[雷池WAF]长亭雷池WAF配置基于健康监测的负载均衡，实现故障自动切换上游服务器

为了进一步加强我们的内网安全，我们在原有硬WAF的基础上，又在内网使用的社区版的雷池WAF，作为应用上层的软WAF。从而实现多WAF防护的架构。

经过进一步了解，发现雷池WAF的上游转发代理是基于Tengine的，所以我们萌生出了一个想法，就是让雷池既可以具备WAF的功能，又具备负载均衡和故障切换的能力。

接下来，开始正题

 1、首先准备一个用于测试的HTTP Server，注意：这里需要实现一下 /status 这个路由，随便返回啥，只要是 200 的状态码就行。

package main

import (
    "os"
    "fmt"
    "net/http"
)

func Hello1Handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w, "I am 11111")
}

func Hello2Handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w, "I am 22222")
}

func check(w http.ResponseWriter, r *http.Request){
    fmt.Fprintf(w, "check")
}

func main () {
    if len(os.Args) > 1 {
        http.HandleFunc("/hello", Hello1Handler)
        http.HandleFunc("/status", check)
        http.ListenAndServe(":8001", nil)
    } else {
        http.HandleFunc("/hello", Hello2Handler)
        http.HandleFunc("/status", check)
        http.ListenAndServe(":8002", nil)
    }
}

然后分别启动两个服务，分别在8001和8002端口。

2、在雷池里创建一个新的站点，并把上游服务器指向第一个节点。

测试访问正常，请求被代理到了8001的HTTP Server上

3、修改雷池Nginx的conf文件

文件路径：/data/safeline/resources/nginx/sites-enabled

下面会有好几个配置文件，命名格式为：IF_backend_* ，每新建一个网站，这里就会新增一个类似命名的文件。

这里找到刚新建的网站的conf文件（cat一下，看看监听端口什么的就能分辨出来）

我这里是IF_backend_2，这个文件。然后开始修改文件内的配置。

• 添加一个上游server：

• 配置基于健康检测的的负载均衡。这里仅是一些最基础的配置，你也可以根据自己的需求来修改和添加配置。

4、校验conf文件，并重启雷池的Nginx。

docker exec safeline-tengine nginx -t

下面的输出，表示校验通过

然后重启Nginx

docker exec safeline-tengine nginx -s reload

5、开始测试结果

• 负载均衡的测试

因为设置的weight是1，两个节点相等，所以请求在平均分配到两个节点上。

• 单节点掉线的测试

关闭8002上的HTTP Server

刷新页面，发现此时请求都集中到了8001的HTTP Server上

 

至此打完收工，雷池内置的Tengine（Nginx）本身自带了很多模块，常见的负载均衡应该都是可以配置的。再就自行探索吧！

PS：这里需要注意的是，当你自己修改完配置文件，又在系统内修改的话，自定义的一些配置会被覆盖了。所以提前自己做好备份。