HAProxy 的粘性连接和 HTTPS 支持

HAProxy 的粘性连接和 HTTPS 支持

我们有 2 个 HTTP 负载均衡器,带有 HAproxy 和 heartbeat。此集群中有 4 个 apache 节点。它正在执行循环负载平衡。HTTP 集群运行良好。我们的门户网站出现问题,因为它使用 SSO。我们需要在 HAproxy 中支持粘性连接。此外,我们还需要对 HTTPS 流量进行负载平衡。这是我们的 HAproxy conf 文件。

global
# to have these messages end up in /var/log/haproxy.log you will
# need to:
#
# 1) configure syslog to accept network log events.  This is done
#    by adding the '-r' option to the SYSLOGD_OPTIONS in
#    /etc/sysconfig/syslog
#
# 2) configure local2 events to go to the /var/log/haproxy.log
#   file. A line like the following can be added to
#   /etc/sysconfig/syslog
#
#    local2.*                       /var/log/haproxy.log
#
log         127.0.0.1 local0
log         127.0.0.1 local1 notice

chroot      /var/lib/haproxy
pidfile     /var/run/haproxy.pid
maxconn     4000
user        haproxy
group       haproxy
daemon

# turn on stats unix socket
stats socket /var/lib/haproxy/stats
#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000

#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend  main *:5000
    acl url_static       path_beg       -i /static /images /javascript /stylesheets
    acl url_static       path_end       -i .jpg .gif .png .css .js

    use_backend static          if url_static
    default_backend             app

#---------------------------------------------------------------------
# static backend for serving up images, stylesheets and such
#---------------------------------------------------------------------
backend static
    balance     roundrobin
    server      static 127.0.0.1:4331 check

#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
listen ha-http 10.190.1.28:80
mode http
stats enable
stats auth admin:xxxxxx
balance roundrobin
cookie JSESSIONID prefix
option httpclose
option forwardfor
option httpchk HEAD /haproxy.txt HTTP/1.0
server apache1 portal-04:80 cookie A check
server apache2 im-01:80 cookie B check
server apache3 im-02:80 cookie B check
server apache4 im-03:80 cookie B check

请提供建议。提前感谢您的帮助。

答案1

您的配置已经设置了持久 cookie,但我相信您需要为每个后端服务器定义不同的 cookie,以便始终将访问者发送到同一个后端。

您的 SSO 是否设置了它自己的 cookie?或者您是否愿意坚持使用 haproxy 选择的任何框来发送流量?如果您的应用程序设置了 cookie,则有一个配置选项可以告诉 haproxy 根据预先存在的 cookie 进行负载平衡,而不是自己设置一个。(检查“应用会话“ 选项)。

关于 SSL,有大量文档描述了为什么 HAProxy 本身不处理 SSL。相反,如果您想要执行 SSL + 第 7 层(cookie 等)负载平衡,则必须终止负载平衡器上的 HTTPS 连接(即让 SSL 驻留在 LB 而不是后端服务器上)。我之前曾在同一台机器上运行 nginx 来做到这一点,效果很好。

但是,如果您对第 4 层负载平衡(没有 cookie 等)感到满意,HAProxy 可以直接路由加密流量而不查看其内容。

答案2

如果您使用 spnego/kerberos 进行用户身份验证,则需要保持客户端和后端之间的连接处于活动状态。这是 SPNEGO 协议的“功能”,它希望通过同一连接解决质询。

请记住,保持连接可能会导致连接持久性问题,因为 haproxy 仅检查第一个 http 动词的标头。

对于 SSL,我也会选择 Nginx,其他选项是支持 X-FORWARDED-FOR 的 stunnel

相关内容