[雷池WAF]长亭雷池WAF配置基于健康监测的负载均衡,实现故障自动切换上游服务器

为了进一步加强我们的内网安全,我们在原有硬WAF的基础上,又在内网使用的社区版的雷池WAF,作为应用上层的软WAF。从而实现多WAF防护的架构。

经过进一步了解,发现雷池WAF的上游转发代理是基于Tengine的,所以我们萌生出了一个想法,就是让雷池既可以具备WAF的功能,又具备负载均衡和故障切换的能力。

接下来,开始正题

 1、首先准备一个用于测试的HTTP Server,注意:这里需要实现一下 /status 这个路由,随便返回啥,只要是 200 的状态码就行。

package main

import (
    "os"
    "fmt"
    "net/http"
)

func Hello1Handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w, "I am 11111")
}

func Hello2Handler(w http.ResponseWriter, r *http.Request) {
    fmt.Fprintf(w, "I am 22222")
}

func check(w http.ResponseWriter, r *http.Request){
    fmt.Fprintf(w, "check")
}

func main () {
    if len(os.Args) > 1 {
        http.HandleFunc("/hello", Hello1Handler)
        http.HandleFunc("/status", check)
        http.ListenAndServe(":8001", nil)
    } else {
        http.HandleFunc("/hello", Hello2Handler)
        http.HandleFunc("/status", check)
        http.ListenAndServe(":8002", nil)
    }
}

然后分别启动两个服务,分别在8001和8002端口。

2、在雷池里创建一个新的站点,并把上游服务器指向第一个节点。

测试访问正常,请求被代理到了8001的HTTP Server上

3、修改雷池Nginx的conf文件

文件路径:/data/safeline/resources/nginx/sites-enabled

下面会有好几个配置文件,命名格式为:IF_backend_* ,每新建一个网站,这里就会新增一个类似命名的文件。

这里找到刚新建的网站的conf文件(cat一下,看看监听端口什么的就能分辨出来)

我这里是IF_backend_2,这个文件。然后开始修改文件内的配置。

  • 添加一个上游server:

  • 配置基于健康检测的的负载均衡。这里仅是一些最基础的配置,你也可以根据自己的需求来修改和添加配置。

4、校验conf文件,并重启雷池的Nginx。

docker exec safeline-tengine nginx -t

下面的输出,表示校验通过

然后重启Nginx

docker exec safeline-tengine nginx -s reload

5、开始测试结果

  • 负载均衡的测试

因为设置的weight是1,两个节点相等,所以请求在平均分配到两个节点上。

  • 单节点掉线的测试

关闭8002上的HTTP Server

刷新页面,发现此时请求都集中到了8001的HTTP Server上

 

至此打完收工,雷池内置的Tengine(Nginx)本身自带了很多模块,常见的负载均衡应该都是可以配置的。再就自行探索吧!

PS:这里需要注意的是,当你自己修改完配置文件,又在系统内修改的话,自定义的一些配置会被覆盖了。所以提前自己做好备份。

 

 

 

 

 

 

 

posted @ 2023-10-17 14:52  leeli73  阅读(599)  评论(0编辑  收藏  举报