HAProxy的ACL用于实现基于请求报文首部、响应报文的内容或其他的环境状态信息来做出转发决策,这大大增强了其配置弹性,其配置法则通常分为两步,
首先去定义ACL,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端。
1、定义ACL语法:
acl <aclname> <criterion> [flags] [operator] <value> ...
<aclname>:ACL名称,区分字符大小写,且只能包含大小写字母,数字,-(连接线),_(下划线),.(点号),和:(冒号);
haproxy中,acl可以重名,这可以把多个测试条件定义为一个共同的acl;
<criterion>:测试标准,即对什么信息发起测试,测试方式可以由[flags]指定的标志进行调整,而有些测试标准也可以需要为其在<value>指定指定一个操作符[operator]
[flags]:目前haproxy的acl支持的标志位有3个:
-i:不区分<value>中模式字符的大小写;
-f:从指定的文件中加载模式;
--:标识符的强制结束标记,在模式中的字符串像标记符时使用;
<value>:acl测试条件支持的值有以下四类:
整数或整数范围:如1024:65535表示从1024至65535,仅支持使用正整数(如果出现类似小数的标识,其为通常为测试版本),其支持使用的操作符有五个
分别为:eq、ge、gt、le和lt;
字符串:支持使用"-i"以忽略字符大小写,支持使用""进行转义,如果在模式首部出现了-i,可以在其之前使用"--"标志位;
正则表达式:其机制类同字符串匹配
IP地址及网络地址
同一个acl中可以指定多个测试条件,这些测试条件需要由逻辑操作符指定其关系,条件件的组合测试关系有三种:
"与"(默认即为与操作)
"或"(使用"||"操作符)
"非"(使用"!"操作符)
2、常用的测试标准(criteria)
be_sess_rate(backend) <integer>
用于测试指定的backend上会话创建的速率(即每秒创建的会话数)
是否满足指定的条件:常用于在制定backend上的会话速率过高时将用户请求转发至另外的backend,用于组织攻击行为,例如:
backend dynamic
mode http
acl being_scanned be_sess_rate gt 50
redirect location /error_pages/denied.html if being_scanned
fe_sess_rate <integer>
用于测试指定的frontend(或当前frontend)上的会话创建速率是否满足指定的条件:常用于为frontend指定一个合理的会话创建速录
上限以防止服务被滥用。例如下面的例子限定入站邮件速率不能大于50封/秒,所有在此指定范围之外的请求都将被延迟50毫秒。
frontend mail
bind :25
mode tcp
maxconn 500
acl too_fast fe_sess_rate ge 50
tcp-request inspect-delay 50ms
tcp-request content accept if ! too_fast
tcp-request content accept if WAIT_END
hdr(header) <string>
用于测试请求报文中的所有首部或指定首部是否满足指定条件,指定首部时,其名称不区分大小写,且在括号"()"中不能有任何多余的
空白字符,测试服务器端的响应报文时可以使用shdr(),例如下面的例子用于测试首部Connection的值是否为close。
hdr(Connection) -i close
method <string>
测试HTTP请求报文的方法
path_beg <string>
用于测试请求的URL是否以<string>指定的模式开头,下面的例子用于测试URL是否以/static、/images、/javascript或/stylesheets头
acl url_static path_beg -i /static /images /javascript /stylesheets
path_end <string>
用于测试请求的URL是否以<string>指定的模式结尾,例如下面的例子测试URL是否以jpg、gif、png、css或js结尾
acl url_static path_end -i .jpg .gif .png .css .js
hdr_beg <string>
用于测试请求报文的指定首部的开头部分是否符合<string>
指定的模式。例如,下面的例子测试请求是否为提供静态内容的主机img、vides、download或ftp
acl host_static hdr_beg(host) -i img. video. download. ftp.
hdr_end <string>
用于测试请求报文的指定首部的结尾部分是否符合<string>指定的模式;
3、动静分离实例:
frontend http-in
bind *:80
mode http
log global
option httpclose
option logasap
option dontlognull
capture request header Host len 20
capture request header Refer len 60
acl url_static path_beg -i /static /images /javascript /stylesheets
acl url_static path_end -i .jpg .gif .png .css .js
use_backend static_servers if url_static
default_backend dynamic_servers
backend static_servers
balance roundrobin
server imgsrv1 192.168.1.110:80 check maxconn 6000
server imgsrv2 192.168.1.184:80 check maxconn 6000
backend dynamic_servers
cookie srv insert nocache
balance roundrobin
server websrv1 192.168.1.111:80 check maxconn 1000 cookie websrv1
server websrv2 192.168.1.112:80 check maxconn 1000 cookie websrv2