HAproxy负载均衡-ACL篇

时间:2022-02-23 03:17:25

 

ACL定制法则:

     开放策略:拒绝所有,只开放已知

     拒绝策略:允许所有,只拒绝某些

事实上实现安全策略,无非也就是以上两种方法

 

redirect

参考:http://cbonte.github.io/haproxy-dconv/configuration-1.4.html#4-redirect

如果符合某种特定条件,则返回某种新的前缀

aclclear         dst_port 80
acl secure         dst_port 8080
acl login_page         url_beg         /login                          #
如果url的地址,除了主机名之外是login的页面则定义成logon,如果是登录页面却又属于不安全的连接 那么
acl logout         url_beg         /logout
acl uid_given          url_reg          /login?userid=[^&]+
acl cookie_set         hdr_sub(cookie)SEEN=1                         #取得cookie的子串,如果没有cookie则:

redirect prefix   https://mysite.com set-cookie SEEN=1 if!cookie_set        #如果定义的第一个用户来访问我们的站点的时候,没有被设置cookie 在将用户的请求转为https


redirect prefix  https://mysite.com             iflogin_page !secure
redirect prefix   http://mysite.com drop-query             if login_page !uid_given
redirect locationhttp://mysite.com/               if !login_page secure
redirect location / clear-cookie USERID=               if logout

我们自定定义一个acl

如果访问的是/bbs开头的地址,那么将其跳转到/forum

acl acbbs url_beg/bbs

redirect /forum if/bbs     #if判断是否匹配/bbs  如果匹配则将/bbs 跳转至/forum

只不过对于haproxy来讲需要基于acl的机制来实现,所以要比nginx要麻烦一点

 

reqadd

如果访问的是ssl则则加入X-Proto首部

acl is-ssldst_prot 81

reqadd X-Proto:\SSL if is-ssl

 

rspadd

响应报文首部,所有响应首部都需要经过haproxy,因此经过haproxy的时候,想通告其客户端是通过haproxy来转发过来的,因此这时候会在首部添加一个 X-Via首部,明确说明是通过代理服务器转发的

#只要是通过haproxy转发的请求统统添加首部信息,如下所示:

rspadd X-Via:\ 10.0.10.61        #haproxy的IP地址 

 

Server的检测机制

backup

check

disabled

fall          #检测机[1]制,检测超过几次认为失败

inter           #检测的时间间隔

另外inter还可以对其做优化:

fastinter       #快速检测

downinter       #慢速检测

以上可以做启发式检测,如果发现故障了可以将其快速检测几次

限制最大连接数

Maxconn参数为最大连接数,可以将其限制最大连接数,如下所示

backend webserver
    balance uri
    hash-type consistent
    server   web1 10.0.10.82:80 check  weight 1
maxconn 2000
    server   web2 10.0.10.83:80 check  weight 1
maxconn 3000

访问管理页面:

HAproxy负载均衡-ACL篇

如果请求过多,所有超出这个最大连接数 ,如果还被转发至这个服务器中会被放入至等待队列中,如果队列也超时了,这个请求则会直接被响应403

 

maxqueue

维持每个队列的长度

 

minconn

最少连接,用来将maxconn定制为动态值

 

observer<mode>

健康状态监测,如果存活则不对其检查
可以根据4/7层做观测


redir

所有发往这个服务器的请求做重定向,因此可以实现单台服务器的重定向

实现重定向:

server  web1 10.0.10.82:80 check  weight 1 maxconn 2000 redir http://www.baidu.com

访问测试,可发现最后访问其haproxy的IP地址 最后被跳转至百度页面中了

 

slowstart

让haproxy支持慢启动,但是对于haproxy来讲第一启动是没有任何意义的

慢启动只在服务器故障又重新上线的时候才有效果

 

weight

    权重

 

HAproxy 的 ACL 机制

http访问控制参数

rediect blockhttp-request use_backend

但凡是使用if的时候必须使用acl进行定义,访问控制列表的定义可以通过源地址/目标地址,源端口目标端口来定义,所以acl中所支持定义的标准和机制还是比较多的

・ACL     基本定义语法

・acl     名称 acl标准 [标志位][操作]

・acl     区分大小写

通常参数都是 -i

值的类型

e.g 1024:65535

比较操作

eg ge gt le lt

字符串

  常用参数  -i

常用的匹配标准:

dst         目标地址

dst_port    目标端口

src         源地址

src_prot    源端口

acl goodguys src ip/24             如果是goodguys则允许访问

tcp-request content accept if goodguys   如果是goodguys则允许发起连接请求

tcp-request content reject        没有if语句 则拒绝所有(reject)

 

定义ACL

基于SRC做访问控制

我们期望用户访问的时候如果来源地址是10.0.10.1则拒绝访问

frontend  web_server

      bind*:80

      default_backendwebservers

      acl badguy src 10.0.10.1

      block if badguy

acl定义规则名称为badguy,并且定义如果来源是10.0.10.1的IP地址拒绝访问

block表示拒绝的意思,if后面加判断,如果匹配badguy名称定义的规则那么就执行block的操作

再次访问

HAproxy负载均衡-ACL篇

使用重定向

如果想访问403页面重定向到其他页面的话,则:

frontend web_server
    bind *:80

default_backend webserver

acl badguy src 10.0.10.1
    block if badguy
    errorloc 403 http://baidu.com/     #
定义错误页面重定向

 

在七层做其他的匹配

hdr  

  检查首部是否属于某个指定字符的

frontend web_server
    bind *:80
    default_backend webserver
    acl badguy src 10.0.10.1
   
acl dstipaddrhdr(Host) 10.0.10.61
    redirectlocation  http://www.qq.com/ if dstipaddr
    errorloc 403 http://baidu.com

以上,通过har机制检测 如果头部信息包含此IP地址那么将其重定向至qq.com

如果非此IP地址,那么请求的uri返回是403,那么则直接跳转到baidu.com

 

hdr_reg  正则表达式匹配

说明某个首部的值只要匹配这个正则,则执行跳转

 

http_first_req

    第一次请求匹配

 

method  访问方法匹配(GET或POST等)

实现简单动静分离功能

acl read method GET

acl read methodHEAD 

 

acl write methodPUT

acl write methodPOST

 

use_backend imgserif read

use_backend uploadif write

 

基于path http路径做访问控制

是做精确匹配的,因此通常只匹配用户已经知道的文件路径

来自某个ip的主机访问的是1.html 则拒绝访问,其他全部放行,则:

#首先定义acl 名称denyfile 根据path来做访问控制,而path一定跟的是具体访问路径

#http-reques 来做规则 如果是badguy 并且访问的是denyfile 如果匹配两者则deny掉

frontend web_server
    bind *:80
    default_backend webserver
    acl badguy src 10.0.10.1
    acl denyfile path/1.html
    http-request deny if badguy denyfile

重新加载配置文件,并且访问测试:

HAproxy负载均衡-ACL篇

访问/1.html 则返回403 ,访问其他uri则正常返回

 

path_beg

path只能定义单一路径或文件,但是path_beg可以定义多个文件或路径

实例:实现动静分离功能

首先定义两个backend,分别以动态和静态进行分组

backend jingtai
    balance roundrobin
    server   web1 10.0.10.82:80 check  weight 1maxconn 2000

backend dongtai
    balance roundrobin
    server   web2 10.0.10.83:80 check  weight 1maxconn 3000

 

配置frontend  

frontend  web_server

    bind *:80

    default_backend webservers

    acl badguy src 10.0.10.1

    acl denyfile path /1.html

    #http-request deny if badguy denyfile

 

    acl static path_end .html

    use_backend jingtai if static

    default_backend dongtai

定义acl名称为static ,如果访问匹配是.html的文件,那么直接跳转至jingtai 这个backend

如果访问的不匹配.html 那么直接跳转至默认backend dongtai

重新加载规则,访问测试:

HAproxy负载均衡-ACL篇

 

实现完全动静分离

在path_end中可以使用-i参数指定多个选项

修改配置信息,将一系列尽可能出现的静态内容文件类型加入acl的static组内

    bind *:80

    default_backend webservers

    acl badguy src 10.0.10.1

    acl denyfile path /1.html

    #http-request deny if badguy denyfile

 

    acl static path_end -i .html .jpg .png.jpeg .gif .swf .css .xml .txt .pdf

    use_backend jingtai if static

    default_backend dongtai

 

 

path_reg

正在表达式匹配

acl url_static  path_reg  -i .jpg$ .html$ 等  ^/static ^/images^/stylsheets 

基于正则表达式匹配要比基于字符匹配慢很多,所以如果可以写成字符匹配就尽可能使用 path_end path_end 而不要使用path_reg

 

url

之前我们在用path做匹配的时候发现,path不包含头部信息,而url全部包含

做url匹配要做整个路径匹配,但事实上用的最多的是path 而不是url,以为用户访问文件的时候,可能是这样访问:

http://xxx.com/login.php?name=test&password=xxxx

很显然login.php 才是访问的文件,而根据整个路径结尾进行判断的话则不能判断其类型的,所以更多用到的是path_end ,因为path_end顶多只能匹配到login.php

而不包含后面的内容

 

url_beg

  url开头 

 

url_end

  url结尾

 

有些时候我们用url做匹配的时候可能会使用多条进行组合起来

比如:

#如果badguy 访问的是除了denyfile之外的其他文件,则将被拒绝

http-request denyif badguy !denyfile

如果badguy 或其他人 访问的是除了denyfile之外的其他文件,则将被拒绝

http-request denyif badguy OR denyfile

 

健康状态检查机制

monitor-uri

通过web组件实现监控的,明确指定监控哪个uri而不是内部监控机制(check)

frontend www

   bind :80

   monitor-uri   /haproxy  

意思为做状态监测必须去请求这个uri的页面,能请求到并且状态为200则认为正常的

 

httpchk

做服务器的健康状态监测的时候明确说明http协议,可以指定检查那个uri,还可以指定那种方式检查uri,只启用就明确说明只做uri监测 而后面的监测方法全部省略了

backendhttps_relay
    mode tcp
    option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www
    server apache1 192.168.1.1:443 check port 80  
  

也就意味着我们做健康检测的时候,是发送自定义信息去check

也就是说httpchk是发送的自定义的方法以及发送的请求报文格式的,只有发送的请求返回值是200,才认为正常否则失败的

http请求格式:

<method><uri> <version>

<header> 

<body>

将OPTIONS *HTTP/1.1\r\nHost:\ www 转换成标准格式,如下所示:

OPTIONS * HTTP/1.1

Host: www

 

例:定义对mysql进行检测

option mysqlchkuser mysqlusername

使用option参数套mysqlchk插件以mysqlusername的名称去连接mysql,只要能连接上,则认为数据库正常,否则不允许连接

 

综合示例

示例1.实现动静分离

匹配以/static/images /img /css 目录的URI,并匹配以静态文件内容的URI

acl usr_staticpath_beg -i /static /images /img /css   

acl usr_staticpath_end -i .gif .png .jpg

 

#判断用户访问如果主机名以www开头的话则标示为host_www

acl host_wwwhdr_beg(host) -i www

 

如果主机是以img video download 的域名开头,都被认为是静态内容

acl host_statichdr_beg(host) -i img. video. download.

 

#而后做匹配内容,如果三者匹配其中一个则分发至backend static组

use_backend static if host_static or host_www or url_static

default_backendappservers

 

实例2


global
    pidfile /var/run/haproxy.pid
    log 127.0.0.1 local0 info

defaults
    mode http
   clitimeout         600000   # maximum inactivity time on the client side
   srvtimeout         600000   # maximum inactivity time on the server side
    timeout connect          8000    # maximum time to wait for aconnection attempt to a server to succeed
    stats enable
    stats auth             admin:password
    stats uri            /monitor
    stats refresh          5s
    option httpchk          GET /status
    retries              5
    option redispatch
    errorfile 503 /path/to/503.text.file

    balance roundrobin     # each server isused in turns, according to assigned weight

frontend http
    bind :80
    monitor-uri   /haproxy  # end point tomonitor HAProxy status (returns 200)

#
只要用户访问的path路径是以api开头则匹配
    acl api1 path_reg ^/api1/?
    acl api2 path_reg ^/api2/?

如果是api1的话则使用backend api1 以此类推
    use_backend api1 if api1
    use_backend api2 if api2

backend api1
    # option httpclose
    server srv0 127.0.0.1:9000 weight 1 maxconn 100 check inter4000
    server srv1 127.0.0.1:9001 weight 1 maxconn 100 check inter4000
    server srv2 127.0.0.1:9002 weight 1 maxconn 100 check inter4000

backend api2
    option httpclose
    server srv01 127.0.0.1:8000 weight 1 maxconn 50 check inter 4000

但是没有默认服务器也就意味着只允许用户请求api1api2,以别的任何方式都访问不到

 

haproxylisten配置示例:

基于COOKIE做持久连接

只要在listen中还是在backend中是要使用cookie指令 就意味着server中去引用这个cookie的,每个用户都加上sessionid,因此会为每个用户请求插入一个会话ID,因此基于这个会话id做负载均衡调度

listen webfarm
       bind 192.168.0.99:80
       mode http
       stats enable
       stats auth someuser:somepassword             #
指定某个用户某个密码
       balance roundrobin                    #指定调度算法
      
cookie JSESSIONID prefix                  #基于cookie做负载均衡
       option httpclose                   

      option forwardfor                   #添加首部信息
       option httpchk HEAD /check.txt HTTP/1.0     #http首部请求的方法是head 请求的是 /check.txt 协议是1.0 ,没有跟主机就意味着请求的是默认主机,而不是检测虚拟主机
       server webA 192.168.0.102:80
cookie A check     #使用cookie做了负载均衡
       server webB 192.168.0.103:80
cookie B check

 

对mysql读集群做负载均衡

只是对于读请求可以做负载均衡,如果对于写做负载均衡的时候直接这样调度是不合适的

frontendmysqlservers
     bind *:3306
     default_backend myservs

backend myservs
     balance leastconn
     option mysqlchk user root
     server myserv1 172.16.100.11:3306 check
     server myserv2 172.16.100.12:3306 check

 

本文出自 “心情依旧” 博客,转载请与作者联系!