linux运维进阶-基于HAproxy实现负载均衡

最新推荐文章于 2025-04-12 15:50:44 发布
最新推荐文章于 2025-04-12 15:50:44 发布
阅读量327 收藏 1
点赞数
分类专栏: 运维进阶 集群 文章标签: HAproxy lb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_40378804/article/details/79156194
版权
本文详细介绍了HAProxy的安装方法及配置步骤,包括通过YUM安装、源码编译安装和RPM包安装三种方式,并讲解了如何配置HAProxy进行负载均衡、日志记录、访问控制等功能。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

以下操作基于rhel6.5

.HAproxy 详细介绍


HAProxy提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。HAProxy特别适用于那些负载特大的web站点, 这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。

下图是HAProxy的架构:

下图是HAProxy的监控页面截图:

HAProxy实现了一种事件驱动, 单一进程模型,此模型支持非常大的并发连接数。多进程或多线程模型受内存限制 、系统调度器限制以及无处不在的锁限制,很少能处理数千并发连接。事件驱动模型因为在有更好的资源和时间管理的用户端(User-Space) 实现所有这些任务,所以没有这些问题。此模型的弊端是,在多核系统上,这些程序通常扩展性较差。这就是为什么他们必须进行优化以 使每个CPU时间片(Cycle)做更多的工作。

一.安装

下面介绍三种方式安装haproxy: 


方式一:yum install -y haproxy.x86_64

方式二:


下载压缩包haproxy-1.6.11.tar.gz 
tar zxf haproxy-1.6.11.tar.gz
进入解压目录
less README     #查看文档来安装
make TARGET=linux2628 USE_PCRE=1 USE_OPENSSL=1 USE_ZLIB=1 PREFIX=/usr/local/haproxy  #编译
make TARGET=linux2628 USE_PCRE=1 USE_OPENSSL=1 USE_ZLIB=1 PREFIX=/usr/local/haproxy install  #安装
#找到配置文件模板
cp /root/haproxy-1.6.11/examples/content-sw-sample.cfg /etc/haproxy/
cd /etc/haproxy
mv content-sw-sample.cfg haproxy.cfg

方式三:


cp /root/haproxy-1.6.11.tar.gz /root/rpmbuild/SOURCES
cd /root/haproxy-1.6.11/examples/
rpmbuild -bb haproxy.spec
cd rpmbuild/RPMS/x86_64/
[root@server1 x86_64]# ls
haproxy-1.6.11-1.x86_64.rpm
rpm -ivh haproxy-1.6.11-1.x86_64.rpm
#和上面一样获取配置文件

cat /etc/sysconfig/network #查看network是否为yes
修改配置文件如下:

global       #全参数的设置
        maxconn         65535    #设置最大连接数 
        stats socket    /var/run/haproxy.stat mode 600 level admin
        log             127.0.0.1 local0  #全局的日志配置
        uid             200  
        gid             200
        chroot          /var/empty           #改变当前的工作目录
        daemon                            #以守护进程的方式运行haproxy

defaults
        mode         http  #默认的模式(tcp/http/health),tcp是四层,http是7层,health只会返回ok
        log             global   #应用全局的日志配置
        option          httplog   #应用日志记录http请求,默认haproxy不会记录http请求日志
        option          dontlognull#启用该项,日志将不会记录空连接
        monitor-uri     /monitoruri
        maxconn         8000
        timeout client  30s  
        #bind            192.168.1.10:443 ssl crt /etc/haproxy/haproxy.pem 
         bind            172.25.50.100:80 name clear   #监听主机和端口
        acl bad src 172.25.50.250
        acl read method GET
        acl read method HEAD
        acl write method PUT
        acl write method POST
        #http-request deny if bad
        #errorloc 403 http://172.25.50.4:80     
        #redirect location http://172.25.50.4:80

        #use_backend     static if { hdr_beg(host) -i img }
        #use_backend     static if { path_beg /img /css   }
        #use_backend dynamic if { path_end .php }       
        #use_backend dynamic if { path_beg /images }
        use_backend static if write
        default_backend dynamic

# The static backend backend for 'Host: img', /img and /css.
backend dynamic
        balance         roundrobin
        server          web1 172.25.50.2:80 check inter 1000
        server          web2 172.25.50.3:80 check inter 1000

根据配置文件需要设置haproxy的最大并发链接数:


和nginx相同,从三个层面设置:
内核层面:
[root@server1 haproxy]# sysctl -a | grep file
fs.file-nr = 544    0   188465
fs.file-max = 188465                      #此处内核所支持的最大连接数已满足
如果不满足需要修改配置文件:
vim /etc/sysctl.conf  
  7 net.ipv4.ip_forward = 1             #开启内核路由功能
系统层面:
vim /etc/security/limits.conf        #最后一行添加
    haproxy          -      nofile          65535
应用层面:
vim /etc/haproxy/haproxy.cfg 
     最大连接设置为65535

三.配置负载均衡

 在配置文件中:

  

default_backend dynamic

# The static backend backend for 'Host: img', /img and /css.
backend dynamic
        balance         roundrobin
        server          web1 172.25.50.2:80 check inter 1000
        server          web2 172.25.50.3:80 check inter 1000

测试:
server2和server3上均开启apache服务:浏览器访问ip即可看到默认发布目录下的页面内容且以轮询的方式访问server2和server3!

在浏览器查看后端主机的情况并添加访问控制:


vim /etc/haproxy/haproxy.cfg


添加内容如下:



/etc/init.d/haproxy restart 


在浏览器访问 172.25.50.1/admin/stats 可以看到需要用户名和密码登陆!


登陆后可以通过图形界面查看后端主机的健康状况。


四.日志配置


vim /etc/rsyslog.conf 
 13 $ModLoad imudp
 14 $UDPServerRun 514

42*.info;mail.none;authpriv.none;cron.none;local0.none;             /var/log/mes    sages
62 local0.*                               /var/log/haproxy.log
/etc/init.d/rsyslog restart
日志查看:tail -f /var/log/haproxy.log

五.添加访问控制


 vim /etc/haproxy.cfg



 172.25.254.50主机在浏览器端就不能访问:172.25.50.1了


 所以对限制访问的主机添加提示页面:错误访问时重定向:

 如果遇见403的错误代码就重定向




[root@server1 haproxy]# vim /var/www/html/index.html
error
[root@server1 haproxy]# /etc/init.d/httpd start
测试:访问时会跳转到172.25.50.1:8080/index.html

 

 或者直接重定向:


 vim /etc/haproxy/haproxy.cfg




六.动静分离


[root@server1 haproxy]# vim haproxy.cfg 


server2上:
[root@server2 ~]# cd /var/www/html/
[root@server2 html]# ls
index.html
[root@server2 html]# cat index.html 
sesrver2
server3上:
[root@server3 html]# ls
index.php
[root@server3 html]# cat index.php 
<?php
phpinfo()
?>

 

测试:浏览器访问172.25.50.1 是自己写的静态页面;访问172.25.50.1/index.php 即php输出信息


七.上传下载分离


 vim /etc/haproxy/haproxy.conf 


 配置文件修改如下: 





在server2和server3上:
[root@server2 html]# ls #两者相同
index.php upload upload_file.php


测试:浏览器输入172.25.50.1/index.php 可以看到上传页面及其按钮,选择文件上传后输入172.25.50.1/upload_file.php

会看到上传文件信息

查看srevr2的upload目录下即可看到上传文件

即 使用server3上传图片(访问动态页面),却上传到server2上了(静态请求)

802.1Qvlan
weixin_34023863的博客
06-25 639
今天,温习了一下vlan的知识。以下是转载过来的一篇文章。说得比较透彻 802.1Q VLAN 技术原理 在数据通信和宽带接入设备里,只要涉及到二层技术的,就会遇到VLAN。而且,通常情况下,VLAN在这些设备中是基本功能。所以不管是刚迈进这个行业的新生,还是已经在这个行业打拼了很多年的前辈,都要熟悉这个技术。在论坛上经常看到讨论各种各样的关于VLAN的问题,在工...
VLAN间路由(三种方式介绍与配置)
yangchuang111213的博客
11-06 3899
简单来说,同一个VLAN中的用户间通信就和在一个局域网内一样,同一个VLAN中的广播只有VLAN中的 成员才能听到,而不会传输到其他的VLAN中去,从而控制不必要的广播风暴的产生。当接收到对端设备发送的不带Tag的数据帧时,会添加该端口的PVID,如果PVID在允许通过的VLAN ID列表中,则接收该报文,否则丢弃该报文。此时交换机连接主机和服务器的端口,以及交换机互连的端口都配置为Hybrid类型。交换机连接主机A的端口的PVID是2,连接主机B的端口的PVID是3,连接服务器的端口的PVID是100。
VLAN-802.1Q(accesstrunk
Adelais_Z的博客
04-19 4345
虚拟局域网是一组逻辑上的设备和用户,设备和用户不受物理位置的限制,可以根据功能、应用等因素将它们组织起来,VLAN可以隔离广播域、有效抑制广播风暴 接口类型:accesstrunkhybrid
一篇详解交换机接口类型Access / Trunk / Hybrid接口与端口的区别(内含本地VLAN问题详解)
最新发布
DreamCollector的博客
04-12 1068
一个接口只能属于一个 VLAN;只能发送/接收 Untagged 帧;通常连接终端设备,如 PC、打印机等。可允许多个 VLAN 通行;用于交换机交换机、路由器等连接;支持 Tagged 帧,部分情况支持 Untagged(Native VLAN)。可属于多个 VLAN,允许接收和发送多个 VLAN 的 Tagged 与 Untagged 报文;适用于用户设备 + 多 VLAN 并存的混合环境。接口类型支持 VLAN 数量是否加/去 Tag接收 Untagged。
交换机三种端口模式AccessHybridTrunk
Linux知识积累
07-11 4132
以太网端口有 3种链路类型:accesstrunk、hybirdAccess类型端口:只能属于1VLAN,一般用于连接计算机端口;Trunk类型端口:可以允许多个VL...
VLAN三个接口模式
weixin_64097979的博客
09-22 1592
2.接收数据时,若该帧不带vlan标签,用接口PVID数值作为标签,给数据帧打上标签,接收数据帧时如果携带vlan标签,判断是否与本接口一致,如果一致,则接受数据帧,如果不一致,则丢弃标签。3.接收数据帧,检查数据帧中的 vlan标签,判断是否允许这个vlan标签通过,如果允许则接收数据帧,如果不允许则丢弃数据。2.同时可以属于多个vlan,同一时间可以传递多个vlan的数据帧。2.可以像Access 接口一样,发送出去的数据不携带标签。可以像Trunk 接口一样,发送出去的数据携带标签。
802.1q VLAN
weixin_34256074的博客
04-07 664
VLAN(Virtual Local Area Network),是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的技术。 以一个网络接口为主设备,可以创建多个虚拟网络接口,称为子接口802.1q子接口),主设备称为主接口或父接口;每个子接口对应一个vlan id;当主接口接收报文时,如果为802.1q报文,则根据vlan id将报文分发的对应的子接口;当子接口需要...
VLAN的端口分三种类型
hugh9268的博客
08-18 1万+
VLAN的端口分三种类型:Aces端口、 Trunk端口、 Hybrid端口。 Access端口一般在连接PC时使用,发送不带标签的报文。一个 Access Port只属于一个 VLAN。缺省所有端口都包含在 VLANI中,且都是 Access端口。 Access 3端口的PVID 值和它所属的VLAN相关。 Trunk端口一般用于交换机级联端口传递多组VLAN信息时使用。一个 Trunk Port可以 属于多个VLANTrunk端口的PVID与所属VLAN无关,缺省值为1Hybrid i端口是混
二层协议基本总结(二)--vlan总结
liboyang990814的博客
04-19 2609
vlan基础概念 vlan技术可以将一个物理局域网在逻辑上划分成多个广播域,实质时隔离广播域 冲突域: 连接在同一导线上的所有工作站的集合,,或者说时同一我物理网段上所有结点的集合或以太网上竞争同意贷款的节点集合。集线器连接的所有节点都可以被认为是2在同一冲突域内,它不会划分冲突域。而二层设备(网桥,交换机)三层设备(路由器)都可以划分冲突域,冲突域是基于第一层 物理层 广播域: 网络中某一设备同...
VLAN端口类型详解——Huawei、Cisco
2401_84008965的博客
04-21 591
pc1所发出的数据,由inter0/1所在的pvid vlan10封装vlan10的标记后送入交换机交换机发现inter e0/2允许vlan 10的数据通过,于是数据被转发到inter e0/2上,由于inter e0/2上vlan 10是untagged的,于是交换机此时去除数据包上vlan10的标记,以普通包的形式发给pc2,此时pc1->p2走的是vlan10。Hybrid类型的端口可以允许多个VLAN通过,可以接收和发送多个VLAN的报文,可以用于交换机之间连接,也可以用于连接用户的计算机。
网络Trunk端口配置
Linux运维老纪的博客
07-06 4949
Trunk端口一般用于交换机之间连接的端口,可以接收和发送多个VLAN的报文。 当Trunk端口收到数据帧时,如果该帧不包含802.1Q的VLAN标签,将打上Trunk端口的PVID;如包含,则不改变.本章教大家如何配置trunk链路。
Vlan通信原理
zhuying6666的博客
02-16 3912
VLAN工作原理(VLAN通信原理)详解 VLAN工作原理即VLAN通信原理 1vlan基本通信原理 为了提高处理效率,交换机内部的数据帧一律都带有VLAN Tag,以统一方式处理。当一个数据帧进入交换机接口时,如果没有带VLAN Tag,且该接口上配置了PVID(Port Default VLAN ID),那么,该数据帧就会被标记上接口的PVID。如果数据帧已经带有VLAN Tag,那么,
802.1Q VLAN协议802.1P协议的实现
网络精英-服务日
02-24 2712
802.1Q VLAN协议802.1P协议的实现2004-03-05       打印自: 蓝色技术频道网络技术门户地址: http://www.17lan.com/article.php/506802.1Q VLAN协议802.1P协议的实现本文主要介绍了802.1VLAN协议在以太网交换机中的实现,以及
VLAN接口类型
ShaShark0 的博客
04-13 4728
VLAN接口类型 1.Access 接入端口 用于和不能识别Tag 的用户终端相连,或者不需要区分不同VLAN成员时使用 Access端口是交换机上用来连接用户主机的端口,它只能连接接入链路,并且只能允许唯一的VLAN ID通过本端口。 Access端口收发数据帧的规则如下: 如果该端口收到对端设备发送的帧是untagged(不带VLAN标签),交换机将强制加上该端口的PVID。如果该端口收到对端设备发送的帧是tagged(带VLAN标签),交换机会检查该标签内的VLAN ID。当VLAN I.
香橙派配置 VLAN (802.1q)
穷人小水滴的博客
01-24 1505
VLAN 是一种网络虚拟化技术, 可以简单理解为网络的分身术或精神分裂术.窝家的局域网稍微有点复杂, 有 2 个网段. 想让香橙派能够同时直接访问这 2 个网段, 但是香橙派只有一个网口, 怎么办 ? VLAN !VLAN (虚拟局域网) 是一种网络 虚拟化 技术. 类似于虚拟机技术, 可以把一台物理计算机 (CPU, 内存, 硬盘等资源) 划分成多个虚拟机 (逻辑计算机). VLAN 可以把一个物理网络 (交换机, 网线, 网口等) 划分成多个互相隔离的逻辑网络.
vlan- 接口类型
Fe_smoothly的博客
01-30 1211
1、划分的接口类型access,trunk,hybrid应用场景2、接口类型的收方向和发送方向的判断原理3、链路聚合(eth-trunk)(1)、不同类型的接口适用于不同的场景:•Access类型的接口主要用来连接用户主机,一般用于接入链路,且接入链路上通过的帧为不带Tag的以太网帧。如果Access接口配置了缺省VLAN,则在该报文上加上Tag标记,并将Tag中的VID字段的值设置为接口所属的缺省VLAN编号,此时接入链路上允许与缺省VLAN Tag匹配的以太网帧通过。
谈谈交换机三种端口模式AccessHybridTrunk
weixin_34414196的博客
01-15 842
  以太网端口有 3种链路类型:accesstrunk、hybird   Access类型端口:只能属于1VLAN,一般用于连接计算机端口;   Trunk类型端口:可以允许多个VLAN通过,可以接收和发送多个VLAN 报文,   一般用于交换机交换机相关的接口。   Hybrid类型端口:可以允许多个VLAN通过,可以接收和发送多个VLAN 报文,   可以用于交换机的间连接也可以用于连接...
802.1Q VLAN 简介
热门推荐
Hayden的技术博客
07-07 2万+
(一)vlan原理 首先说下802.1q协议(也叫dot1q),802.1q协议定义了vlan字段的结构和vlan字段在以太网帧中的位置。上一篇文章有介绍以太网帧的格式,传统的以太网数据帧在目的mac地址和源mac地址之后封装的是上层协议的类型字段,如图1-2所示。 其中DA表示目的mac地址,SA表示源mac地址,Type表示报文所属协议类型。 IEEE 802.1q协议规定在目的ma
VLAN三种端口类型!AccessTrunk、Hybird
weixin_42283438的博客
04-15 1万+
​接上一期内容,本期将详细介绍VLAN三种端口类型!在很多学校上课的过程中,发现很多学生未能真正掌握这一技术知识点,所以望读者用心领悟哦! 标签的概念:数据在交换机传输的过程中,会打上tag标签,未打上tag标签的数据属于untag数据; 第一种类型:Access端口类型:(常用在交换机与主机之间连接) 在收数据方向:(1)如果收的是untag数据,会打上此A接口vlan id进行接收,默认是vlan 1,可以修改。(2)如果是tag数据,比较tag数据vlan id与此A接口vlan id是否一
802.1q
03-19
### IEEE 802.1Q VLAN Tagging Protocol Standard IEEE 802.1Q 是支持虚拟局域网(VLAN)的标准协议之一,通常被称为 Dot1q。该标准定义了一种用于以太网帧的 VLAN 标记系统以及交换机和桥接器处理这些标记帧的操作流程[^2]。 #### 协议结构概述 IEEE 802.1Q 的核心功能在于通过在以太网数据帧中插入特定字段来实现 VLAN 标签的功能。这种标签使得网络设备能够识别哪些流量属于哪个 VLAN,并据此执行转发决策。具体来说: - **Tag Header**: 在原始以太网帧头部增加了一个额外的 4 字节字段作为 VLAN 标签头。这四个字节包含了以下部分: - **Priority Code Point (PCP)**: 使用 3 比特表示优先级级别,范围从 0 到 7,主要用于 QoS 控制。 - **Canonical Format Indicator (CFI)**: 这是一个单比特位,在传统以太网环境中设置为零。 - **VLAN Identifier (VID)**: 使用 12 比特标识具体的 VLAN ID,理论上可以支持多达 4096 个不同的 VLAN(编号从 0 至 4095),其中某些特殊值保留给内部用途或管理目的。 #### 数据包处理机制 当一个带有 VLAN tag 的数据包进入支持 IEEE 802.1Q 的交换机时,它会依据此标签决定如何路由或者过滤该数据流。如果目标端口不属于同一 VLAN,则不会传输至其他无关联的物理接口上;反之亦然——只有相同 VLAN 成员之间才允许互相通信除非经过路由器跨网段访问[^1]。 此外,为了简化管理和配置过程并增强互操作性,还引入了一些辅助性的子协议和服务组件比如 GARP(通用属性注册协议)。GARP 可帮助分发有关 VLAN 成员资格的信息到各个连接节点以便动态调整其行为模式而无需频繁手动干预[^3]。 以下是创建带 VLAN TAG 的 Python 示例代码片段展示如何模拟构建这样的 Ethernet Frame: ```python from scapy.all import Ether, Dot1Q, IP, sendp def create_vlan_packet(src_mac="00:aa:bb:cc:dd:ee", dst_mac="ff:ff:ff:ff:ff:ff", vlan_id=100, src_ip="192.168.1.1", dst_ip="192.168.1.2"): ether = Ether(src=src_mac, dst=dst_mac) dot1q = Dot1Q(vlan=vlan_id) ip_layer = IP(src=src_ip, dst=dst_ip) packet = ether / dot1q / ip_layer return packet packet = create_vlan_packet() sendp(packet, iface="eth0") # Replace 'eth0' with your network interface name. ``` 上述脚本利用 Scapy 库生成包含指定源地址、目的地址及所属 VLAN 编号的数据报文并通过选定的网卡发送出去测试实际效果。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值