摘要: 原理-TLS1.2及之前的版本 协议握手,建立会话 客户端 Hello 消息,携带以下信息 协议版本,目前有 sslv2,sslv3,tls1.0,tls1.1,tls1.2,tls1.3 客户端产生的随机数,用于后面生成会话 key 客户端支持加密算法列表,按优先级从高到低排序 服务器 Hello 阅读全文
posted @ 2021-01-07 17:24 哲淡 阅读(1602) 评论(0) 推荐(0) 编辑
摘要: 排查 TLS 会话问题 使用 openssl 使用 openssl s_client 命令,可以指定 tls 协议的版本,不同的加密算法套件,来验证服务器对 ssl 协议的支持情况 如果服务器不支持某些加密算法套件,则会提示,Secure Renegotiation IS NOT supported 阅读全文
posted @ 2021-01-07 17:15 哲淡 阅读(856) 评论(0) 推荐(0) 编辑
摘要: keepalived vrrp 模式 feat 维护 vip 的高可用,可以根据特定的条件来在多个主机之间切换 vip 节点之间运行 vrrp 协议 vrrp 中的事件,可以在配置文件中指定脚本来执行相应的操作 比如 当前节点成为 master;当前节点降为master;当前节点状态为 FAULT 阅读全文
posted @ 2021-01-07 16:22 哲淡 阅读(1520) 评论(0) 推荐(0) 编辑
摘要: haproxy 如何选择后端 后端server状态 DOWN 设置了check,检查不通过 UP 设置了check,检查通过;或者不设置check MAINT 设置了disbled,效果等同于DOWN 后端状态 UP 有至少一个weight > 0且UP的后端 DOWN 无weight > 0或者U 阅读全文
posted @ 2021-01-07 16:13 哲淡 阅读(186) 评论(0) 推荐(0) 编辑
摘要: haproxy支持http2.0 haproxy 配置 bind和server均支持proto参数用于强制指定连接所使用的协议 bind如果不指定proto参数,则会根据客户端的请求,自动使用合适的协议;server如果不指定proto参数,则默认使用http1.1 bind和server的prot 阅读全文
posted @ 2021-01-07 16:12 哲淡 阅读(866) 评论(0) 推荐(0) 编辑
摘要: haproxy支持端口组 feat 如果backend中的server选项不设置端口号,则haproxy向后端服务器发起请求时,目标端口将使用client请求listen/frontend时,使用的目标端口(端口用bind选项配置) config listen fe-xx # $listen_add 阅读全文
posted @ 2021-01-07 16:08 哲淡 阅读(570) 评论(0) 推荐(0) 编辑
摘要: haproxy cookie session persist feat 请求会转发给配置了相同cookie的server 会转发给weight=0的后端 默认不会转发给down状态或disabled的server 如果设置了option persist或者force-persist,则会强制转发给d 阅读全文
posted @ 2021-01-07 16:07 哲淡 阅读(348) 评论(0) 推荐(0) 编辑
摘要: haproxy透明代理 haproxy到后端server的透明代理 feat 使用client的真实ip,或者其他设置的ip(通过usesrc选项配置)和后端建立连接 condition 编译haproxy时,设置USE_LINUX_TPROXY=1 在backend中,配置source 0.0.0 阅读全文
posted @ 2021-01-07 16:06 哲淡 阅读(1027) 评论(0) 推荐(0) 编辑
摘要: haproxy tcp keepalive feat 使用内核协议栈的tcp keepalive特性,在tcp连接上,定时发送keepalive消息 当启用option http-keep-alive时,且正确配置了timeout client,option tcpka基本不会被触发 tcp kee 阅读全文
posted @ 2021-01-07 16:05 哲淡 阅读(1338) 评论(0) 推荐(0) 编辑
摘要: haproxy支持websocket feat 通过嗅探http请求中的Connection: Upgrade Upgrade: websocket头部,来自动识别是否是websocket连接,识别成功后,该连接,即变成双工的websocket连接,haproxy不再对该连接做http解析;但Web 阅读全文
posted @ 2021-01-07 16:04 哲淡 阅读(1523) 评论(0) 推荐(0) 编辑
摘要: haproxy 中的超时 客户端请求阶段 timeout client haproxy 和客户端通信时,连接不活跃的时间,既不发送数据,也不ack接收的数据 如果未设置,则永不超时,此时连接是否超时依赖于tcp连接本身的机制 timeout http-request tcp 连接建立后,直到所有头部 阅读全文
posted @ 2021-01-07 16:02 哲淡 阅读(4406) 评论(0) 推荐(0) 编辑