前言
HAProxy是一个使用C语言编写的自由及开放源代码软件,其提供高可用性、负载均衡,以及基于TCP和HTTP的应用程序代理。
HAProxy特别适用于那些负载特大的web站点,这些站点通常又需要会话保持或七层处理。HAProxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中, 同时可以保护你的web服务器不被暴露到网络上。
HAProxy实现了一种事件驱动, 单一进程模型,此模型支持非常大的并发连接数。多进程或多线程模型受内存限制 、系统调度器限制以及无处不在的锁限制,很少能处理数千并发连接。事件驱动模型因为在有更好的资源和时间管理的用户空间(User-Space) 实现所有这些任务,所以没有这些问题。此模型的弊端是,在多核系统上,这些程序通常扩展性较差。这就是为什么他们必须进行优化以 使每个CPU时间片(Cycle)做更多的工作。
包括 GitHub、Bitbucket、Stack Overflow、Reddit、Tumblr、Twitter和 Tuenti在内的知名网站,及亚马逊网络服务系统都使用了HAProxy。
目前常见的Web集群调度器分为软件和硬件:
- 软件通常使用开源的LVS、Haproxy、 Nginx
LVS性能最好,但是搭建相对复杂;Nginx 的upstream模块支持群集功能,但是对群集节点健康检查功能不强,高并发性能没有Haproxy好。 - 硬件一般使用比较多的是F5、Array,也有很多人使用国内的一些产品,如梭子鱼、绿盟等
- 硬件的效果比软件好,更加稳定,但管理成本高。
HAProxy 是什么
HAProxy 是一个免费的内容均衡软件,可以在大部分主流的 Linux 操作系统上运行。
HAProxy 提供了L4(TCP)和L7(HTTP)两种均衡能力,具备丰富的功能。
HAProxy 的社区非常活跃,版本更新快速(最新稳定版于 1.7.222017/01/13 推出)。最关键的是,HAProxy 具备媲美美商广告投放均衡器的性能和稳定性。因为HAProxy的上述优点,它现在可以免费提供最佳软件的首选,更几乎可以成为唯一的选择。
LVS在企业应用中抗负载能力很强,但存在不足
- LVS不支持正则处理,不能实现动静分离
- 对于大型网站,LVS的实施配置复杂,维护成本相对较高
Haproxy是一款可提供高可用性、负载均衡、及基于TCP和HTTP应用的代理的软件
- 适用于负载大的Web站点
- 运行在硬件上可支持数以万计的并发连接的连接请求
HAProxy 的核心功能
- 负载均衡:L4和L7两种模式,支持RR/蓝色RR/LC/IP Hash/URI Hash/URL_PARAM Hash/HTTP_HEADER Hash等重点的负载均衡算法
- 健康检查:支持TCP和HTTP两种健康检查模式
- 会话保持:对于未实现会话共享的应用程序,可通过插入Cookie/重写Cookie/Prefix Cookie,以及上述的多种Hash方式实现会话保持
- SSL:HAProxy可以解析HTTPS协议,并能够将请求端口为HTTP后向传输
- HTTP请求重建与目的
- 监控与统计:HAProxy提供了基于Web的统计信息页面、状态状态和流量数据。基于此功能,用户可以开发监控程序来监控HAProxy的状态
HAProxy 的关键特性
HAProxy是可提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,是免费、快速并且可靠的一种解决方案。
HAProxy非常适用于并发天(并发达1w以上)web站点,这些站点通常又需要会话保持或七层处理。HAProxy的运行模式使得它可以很简单安全的整合至当前的架构中,同时可以保护web服务器不被暴露到网络上。
性能
- 采用单线程、事件驱动、非周期性模型,减少上下文切换的消耗,能在 1 毫秒内处理一个请求个请求。并且每天只占用数 KB 的内存。
- 大量(复杂度只的性能优化,如O1)复杂度的事件检查器、延迟更新技术、单缓存、零拷贝转发等等,这些技术应用HAProxy在中等负载下占用极低的CPU资源。
- HAProxy大量利用只使用硬件的功能特性,赋予其在处理请求时能发挥出色的性能,通常情况下,HAProxy自身占用15%的处理时间,85%都是在系统内核层完成的。
- HAProxy 作者 8 年前(2009)年使用 1.4 版本进行了一次测试,仅 HAProxy 进程的处理能力就突破了 10/秒,并轻松占满了 10Gbps 的网络。
稳定性
按照作者的说法,HAProxy 在 13 年间已经出现过一个会导致其崩溃的BUG,Proxy 成功启动,无法操作。系统或硬件故障,否则就不会崩溃(我觉得可能多少还是有大的部分)。
在媒体中提到过,HAProxy 的大部分工作都在内核完成的,所以 HAProxy 的稳定性依赖于微软,作者建议使用 2.6 或 x.x 的 Linux 内核,对系统参数进行主要3优化,并且保证主机有老朋友的内存。这样HAProxy就能够持续保持稳定运行数年之久。
HAProxy的主要特性有:
- 可靠性和稳定性非常好,可以与硬件级的F5负载均衡设备相媲美;
- 最高可以同时维护40000-50000个并发连接,单位时间内处理的最大请求数为20000个,最大处理能力可达10Git/s;
- 支持多达8种负载均衡算法;
- 支持Session会话保持,Cookie的引导;
- 支持通过获取指定的url来检测后端服务器的状态;
- 支持虚机主机功能,从而实现web负载均衡更加灵活;
- 支持连接拒绝、全透明代理等独特的功能;
- 拥有强大的ACL支持,用于访问控制;
- 支持TCP协议的负载均衡转发;(支持7层代理、实现动静分离)
- 支持客户端的keepalive功能,减少客户端与haproxy的多次三次握手导致资源浪费,让多个请求在一个tcp连接中完成
个人的建议:
- 使用3.x内核的Linux操作系统运行HAProxy
- 运行HAProxy主机上不要部署其他的,确保HAProxy独享资源,同时避免其他应用引发的占用或主机应用的故障
- 至少为HA配备一个备机,以解决主机硬件故障、断电等情况发生(建立双活代理的方法在后文描述)
- sysctl的配置(非万用配置,还需要针对具体情况进行更精细的建议调整,但可以作为首次使用HAProxy的最终配置使用):
net.ipv4.tcp_tw_reuse = 1 该参数只针对客户端有效,当需要短时间向服务器发起大量连接请求时,可以帮助客户端1s完成处于TIME_WAIT状态的连接回收,基本可实现单机6w/s请求,需要再高就增加IP数量吧。如果是负载均衡类的服务器,既是服务端,又是后端服务器的客户端,该参数建议设置为1
net.ipv4.ip_local_port_range = 1024 65023 客户端ip对同一个ip+port可以创建的连接数。不过需要注意的是不要改的占用正常服务监听的端口范围
net.ipv4.tcp_max_syn_backlog = 10240 增加TCP SYN队列长度,使系统可以处理更多的并发连接,还能防止受到 denial-of-service (syn-flood)的攻击
net.ipv4.tcp_max_tw_buckets = 400000 kernel中最多存在的TIME_WAIT数量
net.ipv4.tcp_max_orphans = 60000 系统所能处理不属于任何进程的TCP sockets最大数量。假如超过这个数量,那么不属于任何进程的连接会被立即reset,并同时显示警告信息。
net.ipv4.tcp_synack_retries = 3 应用程序进行 connect 系统调用时,在对方不返回 SYN + ACK 的情况下 (也就是超时的情况下),第一次发送之后,内核最多重试几次发送 SYN 包;并且决定了等待时间.
net.core.somaxconn = 10000 表示socket监听(listen)的backlog上限。
Haproxy调度算法
- RR(Round Robin)
RR算法是最简单最常用的一种算法,即轮询调度。
- static-rr
加权轮询,表示根据web服务器的权重来分配前端请求。
为web服务器设置不同权重,哪台服务器配置好,权重就多一点。
类似于Nginx负载局哼算法的ip_hash。
- LC(Least Connections)
最小连接数算法,根据后端的节点连接数大小动态分配前端请求。
- SH (Source Hashing)
基于来源访问调度算法,用于一些有Session会话记录在服务器端的场景,可以基于来源的IP、Cookie等做集群调度。 理解:
有三个节点A、B、C,第一个用户第一次访问被指派到了A,第二个用户第一次访问被指派到了B。
当第一个用户第二次访问时会被继续指派到A,第二个用户第二次访问时依旧会被指派到B,只要负载均衡调度器不重启,第-个用户访问都会被指派到A,第二个用户访问都会被指派到B,实现集群的调度。
此调度算法好处是实现会话保持,但某些IP访问量非常大时会引|起负载不均衡,部分节点访问量超大,影响业务使用。
- uri
目的地址哈希,表示根据用户请求的URI做hash,做cdn时需要使用。(cdn:内容分发网络 ,边缘网络缓存加速)
url_hash 就是根据虚拟主机名称后面的目录。
- url_ param
表示根据请求的URl参数'balance url_ param' requires an URL parameter name
- hdr (name)
表示根据HTTP请求头来锁定每一次HTTP请求。
- rdp-cookie (name)
表示根据cookie (name)来锁定并哈希每一次TCP请求。
LVS、Nginx、HAproxy的区别
- LVS基于Linux操作系统内核实现软负载均衡,而HAProxy和Nginx是基于第三方应用实现的软负载均衡;
- LVS是可实现4层的IP负载均衡技术,无法实现基于目录、URL的转发。而HAProxy 和Nginx都可以实现4层和7层技术,HAProxy可提供TCP和HTTP应用的负载均衡综合解决方案;
- LVS因为工作在ISO模型的第四层,其状态监测功能单一,而HAProxy在状态监测方面功能更丰富、强大,可支持端口、URL、脚本等多种状态检测方。
- HAProxy功能强大,单纯从效率上来讲HAProxy会比Nginx有更出色的负载均衡速度,在并发处理上也是优于Nginx的。但整体性能低于4层模式的LVS负载均衡;
- Nginx主要用于web服务器或缓存服务器。Nginx的upstream模块虽然也支持群集功能,但是对群集节点健康检查功能不强,性能没有Haproxy好。
LVS、Nginx、Haproxy算法
| LVS | Nginx | Haproxy |
|---|---|---|
| rr | 轮询 | roundrobin |
| wrr | 加权轮询 | static-rr |
| dh | ip_hash | leastconn |
| sh | least_hash | source |
| wlc | url_hash | uri |
| lc | fair | url_param |
| lblc | hdr(name) | |
| rdp-cookie(name) |
- Nginx
支持正则
只支持基于端口的健康检查
不支持session 的直接保持,但能通过Ip _hash来解决
对网络稳定性要求不高
反向代理能力强
nginx 社区活跃 - LVS
只能基于四层端口转发
在四层做分发作用,抗负载能力强
应用范围广(几乎可以对所有应用做负载) - Haproxy
支持8种负教均衡策略
仅做负载均衡软件使用,在高并发情况下性能优于Nginx
支持URL健康检测、支持session保持
四层负载均衡器是通过分析IP层及TCP/UDP层的流量实现的基于"IP +端口"的负载均衡,主要通过报文的目标地址和端口配合负载均衡算法选择后端真实服务器,确定是否需要对报文进行修改(根据需求,可能会修改目标地址、源地址、MAc地址等)并将数据转发至选出的后端真实服务器。
七层负载均衡器是基于应用层信息(如URI、Cookies等)的负载均衡。主要依据报文的内容配合负载均衡算法选择后端真实服务器,然后再分发请求到真实服务器进行处理,也称"内容交换器"。客户端与负载均衡器、负载均衡器与后端真实服务器之间会分别建立CP连接。
haproxy提供了3种实现会话保持的方式
- 源地址hash
- 设置cookie
- 会话粘性表stick-table
Haproxy 搭建负载均衡器
Haproxy搭建 Web 群集
实验环境
Haproxy服务器:192.168.142.10
Nginx 服务器1:192.168.142.20
Nginx 服务器2:192.168.142.30
客户端:192.168.142.222
1. haproxy 服务器部署
1.关闭防火墙,将安装Haproxy所需软件包传到/opt目录下
systemctl stop firewalld
setenforce 0
haproxy-1.5.19.tar.gz
2.编译安装 Haproxy
yum install -y pcre-devel bzip2-devel gcc gcc-c++ make
tar zxvf haproxy-1.5.19.tar.gz
cd haproxy-1.5.19/
make TARGET=linux2628 ARCH=x86_64
make install
参数说明
TARGET=linux26 #内核版本,
#使用uname -r查看内核,如:2.6.18-371.el5,此时该参数用TARGET=linux26;kernel大于2.6.28的用TARGET=linux2628
ARCH=x86_64 #系统位数,64位系统
3.Haproxy服务器配置
mkdir /etc/haproxy
cp examples/haproxy.cfg /etc/haproxy/
cd /etc/haproxy/
vim haproxy.cfg
global #全局配置,主要用于定义全局参数,属于进程级的配置,通
--4~5行--修改,定义haproxy日志输出设置和日志级别,local0为日志设备,默认存放到系统日志常和操作系统配置有关
log /dev/log local0 info #修改
log /dev/log local0 notice #修改
#log loghost local0 info
maxconn 4096 #最大连接数,需考虑ulimit -n限制,推荐使用10240
--8行--注释,chroot运行路径,为该服务自设置的根目录,一般需将此行注释掉
#chroot /usr/share/haproxy
uid 99 #用户UID
gid 99 #用户GID
daemon #守护进程模式
nbproc 1 #添加,设置并发进程数,建议与当前服务器CPU核数相等或为其2倍
defaults #配置默认参数,这些参数可以被用到Listen,frontend,backend组件
log global #引入global定义的日志格式
mode tcp #模式为tcp(7层代理http,4层代理tcp)
option http-keep-alive #使用keepAlive连接
option forwardfor #记录客户端IP在X-Forwarded-For头域中
option httplog #开启httplog,HAProxy会记录更丰富的请求信息
option dontlognull #不记录健康检查日志信息
retries 3 #检查节点服务器失败次数,连续达到三次失败,则认为节点不可用
redispatch #当服务器负载很高时,自动结束当前队列处理比较久的连接
maxconn 2000 #最大连接数,“defaults”中的值不能超过“global”段中的定义
#contimeout 5000 #设置连接超时时间,默认单位是毫秒
#clitimeout 50000 #设置客户端超时时间,默认单位是毫秒
#srvtimeout 50000 #设置服务器超时时间,默认单位是毫秒
timeout http-request 10s #默认http请求超时时间,从连接创建开始到从后端服务器读取完整HTTP请求的超时时间,用于避免类DoS攻击
timeout queue 1m #默认队列超时时间
timeout connect 10s #默认连接超时时间,新版本中替代contimeout,该参数向后兼容
timeout client 1m #默认客户端超时时间,新版本中替代clitimeout,该参数向后兼容
timeout server 1m #默认服务器超时时间,新版本中替代srvtimeout,该参数向后兼容
timeout http-keep-alive 10s #默认持久连接超时时间
timeout check 10s #设置心跳检查超时时间
--删除下面所有listen项--,添加
listen webcluster 0.0.0.0:80 #haproxy实例状态监控部分配置,定义一个名为webcluster的应用
option httpchk GET /test.html #检查服务器的test.html文件
balance roundrobin #负载均衡调度算法使用轮询算法roundrobin
server inst1 192.168.142.20:80 check inter 2000 fall 3 #定义在线节点
server inst2 192.168.142.30:80 check inter 2000 fall 3
全局配置: global 作用: 用于设定义全局参数,属于进程级的配置,通常与操作系统配置有关。
- maxconn 4096 #进程最大连接数,需考虑"ulimit -n"的限制,推荐使用10240
- daemon #守护进程模式。可以使用非守护进程模式,在生产环境中建议使用守护进程模式
- nbproc 1 #并发进程数,建议与当前服务器CPU核数相等或为其2倍
默认配置: defaults 作用: 配置默认参数,一般会被应用组件继承。
- retries 3 #检查节点服务器失败次数,连续3次失败,则认为节点不可用
- redispatch #当服务器负载很高时,自动结束当前队列处理比较久的连接
- maxconn 2000 #最大连接数,"defaults"中 的值不能超过“global"段中的定义
- timeout http-request 10s #默认http请求超时时间。建议设置时间为5~10s,增加http连接释放的速度
- timeout http-keep-alive 10s #默认长连接超时时间
- timeout check 10s #设置心跳检查超时时间
应用组件配置: listen 作用: 一般配置应用模块参数
- option httpchk GET /index. html #检查服务器的index.html文件。发送http的GET请求检查index.html文件,返回2xx、3xx表示正常;返回4xx/5xx表示异常,则隔离该节点。
- balance roundrobin #负载均衡调度算法使用轮询算法roundrobin
- server inst1 192.168.142.10:80 check inter 2000 rise 2 fall 3 #定义在线节点
- server inst2 192.168.142.20:80 check inter 2000 rise 2 fall 3 #定义在线节点
- #server inst2 192.168.142.30:80 check inter 2000 rise 2 fall 3 backup #定义备份节点
haproxy支持的最大并发量=并发进程数×每个进程最大连接数,即"nbproc的值 × maxconn的值"
参数说明
balance roundrobin #负载均衡调度算法
#轮询算法:roundrobin;最小连接数算法:leastconn;来源访问调度算法:source,类似于nginx的ip_hashcheck inter 2000 #表示启用对此后端服务器执行健康检查,设置健康状态检查的时间间隔,单位为毫秒
fall 3 #表示连续三次检测不到心跳频率则认为该节点失效
若节点配置后带有“backup”表示该节点只是个备份节点,仅在所有在线节点都失效该节点才启用。不携带“backup”,表示为主节点,和其它在线节点共同提供服务。
4.添加haproxy 系统服务
cp /opt/haproxy-1.5.19/examples/haproxy.init /etc/init.d/haproxy
chmod +x haproxy
chkconfig --add /etc/init.d/haproxy
ln -s /usr/local/sbin/haproxy /usr/sbin/haproxy
service haproxy start 或 /etc/init.d/haproxy start
2. 配置搭建节点服务器
systemctl stop firewalld
setenforce 0
yum install -y pcre-devel zlib-devel gcc gcc-c++ make
useradd -M -s /sbin/nologin nginx
cd /opt
tar zxvf nginx-1.12.0.tar.gz -C /opt/
cd nginx-1.12.0/
./configure --prefix=/usr/local/nginx --user=nginx --group=nginx && make && make install
make && make install
#配置节点服务器192.168.142.20访问
echo "this is abc web" > /usr/local/nginx/html/test.html
#配置节点服务器192.168.142.30访问
echo "this is cba web" > /usr/local/nginx/html/test.html
ln -s /usr/local/nginx/sbin/nginx /usr/local/sbin/
nginx #启动nginx 服务
3. 测试 Web群集
在客户端使用浏览器打开 http://192.168.142.10/test.html ,不断刷新浏览器测试负载均衡效果
haproxy日志定义优化
默认haproxy的日志是输出到系统的syslog中,查看起来不是非常方便,为了更好的管理haproxy的日志,我们在生产环境中一般单独定义出来。需要将haproxy的info及notice日志分别记录到不同的日志文件中。
vim /etc/haproxy/haproxy.cfg
global
log /dev/log local0 info
log /dev/log local0 notice
service haproxy restart
#需要修改rsyslog配置,为了便于管理。将haproxy相关的配置独立定义到haproxy.conf,并放到/etc/rsyslog.d/下,rsyslog启动时会自动加载此目录下的所有配置文件。
vim /etc/rsyslog.d/haproxy.conf
if ($programname == 'haproxy' and $syslogseverity-text == 'info')
then -/var/log/haproxy/haproxy-info.log
&~
if ($programname == 'haproxy' and $syslogseverity-text == 'notice')
then -/var/log/haproxy/haproxy-notice.log
&~
systemctl restart rsyslog.service
tail -f /var/log/haproxy/haproxy-info.log #查看haproxy的访问请求日志信息
说明:这部分配置是将haproxy的info日志记录到/var/log/haproxy/haproxy-info.log下,将notice日志记录到/var/log/haproxy/haproxy-notice.log下。“&~”表示当日志写入到日志文件后,rsyslog停止处理这个信息。
