haproxy配置详解

时间 2020-01-31

原文原文链接

1 HAproxy介绍
1.1 Haproxy是一个开源的高性能的反向代理或者说是负载均衡服务软件之一，它支持双机热备、虚拟主机、基于TCP和HTTP应用代理等功能。其配置简单，并且拥有很好的对服务器节点的健康检查功能（至关于keepalived健康检查），当其代理的后端服务器出现故障时，Haproxy会自动的将该故障服务器摘除，当服务器的故障恢复后Haproxy还会自动将RS服务器上线
1.2 Haproxy特别适用与那些访问量很大。但又须要会话保持或七层应用的业务。Haproxy运行在普通的服务器硬件上，仅仅进行简单的优化就能够支持数以万计的并发链接。而且它的运行模式使得它能够很简单安全的整合到各类网站的架构中，同时使得应用服务器不会暴露到网络中
1.3 HAProxy 实现了一种事件驱动、单一进程模型，此模型支持很是大的并发链接数。多进程或多线程模型受内存限制、系统调度器限制以及无处不在的锁限制，不多能处理数千并发链接。事件驱动模型由于在有更好的资源和时间管理的用户端(User-Space) 实现全部这些任务，因此没有这些问题。此模型的弊端是，在多核系统上，这些程序一般扩展性较差。这就是为何他们必须进行优化以使每一个CPU时间片(Cycle)作更多的工做
1.4 HAProxy 支持链接拒绝 : 由于维护一个链接的打开的开销是很低的，有时咱们很须要限制***蠕虫（attack bots），也就是说限制它们的链接打开从而限制它们的危害。这个已经为一个陷于小型DDoS***的网站开发了并且已经拯救了不少站点，这个优势也是其它负载均衡器没有的
1.5 HAProxy 支持全透明代理（已具有硬件防火墙的典型特色）: 能够用客户端IP地址或者任何其余地址来链接后端服务器. 这个特性仅在Linux 2.4/2.6内核打了cttproxy补丁后才可使用. 这个特性也使得为某特殊服务器处理部分流量同时又不修改服务器的地址成为可能
1.6 Haproxy软件引入了frontend，backend的功能，frontend（acl规则匹配）能够运维管理人员根据任意HTTP请求头作规则匹配，而后把请求定向到相关的backend（server pools等待前端把请求转过来的服务器组）。经过frontend和backup，咱们能够很容易的实现haproxy的7层代理功能，haproxy是一款不可多得的优秀代理服务软件
1.7 Haproxy支持两种主要代理模式：第一个是4层tcp代理（例如：可用于邮件服务内部协议通讯服务器、Mysql服务等）。第二个是7层代理（如HTTP代理）。在4层tcp代理模式下，Haproxy仅在客户端和服务器之间双向转发流量。可是在7层模式下Haproxy会分析应用层协议，而且能经过运行、拒绝、交换、增长、修改或者删除请求（request）或者回应（reponse）里指定内容来控制协议javascript

2 Haproxy解决方案拓扑图
2.1 Haproxy L4负载均衡应用架构拓扑
Haproxy软件的四层tcp代理应用很是优秀，配置很是简单方便，比LVS和Nginx要方便不少，由于不须要在RS端执行脚本便可实现应用代理。
说明：因为Haproxy采用的是NAT模式，数据包来去都会通过Haproxy，所以，在流量特别大的状况下，其性能不如LVS。
在通常的中小型公司，建议采用haproxy作负载均衡，而不要使用LVS或者Nginx。
所谓的四层就是ISO参考模型中的第四层。四层负载均衡也称为四层交换机，它主要是经过分析IP层及TCP/UDP层的流量实现的基于IP加端口的负载均衡。常见的基于四层的负载均衡器有LVS、F5等。
以常见的TCP应用为例，负载均衡器在接收到第一个来自客户端的SYN请求时，会经过设定的负载均衡算法选择一个最佳的后端服务器，同时将报文中目标IP地址修改成后端服务器IP，而后直接转发给该后端服务器，这样一个负载均衡请求就完成了。从这个过程来看，一个TCP链接是客户端和服务器直接创建的，而负载均衡器只不过完成了一个相似路由器的转发动做。在某些负载均衡策略中，为保证后端服务器返回的报文能够正确传递给负载均衡器，在转发报文的同时可能还会对报文原来的源地址进行修改。整个过程下图所示php

2.2 Haproxy L7负载均衡应用架构拓扑
Haproxy软件的最大优势在于其7层的根据URL请求头应用过滤的功能，通常用在LVS软件的下一层，或者像官方推荐的能够挂在硬件负载均衡NS、F5下使用
七层负载均衡器也称为七层交换机，位于OSI的最高层，即应用层，此时负载均衡器支持多种应用协议，常见的有HTTP、FTP、SMTP等。七层负载均衡器能够根据报文内容，再配合负载均衡算法来选择后端服务器，所以也称为“内容交换器”。好比，对于Web服务器的负载均衡，七层负载均衡器不但能够根据“IP+端口”的方式进行负载分流，还能够根据网站的URL、访问域名、浏览器类别、语言等决定负载均衡的策略。例如，有两台Web服务器分别对应中英文两个网站，两个域名分别是A、B，要实现访问A域名时进入中文网站，访问B域名时进入英文网站，这在四层负载均衡器中几乎是没法实现的，而七层负载均衡能够根据客户端访问域名的不一样选择对应的网页进行负载均衡处理。常见的七层负载均衡器有HAproxy、Nginx等。
这里仍以常见的TCP应用为例，因为负载均衡器要获取到报文的内容，所以只能先代替后端服务器和客户端创建链接，接着，才能收到客户端发送过来的报文内容，而后再根据该报文中特定字段加上负载均衡器中设置的负载均衡算法来决定最终选择的内部服务器。纵观整个过程，七层负载均衡器在这种状况下相似于一个代理服务器。整个过程以下图所示css

对比四层负载均衡和七层负载均衡运行的整个过程，能够看出，在七层负载均衡模式下，负载均衡器与客户端及后端的服务器会分别创建一次TCP链接，而在四层负载均衡模式下，仅创建一次TCP链接。由此可知，七层负载均衡对负载均衡设备的要求更高，而七层负载均衡的处理能力也必然低于四层模式的负载均衡html

3 安装haproxy
3.1 yum -y install haproxy
rpm -qi haproxy （版本为1.5.4）
rpm -ql haproxy
/etc/haproxy
/etc/haproxy/haproxy.cfg（haproxy的配置文件）
/etc/logrotate.d/haproxy
/etc/sysconfig/haproxy
3.2 详细的配置文件
haproxy配置文件分为两部分组成：全局设定和代理的设定，共分为五段：obal，default，frontend，backend，listen
3.2.1 配置文件格式
haproxy的配置处理3类主要参数来源：
最优先处理的命令行参数
"global"配置段，用于设定全局配置参数
proxy相关配置段，如“default”、“listen”、“frontend”和“backend”
3.2.2 时间格式
一些包含了值的参数表示时间，如超长时间。这些值通常以毫秒为单位，但也可使用其余的时间单位后缀
us: 微秒(microseconds)，即1/1000000秒；
ms: 毫秒(milliseconds)，即1/1000秒；
s: 秒(seconds)；
m: 分钟(minutes)；
h：小时(hours)；
d: 天(days)；
3.2.3 全局的配置
进程管理及安全相关的参数前端

chroot <jail dir>：修改haproxy的工做目录至指定的目录并在放弃权限以前执行chroot()操做，能够提高haproxy的安全级别，不过须要注意的是肯定指定的目录为空目录且任何用户均不能有写权限；
daemon：让haproxy以守护进程的方式工做与后台，其等同与“-D”选项的功能
gid<number>：以指定的GID运行haproxy，建议使用专用于的haproxy的GID，以避免因权限问题带来风险；
group<group name>：同gid，不过指定的组名；
log<address> <facility> [max level [min level]]：定义全局的syslog服务器，最多能够定义两个；
log-send-hostname[<string>]：在syslog信息的首部添加当前主机名，能够为“string”指定名称，也能够缺省使用当前的主机名；
nbproc<number>：指定启动haproxy进程的个数，只能用于守护进程模式的haproxy；默认只启动一个进程，鉴于调试困难等方面的缘由，通常只在单进程仅能打开少数文件描述符的场景中才能使用进程模式；
pidfile：
uid：以指定的UID身份运行haproxy
ulimit-n：设定每一个进程可以打开的最大文件描述符数目，默认状况下其会自动进行计算，所以不推荐修改此选项；Linux默认单进程打开的文件数为1024个
user：同uid，但使用的是用户名
stats：用户访问统计数据的接口
node：定义当前节点的名称，用于HA场景中多haproxy进程共享同一个ip地址时；
description：当前实例的描述的信息

性能调整相关的参数
– maxconn <number>：设定每一个haproxy进程所接受的最大并发链接数，其等同于命令行选项“-n”；“ulimit -n”自动计算的结果正是参照此参数设定的；
– maxpipes <number>：haproxy使用pipe完成基于内核的tcp报文重组，此选项则用于设定每进程所容许使用的最大pipe个数；每一个pipe会打开两个文件描述符，所以，“ulimit -n”自动计算时会根据须要调大此值；默认为maxconn/4，其一般会显得过大；
– noepoll：在Linux系统上禁用epoll机制；
– nokqueue：在BSE系统上禁用kqueue机制；
– nopoll：禁用poll机制；
– nosepoll：在Linux禁用启发式epoll机制；
– nosplice：禁止在Linux套接字上使用内核tcp重组，这会致使更多的recv/send系统调用；不过，在Linux 2.6.25-28系列的内核上，tcp重组功能有bug存在；
– spread-checks <0..50, in percent>：在haproxy后端有着众多服务器的场景中，在精确的时间间隔后统一对众服务器进行健康情况检查可能会带来意外问题；此选项用于将其检查的时间间隔长度上增长或减少必定的随机时长；
– tune.bufsize <number>：设定buffer的大小，一样的内存条件小，较小的值可让haproxy有能力接受更多的并发链接，较大的值可让某些应用程序使用较大的cookie信息；默认为16384，其能够在编译时修改，不过强烈建议使用默认值；
– tune.chksize <number>：设定检查缓冲区的大小，单位为字节；更大的值有助于在较大的页面中完成基于字符串或模式的文本查找，但也会占用更多的系统资源；不建议修改；
– tune.maxaccept <number>：设定haproxy进程内核调度运行时一次性能够接受的链接的个数，较大的值能够带来较大的吞吐率，默认在单进程模式下为100，多进程模式下为8，设定为-1能够禁止此限制；通常不建议修改；
– tune.maxpollevents <number>：设定一次系统调用能够处理的事件最大数，默认值取决于OS；其值小于200时可节约带宽，但会略微增大网络延迟，而大于200时会下降延迟，但会稍稍增长网络带宽的占用量；
– tune.maxrewrite <number>：设定为首部重写或追加而预留的缓冲空间，建议使用1024左右的大小；在须要使用更大的空间时，haproxy会自动增长其值；
– tune.rcvbuf.client <number>：
– tune.rcvbuf.server <number>：设定内核套接字中服务端或客户端接收缓冲的大小，单位为字节；强烈推荐使用默认值；
– tune.sndbuf.client：
– tune.sndbuf.server：java

Debug相关的参数node

debug
quiet

超时时长
timeout http request ：在客户端创建链接但不请求数据时，关闭客户端链接
timeout queue ：等待最大时长
timeout connect：定义haproxy将客户端请求转发至后端服务器所等待的超时时长
timeout client：客户端非活动状态的超时时长
timeout server：客户端与服务器端创建链接后，等待服务器端的超时时长，
timeout http-keep-alive ：定义保持链接的超时时长
timeout check：健康状态监测时的超时时间，太短会误判，过长资源消耗
maxconn :每一个server最大的链接数mysql

http-server-close : 在使用长链接时，为了不客户端超时没有关闭长链接，此功能可使服务器端关闭长链接
redispatch：在使用基于cookie定向时，一旦后端某一server宕机时，会将会话从新定向至某一上游服务器，必须使用的选项web

实现访问控制
http-request：7层过滤
tcp-request content：tcp层过滤，四层过滤
3.2.4 代理
代理相关的配置能够以下配置段中正则表达式

defaults <name>
frontend <name>
backend <name>
“defaults”段用于为全部其余配置段提供默认参数，这配置默认配置参数可由下一个“defaults”所从新设定
“frontend”段用于定义一系列监听的套接字，这些套接字可接受客户端请求并与之创建链接
“backend”段用于定义一系列“后端”服务器，代理将会对应客户端的请求转发至这些服务器
“listen”段经过关联“frontend”和“backend”定义了一个完整的代理，一般只对TCP流量有用
全部代理的名称只能使用大写字母、小写字母、数字、-（中划线）、_（下划线）、.（点号）和:（冒号）。此外，ACL名称会区分大小写
4 配置文件中关键字参考
4.1 balance
balance [ ]
balance url_param [check_post []]
定义负载均衡算法，可用于“defaults”、“listen”和“backend”。用于在负载均衡场景中挑选一个server，其仅应用于持久信息不可用的条件下或须要将一个链接从新派发至另外一个服务器时。支持的算法有：
4.1.1 roundrobin：基于权重进行轮询，在服务器的处理时间保持均匀分布时，这是最平衡、最公平的算法。此算法是动态的，这表示其权重能够在运行时进行调整，不过，在设计上，每一个后端服务器仅能最多接受4128个链接；并支持慢启动
4.1.2 static-rr：基于权重进行轮询，与roundrobin相似，可是为静态方法，在运行时调整其服务器权重不会生效；不过，其在后端服务器链接数上没有限制；不支持慢启动，在高负荷的状况下，服务器从新上线时会当即被分配大量链接
4.1.3 leastconn（WLC）：适用于长链接的会话，新的链接请求被派发至具备最少链接数目的后端服务器；在有着较长时间会话的场景中推荐使用此算法，如LDAP、SQL等，其并不太适用于较短会话的应用层协议，如HTTP；此算法是动态的，能够在运行时调整其权重；
4.1.4 source：将请求的源地址进行hash运算，并由后端服务器的权重总数相除后派发至某匹配的服务器；这可使得同一个客户端IP的请求始终被派发至某特定的服务器；不过，当服务器权重总数发生变化时，如某服务器宕机或添加了新的服务器，许多客户端的请求可能会被派发至与此前请求不一样的服务器；经常使用于负载均衡无cookie功能的基于TCP的协议；其默认为静态，不过也可使用hash-type修改此特性；
1）对原地址hash，第一次调度时使用WLC
source：IP层，位于同一个NAT服务器背后的多个请求都会定向至同一个upstream server，不利于负载均衡，通常只有不支持使用cookie插入又须要保持会话时使用cookie，应用层，有更好的负载均衡效果
2）hash/weight%ip ：除以权重取模
4.1.5 uri：对URI的左半部分(“问题”标记以前的部分)或整个URI进行hash运算，并由服务器的总权重相除后派发至某匹配的服务器；这可使得对同一个URI的请求老是被派发至某特定的服务器，除非服务器的权重总数发生了变化；此算法经常使用于代理缓存或反病毒代理以提升缓存的命中率；须要注意的是，此算法仅应用于HTTP后端服务器场景；其默认为静态算法，不过也可使用hash-type修改此特性
4.1.6 url_param：经过<argument>为URL指定的参数在每一个HTTP GET请求中将会被检索；若是找到了指定的参数且其经过等于号“=”被赋予了一个值，那么此值将被执行hash运算并被服务器的总权重相除后派发至某匹配的服务器；此算法能够经过追踪请求中的用户标识进而确保同一个用户ID的请求将被送往同一个特定的服务器，除非服务器的总权重发生了变化；若是某请求中没有出现指定的参数或其没有有效值，则使用轮叫算法对相应请求进行调度；此算法默认为静态的，不过其也可使用hash-type修改此特性
4.1.7 hdr(<name>)：对于每一个HTTP请求，经过<name>指定的HTTP首部将会被检索；若是相应的首部没有出现或其没有有效值，则使用轮叫算法对相应请求进行调度；其有一个可选选项“use_domain_only”，可在指定检索相似Host类的首部时仅计算域名部分(好比经过www.feiyu.com来讲，仅计算feiyu字符串的hash值)以下降hash算法的运算量；此算法默认为静态的，不过其也可使用hash-type修改此特性
4.1.8 rdp-cookie(name)：表示根据据cookie(name)来锁定并哈希每一次TCP请求
4.2 bind
bind [<address>]:<port_range> [, …]
bind [<address>]:<port_range> [, …] interface <interface>
此指令仅能用于frontend和listen区段，用于定义一个或几个监听的套接字。
<address>：可选选项，其能够为主机名、IPv4地址、IPv6地址或；省略此选项、将其指定为或0.0.0.0时，将监听当前系统的全部IPv4地址；<port_range>：能够是一个特定的TCP端口，也但是一个端口范围(如5005-5010)，代理服务器将经过指定的端口来接收客户端请求；须要注意的是，每组监听的套接字<address:port>在同一个实例上只能使用一次，并且小于1024的端口须要有特定权限的用户才能使用，这可能须要经过uid参数来定义；<interface>：指定物理接口的名称，仅能在Linux系统上使用；其不能使用接口别名，而仅能使用物理接口名称，并且只有管理有权限指定绑定的物理接口
4.3 mode
mode { tcp|http|health }
设定实例的运行模式或协议。当实现内容交换时，前端和后端必须工做于同一种模式(通常说来都是HTTP模式)，不然将没法启动实例。
tcp：实例运行于纯TCP模式，在客户端和服务器端之间将创建一个全双工的链接，且不会对7层报文作任何类型的检查；一般用于SSL、SSH、SMTP等应用；
http：实例运行于HTTP模式，客户端请求在转发至后端服务器以前将被深度分析，全部不与RFC格式兼容的请求都会被拒绝；此为默认模式；
health：实例工做于health模式，其对入站请求仅响应“OK”信息并关闭链接，且不会记录任何日志信息；此模式将用于响应外部组件的健康状态检查请求；目前来说，此模式已经废弃，由于tcp或http模式中的monitor关键字可完成相似功能
4.4 hast-type
hash-type <method>
定义用于将hash码映射至后端服务器的方法；其不能用于frontend区段；可用方法有map-based和consistent，在大多数场景下推荐使用默认的map-based方法。
map-based：hash表是一个包含了全部在线服务器的静态数组。其hash值将会很是平滑，会将权重考虑在列，但其为静态方法，对在线服务器的权重进行调整将不会生效，这意味着其不支持慢速启动。此外，挑选服务器是根据其在数组中的位置进行的，所以，当一台服务器宕机或添加了一台新的服务器时，大多数链接将会被从新派发至一个与此前不一样的服务器上，对于缓存服务器的工做场景来讲，此方法不甚适用。
consistent：“一致性哈希算法”，hash表是一个由各服务器填充而成的树状结构，将服务器散列在hash环上；基于hash键在hash树中查找相应的服务器时，最近的服务器将被选中。此方法是动态的，支持在运行时修改服务器权重，所以兼容慢速启动的特性。添加一个新的服务器时，仅会对一小部分请求产生影响，所以，尤为适用于后端服务器为cache的场景。不过，此算法不甚平滑，派发至各服务器的请求未必能达到理想的均衡效果，所以，可能须要不时的调整服务器的权
重以得到更好的均衡性
4.5 log
log global
log <address> <facility> [<level> [<minlevel>]]
为每一个实例启用事件和流量日志，所以可用于全部区段。每一个实例最多能够指定两个log参数，不过，若是使用了“log global”且”global”段已经定了两个log参数时，多余了log参数将被忽略。
global：当前实例的日志系统参数同”global”段中的定义时，将使用此格式；每一个实例仅能定义一次“log global”语句，且其没有任何额外参数；
<address>：定义日志发往的位置，其格式之一能够为<IPv4_address:PORT>，其中的port为UDP协议端口，默认为514；格式之二为Unix套接字文件路径，但须要留心chroot应用及用户的读写权限；
<facility>：能够为syslog系统的标准facility之一；
<level>：定义日志级别，即输出信息过滤器，默认为全部信息；指定级别时，全部等于或高于此级别的日志信息将会被发送；
4.6 maxcon
maxconn <conns>
设定一个前端的最大并发链接数，所以，其不能用于backend区段。对于大型站点来讲，能够尽量提升此值以便让haproxy管理链接队列，从而避免没法应答用户请求。固然，此最大值不能超出“global”段中的定义。此外，须要留心的是，haproxy会为每一个链接维持两个缓冲，每一个缓冲的大小为8KB，再加上其它的数据，每一个链接将大约占用17KB的RAM空间。这意味着通过适当优化后，有着1GB的可用RAM空间时将能维护40000-50000并发链接。
若是为<conns>指定了一个过大值，极端场景下，其最终占据的空间可能会超出当前主机的可用内存，这可能会带来意想不到的结果；所以，将其设定了一个可接受值方为明智决定。其默认为2000
4.7 default_backend
default_backend <backend>
在没有匹配的”use_backend”规则时为实例指定使用的默认后端，所以，其不可应用于backend区段。在”frontend”和”backend”之间进行内容交换时，一般使用”use-backend”定义其匹配规则；而没有被规则匹配到的请求将由此参数指定的后端接收。
<backend>：指定使用的后端的名称；
使用案例：
use_backend dynamic if url_dyn
use_backend static if url_css url_img extension_img
default_backend dynamic
4.8 server
server <name> <address>[:port] [param]
为后端声明一个server，所以，不能用于defaults和frontend区段。
<name>：为此服务器指定的内部名称，其将出如今日志及警告信息中；若是设定了”http-send-server-name”，它还将被添加至发往此服务器的请求首部中；
<address>：此服务器的的IPv4地址，也支持使用可解析的主机名，只不过在启动时须要解析主机名至相应的IPv4地址；
[:port]：指定将链接请求所发往的此服务器时的目标端口，其为可选项；未设定时，将使用客户端请求时的同一相端口；
[param]：为此服务器设定的一系参数；其可用的参数很是多，具体请参考官方文档中的说明，下面仅说明几个经常使用的参数；
服务器或默认服务器参数：
backup：设定为备用服务器，仅在负载均衡场景中的其它server均不可用于启用此server；
check：启动对此server执行健康状态检查，其能够借助于额外的其它参数完成更精细的设定，如：
inter <delay>：设定健康状态检查的时间间隔，单位为毫秒，默认为2000；也可使用fastinter和downinter来根据服务器端状态优化此时间延迟；
rise <count>：设定健康状态检查中，某离线的server从离线状态转换至正常状态须要成功检查的次数；
fall <count>：确认server从正常状态转换为不可用状态须要检查的次数；

The default
values are the following ones :

inter : 2000 意思是不加该参数，正常状况默认没两秒检查一次
rise : 2 意思是不加该参数，在RS宕机后恢复前，检查2次OK，认为其复活，并加入到群组中
fall : 3 意思是不加该参数，检查3此后，认为RS宕机，剔除集群组
port : default server port 不加该参数，默认就是端口检查
addr : specific address for the test (default = address server)

cookie <value>：为指定server设定cookie值，此处指定的值将在请求入站时被检查，第一次为此值挑选的server将在后续的请求中被选中，其目的在于实现持久链接的功能；
maxconn <maxconn>：指定此服务器接受的最大并发链接数；若是发往此服务器的链接数目高于此处指定的值，其将被放置于请求队列，以等待其它链接被释放；
haproxy 有n个进程，每一个支持m个链接，后端有x个服务器，每一个最大支持y个链接，则 nm <= xy，若是后端服务器支持排队，则nm <= x（y+z），z为每一个服务器的排队队列
maxqueue <maxqueue>：设定请求队列的最大长度；
observe <mode>：经过观察服务器的通讯情况来断定其健康状态，默认为禁用，其支持的类型有“layer4”和“layer7”，“layer7”仅能用于http代理场景；
redir <prefix>：启用重定向功能，将发往此服务器的GET和HEAD请求均以302状态码响应；须要注意的是，在prefix后面不能使用/，且不能使用相对地址，以避免形成循环；例如：
server srv1 172.16.100.6:80 redir http://imageserver.feiyu.com check
weight <weight>：权重，默认为1，最大值为256，0表示不参与负载均衡（不被调度）；
检查方法：
option httpchk
option httpchk
option httpchk
option httpchk ：不能用于frontend段，例如：
backend https_relay
mode tcp
option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www.feiyu.com
server apache1 192.168.1.1:443 check port 80
使用案例：
server first 172.16.100.7:1080 cookie first check inter 1000
server second 172.16.100.8:1080 cookie second check inter 1000
4.9 capture request header
capture request header <name> len <length>
捕获并记录指定的请求首部最近一次出现时的第一个值，仅能用于“frontend”和“listen”区段。捕获的首部值使用花括号{}括起来后添加进日志中。若是须要捕获多个首部值，它们将以指定的次序出如今日志文件中，并以竖线“|”做为分隔符。不存在的首部记录为空字符串，最常须要捕获的首部包括在虚拟主机环境中使用的“Host”、上传请求首部中的“Content-length”、快速区别真实用户和网络机器人的“User-agent”，以及代理环境中记录真实请求来源的“X-Forward-For”。
<name>：要捕获的首部的名称，此名称不区分字符大小写，但建议与它们出如今首部中的格式相同，好比大写首字母。须要注意的是，记录在日志中的是首部对应的值，而非首部名称。
<length>：指定记录首部值时所记录的精确长度，超出的部分将会被忽略。
能够捕获的请求首部的个数没有限制，但每一个捕获最多只能记录64个字符。为了保证同一个frontend中日志格式的统一性，首部捕获仅能在frontend中定义
4.10 capture request header
capture response header <name> len <length>
捕获并记录响应首部，其格式和要点同请求首部
4.11 stats enable
启用基于程序编译时默认设置的统计报告，不能用于“frontend”区段。只要没有另外的其它设定，它们就会使用以下的配置：

stats uri : /haproxy?stats
stats realm : "HAProxy Statistics"
stats auth : no authentication
stats scope : no restriction
尽管“stats enable”一条就可以启用统计报告，但仍是建议设定其它全部的参数，以避免其依赖于默认设定而带来非期后果。下面是一个配置案例
backend public_www
server websrv1 172.16.100.11:80
stats enable
stats hide-version
stats scope .
stats uri /haproxyadmin?stats
stats realm Haproxy\ Statistics
stats auth statsadmin:password
stats auth statsmaster:password
4.12 stats hide-version
stats hide-version
启用统计报告并隐藏HAProxy版本报告，不能用于“frontend”区段。默认状况下，统计页面会显示一些有用信息，包括HAProxy的版本号，然而，向全部人公开HAProxy的精确版本号是很是有风险的，由于它能帮助恶意用户快速定位版本的缺陷和漏洞。尽管“stats hide-version”一条就可以启用统计报告，但仍是建议设定其它全部的参数，以避免其依赖于默认设定而带来非期后果。具体请参照“stats enable”一节的说明
4.13 stats realm
stats realm <realm>
启用统计报告并高精认证领域，不能用于“frontend”区段。haproxy在读取realm时会将其视做一个单词，所以，中间的任何空白字符都必须使用反斜线进行转义。此参数仅在与“stats auth”配置使用时有意义。
<realm>：实现HTTP基本认证时显示在浏览器中的领域名称，用于提示用户输入一个用户名和密码。
尽管“stats realm”一条就可以启用统计报告，但仍是建议设定其它全部的参数，以避免其依赖于默认设定而带来非期后果。具体请参照“stats enable”一节的说明
4.14 stats scope
stats scope { <name> | "." }
启用统计报告并限定报告的区段，不能用于“frontend”区段。当指定此语句时，统计报告将仅显示其列举出区段的报告信息，全部其它区段的信息将被隐藏。若是须要显示多个区段的统计报告，此语句能够定义屡次。须要注意的是，区段名称检测仅仅是以字符串比较的方式进行，它不会真检测指定的区段是否真正存在。
<name>：能够是一个“listen”、“frontend”或“backend”区段的名称，而“.”则表示stats scope语句所定义的当前区段。
尽管“stats scope”一条就可以启用统计报告，但仍是建议设定其它全部的参数，以避免其依赖于默认设定而带来非期后果。下面是一个配置案例
backend private_monitoring
stats enable
stats uri /haproxyadmin?stats
stats refresh 10s
4.15 stats auth
stats auth <user>:<passwd>
启用带认证的统计报告功能并受权一个用户账号，其不能用于“frontend”区段。
<user>：受权进行访问的用户名；
<passwd>：此用户的访问密码，明文格式；
此语句将基于默认设定启用统计报告功能，并仅容许其定义的用户访问，其也能够定义屡次以受权多个用户账号。能够结合“stats realm”参数在提示用户认证时给出一个领域说明信息。在使用非法用户访问统计功能时，其将会响应一个“401 Forbidden”页面。其认证方式为HTTP Basic认证，密码传输会以明文方式进行，所以，配置文件中也使用明文方式存储以说明其非保密信息故此不能相同于其它关键性账号的密码。
尽管“stats auth”一条就可以启用统计报告，但仍是建议设定其它全部的参数，以避免其依赖于默认设定而带来非期后果
4.16 stats admin
stats admin { if | unless } <cond>
在指定的条件知足时启用统计报告页面的管理级别功能，它容许经过web接口启用或禁用服务器，不过，基于安全的角度考虑，统计报告页面应该尽量为只读的。此外，若是启用了HAProxy的多进程模式，启用此管理级别将有可能致使异常行为。
目前来讲，POST请求方法被限制于仅能使用缓冲区减去保留部分以外的空间，所以，服务器列表不能过长，不然，此请求将没法正常工做。所以，建议一次仅调整少数几个服务器。下面是两个案例，第一个限制了仅能在本机打开报告页面时启用管理级别功能，第二个定义了仅容许经过认证的用户使用管理级别功能
backend stats_localhost
stats enable
stats admin if LOCALHOST
backend stats_auth
stats enable
stats auth haproxyadmin:password
stats admin if TRUE
4.17 option httplog
option httplog [clf]
启用记录HTTP请求、会话状态和计时器的功能。
clf：使用CLF格式来代替HAProxy默认的HTTP格式，一般在使用仅支持CLF格式的特定日志分析器时才须要使用此格式。
默认状况下，日志输入格式很是简陋，由于其仅包括源地址、目标地址和实例名称，而“option httplog”参数将会使得日志格式变得丰富许多，其一般包括但不限于HTTP请求、链接计时器、会话状态、链接数、捕获的首部及cookie、“frontend”、“backend”及服务器名称，固然也包括源地址和端口号等
4.18 option logasap
option logasap
no option logasap
启用或禁用提早将HTTP请求记入日志，不能用于“backend”区段。
默认状况下，HTTP请求是在请求结束时进行记录以便能将其总体传输时长和字节数记入日志，由此，传较大的对象时，其记入日志的时长可能会略有延迟。“option logasap”参数可以在服务器发送complete首部时即时记录日志，只不过，此时将不记录总体传输时长和字节数。此情形下，捕获“Content-Length”响应首部来记录传输的字节数是一个较好选择。下面是一个例子
listen http_proxy 0.0.0.0:80
mode http
option httplog
option logasap
log 172.16.100.9 local2
4.19 option forwardfor
option forwardfor [ except <network> ] [ header <name> ] [ if-none ]
容许在发往服务器的请求首部中插入“X-Forwarded-For”首部。
<network>：可选参数，当指定时，源地址为匹配至此网络中的请求都禁用此功能。
<name>：可选参数，可以使用一个自定义的首部，如“X-Client”来替代“X-Forwarded-For”。有些独特的web服务器的确须要用于一个独特的首部。
if-none：仅在此首部不存在时才将其添加至请求报文问道中。
HAProxy工做于反向代理模式，其发往服务器的请求中的客户端IP均为HAProxy主机的地址而非真正客户端的地址，这会使得服务器端的日志信息记录不了真正的请求来源，“X-Forwarded-For”首部则可用于解决此问题。HAProxy能够向每一个发往服务器的请求上添加此首部，并以客户端IP为其value。
须要注意的是，HAProxy工做于隧道模式，其仅检查每个链接的第一个请求，所以，仅第一个请求报文被附加此首部。若是想为每个请求都附加此首部，请确保同时使用了“option httpclose”、“option forceclose”和“option http-server-close”几个option。
下面是一个例子
frontend www
mode http
option forwardfor except 127.0.0.1
4.20 errorfile
errorfile <code> <file>
在用户请求不存在的页面时，返回一个页面文件给客户端而非由haproxy生成的错误代码；可用于全部段中。
<code>：指定对HTTP的哪些状态码返回指定的页面；这里可用的状态码有200、400、40三、40八、500、50二、503和504；
<file>：指定用于响应的页面文件；
例如
errorfile 400 /etc/haproxy/errorpages/400badreq.http
errorfile 403 /etc/haproxy/errorpages/403forbid.http
errorfile 503 /etc/haproxy/errorpages/503sorry.http
4.21 errorloc和errorloc32
errorloc <code> <url>
errorloc302 <code> <url>
请求错误时，返回一个HTTP重定向至某URL的信息；可用于全部配置段中。
<code>：指定对HTTP的哪些状态码返回指定的页面；这里可用的状态码有200、400、40三、40八、500、50二、503和504；
<url>：Location首部中指定的页面位置的具体路径，能够是在当前服务器上的页面的相对路径，也可使用绝对路径；须要注意的是，若是URI自身错误时产生某特定状态码信息的话，有可能会致使循环定向；
须要留意的是，这两个关键字都会返回302状态吗，这将使得客户端使用一样的HTTP方法获取指定的URL，对于非GET法的场景(如POST)来讲会产生问题，由于返回客户的URL是不容许使用GET之外的其它方法的。若是的确有这种问题，可使用errorloc303来返回303状态码给客户端
4.22 errorloc303
errorloc303 <code><url>
请求错误时，返回一个HTTP重定向至某URL的信息给客户端；可用于全部配置段中。
<code>：指定对HTTP的哪些状态码返回指定的页面；这里可用的状态码有400、40三、40八、500、50二、503和504；
<url>：Location首部中指定的页面位置的具体路径，能够是在当前服务器上的页面的相对路径，也可使用绝对路径；须要注意的是，若是URI自身错误时产生某特定状态码信息的话，有可能会致使循环定向
例如：
backend webserver
server 172.16.100.6 172.16.100.6:80 check maxconn 3000 cookie srv01
server 172.16.100.7 172.16.100.7:80 check maxconn 3000 cookie srv02
errorloc 403 /etc/haproxy/errorpages/sorry.htm
errorloc 503 /etc/haproxy/errorpages/sorry.htm

5 ACL
haproxy的ACL用于实现基于请求报文的首部、响应报文的内容或其它的环境状态信息来作出转发决策，这大大加强了其配置弹性。其配置法则一般分为两步，首先去定义ACL，即定义一个测试条件，然后在条件获得知足时执行某特定的动做，如阻止请求或转发至某特定的后端。定义ACL的语法格式以下。
acl <aclname> <criterion> [flags] [operator] <value> ...
<aclname>：ACL名称，区分字符大小写，且其只能包含大小写字母、数字、-(链接线)、_(下划线)、.(点号)和:(冒号)；haproxy中，acl能够重名，这能够把多个测试条件定义为一个共同的acl；
<criterion>：测试标准，即对什么信息发起测试；测试方式能够由[flags]指定的标志进行调整；而有些测试标准也能够须要为其在以前指定一个操做符[operator]；
[flags]：目前haproxy的acl支持的标志位有3个：
-i：不区分中模式字符的大小写；
-f：从指定的文件中加载模式；
--：标志符的强制结束标记，在模式中的字符串像标记符时使用；
<value>：acl测试条件支持的值有如下四类：
整数或整数范围：如1024:65535表示从1024至65535；仅支持使用正整数(若是出现相似小数的标识，其为一般为版本测试)，且支持使用的操做符有5个，分别为eq、ge、gt、le和lt；
字符串：支持使用“-i”以忽略字符大小写，支持使用“\”进行转义；若是在模式首部出现了-i，能够在其以前使用“–”标志位；
正则表达式：其机制类同字符串匹配；
IP地址及网络地址；
同一个acl中能够指定多个测试条件，这些测试条件须要由逻辑操做符指定其关系。条件间的组合测试关系有三种：“与”(默认即为与操做)、“或”(使用“||”操做符)以及“非”(使用“!”操做符)
5.1 经常使用的测试标准（criteria）
5.1.1 be_sess_rate
be_sess_rate(backend)<integer>
用于测试指定的backend上会话建立的速率(即每秒建立的会话数)是否知足指定的条件；经常使用于在指定backend上的会话速率太高时将用户请求转发至另外的backend，或用于阻止***行为。例如：
backend dynamic
mode http
acl being_scanned be_sess_rate gt 50
redirect location /error_pages/denied.html if being_scanned
5.1.2 fe_sess_rate
fe_sess_rate(frontend)<integer>
用于测试指定的frontend(或当前frontend)上的会话建立速率是否知足指定的条件；经常使用于为frontend指定一个合理的会话建立速率的上限以防止服务被滥用。例以下面的例子限定入站邮件速率不能大于50封/秒，全部在此指定范围以外的请求都将被延时50毫秒
frontend mail
bind :25
mode tcp
maxconn 500
acl too_fast fe_sess_rate ge 50
tcp-request inspect-delay 50ms
tcp-request content accept if ! too_fast
tcp-request content accept if WAIT_END
5.1.3 hdr<string>
hdr(header)<string>
用于测试请求报文中的全部首部或指定首部是否知足指定的条件；指定首部时，其名称不区分大小写，且在括号“()”中不能有任何多余的空白字符。测试服务器端的响应报文时可使用shdr()。例以下面的例子用于测试首部Connection的值是否为close
hdr(connection) -i close
5.1.4 method <string>
method<string>
测试HTTP请求报文中使用的方法
5.1.5 path_beg <string>
用于测试请求的URL是否以指定的模式开头。下面的例子用于测试URL是否以/static、/images、/javascript或/stylesheets头
acl url_static path_beg -i /static /images /javascript /stylesheets
5.1.6 path_end <string>
用于测试请求的URL是否以<string>指定的模式结尾。例如，下面的例子用户测试URL是否以jpg、gif、png、css或js结尾
acl url_static path_end -i .jpg .gif .png .css .js
5.1.7 hdr_beg <string>
用于测试请求报文的指定首部的结尾部分是否符合<string>指定的模式
6 配置案例
前端调度器IP：192.168.1.210
后端应用服务器IP: 192.168.1.111 和 192.168.1.112
定义独立日志文件
[root@node1 haproxy]# vim /etc/rsyslog.conf #为其添加日志功能

Provides UDP syslog reception

$ModLoad imudp
$UDPServerRun 514 ------>启动udp，启动端口后将做为服务器工做

Provides TCP syslog reception

$ModLoad imtcp
$InputTCPServerRun 514 ------>启动tcp监听端口
local2.* /var/log/haproxy.log

[root@node1 haproxy]# service rsyslog restar
[root@LB haproxy]# vim haproxy.cfg
log 127.0.0.1 local2 --------->在global端中添加此行

一个最简单的http服务的配置
global
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 4000
user haproxy
group haproxy
daemon
stats socket /var/lib/haproxy/stats
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/8
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
frontend webser #webser为名称
option forwardfor
bind :80
default_backend app
backend app
balance roundrobin #使拥roundrobin 算法
server app1 192.168.1.111:80 check
server app2 192.168.1.112:80 check
haproxy统计页面的输出机制
frontend webser
log 127.0.0.1 local3
option forwardfor
bind :80
default_backend app
backend app
cookie node insert nocache
balance roundrobin
server app1 192.168.1.111:80 check cookie node1 intval 2 rise 1 fall 2
server app2 192.168.1.112:80 check cookie node2 intval 2 rise 1 fall 2
server backup 127.0.0.1:8010 check backup
listen statistics
bind :8009 # 自定义监听端口
stats enable # 启用基于程序编译时默认设置的统计报告
stats auth admin:admin # 统计页面用户名和密码设置
stats uri /admin?stats # 自定义统计页面的URL，默认为/haproxy?stats
stats hide-version # 隐藏统计页面上HAProxy的版本信息
stats refresh 30s # 统计页面自动刷新时间
stats admin if TRUE #若是认证经过就作管理功能，能够管理后端的服务器
stats realm Hapadmin # 统计页面密码框上提示文本，默认为Haproxy\ Statistics
动静分离示例
frontend webservs
bind :80
acl url_static path_beg -i /static /images /javascript /stylesheets
acl url_static path_end -i .jpg .gif .png .css .js .html
acl url_php path_end -i .php
acl host_static hdr_beg(host) -i img. imgs. video. videos. ftp. image. download.
use_backend static if url_static or host_static
use_backend dynamic if url_php
default_backend dynamic
backend static
balance roundrobin
server node1 192.168.1.111:80 check maxconn 3000
backend dynamic
balance roundrobin
server node2 192.168.1.112:80 check maxconn 1000
http服务器配置完整示例
#---------------------------------------------------------------------

Global settings

#---------------------------------------------------------------------
global

to have these messages end up in /var/log/haproxy.log you will

need to:

1) configure syslog to accept network log events. This is done

by adding the '-r' option to the SYSLOGD_OPTIONS in

/etc/sysconfig/syslog

2) configure local2 events to go to the /var/log/haproxy.log

file. A line like the following can be added to

/etc/sysconfig/syslog

local2.* /var/log/haproxy.log

#
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 4000
user haproxy
group haproxy
daemon
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/8
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 30000
listen stats
mode http
bind 0.0.0.0:1080
stats enable
stats hide-version
stats uri /haproxyadmin?stats
stats realm Haproxy\ Statistics
stats auth admin:admin
stats admin if TRUE
frontend http-in
bind *:80
mode http
log global
option httpclose
option logasap #不等待响应结束就记录日志，表示提早记录日志，通常日志会记录响应时长，此不记录响应时长
option dontlognull #不记录空信息
capture request header Host len 20 #记录请求首部的前20个字符
capture request header Referer len 60 #referer跳转引用，就是上一级
default_backend servers
frontend healthcheck
bind :1099 #定义外部检测机制
mode http
option httpclose
option forwardfor
default_backend servers
backend servers
balance roundrobin
server websrv1 192.168.1.111:80 check maxconn 2000
server websrv2 192.168.1.112:80 check maxconn 2000
负载均衡MySQL服务的配置示例
#---------------------------------------------------------------------

Global settings

#---------------------------------------------------------------------
global

to have these messages end up in /var/log/haproxy.log you will

need to:

1) configure syslog to accept network log events. This is done

by adding the '-r' option to the SYSLOGD_OPTIONS in

/etc/sysconfig/syslog

2) configure local2 events to go to the /var/log/haproxy.log

file. A line like the following can be added to

/etc/sysconfig/syslog

local2.* /var/log/haproxy.log

#log 127.0.0.1 local2chroot /var/lib/haproxypidfile /var/run/haproxy.pidmaxconn 4000user haproxygroup haproxydaemondefaultsmode tcplog globaloption httplogoption dontlognullretries 3timeout http-request 10stimeout queue 1mtimeout connect 10stimeout client 1mtimeout server 1mtimeout http-keep-alive 10stimeout check 10smaxconn 600listen statsmode httpbind 0.0.0.0:1080stats enablestats hide-versionstats uri /haproxyadmin?statsstats realm Haproxy\ Statisticsstats auth admin:adminstats admin if TRUEfrontend mysqlbind *:3306mode tcplog globaldefault_backend mysqlserversbackend mysqlserversbalance leastconnserver dbsrv1 192.168.1.111:3306 check port 3306 intval 2 rise 1 fall 2 maxconn 300server dbsrv2 192.168.1.112:3306 check port 3306 intval 2 rise 1 fall 2 maxconn 300