通过Haproxy的ACL规划实现智能负载均衡，并简述tcp、http、health的配置示例

实验环境

后端主机1

设置seLinux、取消防火墙和同步时间

yum install -y ntpdate
ntpdate time1.aliyun.com

[root@node-73 ~]# yum -y install httpd
[root@node-73 ~]# mkdir /data/web/vhost{1,2} -pv
mkdir: 已创建目录 "/data/web"
mkdir: 已创建目录 "/data/web/vhost1"
mkdir: 已创建目录 "/data/web/vhost2"
[root@node-73 ~]# find /usr/share -iname "*.jpg" -exec cp {} /data/web/vhost1/ \;
[root@node-73 ~]# find /usr/share -iname "*.jpg" -exec cp {} /data/web/vhost2/ \;

[root@node-73 ~]# vim /data/web/vhost1/test.txt
ImageServer 1
[root@node-73 ~]# vim /data/web/vhost2/test.txt
ImageServer 2
[root@node-73 ~]# vim /etc/httpd/conf.d/vhost1.conf
[root@node-73 ~]# vim /etc/httpd/conf.d/vhost2.conf
[root@node-73 ~]# systemctl start httpd
[root@node-73 ~]# ss -tnl                
LISTEN      0      128    :::8080               :::*                  
LISTEN      0      128    :::80                 :::*

后端主机2：

设置seLinux、取消防火墙和同步时间

yum install -y ntpdate
ntpdate time1.aliyun.com

[root@node-74 ~]# yum -y install httpd
[root@node-74 ~]# mkdir /data/web/vhost{1,2} -pv
mkdir: 已创建目录 "/data/web"
mkdir: 已创建目录 "/data/web/vhost1"
mkdir: 已创建目录 "/data/web/vhost2"
[root@node-74 ~]# vim /data/web/vhost1/info.php

<h1>Application Server1</h1>
 <?php
        phpinfo();
   ?>   
[root@node-74 ~]# cp  /data/web/vhost{1,2}/info.php #复制文件到vhsot2
[root@node-74 ~]# vim /data/web/vhost2/info.php

<h1>Application Server2</h1>  #修改
 <?php
        phpinfo();
   ?> 
[root@node-74 ~]# vim /etc/httpd/conf.d/vhost1.conf #配置虚拟主机1

<VirtualHost *:80>
         ServerName www1.hehe.com
         DocumentRoot "/data/web/vhost1"
         <Directory "/data/web/vhost1">
               Options FollowSymLinks
               AllowOverride None
               Require all granted
         </Directory>
</VirtualHost>
[root@node-74 ~]# cp /etc/httpd/conf.d/vhost{1,2}.conf #拷贝配置
[root@node-74 ~]# vim /etc/httpd/conf.d/vhost2.conf #编辑虚拟主机2

listen 8080
<VirtualHost *:8080>
         ServerName www1.hehe.com
         DocumentRoot "/data/web/vhost2"
         <Directory "/data/web/vhost2">
               Options FollowSymLinks
               AllowOverride None
               Require all granted
         </Directory>
</VirtualHost>
[root@node-74 ~]# scp /etc/httpd/conf.d/vhost*.conf 192.168.1.73:/etc/httpd/conf.d/   #把配置拷贝到node1主机上

[root@node-74 ~]# systemctl start httpd.service #启动httpd
[root@node-74 ~]# ss -tnl                 
LISTEN      0      128    :::8080               :::*                  
LISTEN      0      128    :::80                 :::*

haproxy主机

设置seLinux、取消防火墙和同步时间

yum install -y ntpdate
ntpdate time1.aliyun.com

创建CA自签证

[root@haproxy-75 ~]# cd /etc/pki/CA/
[root@haproxy-75 CA]# (umask 077; openssl genrsa -out private/cakey.pem 4096)
[root@haproxy-75 CA]# openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 365
[root@haproxy-75 CA]# touch index.txt
[root@haproxy-75 CA]# echo 01 > serial

[root@haproxy-75 CA]# cd /etc/haproxy/
[root@haproxy-75 haproxy]# mkdir certs
[root@haproxy-75 haproxy]# cd certs

[root@haproxy-75 certs]# openssl genrsa -out haproxy.key 2048
[root@haproxy-75 certs]# openssl req -new -key haproxy.key -out haproxy.csr
[root@haproxy-75 certs]# ls
haproxy.csr  haproxy.key

[root@haproxy-75 certs]# openssl ca -in haproxy.csr -out haproxy.crt
[root@haproxy-75 certs]# cat haproxy.crt haproxy.key > haproxy.pem
[root@haproxy-75 certs]# ls
haproxy.crt  haproxy.csr  haproxy.key  haproxy.pem
[root@haproxy-75 certs]# chmod 600 haproxy.pem

[root@haproxy-75 ~]# vim /etc/haproxy/haproxy.cfg
frontend web *:80
   compression algo gzip
   compression type text/html text/plain /application/xml application/javascript
   acl static path_end .jpg .jpeg.png .gif .txt .html .css .javascript .
js  #定义静态acl匹配规则，后缀匹配
   acl static path_beg /imgs /css /javascripts #定义静态acl匹配规则，前缀匹配
   acl bad_browsers hdr_reg(User-Agent) .*curl.* #定义名为bad_browsers的acl规则，url中后缀匹配字符中有curl
   block if bad_browsers #调用bad_browsers规则 ，符合就阻塞
   acl valid_referers hdr_reg(Referer) \.hehe1\.com #定义一个名为valid_referers的acl，正则表达式匹配
   block unless valid_referers #调用acl，如果匹配则放行
   use_backend staticsrvs if static  #使用静态acl匹配规则
   default_backend dynsrvs #未匹配到acl的，使用默认后端主机，动态内容

frontend https
   bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem #使用认证并指明pem认证文件路径
   acl static path_end .jpg .jpeg.png .gif .txt .html .css .javascript .js #定义后缀匹配规则
   acl static path_beg /imgs /css /javascripts
   use_backend staticsrvs if static
   default_backend dynsrvs

frontend http
    bind *.8080
    redirect scheme https if !{ ssl_fc } #把8080端口的请求重向定443

backend dynsrvs   #动态主机组
   cookie SRV insert indirect nocache #启用cookie绑定
   balance roundrobin
   server dynsrv1 192.168.1.74:80 check cookie dynsrv1
   server dynsrv2 192.168.1.74:8080 check cookie dynsrv2

backend staticsrvs  #静态主机组
   balance roundrobin
   server staticsrv1 192.168.1.73:80 check               
   server staticsrv2 192.168.1.73:8080 check 


listen stats
   bind *:9099
   stats enable
   stats uri /myproxy?admin #自定义信息页地址
   stats realm "HAProxy Stats Page" #认证提示
   stats auth admin:admin #认证时用的用户名和密码
   stats admin if TRUE  #启用信息页管理功能，总是为真
[root@haproxy-75 ~]# systemctl restart haproxy
[root@haproxy-75 ~]# ss -tnl
LISTEN     0      128                                                                           *:9099                                                                                      *:*                  
LISTEN     0      128                                                                           *:8080                                                                                      *:*                  
LISTEN     0      128                                                                           *:80                                                                                        *:*                         
LISTEN     0      128                                                                           *:443                                                                                       *:*

访问测试

haproxy管理页

cookie绑定

image.png

图片访问

https访问

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 206,968评论 6赞 482
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 88,601评论 2赞 382
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 153,220评论 0赞 344
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 55,416评论 1赞 279
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 64,425评论 5赞 374
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 49,144评论 1赞 285
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 38,432评论 3赞 401
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 37,088评论 0赞 261
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 43,586评论 1赞 300
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 36,028评论 2赞 325
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 38,137评论 1赞 334
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 33,783评论 4赞 324
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 39,343评论 3赞 307
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 30,333评论 0赞 19
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 31,559评论 1赞 262
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 45,595评论 2赞 355
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 42,901评论 2赞 345

通过Haproxy的ACL规划实现智能负载均衡，并简述tcp、http、health的配置示例

推荐阅读更多精彩内容