商城网站模板,抖店推广,游览有关小城镇建设的网站,英语网站海报手抄报怎么做基于cookie的会话保持 在 HAProxy 中#xff0c;可以通过使用 cookie 配置来实现基于 Cookie 的会话保持。cookie 配置用于配置与会话保持相关的选项#xff0c;允许您定义要在HTTP响应中插入或重写的Cookie以及其他与Cookie会话保持相关的参数。 以下是一些常用的 cookie 配… 基于cookie的会话保持 在 HAProxy 中可以通过使用 cookie 配置来实现基于 Cookie 的会话保持。cookie 配置用于配置与会话保持相关的选项允许您定义要在HTTP响应中插入或重写的Cookie以及其他与Cookie会话保持相关的参数。 以下是一些常用的 cookie 配置选项 cookie cookie-name type [prefix|postfix] [indirect] [nocache]: cookie-name: 要使用的Cookie名称。 type: 定义Cookie的类型可以是insert, rewrite, 或者 insert indirect。insert 表示在响应中插入新的Cookierewrite 表示重写已有的Cookieinsert indirect 表示在响应中插入新的Cookie并将值保存到一个间接的Cookie中。 prefix|postfix: 用于定义插入的Cookie值是作为前缀还是后缀添加到Cookie中默认为前缀。 indirect: 与insert indirect 配合使用将Cookie值保存到一个间接的Cookie中。 nocache: 表示HAProxy不会在响应中添加Cache-Control和Expires头部防止缓存Cookie。 cookie cookie-name insert indirect nocache: 这是一个常用的基于Cookie的会话保持配置选项。它在响应中插入一个新的Cookie并将值保存到一个间接的Cookie中。同时禁用缓存确保会话保持的Cookie不会被缓存。 cookie cookie-name rewrite: 这个选项用于重写已有的Cookie的值。如果请求中已经包含指定名称的CookieHAProxy会根据会话保持策略更新Cookie的值。 HAProxy状态页 HAProxy提供了一个状态页面也称为HAProxy统计页面(HAProxy Stats Page)它是一个Web界面用于查看和监控HAProxy的实时状态信息。通过访问这个状态页面您可以获取HAProxy的运行状态、负载均衡信息、后端服务器的状态等帮助您了解HAProxy的性能和连接情况。 stats enable #基于默认的参数启用stats page
stats hide-version #隐藏版本
stats refresh delay #设定自动刷新时间间隔
stats uri prefix #自定义stats page uri默认值/haproxy?stats
stats realm realm #账户认证时的提示信息示例stats realm : HAProxy\ Statistics
stats auth user:passwd #认证时的账号和密码可使用多次默认no authentication
stats admin { if | unless } cond #启用stats page中的管理功能 报文修改 在 HAProxy 中可以通过使用报文修改(Message Modification)来修改请求和响应报文的内容。报文修改允许您在 HAProxy 转发请求和响应之前对报文进行自定义的编辑、增加、删除或替换操作。这样您可以实现一些高级功能例如重写请求URL、修改请求头部、处理响应内容等。 HAProxy 提供了两种报文修改的方式 HTTP 请求和响应报文修改 通过使用 http-request 和 http-response 配置项您可以在 HTTP 请求和响应处理阶段修改报文。 TCP 请求和响应报文修改 通过使用 tcp-request 和 tcp-response 配置项您可以在 TCP 请求和响应处理阶段修改报文。 在请求报文尾部添加指定首部
reqadd string [{if | unless} cond]
从请求报文中删除匹配正则表达式的首部
reqdel search [{if | unless} cond]
reqidel search [{if | unless} cond]
在响应报文尾部添加指定首部
rspadd string [{if | unless} cond]
示例
rspadd X-Via:\ HAPorxy
从响应报文中删除匹配正则表达式的首部
rspdel search [{if | unless} cond]
rspidel search [{if | unless} cond]
示例
rspidel server.* #从响应报文删除server信息
rspidel X-Powered-By:.* #从响应报文删除X-Powered-By信息 HAProxy日志配置 在 HAProxy 中您可以通过配置日志来记录关于请求、响应和HAProxy运行状态的信息。通过日志记录您可以监控流量、故障排查、性能优化以及分析用户行为。HAProxy 支持将日志输出到不同的目标例如文件、远程服务器、syslog 等。 globallog /dev/log local0log /dev/log local1 noticedefaultslog globalmode httpoption httplogoption dontlognulltimeout connect 5000timeout client 50000timeout server 50000frontend http_frontbind *:80default_backend http_backbackend http_backserver web1 192.168.1.101:80 checkserver web2 192.168.1.102:80 check 在上述示例中我们配置了两个日志输出目标一个是 /dev/log使用 local0 设施(facility)另一个是 /dev/log使用 local1 设施。设施是 syslog 的一部分用于将日志分配到不同的系统设施中。
日志配置项解释
log /dev/log local0: 将日志输出到 /dev/log使用 local0 设施。这是系统日志默认使用的设施您可以在 syslog 配置中指定将该设施的日志输出到特定文件或远程服务器。
log /dev/log local1 notice: 将日志输出到 /dev/log使用 local1 设施并指定日志级别为 notice。notice 级别意味着只记录比 notice 级别更高的日志消息例如 warning、err、alert 和 emerg 等。
log global: 在默认配置部分使用 log global表示将使用全局配置的日志设置。
option httplog: 启用 HTTP 日志记录这将记录关于 HTTP 请求和响应的信息包括客户端IP、请求方法、请求URL、HTTP状态码等。
option dontlognull: 防止记录空连接的日志 Rsyslog配置 vim /etc/rsyslog.conf
$ModLoad imudp
$UDPServerRun 514
local3.* /var/log/haproxy.log
# systemctl restart rsyslog 自定义日志格式 在 HAProxy 中除了使用预定义的占位符来定义自定义日志格式外还可以使用 capture 来自定义捕获特定请求或响应的信息并将其包含在日志中。 capture 是一个强大的选项允许您从请求和响应中提取关键信息并将其记录在日志中。您可以在 http-request 和 http-response 配置中使用 capture 来捕获所需的信息。 capture cookie name len length #捕获请求和响应报文中的 cookie并记录日志
capture request header name len length #捕获请求报文中指定的首部内容和长度并记录日志
capture response header name len length #捕获响应报文中指定的内容和长度首部并记录日志
示例
capture request header Host len 256
capture request header User-Agent len 512
capture request header Referer len 15 globallog /dev/log local0log /dev/log local1 noticedefaultslog globallog-format %ci:%cp [%t] %ft %b/%s %hrl %hs %[capture.req.hdr(0)] %[capture.res.hdr(0)]mode httpoption httplogoption dontlognulltimeout connect 5000timeout client 50000timeout server 50000frontend http_frontbind *:80http-request capture req.hdr(Host) len 64default_backend http_backbackend http_backserver web1 192.168.1.101:80 checkserver web2 192.168.1.102:80 check 在上述示例中我们使用 %[capture] 来显示捕获的请求头部的值并且使用了 %[capture.req.hdr(0)]表示从请求头部中捕获了第一个头部的值(在本例中我们捕获了 Host 头部的值)。同样的如果您需要显示捕获的响应头部的值可以使用 %[capture.res.hdr(0)]。 压缩功能 对响应给客户端的报文进行压缩以节省网络带宽但是会占用部分CPU性能。在 HAProxy 中可以通过配置压缩功能来对传输的内容进行压缩从而减少数据传输的大小提高网络性能以及减少带宽消耗。压缩功能通常用于减轻网络负载和加快页面加载速度特别是对于文本内容(例如 HTML、CSS、JavaScript)来说效果明显 HAProxy 提供了两种压缩方式Gzip 压缩和Brotli 压缩。您可以根据需求选择适合您场景的压缩算法。 以下是如何在 HAProxy 中配置压缩功能的示例 global# 其他全局配置defaults# 其他默认配置frontend http_frontbind *:80mode httpdefault_backend http_backbackend http_backmode httpcompression algo gzipcompression type text/html text/plain text/css application/javascriptserver web1 192.168.1.101:80 checkserver web2 192.168.1.102:80 check global# 其他全局配置defaults# 其他默认配置frontend http_frontbind *:80mode httpdefault_backend http_backbackend http_backmode httpcompression algo brcompression type text/html text/plain text/css application/javascriptserver web1 192.168.1.101:80 checkserver web2 192.168.1.102:80 check
#通过设置 compression algo gzip 来指定压缩算法为 Gzip。然后使用 compression type web服务器状态监测 在 HAProxy 中可以使用健康检查来监测后端Web服务器的状态以确保它们正常工作并提供服务。通过定期进行健康检查HAProxy可以自动发现不可用的服务器并将流量从故障服务器转移到其他健康的服务器从而提高系统的可用性和稳定性。 option httpchk
option httpchk uri
option httpchk method uri
option httpchk method uri version
基于四层的传输端口做状态监测
基于指定URI 做状态监测
基于指定URI的request请求头部内容做状态监测 在 HAProxy 中可以使用多种方式来进行后端服务器的健康检查。每种方式都适用于不同的应用场景和后端服务器类型。以下是一些常见的健康检查方式 TCP 健康检查 使用TCP健康检查时HAProxy会简单地尝试连接到后端服务器的指定端口。如果连接成功则认为服务器是健康的否则被视为不健康。TCP健康检查适用于不需要检查具体服务状态的场景例如数据库服务器。 backend my_backendmode tcpserver web1 192.168.1.101:3306 checkserver web2 192.168.1.102:3306 check HTTP 健康检查 使用HTTP健康检查时HAProxy会发送HTTP请求到后端服务器的特定URL并检查响应状态码是否符合预期。HTTP健康检查适用于Web服务器或应用服务器可以检查具体的应用状态。 backend my_backendmode httpoption httpchk GET /healthcheck HTTP/1.1\r\nHost:\ www.example.comhttp-check expect status 200server web1 192.168.1.101:80 checkserver web2 192.168.1.102:80 check
#通过设置 option httpchk 来指定HTTP健康检查的请求并使用 http-check expect status 200 来指定期望的响应状态码。 SMTP 健康检查 使用SMTP健康检查时HAProxy会尝试连接到后端服务器的SMTP端口并检查服务器是否响应了有效的SMTP协议。 backend my_backendmode tcpoption smtpchkserver smtp1 192.168.1.101:25 checkserver smtp2 192.168.1.102:25 check 其他健康检查选项 HAProxy还支持其他健康检查选项例如使用ssl-hello-chk进行SSL握手检查使用ldap-check进行LDAP检查等。这些健康检查方式适用于特定的应用场景和协议。 ACL 在 HAProxy 中acl(Access Control List)是用来定义访问控制规则的功能。ACL允许您根据特定条件对请求进行分类和匹配然后根据匹配结果执行相应的操作。这使得您能够对请求进行高级的路由和过滤。 acl aclname criterion [flags] [operator] [value]
acl 名称 匹配规范 匹配模式 具体操作符 操作对象类型aclnameACL 的名称用于标识 ACL 规则可以自定义。
criterionACL 规则的匹配条件可以是以下 ACL 配置选项之一如 path_beg、hdr_dom、src 等。具体可以参考之前回答中提到的 ACL 配置选项。
[flags](可选)用于指定额外的标志比如 i 表示大小写不敏感匹配-i 表示大小写敏感匹配。
[operator](可选)用于指定匹配操作符例如 eq 表示等于ne 表示不等于lt 表示小于gt 表示大于等。
[value](可选)用于指定要匹配的具体对象类型。 criterion hdr([name [occ]])完全匹配字符串,header的指定信息
hdr_beg([name [occ]])前缀匹配header中指定匹配内容的begin
hdr_end([name [occ]])后缀匹配header中指定匹配内容end
hdr_dom([name [occ]])域匹配header中的domain name
hdr_dir([name [occ]])路径匹配header的uri路径
hdr_len([name [occ]])长度匹配header的长度匹配
hdr_reg([name [occ]])正则表达式匹配自定义表达式(regex)模糊匹配
hdr_sub([name [occ]])子串匹配header中的uri模糊匹配
dst 目标IP
dst_port 目标PORT
src 源IP
src_port 源PORT
url_param()用于检查请求 URL 中的参数值
req_ 和 res_ 前缀**用于检查请求和响应中的其他属性例如 Cookies、HTTP 方法等。
ssl_fc用于检查请求是否使用 SSL/TLS 加密。示例
# 检查 User-Agent 请求头是否包含 Mozilla
acl is_mozilla hdr(User-Agent) -i Mozilla
# 检查 Host 请求头是否以 example.com 结束
acl is_example hdr_end(Host) -i example.com
# 检查请求是否使用 HTTPS 加密
acl is_https ssl_fc
# 检查请求的 HTTP 方法是否为 POST
acl is_post_method req.method POST
# 检查请求的来源 IP 地址是否在指定的 IP 段内
acl is_internal src 192.168.0.0/16
# 检查请求 URL 中的参数 id 是否等于 123
acl is_id_123 url_param(id) eq 123
# 检查请求的来源端口是否为 8080
acl is_src_port_8080 src_port 8080
# 检查请求的目标端口是否为 443
acl is_dst_port_443 dst_port 443
path_beg 请求的URL开头如/static、/images、/img、/css
path_end 请求的URL中资源的结尾如 .gif .png .css .js .jpg .jpe flags -i 不区分大小写
-m 使用指定的pattern匹配方法
-n 不做DNS解析
-u 禁止acl重名否则多个同名ACL匹配或关系
-f从文件中读取条件比如黑名单或白名单 operator 整数比较eq、ge、gt、le、lt
字符比较
- exact match (-m str) :字符串必须完全匹配模式
- substring match (-m sub) :在提取的字符串中查找模式如果其中任何一个被发现ACL将匹配
- prefix match (-m beg) :在提取的字符串首部中查找模式如果其中任何一个被发现ACL将匹配
- suffix match (-m end) :将模式与提取字符串的尾部进行比较如果其中任何一个匹配则ACL进行匹配
- subdir match (-m dir) :查看提取出来的用斜线分隔(“/”)的字符串如果其中任何一个匹配则ACL进行
匹配
- domain match (-m dom) :查找提取的用点(“.”)分隔字符串如果其中任何一个匹配则ACL进行匹配 value - Boolean #布尔值
- integer or integer range #整数或整数范围比如用于匹配端口范围
- IP address / network #IP地址或IP范围, 192.168.0.1 ,192.168.0.1/24
- string-- www.lgw.com
exact –精确比较
substring—子串
suffix-后缀比较
prefix-前缀比较
subdir-路径 /wp-includes/js/jquery/jquery.js
domain-域名www.lgw.com
- regular expression #正则表达式
- hex block #16进制 ACL调用方式 在 HAProxy 中可以通过以下方式来使用 ACL(Access Control List) - 与隐式(默认)使用
- 或使用“or” 或 “||”表示
- 否定使用“!“ 表示
示例
if valid_src valid_port #与关系,A和B都要满足为true
if invalid_src || invalid_port #或A或者B满足一个为true
if ! invalid_src #非取反A和B哪个也不满足为true 用于条件判断将 ACL 用于条件判断例如在 use_backend 或 use-server 语句中根据请求的特征选择后端服务器或服务器组 # 定义 ACL 条件
acl is_example_com hdr(host) -i example.com
acl is_secure_req ssl_fc# 根据 ACL 条件选择后端服务器
use_backend backend_secure if is_secure_req
use_backend backend_example if is_example_com 用于拒绝请求在 http-request 或 http-response 中使用 ACL 条件以便在特定情况下拒绝或重定向请求。 # 定义 ACL 条件
acl is_banned_ip src 192.168.0.100# 拒绝来自被禁止 IP 的请求
http-request deny if is_banned_ip 自定义日志 # 定义 ACL 条件
acl is_api_request path_beg /api/# 自定义日志格式根据 ACL 条件输出不同的信息
log-format %ci - [%t] %r %ST %B %ts %ac %HM %HV %hrl %hsl %hcl %{Q}r \%[capture.req.method] %[capture.req.uri]\ 预定义ACL 自定义错误页面 错误页面 http重定向 ssl实现 配置HAProxy支持https协议
支持ssl会话
bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE
crt 后证书文件为PEM格式且同时包含证书和所有私钥
cat demo.crt demo.key demo.pem
把80端口的请求重向定443
bind *:80
redirect scheme https if !{ ssl_fc }
向后端传递用户请求的协议和端口(frontend或backend)
http_request set-header X-Forwarded-Port %[dst_port]
http_request add-header X-Forwared-Proto https if { ssl_fc }
