Haproxy其他功能及配置

小木木

　　下面了解一下haproxy的其他功能设置，多是一些生产环境中常用的功能设置，所以列举如下。
　　一、haproxy健康检查
　　1、基于HEAD的检查方法

　　写法：
　　option httpchk HEAD /a.html HTTP/1.0
　　相当于curl http://*.*.*.*/a.html, 如果a.html不存在，即使http服务正常也会提示服务器不可用。

　　两个节点的状态原本都是正常的。
　　下面修改一下配置文件，内容添加httpchk一项：
listenwebsites
        bind  192.168.100.121:80
        option  httpchk HEAD /check.html HTTP/1.0
        timeout  server  15s
        timeout  connect 30s
        server  mylinux3  192.168.100.181:80 check port 80 inter 2000 fall 3
        server  mylinux4  192.168.100.182:80 check port 80 inter 2000 fall 3　　再次查看服务器的状态：

　　发现两个Server都是宕机的状态。

　　然而两个服务器的http服务都是正常的，只是没有check.html这个页面。
[root@mylinux3 ~]# echo check >>/var/www/html/check.html　　在mylinux3上生成check.html这个页面，再次查看监控界面：

　　发现mylinux3的状态已经恢复，说明httpchk作用正常。
　　2、基于GET的检查方法
　　写法：

　　option httpchk GET /a.txt
　　相当于wget http://*.*.*.*/a.txt，如果a.txt不存在，则即使httpd服务正常也会提示服务不可用。
　　配置示例：

listenwebsites
        bind  192.168.100.121:80
        option   httpchk GET /info.txt
        #option  httpchk HEAD /check.html HTTP/1.0
        timeout  server  15s
        timeout  connect 30s
        server  mylinux3  192.168.100.181:80 check port 80 inter 2000 fall 3
        server  mylinux4  192.168.100.182:80 check port 80 inter 2000 fall 3

　　mylinux3和mylinux4上的httpd服务正常，浏览器可以正常访问，但是监控界面两个服务器都是宕机状态。
[root@mylinux4 ~]# touch /var/www/html/info.txt　　在mylinux4上创建info.txt文件，再次刷新监控界面：

　　此时，mylinux4已经重新恢复成活动状态。
　　3、httpchk默认检查方法
　　写法：
　　option httpchk
　　这种写法就相当于option httpchk / ,也就是检查对应web服务器的站点根目录是否存在，如果不存在则认为服务器宕机（这种方法类似上面的第一种方法，就不再补图实验了）。
　　二、配置后端web服务器日志记录客户端真实IP地址

　　1、先来看一下web服务器日志，如下：
[root@mylinux3 ~]# cat /etc/httpd/logs/access_log
192.168.100.121 - - [02/Oct/2016:01:17:01 +0800] "GET / HTTP/1.1" 200 222
192.168.100.121 - - [02/Oct/2016:01:17:01 +0800] "GET / HTTP/1.1" 200 222 "-" "curl/7.19.7 (x86_64-redhat-linux-gnu) libcurl/7.19.7 NSS/3.21 Basic ECC zlib/1.2.3 libidn/1.18 libssh2/1.4.2"
192.168.100.121 - - [02/Oct/2016:01:20:53 +0800] "GET / HTTP/1.1" 200 222
192.168.100.121 - - [02/Oct/2016:01:20:53 +0800] "GET / HTTP/1.1" 200 222 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.100.121 - - [02/Oct/2016:01:20:53 +0800] "GET /favicon.ico HTTP/1.1" 404 290　　上面的日志中，第二行是我在mylinux1上使用curl访问的，而后面的都是在windows客户端通过haproxy的代理连接访问的，但是apache的日志中显示的用户IP地址都是192.168.100.121，也就是mylinux1的IP地址，这实际上不是真实的客户访问IP。如果想让web服务器记录真实的客户访问IP，则需要调整以下设置。
　　2、修改haproxy配置文件
　　在listen中添加forwardfor选项，注意：该选项只有放在listen段中才能生效，而放在global，default等其他段中无效。
listenwebsites
        bind  192.168.100.120:80
        option   forwardfor
        #option  httpchk GET /info.txt
        #option  httpchk HEAD /check.html HTTP/1.0
        timeout  server  15s
        timeout  connect 30s
        server  mylinux3  192.168.100.181:80 check port 80 inter 2000 fall 3
        server  mylinux4  192.168.100.182:80 check port 80 inter 2000 fall 3　　3、修改web服务器日志格式
　　下面以apache为例，如果想要apache记录客户端的真实IP地址，还需要修改apache的日志格式。
　　[root@mylinux3 ~]# vi /etc/httpd/conf/httpd.conf
　　[root@mylinux3 ~]# grep LogFormat /etc/httpd/conf/httpd.conf
　　LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" combined
　　#LogFormat "%h %l %u %t \"%r\" %>s %b" common
　　LogFormat "\"%{X-Forwarded-For}i\" %V %A %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" common
　　LogFormat "%{Referer}i -> %U" referer
　　LogFormat "%{User-agent}i" agent
　　#LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\" %I %O" combinedio
　　注释掉原有的日志格式（我这里是common格式，如果是其他模式可以依样修改），然后添加一行新的common格式，使用蓝色部分中的模式匹配真实IP地址。
　　4、重启web服务
[root@mylinux3 ~]# /etc/init.d/httpd restart
Stopping httpd:                                            [  OK  ]
Starting httpd: httpd: apr_sockaddr_info_get() failed for mylinux3.contoso.com
httpd: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName
                                                           [  OK  ]　　5、使用haproxy代理访问测试
[root@mylinux3 ~]# tail -f /etc/httpd/logs/access_log
"192.168.100.1" 192.168.100.120 192.168.100.181 [02/Oct/2016:01:44:12 +0800] "GET / HTTP/1.1" 200 222 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
192.168.100.121 - - [02/Oct/2016:01:44:12 +0800] "GET / HTTP/1.1" 200 222 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
"192.168.100.1" 192.168.100.120 192.168.100.181 [02/Oct/2016:01:44:13 +0800] "GET /favicon.ico HTTP/1.1" 404 290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"
192.168.100.121 - - [02/Oct/2016:01:44:13 +0800] "GET /favicon.ico HTTP/1.1" 404 290 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko"　　可以看到，已经可以记录客户端的真实IP了。
　　三、haproxy的后端服务器backup设置
　　haproxy可以设置后端服务器的高可用，也就是可以有多个服务器，但是正常情况下，只有一部分提供服务，而只有在正常提供服务的机器宕机之后，备用机器才会提供服务。
　　listenwebsites
　　        bind  192.168.100.120:80
　　        option   forwardfor
　　        #option  httpchk GET /info.txt
　　        #option  httpchk HEAD /check.html HTTP/1.0
　　        timeout  server  15s
　　        timeout  connect 30s
　　        server  mylinux3  192.168.100.181:80 check port 80 inter 2000 fall 3
　　        server  mylinux4  192.168.100.182:80 check port 80 inter 2000 fall 3 backup
　　这里设置mylinux4是备用机器，正常情况下只有mylinux3提供服务，而在haproxy认为mylinux3挂掉之后，才会启用mylinux4提供服务。
[root@mylinux1 ~]# service haproxy check
Configuration file is valid
[root@mylinux1 ~]# service haproxy restart
Stop haproxy successful.
Start haproxy successful.
[root@mylinux1 ~]# service haproxy check
Configuration file is valid
[root@mylinux1 ~]# service haproxy restart
Stop haproxy successful.
Start haproxy successful.
[root@mylinux1 ~]# curl http://192.168.100.181
mylinux3
[root@mylinux1 ~]# curl http://192.168.100.182
mylinux4
[root@mylinux1 ~]# for i in {1..20};do curl http://192.168.100.120/;done
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3
mylinux3　　

　　说明在mylinux3正常的情况下，mylinux4是不提供服务的，只当做备用机器，下面将mylinux3的web服务关闭，再进行测试：
[root@mylinux3 ~]# /etc/init.d/httpd stop
Stopping httpd:                                            [  OK  ]
[root@mylinux3 ~]#

　　mylinux3已经关闭httpd服务，在监控界面显示为不可用状态。
[root@mylinux1 ~]# for i in {1..20};do curl http://192.168.100.120/;done
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4
mylinux4　　此时，访问haproxy代理链接，全部都是转发给mylinux4，即我在haproxy配置文件中设置的备用机器。
　　另外，这里backup主机提供服务的前提是所有正常服务的主机全部都不能通过健康检查，即haproxy认为所有的提供服务的主机都是宕机状态（我这里只有一台，如果有多台的话，必须是不加backup的所有主机都无法提供服务），才会启用第一个backup主机提供服务。当然这样实际上不太好，如果正常情况下提供服务的主机有多台，而backup的主机数量较少，我们可能希望启动所有的backup主机，就需要添加如下参数：

　　option allbackups
　　四、Acl规则
　　1、首先在web服务器上创建虚拟主机

　　1）mylinux3
[root@mylinux3 conf]# cat vhost.conf

    ServerAdmin admin@web1.com
    DocumentRoot /var/www/html/web1
    ServerName www.web1.com
    ErrorLog logs/web1-error.log
    CustomLog logs/web1-access.log common


    ServerAdmin admin@web2.com
    DocumentRoot /var/www/html/web2
    ServerName www.web2.com
    ErrorLog logs/web2-error.log
    CustomLog logs/web2-access.log common

[root@mylinux3 conf]# mkdir -p /var/www/html/{web1,web2}
[root@mylinux3 conf]# echo web1 >>/var/www/html/web1/index.html
[root@mylinux3 conf]# echo web2 >>/var/www/html/web2/index.html
[root@mylinux3 conf]# /etc/init.d/httpd start
Starting httpd:                                            [  OK  ]
[root@mylinux3 conf]# curl http://192.168.100.181:8001/
web1
[root@mylinux3 conf]# curl http://192.168.100.181:8002/
web2　　2）mylinux4
[root@mylinux4 conf]# cat vhost.conf

    ServerAdmin admin@web3.com
    DocumentRoot /var/www/html/web3
    ServerName www.web3.com
    ErrorLog logs/web3-error.log
    CustomLog logs/web3-access.log common


    ServerAdmin admin@web4.com
    DocumentRoot /var/www/html/web4
    ServerName www.web4.com
    ErrorLog logs/web4-error.log
    CustomLog logs/web4-access.log common

[root@mylinux4 conf]# mkdir -p /var/www/html/{web3,web4}
[root@mylinux4 conf]# for i in {3..4};do echo web$i >> /var/www/html/web$i/index.html;done
[root@mylinux4 conf]# /etc/init.d/httpd start
Starting httpd:                                            [  OK  ]
[root@mylinux4 conf]# curl http://192.168.100.182:8001/
web3
[root@mylinux4 conf]# curl http://192.168.100.182:8002/
web4　　2、修改haproxy配置文件
global
        #log 127.0.0.1  local0
log 127.0.0.1:514  local0  warning
        pidfile /usr/local/haproxy/var/run/haproxy.pid
        daemon
maxconn 4096
chroot /usr/local/haproxy/var/chroot
user haproxy
group haproxy
        nbproc 1
defaults
logglobal
        mode    http
retries3
        option  httplog
        option  httpclose
        option  dontlognull
        option  forwardfor
option  redispatch
maxconn2000
        balance roundrobin
timeout connect 5000
timeout client  50000
timeoutserver          50000
listen  haproxy_stats
        bind   *:8000
        mode   http
        option httplog
        maxconn 20
        stats enable
        stats refresh 30s
        stats uri /haproxy_status
        stats auth admin:123456
        stats hide-version
#listenwebsites  
#        bind  192.168.100.120:80
#        option   forwardfor
#        #option  httpchk GET /info.txt
#        #option  httpchk HEAD /check.html HTTP/1.0
#        timeout  server  15s
#        timeout  connect 30s
#        server  mylinux3  192.168.100.181:80 check port 80 inter 2000 fall 3
#        server  mylinux4  192.168.100.182:80 check port 80 inter 2000 fall 3 backup
#
frontend web
         bind 192.168.100.121:80
         acl mylinux3_dom hdr(host) -i www.mylinux3.com #acl规则名称为mylinux3_dom，规则为检查访问域名是否为www.mylinux3.com，-i表示不区分大小写
         acl mylinux4_dom hdr(host) -i www.mylinux4.com
         use_backend mylinux3 if mylinux3_dom #如果符合mylinux3_dom规则，则转发给mylinux3的后端作用域
         use_backend mylinux4 if mylinux4_dom #如果符合mylinux4_dom规则，则转发给mylinux4的后端作用域
         default_backend mylinux3  #默认情况下转发给mylinux3的后端作用域
backend  mylinux3   #定义一个后端作用域
         balance  leastconn  #轮询方式，最小连接数
         option   httpclose  #每次请求完毕后，主动关闭http通道
         option   forwardfor  #如果后端服务器需要获得客户端真实ip需要配置的参数，可以从Http Header中获得客户端ip  
         server   web1  192.168.100.181:8001 check port 8001 inter 2000 fall 1
         server   web2  192.168.100.181:8002 check port 8002 inter 2000 fall 1
backend  mylinux4
         balance  roundrobin
         option   httpclose
         option   forwardfor
         option   redispatch  #当serverId对应的服务器挂掉后，强制定向到其他健康的服务器
         #option   httpchk  /index.html HTTP/1.0
         server   web1  192.168.100.182:8001 check port 8001 inter 1000 fall 2
         server   web2  192.168.100.182:8002 check port 8002 inter 1000 fall 2　　3、重启haproxy服务
[root@mylinux1 conf]# service haproxy restart
Stop haproxy successful.
Start haproxy successful.　　4、查看监控界面

　　5、修改windows客户端hosts文件
　　注：这里是因为没有DNS，所以windows要进行访问需要修改hosts文件，如果是生产环境，haproxy代理绑定外网IP，然后通过DNS将域名进行解析，就可以直接通过域名访问了。

　　然后访问www.mylinux3.com

　　然后访问www.mylinux4.com

　　而访问http://192.168.100.121/

　　6、在linux上进行测试
[root@mylinux1 conf]# vi /etc/hosts
[root@mylinux1 conf]# tail -1 /etc/hosts
192.168.100.121  www.mylinux3.com  www.mylinux4.com
[root@mylinux1 conf]# for i in {1..10};do curl http://www.mylinux3.com/;done
web1
web2
web1
web2
web1
web2
web1
web2
web1
web2
[root@mylinux1 conf]# for i in {1..10};do curl http://www.mylinux4.com/;done
web3
web4
web3
web4
web3
web4
web3
web4
web3
web4
[root@mylinux1 conf]# for i in {1..10};do curl http://192.168.100.121/;done
web1
web2
web1
web2
web1
web2
web1
web2
web1
web2　　综合上述测试结果，只要是符合mylinux3_dom规则的都会转发给backend为mylinux3进行展示，也就是mylinux3上的web1和web2，而符合mylinux4_dom规则的都会转发给backend为mylinux4进行展示，也就是mylinux4上的web3和web4。
　　五、haproxy的301跳转
　　1、修改haproxy配置文件

　　这里只修改frontend段，所以就把修改部分粘贴出来，其他的和上面的保持一致。
　　frontend web
　　         bind 192.168.100.121:80
　　         acl mylinux3_dom hdr(host) -i www.mylinux3.com
　　         acl mylinux4_dom hdr(host) -i www.mylinux4.com
　　         acl mylinux_dom hdr(host) -i www.mylinux.com
　　         redirect prefix http://www.baidu.com code 301 if mylinux_dom
　　

　　         use_backend mylinux3 if mylinux3_dom
　　         use_backend mylinux4 if mylinux4_dom
　　         default_backend mylinux3
　　2、修改windows配置文件
　　192.168.100.121  www.mylinux3.com  www.mylinux4.com  www.mylinux.com
　　3、测试配置结果
　　浏览器中输入http://www.mylinux.com

　　可以看到，已经成功的跳转到百度的界面了。
　　六、haproxy动静分离
　　1、web服务器创建相应目录

[root@mylinux3 conf]# mkdir /var/www/html/web1/php
[root@mylinux3 conf]# echo "php on web1" >>/var/www/html/web1/php/index.html
[root@mylinux3 conf]# mkdir /var/www/html/web2/php
[root@mylinux3 conf]# echo "php on web2" >>/var/www/html/web2/php/index.html
[root@mylinux3 conf]# curl http://192.168.100.181:8001/php/
php on web1
[root@mylinux3 conf]# curl http://192.168.100.181:8002/php/
php on web2
[root@mylinux4 conf]# mkdir /var/www/html/web3/java
[root@mylinux4 conf]# echo "java on web3" >>/var/www/html/web3/java/index.html
[root@mylinux4 conf]# mkdir /var/www/html/web4/java
[root@mylinux4 conf]# echo "java on web4" >>/var/www/html/web4/java/index.html
[root@mylinux4 conf]# curl http://192.168.100.182:8001/java/
java on web3
[root@mylinux4 conf]# curl http://192.168.100.182:8002/java/
java on web4　　2、修改haproxy配置文件
　　frontend web
　　         bind 192.168.100.121:80
　　         #acl mylinux3_dom hdr(host) -i www.mylinux3.com
　　         #acl mylinux4_dom hdr(host) -i www.mylinux4.com
　　         #acl mylinux_dom hdr(host) -i www.mylinux.com
　　         #redirect prefix http://www.baidu.com code 301 if mylinux_dom
　　

　　         #use_backend mylinux3 if mylinux3_dom
　　         #use_backend mylinux4 if mylinux4_dom
　　         #default_backend mylinux3
　　         acl  web_php   path_beg  /php/
　　         acl  web_java  path   /java/
　　         acl  web_static path  /
　　
　　         use_backend  mylinux3  if web_php #访问路径中包含php的就转给mylinux3后端作用域，这里是模仿动态php内容转发
　　         use_backend  mylinux4  if web_java #访问路径中包含java的就转给mylinux4后端作用域，这里是模仿动态java内容转发
　　         default_backend web80  #默认情况下转给web80后端作用域,相当于静态内容
　　

　　

　　backend  mylinux3
　　         balance  leastconn
　　         option   httpclose
　　         option   forwardfor
　　         server   web1  192.168.100.181:8001 check port 8001 inter 2000 fall 1
　　         server   web2  192.168.100.181:8002 check port 8002 inter 2000 fall 1
　　

　　backend  mylinux4
　　         balance  roundrobin
　　         option   httpclose
　　         option   forwardfor
　　         option   redispatch
　　         #option   httpchk  /index.html HTTP/1.0
　　         server   web1  192.168.100.182:8001 check port 8001 inter 1000 fall 2
　　         server   web2  192.168.100.182:8002 check port 8002 inter 1000 fall 2
　　

　　backend  web80
　　         balance  roundrobin
　　         option   httpclose
　　         option   forwardfor
　　         server   web1  192.168.100.181:80  check port 80 inter 2000 fall 3
　　         server   web2  192.168.100.182:80  check port 80 inter 2000 fall 3
　　3、重启haproxy服务
[root@mylinux1 conf]# service haproxy restart
Stop haproxy successful.
Start haproxy successful.　　4、测试访问结果
[root@mylinux1 conf]# curl http://192.168.100.121/
mylinux3
[root@mylinux1 conf]# curl http://192.168.100.121/
mylinux4
[root@mylinux1 conf]# curl http://192.168.100.121/php/
php on web1
[root@mylinux1 conf]# curl http://192.168.100.121/php/
php on web2
[root@mylinux1 conf]# curl http://192.168.100.121/java/
java on web3
[root@mylinux1 conf]# curl http://192.168.100.121/java/
java on web4　　这样就实现了网站动态内容和静态内容的分离，默认情况下是静态内容，如果是php则访问存在php的后端作用域，如果是java则访问java内容放置的后端作用域。
　　另外，也可以基于扩展名进行转发，只要是静态的内容，如.html/.jpg./png/.txt等统一做跳转，而动态内容，如.php/.java等统一做跳转，配置的格式如下：
acl  web_pic   path_end  .gif .jpg .png .bmp
acl  web_dynamic  path_end   .java .php .js


use_backend pic if web_pic
use_backend dynamic if web_dynamic
　　七、基于客户端进行7层跳转
　　很多网站都有基于访问客户端进行展示对应页面的功能，比如PC访问是www.***.com，安卓手机访问是android.***.com，IPhone访问是iphone.***.com，这样的效果很多是通过代码实现的，但实际上haproxy就能实现类似的功能。
　　修改配置文件，添加如下内容：

　　acl iphone_users hdr_sub(user-agent) -i iphone
　　redirect prefix http://iphone.***.com if iphone_users
　　acl android_users hdr_sub(user-agent) -i android
　　redirect prefix http://android.***.com if android_users
　　这里因为限制，无法进行测试，所以就不再补图说明了。但是需要注意一点，user-agent设备类型可以到web服务器日志中查看，需要检查是否iPhone设备的类型都是iphone，比如iphone5，iphone6，ipad都进行访问，然后查看日志，找出对应的设备类型，要根据日志中的设备类型进行设置，以免出现设备访问的页面出现不匹配设备的情况。
　　八、haproxy设置访问控制
　　1、修改配置文件，添加下面黄色部分内容
　　frontend web
　　         bind 192.168.100.121:80
　　         #acl mylinux3_dom hdr(host) -i www.mylinux3.com
　　         #acl mylinux4_dom hdr(host) -i www.mylinux4.com
　　         #acl mylinux_dom hdr(host) -i www.mylinux.com
　　         #redirect prefix http://www.baidu.com code 301 if mylinux_dom
　　

　　         #use_backend mylinux3 if mylinux3_dom
　　         #use_backend mylinux4 if mylinux4_dom
　　         #default_backend mylinux3
　　         acl  web_php   path_beg  /php/
　　         acl  web_java  path   /java/
　　         
　　         acl  valid_ip  src  172.16.100.0/24
　　         http-request deny if !valid_ip  #在之前的版本中时block if !valid_ip，现在换为http-request deny，功能是一样的
　　

　　         use_backend  mylinux3  if web_php
　　         use_backend  mylinux4  if web_java
　　         default_backend web80
　　2、重启haproxy服务
[root@mylinux1 conf]# service haproxy restart
Stop haproxy successful.
Start haproxy successful.　　3、测试结果

　　Windows客户端没有172.16.100.0/24段的IP地址，所以访问拒绝。
　　这个功能可以用来提供一个内部测试的站点，然后只允许内部IP访问，其他外部访问统统拒绝，也是一个不错的测试方式。