本文详细介绍了HAProxy中的acl功能,包括其语法、常用测试标准,如be_sess_rate、fe_sess_rate、hdr等,以及如何通过这些标准实现灵活的转发决策。通过对请求报文的首部、响应内容等进行判断,提升HAProxy配置的灵活性。
前言
acl是HAProxy中的一大项,它用于实现基于请求报文的首部,响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性
语法
acl < aclname> < criterion> [flags] [operator] [< value>] …
< aclname>
ACL名称,区分字符大小写,且其只能包含大小写字母,数字,-(连接线),_(下划线),.(点号)和:(冒号);在haproxy中acl可以重名,这可以把多个测试条件定义为一个共同的acl< criterion>
测试标准,即对什么信息发起测试.测试方式可以由[flags]指定的标志进行调整.而有些测试标准也可以需要为其在< value>之前指定一个操作符[operator][flags]
目前haproxy的acl支持的标志位有3个:- i:不区分< value>中模式字符的大小写
- f:从指定的文件中加载模式
- -:标志符的强制结束标记,在模式中的字符串像标记符时使用
< value>
acl测试条件支持的值有以下四类:- 整数或整数范围:如1024:65535表示从1024至65535.仅支持使用正整数(如果出现类似小数的标识,其为通常为版本测试),且支持使用的操作符有5个,分别为eq,ge,gt,le和lt
- 字符串:支持使用”-i”以忽略字符大小写,支持使用”\”进行转义.如果在模式首部出现了-i,可以在其之前使用”–”标志位
- 正则表达式:其机制类同字符串匹配
- IP地址及网络地址
同一个acl中可以指定多个测试条件,这些测试条件需要由逻辑操作符指定其关系.条件间的组合测试关系有三种,”与”(默认即为与操作),”或”(使用”||”操作符)以及”非”(使用”!”操作符)
常用的测试标准
be_sess_rate < integer>
用于测试指定的backend上会话创建的速率(即每秒创建的会话数)是否满足指定的条件.常用于在指定backend上的会话速率过高时将用户请求转发至另外的backend,或用于阻止攻击行为backend dynamic mode http acl being_scanned be_sess_rate gt 50 redirect location /error_pages/denied.html if being_scannedfe_sess_rate < integer>
用于测试指定的frontend(或当前frontend)上的会话创建速率是否满足指定的条件.常用于为frontend指定一个合理的会话创建速率的上限以防止服务被滥用frontend mail bind :25 mode tcp maxconn 500 acl too_fast fe_sess_rate ge 50 tcp-request inspect-delay 50ms tcp-request content accept if ! too_fast tcp-request content accept if WAIT_ENDhdr(header) < string>
用于测试请求报文中的所有首部或指定首部是否满足指定的条件.指定首部时,其名称不区分大小写,且在括号”()”中不能有任何多余的空白字符.测试服务器端的响应报文时可以使用shdr()hdr(Connection) -i closemethod < string>
测试HTTP请求报文中使用的方法path_beg < string>
用于测试请求的URL是否以< string>指定的模式开头acl url_static path_beg -i /static /images /javascript /stylesheetspath_end < string>
用于测试请求的URL是否以< string>指定的模式结尾acl url_static path_end -i .jpg .gif .png .css .jshdr_beg < string>
用于测试请求报文的指定首部的开头部分是否符合< string>指定的模式acl host_static hdr_beg(host) -i img. video. download. ftp.hdr_end < string>
用于测试请求报文的指定首部的结尾部分是否符合< string>指定的模式
扫一扫
1991
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
