• HAproxy负载均衡-ACL篇


    ACL定制法则:

         开放策略:拒绝所有,只开放已知

         拒绝策略:允许所有,只拒绝某些

    事实上实现安全策略,无非也就是以上两种方法

    redirect

    参考:http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#4-redirect

    如果符合某种特定条件,则返回某种新的前缀

    acl clear         dst_port 80
    acl secure         dst_port 8080
    acl login_page      url_beg         /login                         

    #如果url的地址,除了主机名之外是login的页面则定义成logon,如果是登录页面却又属于不安全的连接 那么
    acl logout         url_beg         /logout
    acl uid_given        url_reg          /login?userid=[^&]+
    acl cookie_set       hdr_sub(cookie)SEEN=1                         #取得cookie的子串,如果没有cookie则:

    redirect prefix   https://mysite.com set-cookie SEEN=1 if!cookie_set        #如果定义的第一个用户来访问我们的站点的时候,没有被设置cookie 在将用户的请求转为https


    redirect prefix  https://mysite.com             iflogin_page !secure
    redirect prefix   http://mysite.com drop-query             if login_page !uid_given
    redirect locationhttp://mysite.com/               if !login_page secure
    redirect location / clear-cookie USERID=               if logout

    我们自定定义一个acl

    如果访问的是/bbs开头的地址,那么将其跳转到/forum

    acl acbbs url_beg/bbs

    redirect /forum if/bbs     #if判断是否匹配/bbs  如果匹配则将/bbs 跳转至/forum

    只不过对于haproxy来讲需要基于acl的机制来实现,所以要比nginx要麻烦一点

    reqadd

    如果访问的是ssl则则加入X-Proto首部

    acl is-ssldst_prot 81

    reqadd X-Proto:SSL if is-ssl

    rspadd

    响应报文首部,所有响应首部都需要经过haproxy,因此经过haproxy的时候,想通告其客户端是通过haproxy来转发过来的,因此这时候会在首部添加一个 X-Via首部,明确说明是通过代理服务器转发的

    #只要是通过haproxy转发的请求统统添加首部信息,如下所示:

    rspadd X-Via: 10.0.10.61        #haproxy的IP地址 

    Server的检测机制

    backup

    check

    disabled

    fall          #检测机[1]制,检测超过几次认为失败

    inter          #检测的时间间隔

    另外inter还可以对其做优化:

    fastinter       #快速检测

    downinter       #慢速检测

    以上可以做启发式检测,如果发现故障了可以将其快速检测几次

    限制最大连接数

    Maxconn参数为最大连接数,可以将其限制最大连接数,如下所示

    backend webserver
        balance uri
        hash-type consistent
        server   web1 10.0.10.82:80 check  weight 1 maxconn 2000
        server   web2 10.0.10.83:80 check  weight 1 maxconn 3000

    访问管理页面:

    wKiom1OuQ6Oi_aP-AAFu_XJOHmA317.jpg

    如果请求过多,所有超出这个最大连接数 ,如果还被转发至这个服务器中会被放入至等待队列中,如果队列也超时了,这个请求则会直接被响应403

    maxqueue

    维持每个队列的长度

    minconn

    最少连接,用来将maxconn定制为动态值

    observer<mode>

    健康状态监测,如果存活则不对其检查
    可以根据4/7层做观测


    redir

    所有发往这个服务器的请求做重定向,因此可以实现单台服务器的重定向

    实现重定向:

    server  web1 10.0.10.82:80 check  weight 1 maxconn 2000 redir http://www.baidu.com

    访问测试,可发现最后访问其haproxy的IP地址 最后被跳转至百度页面中了

    slowstart

    让haproxy支持慢启动,但是对于haproxy来讲第一启动是没有任何意义的

    慢启动只在服务器故障又重新上线的时候才有效果

    weight

        权重

    HAproxy 的 ACL 机制

    http访问控制参数

    rediect blockhttp-request use_backend

    但凡是使用if的时候必须使用acl进行定义,访问控制列表的定义可以通过源地址/目标地址,源端口目标端口来定义,所以acl中所支持定义的标准和机制还是比较多的

    定义ACLacl <aclname> <creterion> [flags][operator] <value>

    ·ACL     基本定义语法

    ·acl     名称 acl标准 [标志位][操作]

    ·acl     区分大小写

    通常参数都是 -i

    值的类型

    e.g 1024:65535

    比较操作

    eg ge gt le lt

    字符串

      常用参数  -i

    常用的匹配标准:

    dst       目标地址

    dst_port    目标端口

    src       源地址

    src_prot    源端口

    acl goodguys src ip/24             如果是goodguys则允许访问

    tcp-request content accept if goodguys   如果是goodguys则允许发起连接请求

    tcp-request content reject          没有if语句 则拒绝所有(reject)

     ============================================================================

     

    基于SRC做访问控制

    我们期望用户访问的时候如果来源地址是10.0.10.1则拒绝访问

    frontend  web_server

          bind*:80

          default_backend webservers

          acl badguy src 10.0.10.1

          block if badguy

    #acl定义规则名称为badguy,并且定义如果来源是10.0.10.1的IP地址拒绝访问

    #block表示拒绝的意思,if后面加判断,如果匹配badguy名称定义的规则那么就执行block的操作

    ==>访问效果 403 Forbidden

    使用重定向

    如果想访问403页面重定向到其他页面的话,则:

    frontend web_server
          bind *:80

          default_backend webserver

          acl badguy src 10.0.10.1
           block if badguy
           errorloc 403 http://baidu.com/     #定义403错误页面重定向

    在七层做其他的匹配

    hdr(header) <string>  检查首部是否属于某个指定字符的

      frontend web_server
        bind *:80
        default_backend webserver
        acl badguy src 10.0.10.1
        acl dstipaddr hdr(Host) 10.0.10.61
        redirect location  http://www.qq.com/ if dstipaddr
        errorloc 403 http://baidu.com

    #以上,通过har机制检测 如果头部信息包含此IP地址10.0.10.61那么将其重定向至qq.com

    #如果非此IP地址,那么请求的uri返回是403,那么则直接跳转到baidu.com

    hdr_reg(header) <redex> 正则表达式匹配  说明某个首部的值只要匹配这个正则,则执行跳转 

    http_first_req  第一次请求匹配

    method <string>  访问方法匹配(GET或POST等)

    实现简单动静分离功能

      acl read method GET

      acl read method HEAD  

      acl write method PUT

      acl write method POST

      use_backend imgser  if read

      use_backend upload  if write

    基于path http路径做访问控制

    path <string>

    是做精确匹配的,因此通常只匹配用户已经知道的文件路径

    来自某个ip的主机访问的是1.html 则拒绝访问,其他全部放行,则:

    #首先定义acl 名称denyfile 根据path来做访问控制,而path一定跟的是具体访问路径

    #http-reques 来做规则 如果是badguy 并且访问的是denyfile 如果匹配两者则deny掉

    frontend web_server
        bind *:80
        default_backend webserver
        acl badguy src 10.0.10.1
        acl denyfile path/1.html
        http-request deny if badguy denyfile

    ==>重新加载配置文件,并且访问测试:访问/1.html 则返回403 ,访问其他uri则正常返回

    path_beg <string>

    path只能定义单一路径或文件,但是path_beg可以定义多个文件或路径

    实例:实现动静分离功能

    首先定义两个backend,分别以动态和静态进行分组

      backend jingtai
        balance roundrobin
        server   web1 10.0.10.82:80 check  weight 1maxconn 2000

      backend dongtai
        balance roundrobin
        server   web2 10.0.10.83:80 check  weight 1maxconn 3000

    配置frontend  

      frontend  web_server

        bind *:80

        default_backend webservers

        acl badguy src 10.0.10.1

        acl denyfile path /1.html

        #http-request deny if badguy denyfile 

        acl static path_end .html

        use_backend   jingtai if static

        default_backend dongtai

    #定义acl名称为static ,如果访问匹配是.html结尾的文件,那么直接跳转至jingtai 这个backend

    #如果访问的不匹配.html 那么直接跳转至默认backend dongtai组

    实现完全动静分离

    path_end中可以使用-i参数指定多个选项

    修改配置信息,将一系列尽可能出现的静态内容文件类型加入acl的static组内

        bind *:80

        default_backend webservers

        acl badguy src 10.0.10.1

        acl denyfile path /1.html

        #http-request deny if badguy denyfile 

        acl static path_end -i .html .jpg .png.jpeg .gif .swf .css .xml .txt .pdf

        use_backend jingtai if static

        default_backend dongtai

    path_reg <regex>正在表达式匹配

    acl url_static  path_reg  -i .jpg$ .html$  ^/static ^/images^/stylsheets 

    基于正则表达式匹配要比基于字符匹配慢很多,所以如果可以写成字符匹配就尽可能使用 path_end path_end 而不要使用path_reg

    url <string>

    之前我们在用path做匹配的时候发现,path不包含头部信息,而url全部包含

    做url匹配要做整个路径匹配,但事实上用的最多的是path 而不是url,以为用户访问文件的时候,可能是这样访问:

    http://xxx.com/login.PHP?name=test&password=xxxx

    很显然login.php 才是访问的文件,而根据整个路径结尾进行判断的话则不能判断其类型的,所以更多用到的是path_end ,因为path_end顶多只能匹配到login.php,而不包含后面的内容

    url_beg <string>  url开头 

    url_end <string>  url结尾

    有些时候我们用url做匹配的时候可能会使用多条进行组合起来

    比如:

    如果badguy 访问的是除了denyfile之外的其他文件,则将被拒绝

    http-request deny  if badguy !denyfile

    如果badguy或其他人访问的是除了denyfile之外的其他文件,则将被拒绝

    http-request deny  if badguy OR denyfile

    健康状态检查机制

    monitor-uri

    通过web组件实现监控的,明确指定监控哪个uri而不是内部监控机制(check)

    frontend www

       bind :80

       monitor-uri   /haproxy  

    意思为做状态监测必须去请求这个uri的页面,能请求到并且状态为200则认为正常的

    httpchk

    做服务器的健康状态监测的时候明确说明http协议,可以指定检查那个uri,还可以指定那种方式检查uri,只启用就明确说明只做uri监测 而后面的监测方法全部省略了

    backendhttps_relay
        mode tcp
        option httpchk OPTIONS * HTTP/1.1 Host: www
        server apache1 192.168.1.1:443 check port 80     

    也就意味着我们做健康检测的时候,是发送自定义信息去check

    也就是说httpchk是发送的自定义的方法以及发送的请求报文格式的,只有发送的请求返回值是200,才认为正常否则失败的

    http请求格式:

    <method><uri> <version>

    <header> 

    <body>

    将OPTIONS *HTTP/1.1 Host: www 转换成标准格式,如下所示:

    OPTIONS * HTTP/1.1

    Host: www

    例:定义对MySQL进行检测

    option mysqlchkuser mysqlusername

    使用option参数套mysqlchk插件以mysqlusername的名称去连接mysql,只要能连接上,则认为数据库正常,否则不允许连接

    综合示例:

    示例1.实现动静分离

    匹配以/static/images /img /css 目录的URI,并匹配以静态文件内容的URI

    acl usr_static path_beg -i /static /images /img /css   

    acl usr_static path_end -i .gif .png .jpg

    #判断用户访问如果主机名以www开头的话则标示为host_www

    acl host_www hdr_beg(host) -i www

    #如果主机是以img video download 的域名开头,都被认为是静态内容

    acl host_static hdr_beg(host) -i img. video. download.

    #而后做匹配内容,如果三者匹配其中一个则分发至backend static组

    use_backend static if host_static or host_www or url_static

    default_backend appservers

    实例                 
    global
        pidfile /var/run/haproxy.pid
        log 127.0.0.1 local0 info

    defaults
      mode http
      clitimeout        600000   # maximum inactivity time on the client side
      srvtimeout        600000   # maximum inactivity time on the server side
      timeout connect      8000    # maximum time to wait for aconnection attempt to a server to succeed
       

        stats enable
        stats auth        admin:password
        stats uri        /monitor
        stats refresh      5s
        option httpchk      GET /status
        retries          5
        option redispatch
        errorfile 503 /path/to/503.text.file

        balance roundrobin     # each server isused in turns, according to assigned weight

    frontend http
        bind :80
        monitor-uri   /haproxy  # end point tomonitor HAProxy status (returns 200)

    #只要用户访问的path路径是以api开头则匹配 /api1/a.php /api1/ /api1
        acl api1 path_reg ^/api1/?
        acl api2 path_reg ^/api2/?

    #如果是api1的话则使用backend api1 以此类推
        use_backend api1 if api1
        use_backend api2 if api2

    backend api1
        # option httpclose
        server srv0 127.0.0.1:9000 weight 1 maxconn 100 check inter4000
        server srv1 127.0.0.1:9001 weight 1 maxconn 100 check inter4000
        server srv2 127.0.0.1:9002 weight 1 maxconn 100 check inter4000
    backend api2
        option httpclose
        server srv01 127.0.0.1:8000 weight 1 maxconn 50 check inter 4000

    #但是没有默认服务器也就意味着只允许用户请求api1api2,以别的任何方式都访问不到

    haproxylisten配置示例:

    基于COOKIE做持久连接

    只要在listen中还是在backend中是要使用cookie指令 就意味着server中去引用这个cookie的,每个用户都加上sessionid,因此会为每个用户请求插入一个会话ID,因此基于这个会话id做负载均衡调度

    listen webfarm
        bind 192.168.0.99:80
        mode http
        stats enable
        stats auth someuser:somepassword             #指定某个用户某个密码
        balance roundrobin                   #指定调度算法
        cookie JSESSIONID prefix               #基于cookie做负载均衡
        option httpclose                   

        option forwardfor                   #添加首部信息
        option httpchk HEAD /check.txt HTTP/1.0    #http首部请求的方法是head 请求的是 /check.txt 协议是1.0 ,没有跟主机就意味着请求的是默认主机,而不是检测虚拟主机
        server webA 192.168.0.102:80 cookie A check     #使用cookie做了负载均衡
        server webB 192.168.0.103:80 cookie B check

    对mysql读集群做负载均衡

    只是对于读请求可以做负载均衡,如果对于写做负载均衡的时候直接这样调度是不合适的

    frontend mysqlservers
         bind *:3306
         default_backend myservs

    backend myservs
         balance leastconn
         option mysqlchk user root
         server myserv1 172.16.100.11:3306 check
         server myserv2 172.16.100.12:3306 check

    blog.csdn.net/tantexian

  • 相关阅读:
    Java图片裁剪
    jvm参数
    Druid数据源监控配置
    执行jar包或执行其中的某个类
    十进制和二进制之间的相互转化
    Java位运算
    获取网络资源保存本地
    前端PHP入门-010-内部函数
    前端PHP入门-011-可变函数
    前端PHP入门-009-匿名函数
  • 原文地址:https://www.cnblogs.com/tianciliangen/p/7986582.html
Copyright © 2020-2023  润新知