2-devel gcc gcc-c++ make
tar zxvf haproxy-1.7.2.tar.gz
cd haproxy-1.7.2/
make TARGET=linux2628 PREFIX=/usr/local/haproxy #注意安装包版本
make install PREFIX=/usr/local/haproxy---------------------参数说明--------------------------------------------------------------------------- TARGET=linux26 #内核版本,
#使用uname -r查看内核,如:2.6.18-371.el5,此时该参数用TARGET=linux26;kernel大于2.6.28的用TARGET=linux2628
安装新版使用命令(TARGET=os)
make TARGET=os PREFIX=/usr/local/haproxy
3.Haproxy服务器配置
useradd -M -s /sbin/nologin haproxy
mkdir /etc/haproxy
cd /etc/haproxy
vim /etc/haproxy/haproxy.cfg#yum安装 yum install -y haproxy
HAProxy 的配置文件共有 5 个域: ●global:用于配置全局参数 ●default:用于配置所有frontend和backend的默认属性 ●frontend:用于配置前端服务(即HAProxy自身提供的服务)实例 ●backend:用于配置后端服务(即HAProxy后面接的服务)实例组
●listen:frontend + backend的组合配置,可以理解成更简洁的配置方法,frontend域和backend域中所有的配置都可以配置在listen域下
配置文件
vim /etc/haproxyhaproxy.cfg
global #全局配置,主要用于定义全局参数,属于进程级的配置,通常和操作系统配置有关
#将info(及以上)的日志发送到rsyslog的local0接口,将warning(及以上)的日志发送到rsyslog的local1接口
log 127.0.0.1 local0 info
log 127.0.0.1 local1 warning
maxconn 30000 #最大连接数,HAProxy 要求系统的 ulimit -n 参数大于 maxconn*2+18
#chroot /var/lib/haproxy #修改haproxy工作目录至指定目录,一般需将此行注释掉
pidfile /var/run/haproxy.pid #指定保存HAProxy进程号的文件
user haproxy #以指定的用户名身份运行haproxy进程
group haproxy #以指定的组名运行haproxy,以免因权限问题带来风险
daemon #让haproxy以守护进程的方式工作于后台
#nbproc 1 #指定启动的haproxy进程个数,只能用于守护进程模式的haproxy,默认只启动一个进程。haproxy是单进程、事件驱动模型的软件,单进程下工作效率已经非常好,不建议开启多进程
spread-checks 2 #在haproxy后端有着众多服务器的场景中,在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题;此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长;默认为0,官方建议设置为2到5之间。
defaults #配置默认参数,这些参数可以被用到listen,frontend,backend组件
log global #所有前端都默认使用global中的日志配置
mode http #模式为http(7层代理http,4层代理tcp)
option http-keep-alive #使用keepAlive连接,后端为静态建议使用http-keep-alive,后端为动态应用程序建议使用http-server-close
option forwardfor #记录客户端IP在X-Forwarded-For头域中,haproxy将在发往后端的请求中加上"X-Forwarded-For"首部字段
option httplog #开启httplog,在日志中记录http请求、session信息等。http模式时开启httplog,tcp模式时开启tcplog
option dontlognull #不在日志中记录空连接
option redispatch #当某后端down掉使得haproxy无法转发携带cookie的请求到该后端时,将其转发到别的后端上
option abortonclose #当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接
maxconn 20000 #最大连接数,“defaults”中的值不能超过“global”段中的定义
retries 3 #定义连接后端服务器的失败重连次数,连接失败次数超过此值后会将对应后端服务器标记为不可用
#contimeout 5000 #设置连接超时时间,默认单位是毫秒
#clitimeout 50000 #设置客户端超时时间,默认单位是毫秒
#srvtimeout 50000 #设置服务器超时时间,默认单位是毫秒
timeout http-request 2s #默认http请求超时时间,此为等待客户端发送完整请求的最大时长,用于避免类DoS攻击。haproxy总是要求一次请求或响应全部发送完成后才会处理、转发
timeout queue 3s #默认客户端请求在队列中的最大时长
timeout connect 1s #默认haproxy和服务端建立连接的最大时长,新版本中替代contimeout,该参数向后兼容
timeout client 10s #默认和客户端保持空闲连接的超时时长,在高并发下可稍微短一点,可设置为10秒以尽快释放连接,新版本中替代clitimeout
timeout server 2s #默认和服务端保持空闲连接的超时时长,局域网内建立连接很快,所以尽量设置短一些,特别是高并发时,新版本中替代srvtimeout
timeout http-keep-alive 10s #默认和客户端保持长连接的最大时长。优先级高于timeout http-request 也高于timeout client
timeout check 2s #和后端服务器成功建立连接后到最终完成检查的最大时长(不包括建立连接的时间,只是读取到检查结果的时长)后面的手动配置
frontend http-in #定义前端域
bind *:80 #设置监听地址和端口,指定为*或0.0.0.0时,将监听当前系统的所有IPv4地址
maxconn 18000 #定义此端口上的maxconn
acl url_static1 path_beg -i /static /images #定义ACL,当uri以定义的路径开头时,ACL[url_static1]为true
acl url_static2 path_end -i .jpg .jpeg .gif .png .html .htm .txt #定义ACL,当uri以定义的路径结尾时,ACL[url_static2]为true
use_backend ms1 if url_static1 #当[url_static1]为true时,定向到后端域ms1中
use_backend ms2 if url_static2 #当[url_static2]为true时,定向到后端域ms2中
default_backend dynamic_group #其他情况时,定向到后端域dynamic_group中
backend ms1 #定义后端域ms1
balance roundrobin #使用轮询算法
option httpchk GET /test.html #表示基于http协议来做健康状况检查,只有返回状态码为2xx或3xx的才认为是健康的,其余所有状态码都认为不健康。不设置该选项时,默认采用tcp做健康检查,只要能建立tcp就表示健康。
server ms1.inst1 192.168.80.100:80 maxconn 5000 check inter 2000 rise 2 fall 3
server ms1.inst2 192.168.80.100:81 maxconn 5000 check #同上,inter 2000 rise 2 fall 3是默认值,可以省略
backend ms2 #定义后端域ms2
balance roundrobin
option httpchk GET /test.html
server ms2.inst1 192.168.80.101:80 maxconn 5000 check
server ms2.inst2 192.168.80.101:81 maxconn 5000 check
backend dynamic_group #定义后端域dynamic_group
balance roundrobin
option http-server-close
cookie HA_STICKY_dy insert indirect nocache
server appsrv1 192.168.80.100:8080 cookie appsrv1 maxconn 5000 check
server appsrv2 192.168.80.101:8080 cookie appsrv2 maxconn 5000 check
listen stats #定义监控页面
bind *:1080 #绑定端口1080
stats enable #启用统计报告监控
stats refresh 30s #每30秒更新监控数据
stats uri /stats #访问监控页面的uri
stats realm HAProxy\ Stats #监控页面的认证提示
stats auth admin:admin #监控页面的用户名和密码配置内容如下
frontend http-ky31
bind *:80
default_backend nginx_servers
backend nginx_servers
balance roundrobin
option httpchk GET /test.html
server ngx01 192.168.177.104:80 check inter 2000 rise 2 fall 3
server ngx02 192.168.177.105:80 check inter 2000 rise 2 fall 3
添加动态配置实现动静分离
frontend http-ky31
bind *:80
acl url_jsp path_end -i .jsp
use_backend tomcat_server if url_jsp
default_backend nginx_server
backend nginx_servers
balance roundrobin
option httpchk GET /test.html
server ngx01 192.168.177.104:80 check inter 2000 rise 2 fall 3
server ngx02 192.168.177.105:80 check inter 2000 rise 2 fall 3
backend tomcat_server
balance roundrobin
option http-server-close
cookie HA_STICKY_dy insert indirect nocache
server tomcat01 192.168.177.103:8080 cookie tomcat01 check inter 2000 fall 3 rise 2
server tomcat02 192.168.177.107:8080 cookie tomcat02 check inter 2000 fall 3 rise 2
配置动态还需添加监听配置
listen stats
bind *.1080
stats enable
stats refresh 30s
stats uri /stats
stats realm HAProxy\ Stats
stats auth admin:admin
cp /opt/haproxy-2.2.11/examples/haproxy.init /etc/init.d/haproxy
vim /etc/init.d/haproxy
#1、修改配置
第26行 [ "${NETWORKING}" = "no" ] && exit 0#添加双引号引用参数
:wq
#2、创建软连接关联
ln -s /usr/local/haproxy/sbin/haproxy /usr/sbin/
#3、添加权限
[root@yml-2 init.d]#chmod +x haproxy
#4、加入到系统服务管理中
chkconfig --add /etc/init.d/haproxy
#5打开权限
chkconfig --level 35 haproxy on
启动haproxy
[root@yml-2 init.d]#service haproxy start
Starting haproxy (via systemctl): [ 确定 ]验证:
----------------------日志定义-------------------------------- #默认 haproxy 的日志是输出到系统的 syslog 中,查看起来不是非常方便,为了更好的管理 haproxy 的日志,我们在生产环境中一般单独定义出来。需要将 haproxy 的 info 及 notice 日志分别记录到不同的日志文件中。
//方法一
vim /etc/haproxy/haproxy.cfg
global
log /dev/log local0 info
log /dev/log local0 notice
......
defaults
......
log global
......#需要修改rsyslog配置,为了便于管理。将haproxy相关的配置独立定义到haproxy.conf,并放到/etc/rsyslog.d/下,rsyslog启动时会自动加载此目录下的所有配置文件。
vim /etc/rsyslog.d/haproxy.conf
if ($programname == 'haproxy' and $syslogseverity-text == 'info')
then -/var/log/haproxy/haproxy-info.log
&~
if ($programname == 'haproxy' and $syslogseverity-text == 'notice')
then -/var/log/haproxy/haproxy-notice.log
&~#说明: 这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下,将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后,rsyslog停止处理这个信息。
service rsyslog restart
service haproxy restart
tail -f /var/log/haproxy/haproxy-info.log #查看haproxy的访问请求日志信息//方法二 #修改haproxy.cfg,将info及以上级别的日志发送到rsyslog的local0接口,将warning及以上级别的日志发送到rsyslog的local1接口
vim /etc/haproxy/haproxy.cfg
global
......
log 127.0.0.1 local0 info
log 127.0.0.1 local1 warning
......
defaults
......
log global
......
#注:信息级日志会打印HAProxy 的每一条请求处理,会占用大量的磁盘空间,在生产环境中,将日志级别调整为notice
#为 rsyslog 添加 haproxy 日志的配置
mkdir /var/log/haproxy
vim /etc/rsyslog.d/haproxy.conf
$ModLoad imudp
$UDPServerRun 514
$FileCreateMode 0644 #日志文件的权限
$FileOwner haproxy #日志文件的owner
local0.* /var/log/haproxy/haproxy.log #local0接口对应的日志输出文件
local1.* /var/log/haproxy/haproxy_warn.log #local1接口对应的日志输出文件
#修改 rsyslog 的启动参数
vim /etc/sysconfig/rsyslog
......
SYSLOGD_OPTIONS="-c 2 -r -m 0"
#重启 rsyslog 和 HAProxy
service rsyslog restart
service haproxy restart
tail -f /var/log/haproxy/haproxy.log----------------------使用 Keepalived 实现 HAProxy 高可用----------------------
yum install -y keepalived
vim /etc/keepalived/check_haproxy.sh
#!/bin/bash
#使用killall -0检查haproxy实例是否存在,性能高于ps命令
if ! killall -0 haproxy; then
systemctl stop keepalived
fi
chmod +x /etc/keepalived/check_haproxy.sh
vim /etc/keepalived/keepalived.conf
! Configuration File for keepalived
global_defs {
router_id LVS_HA1 #虚拟路由名称
}
#HAProxy健康检查配置
vrrp_script chk_haproxy {
script "/etc/keepalived/check_haproxy.sh" #指定健康检查脚本
interval 2 #脚本运行周期
weight 2 #每次检查的加权权重值
}
#虚拟路由配置
vrrp_instance VI_1 {
state MASTER #本机实例状态,MASTER/BACKUP,备机配置文件中设置BACKUP
interface ens33 #本机网卡名称,使用ifconfig命令查看
virtual_router_id 51 #虚拟路由编号,主备机保持一致
priority 100 #本机初始权重,备机设置小于主机的值
advert_int 1 #争抢虚地址的周期,秒
virtual_ipaddress {
192.168.80.100 #虚地址IP,主备机保持一致
}
track_script {
chk_haproxy #对应的健康检查配置
}
}
systemctl start keepalived
ip addr
#停掉当前MASTER主机的HAProxy实例,进行故障切换测试
service haproxy stop----------------------内核优化----------------------
vim /etc/sysctl.conf
#开启重用。允许将TIME-WAITsockets重用于新的TCP连接,默认0,表示关闭;
net.ipv4.tcp_tw_reuse = 1
#用于向外连接的端口范围。缺省情况下很小
net.ipv4.ip_local_port_range = 1024 65535
#SYN队列长度,记录尚未收到客户端确认信息的连接请求的最大值。默认为1024,加大队列长度可容纳更多等待连接的网络连接数。
net.ipv4.tcp_max_syn_backlog = 10240
#表示系统同时保持TIME_WAIT最大数量,如果超过,TIME_WAIT将立刻被清除并打印警告信息。默认180000,此项参数可控制TIME_WAIT 最大数量
net.ipv4.tcp_max_tw_buckets = 5000
#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上,如超过,连接将即刻被复位并打印警告信息,这个限制仅是为防止简单的DoS攻击,不能过分依靠它或人为减小这个值,更应该增加这个值(如果增加内存后)
net.ipv4.tcp_max_orphans = 3276800
#为打开对端的连接,内核需发送个SYN并附带个回应前一个SYN的ACK。即三次握手中的第二次握手。该设置决定内核放弃连接前发SYN+ACK包的数量。
net.ipv4.tcp_synack_retries = 3
#如web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128,而 nginx 定义的 NGX_LISTEN_BACKLOG 默认511,所以有必要调整这个值。
net.core.somaxconn = 32768
sysctl -p
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 震惊!C++程序真的从main开始吗?99%的程序员都答错了
· 【硬核科普】Trae如何「偷看」你的代码?零基础破解AI编程运行原理
· 单元测试从入门到精通
· 上周热点回顾(3.3-3.9)
· winform 绘制太阳,地球,月球 运作规律