haproxy参数配置说明

[:port][param*]
在后端声明一个server，因此，不能用于defaults和frontend区段。
: 为此服务器指定的内部名称，其将会出现在日志及警告信息中；如果设定了“http-send-server-name”,他还将会被添加至发往此服务器的请求首部中
：此服务器的IPv4地址，也支持使用可解析的主机名，只不过在启动时需要解析主机名至响应的IPV4地址
<:port>：指定将连接请求所发往此服务器时的目标端口，其为可选项，为设定是，将使用客户端请求时的同一相同端口
[param*]：为此服务器设定的一系列参数：其可以得参数非常多，具体请参考官方文档（http://cbonte./haproxy-dconv/configuration-1.4.html#5）中的说明，下面仅说明几个常用的参数
服务器或默认服务器参数:
backup：设定为备用服务器，仅在负载均衡场景中的其他server均不可以启用此server
check：启动对此server执行监控状态检查，其可以借助于额外的其他参数完成更精细的设定，如：
inter: 设定监控状态检查的时间间隔，单位为毫秒，默认为2000，也可以使用fastinter和downinter来根据服务器端专题优化此事件延迟
rise：设定检查状态检查中，某离线的server从离线状态转换至正常状态需要成功检查的次数
fall：设定检查状态检查中，某离线的server从正常状态转换至离线状态需要成功检查的次数
cookie：为指定server设定cookie值，此处指定的值将会在请求入站时被检查，第一次为此值挑选的server将会倍后续的请求所选中，其目的在于实现持久连接的功能
maxconn：指定此服务器接受的最大并发连接数，如果发往此服务器的连接数目高于此处指定的值，其将被放置于请求队列，以等待其他连接被释放
maxqueue：通过观察服务器的通信状况来判断其健康状态，默认为禁用，其支持的类型有“layer 4”和“layer 7”，“layer 7”仅能用于http代理场景
redir：启用重定向功能，将发往此服务的GET和HEAD请求均以302状态码响应，需要注意的是，在prefix后面不能使用/，且不能使用相对地址，以避免造成循环，例如


server srv1 192..168.1.202:80 redir http://imageserver. check
weight: 权重，默认为1，最大值为256，0表示不参与负载均衡
检查方法：
 option httpchk
 option httpchk
 option httpchk
 option httpchk：不能用于frontend端，例如：


backend https_relay
mode tcp
option httpchk OPTIONS * HTTP/1.1rnHost: www
server apache1 192.168.1.1:443 check port 80






capture request header
capture request header len
捕获并记录指定的请求首部最近一次出现时的第一个值，仅能用于“frontend”和“listen”区段，捕获的首部值使用花括号{}括起来后添加进日志中，如果需要捕获多个首部值，他们将以指定的次序出现在日志文件中，并以竖线“|”作为分隔符，不存在的首部记录为空字符串，最长需要捕获的首部包括在虚拟主机环境中使用的“host”、上传请求首部中的“Content-length”、快速区别现实用户和网络机器人“User-agent”，已经代理环境中距离请求来源的“X-Forword-For”
: 要捕获的首部的名称，此名称不区分大小写，但建议与他们出现在首部中的格式相同，比如大写首字母，需要注意的是，记录在日志的是首部的值，而非首部名称
: 指定距离首部值时所记录的精确长度，超出的部分将会倍忽略
可以捕获的请求首部的个数没有限制，但每个捕获最多能记录64个字符，为了保证同一个frontend中日志格式的统一性，首部捕获仅能在frontend中定义


capture response header
capture response header len
捕获并记录响应首部。其格式和要点同捕获的请求首部响应


stats enable
启用基于程序编译时默认设置的统计报告，不能用于“frontend”区段，只要没有额外的其他设定，他们就会使用如下的配置        
- stats uri   : /haproxy?stats 
- stats realm : 'HAProxy Statistics'
- stats auth  : no authentication
- stats scope : no restriction
尽管“stats enable”一条就能够启用统计报告，但还是建议设定其他所有的参数，以避免其依赖默认设定而带来非预期后果，下面是一个配置案例实例


backend public_www
    server srv1 192.168.1.201:80
    stats enable
    stats hide-version
    stats scope   .
    stats uri     /admin?stats
    stats realm   Haproxy Statistics
    stats auth    admin1:AdMiN123
    stats auth    admin2:AdMiN321


stats hide-version
启用统计报告并隐藏HAProxy版本报告，不能用于“frontend”区域，默认情况下，统计页面会显示一些有用信息，包括HAProxy的版本号，然后，向所有人公开HAproxy的准确版本号是非常有危险的，因为他能够版主恶意用户快速定位版本的缺陷和漏洞，尽管“stats hide-version”一条就能够启用统计报告，但还是建议设定其他所有的参数，以避免其依赖默认设定而带来非预期后果请参照“stats enable”一节的说明


stats realm
stats realm
启用统计报告并高精认证领域，不能用于“frontend”区域，haproxy在读取realm是会讲是做一个单词，因此，中间的空白字符都必须使用反斜线进行转移。此参数仅在与“stats auth”配置使用时有意义
：实现HTTP基本认证时显示在浏览器中的领域名称，用于提示用户输入一个用户名和密码
尽管“stats realm”一条就能够启用统计报告，但还是建议设定其他所有的参数，以避免其依赖默认设定而带来非预期，后果请参照“stats enable”一节的说明


stats scope
stats scope {|'.'}
启用统计报告并限定报告的区段，不能用于“frontend”区域，当指定此语句时，统计报告将仅显示其列举出区段的报告信息，所有其他区段的信息将被隐藏，如果需要显示多个区段的统计报告，此语句可以定义多次，需要注意的是，区段名称进程仅仅是以字符串比较的方式进行，他不会真检查指定的区段是否真正存在
：可以是一个“listen”、“frontend”或“backend”区段的名称，而“.”则表示stats scope语句所定义的当前区段
尽管“stats scope”一条就能够启用统计报告，但还是建议设定其他所有的参数，以避免其依赖默认设定而带来非预期后果，请参照“stats enable”一节的说明


stats auth
stats auth :
启用带认证的统计报告功能并授权一个用户账号，不能用于“frontend”区域
：授权进行访问的用户名
：此用户的访问密码，明文格式
此语句将给予默认设定启用统计功能报告，并仅允许其定义的用户访问，其也可以定义多次以手段多个用户账号，可以结合“stats realm”参数在提示用户认证是给出一个领域说明信息，在使用非法用户访问统计功能时，其将会响应一个“401 Forbidden”页面，其认证方式为HTTP Basic认证，密码传输会以明文方式进行，因此，配置文件中也使用存储明文方式存储以说明其非保密信息故此不能想用与其他关键性账号的密码。
尽管“stats auth”一条就能够启用统计报告，但还是建议设定其他所有的参数，以避免其依赖默认设定而带来非预期后果，请参照“stats enable”一节的说明


stats admin 
atsts admin {if|unless}
在指定的条件满足时启用统计报告页面的管理级别功能，他允许通过web接口启用或禁用服务器，不过，基于安全的角度考虑，统计报告页面应该尽可能为只读的，此外，如果启用了HAproxy的多进程模式，启用此管理级别将会可能导致异常行为
目前来说，POST请求方法被限制于仅能使用缓冲区减去保留之外的空间，因此，服务器列表不能过长，否则，此请求将无法正常工作，因此，建议一次仅调整少数几个服务器，


option httplog
option httplog [clf]
启用记录HTTP请求、会话状态和计时器的功能
clf：使用CLF格式来代替HAproxy默认的HTTP格式，通常在使用仅支持CLF格式的特定日志分析器时才需要使用此格式
默认情况下，日志输入格式非常简陋。因为其仅包括源地址、目标地址和实例名称、而“option httplog”参数将会使得日志变得丰富许多，其通常包括但不局限于HTTP请求、连接计时器、会话状态、连接数、捕获的首部及cookie、“frontend”、“backend”及服务器名称。当然也包括源地址和端口号等。


option logasap  
no option logasap
启用或禁用提前将HTTP请求记入日志，不能用于“frontend”区段。
默认情况下，HTTP请求是在请求结束时进行记录以便能够将其整体输入时长和字节数记入日志，由此，传较大的对象时，其记入日志的市场可能会略有延迟，“option logasap”参数能够在服务器发送complete首部时及时记录日志，只不过，此时将不记录整体传输时长和字节数。此情形下，捕获“Content-Length”响应报文来记录的字节数是以一个较好的选择


option forwardfor
option forwardfor[ except ][ header ][ if-none ]   
允许在发往服务器的请求首部中插入“X-Forwarded-For”首部
：可选参数，当指定时，源地址为皮至此网络中的请求都禁用此功能
：可选参数，可使用一个自定义的首部，如“X-Cluster-Client-IP”来代替“X-Forwarded-For”，有些独特的web服务器的确需要用一个独特的首部
if-none: 仅在此首部不存在时才会将其添加至请求报文中
HAproxy工作与反向代理模式，其发往服务器的请求中的客户端IP均为HAproxy主机的地址而非真正的客户端地址，这会使得服务器的日志记录不了真正的请求来源，“X-Forwarded-For”首部则可用于解决此问题，HAproxy可以向每个房网服务器的请求上添加此首部，并以客户端IP为其value
需要注意的是，HAproxy工作与隧道模式，其仅检查每一个连接的第一个请求，一次，仅第一个请求报文中被附加此首部，请确保同时使用“option httpclose”、“option forceclose”和“option http-server-close”几个option，例如




errorfile
errorfile
在用户请求不存在的页面时，返回一个页面给客户端而非有haproxy生成的错误代码，可用于所有段中
: 指定对HTTP的那些状态码发回指定的页面，这里可用的状态码有200、400、403、408、500、502、503和504
：指定用于响应的页面文件
例如：


errorfile 400 /etc/haproxy/errorfiles/400badreq.http
errorfile 403 /etc/haproxy/errorfiles/403forbid.http
errorfile 503 /etc/haproxy/errorfiles/503sorry.http




errorloc和errorloc302
errorloc
errorloc302
请求错误时，返回一个HTTP重定向至某URL的信息，可以用于所有端中
: 指定对HTTP的那些状态码发回指定的页面，这里可用的状态码有200、400、403、408、500、502、503和504
：Location首部中指定的页面位置的具体路径，可以是在当前服务器上的页面的相对路径，也可以使用绝对路径，需要注意的是，如果URI之神错误时禅师某特定状态码信息的话，有可能会导致循环定向
需要留意的时，这两个关键字都会返回302状态码，浙江使得客户端使用同样的HTTP方法获取指定的URL。对于非GET方法获取指定的URL，对于非GET方法的场景（如POST）来说会产生问题，因为返回客户端的URL是不允许使用GET意外的其他方法的，如果的确有这种问题，可以使用errorloc303来返回303状态码给客户端


 errorloc303
 errorloc303
 : 指定对HTTP的那些状态码发回指定的页面，这里可用的状态码有400、403、408、500、502、503和504
  ：Location首部中指定的页面位置的具体路径，可以是在当前服务器上的页面的相对路径，也可以使用绝对路径，需要注意的是，如果URI之神错误时禅师某特定状态码信息的话，有可能会导致循环定向


五、ACL  


   haproxy的ACL用于实现基于请求报文的首部、响应报文的内容或其他的环境状态信息来做出转发决策，这大大增强了其配置弹性，其配置法则通常非为两步，首先定义ACL，及定义一个测试条件，而后在条件得到满足时执行某特定的动作，如阻止请求或转发至某特定的后端，官方文档（http://cbonte./haproxy-dconv/configuration-1.4.html#7）定义ACL的语法格式如下：


   acl[flags][operator] …


   ：ACL名称，区分字符大小写，其只能包含大小写字符、数字、-（连接线）、_(下划线)、.(点号)和：冒号，haproxy中，acl可以重名，还可以把多个测试条件定义为一个共同的acl


   : 测试标准，即对什么信息发起测试，测试方式可以有[flags]指定的标志进行调整，而有些测试标准也可以需要在其为之前指定一个操作符[operator]


   [flags]：目前haproxy的acl支持的标志位有3个


       -i：不区分中模式字符的大小写


       -f：从指定的文件中加载模式


       –：标识符的强制结束标记，在模式中的字符串像标记符时使用


    ：acl测试条件支持的值有以下四类


       整数或证书范围：如1024：65535表示从1024到65535，仅支持使用正整数（如果出现类似小数的标识，其通常为测试版本），其支持使用的操作符有5个，分别为eq（等于）、ge（大于等于）、gt(大于)、le(小于等于）和lt(小于)


       字符串：支持使用“-i”以忽略字符大小写，支持使用“”进行转义，如果在模式首部出现了-i，可以在之前使用“–”标识位


       正则表达式：其机制类同于字符串匹配


       IP地址及网络地址


    同一个acl中可以指定多个测试条件，这些测试条件需要由逻辑操作符指定其关系，条件间的组合测试关系有三种：“与”（默认即为与操作）、“或”（使用“||”操作符和“or”）和“非”（使用“！”操作符）


   常用的测试标准


       5.1 be_sess_rate (integer)


           be_sess_rate(backend) (integer)


           用于测试指定的backend上会话创建的速率（即每秒创建的会话数）是否满足指定的条件，常用于在指定的backend上的会话速率过高时将用户请求转发至另外的backend，或用于阻止攻击行为。例如：




backend dynamic
    mode http
    acl being_scanned be_sess_rate gt 100
    redirect location /denied.html if being_scanned
      5.2 fe_sess_rate
         fe_sess_rate(backend) (integer)
           用于测试指定的frontend（或当前fortend）上的创建速率是否满足指定的条件，常用于为frontend指定一个合理的会话创建速率的上限以防止服务器被滥用，例如




frontend mail
    bind :25
    mode tcp
    maxconn 500
    acl too_fast fe_sess_rate ge 50
    tcp-request inspect-delay 50ms
    tcp-request content accept if ! too_fast
    tcp-request content accept if WAIT_END
定律限定入站邮件速率不能大于50封/秒，所有在指定范围之外的请求都被延时50毫秒


       5.3 hdr


           hdr(header)


           用于测定请求报文中的所有首部或指定首部是否满足指定的条件，指定首部时，其名称不区分大小写，且在括号“（）”中不能有任何多余的空白字符，测试服务器端的响应报文时可以使用shdr（）。例如。下面的例子用于测试首部Connection的值是否为close


hdr(Connection) -i close


       5.4 method


           测试HTTP请求报文中使用的方法


       5.5 path_beg


           用于测试请求的URI是否以指定的模式开头。


1
acl url_static path_beg -i /static /images /javascript /stylesheets
测试URL是个以/static /images /javascript /stylesheets开头


       5.6 path_end


           用于测试请求的URL是否以指定的模式结尾


1
acl url_static       path_end       -i .jpg .gif .png .css .js
                                                                     


测试URI是否以.jpg .gif .png .css .js结尾


       5.7 hdr_beg


           用于测试请求报文的指定首部的开头部分是否符合指定的模式


1
acl host_static hdr_beg(host) -i img. video. download. ftp.
用于测试请求报文首部中的主机是否已img. video. download. ftp.开头


      5.8 hdr_beg


           用于测试请求报文的指定首部结尾是否符合指定的模式