我们有 2 个 HTTP 负载均衡器,带有 HAproxy 和 heartbeat。此集群中有 4 个 apache 节点。它正在执行循环负载平衡。HTTP 集群运行良好。我们的门户网站出现问题,因为它使用 SSO。我们需要在 HAproxy 中支持粘性连接。此外,我们还需要对 HTTPS 流量进行负载平衡。这是我们的 HAproxy conf 文件。
global
# to have these messages end up in /var/log/haproxy.log you will
# need to:
#
# 1) configure syslog to accept network log events. This is done
# by adding the '-r' option to the SYSLOGD_OPTIONS in
# /etc/sysconfig/syslog
#
# 2) configure local2 events to go to the /var/log/haproxy.log
# file. A line like the following can be added to
# /etc/sysconfig/syslog
#
# local2.* /var/log/haproxy.log
#
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 4000
user haproxy
group haproxy
daemon
# turn on stats unix socket
stats socket /var/lib/haproxy/stats
#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/8
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend main *:5000
acl url_static path_beg -i /static /images /javascript /stylesheets
acl url_static path_end -i .jpg .gif .png .css .js
use_backend static if url_static
default_backend app
#---------------------------------------------------------------------
# static backend for serving up images, stylesheets and such
#---------------------------------------------------------------------
backend static
balance roundrobin
server static 127.0.0.1:4331 check
#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
listen ha-http 10.190.1.28:80
mode http
stats enable
stats auth admin:xxxxxx
balance roundrobin
cookie JSESSIONID prefix
option httpclose
option forwardfor
option httpchk HEAD /haproxy.txt HTTP/1.0
server apache1 portal-04:80 cookie A check
server apache2 im-01:80 cookie B check
server apache3 im-02:80 cookie B check
server apache4 im-03:80 cookie B check
请提供建议。提前感谢您的帮助。
答案1
您的配置已经设置了持久 cookie,但我相信您需要为每个后端服务器定义不同的 cookie,以便始终将访问者发送到同一个后端。
您的 SSO 是否设置了它自己的 cookie?或者您是否愿意坚持使用 haproxy 选择的任何框来发送流量?如果您的应用程序设置了 cookie,则有一个配置选项可以告诉 haproxy 根据预先存在的 cookie 进行负载平衡,而不是自己设置一个。(检查“应用会话“ 选项)。
关于 SSL,有大量文档描述了为什么 HAProxy 本身不处理 SSL。相反,如果您想要执行 SSL + 第 7 层(cookie 等)负载平衡,则必须终止负载平衡器上的 HTTPS 连接(即让 SSL 驻留在 LB 而不是后端服务器上)。我之前曾在同一台机器上运行 nginx 来做到这一点,效果很好。
但是,如果您对第 4 层负载平衡(没有 cookie 等)感到满意,HAProxy 可以直接路由加密流量而不查看其内容。
答案2
如果您使用 spnego/kerberos 进行用户身份验证,则需要保持客户端和后端之间的连接处于活动状态。这是 SPNEGO 协议的“功能”,它希望通过同一连接解决质询。
请记住,保持连接可能会导致连接持久性问题,因为 haproxy 仅检查第一个 http 动词的标头。
对于 SSL,我也会选择 Nginx,其他选项是支持 X-FORWARDED-FOR 的 stunnel