用 HAProxy 實現網路流量的負載平衡

不是只有在一個大型公司工作才需要使用負載平衡器。你可能是一個業餘愛好者，用幾台樹莓派電腦自我託管一個網站。也許你是一個小企業的伺服器管理員；也許你確實在一家大公司工作。無論你的情況如何，你都可以使用 HAProxy 負載平衡器來管理你的流量。

HAProxy 被稱為「世界上最快和使用最廣泛的軟體負載平衡器」。它包含了許多可以使你的應用程序更加安全可靠的功能，包括內置的速率限制、異常檢測、連接排隊、健康檢查以及詳細的日誌和指標。學習本教程中所涉及的基本技能和概念，將有助於你使用 HAProxy 建立一個更強大的、遠為強大的基礎設施。

為什麼需要一個負載平衡器？

負載平衡器是一種在幾個網路或應用伺服器之間輕鬆分配連接的方法。事實上，HAProxy 可以平衡任何類型的傳輸控制協議（TCP）流量，包括 RDP、FTP、WebSockets 或資料庫連接。分散負載的能力意味著你不需要因為你的網站流量比谷歌大就購買一個擁有幾十萬 G 內存的大型網路伺服器。

負載平衡器還為你提供了靈活性。也許你現有的網路伺服器不夠強大，無法滿足一年中繁忙時期的峰值需求，你想增加一個，但只是暫時的。也許你想增加一些冗餘，以防一個伺服器出現故障。有了 HAProxy，你可以在需要時向後端池添加更多的伺服器，在不需要時刪除它們。

你還可以根據情況將請求路由到不同的伺服器。例如，你可能想用幾個緩存伺服器（如 Varnish）來處理你的靜態內容，但把任何需要動態內容的東西，如 API 端點，路由到一個更強大的機器。

在這篇文章中，我將通過設置一個非常基本的 HAProxy 環境，使用 HTTPS 來監聽安全埠 443，並利用幾個後端 Web 伺服器。它甚至會將所有進入預定義 URL（如 /api/）的流量發送到不同的伺服器或伺服器池。

安裝 HAProxy

要開始安裝，請啟動一個新的 CentOS 8 伺服器或實例，並使系統達到最新狀態：

$ sudo yum update -y

這通常會持續一段時間。在等待的時候給自己拿杯咖啡。

這個安裝有兩部分：第一部分是安裝 yum 版本的 HAProxy，第二部分是編譯和安裝你的二進位文件，用最新的版本覆蓋以前的 HAProxy。用 yum 安裝，在生成 systemd 啟動腳本等方面做了很多繁重的工作，所以運行 yum install，然後從源代碼編譯，用最新的版本覆蓋 HAProxy 二進位：

$ sudo yum install -y haproxy

啟用 HAProxy 服務：

$ sudo systemctl enable haproxy

要升級到最新版本（版本 2.2，截至本文寫作為止），請編譯源代碼。許多人認為從源代碼編譯和安裝一個程序需要很高的技術能力，但這是一個相當簡單的過程。首先，使用 yum 安裝一些提供編譯代碼工具的軟體包：

$ sudo yum install dnf-plugins-core
$ sudo yum config-manager --set-enabled PowerTools
$ sudo yum install -y git ca-certificates gcc glibc-devel 
    lua-devel pcre-devel openssl-devel systemd-devel 
    make curl zlib-devel 

使用 git 獲得最新的源代碼，並改變到 haproxy 目錄：

$ git clone http://git.haproxy.org/git/ haproxy
$ cd haproxy

運行以下三個命令來構建和安裝具有集成了 Prometheus 支持的 HAProxy：

$ make TARGET=linux-glibc USE_LUA=1 USE_OPENSSL=1 USE_PCRE=1 
    PCREDIR= USE_ZLIB=1 USE_SYSTEMD=1 
    EXTRA_OBJS="contrib/prometheus-exporter/service-prometheus.o"

$ sudo make PREFIX=/usr install # 安裝到 /usr/sbin/haproxy

通過查詢版本來測試它：

$ haproxy -v

你應該看到以下輸出：

HA-Proxy version 2.2.4-b16390-23 2020/10/09 - https://haproxy.org/

創建後端伺服器

HAProxy 並不直接提供任何流量，這是後端伺服器的工作，它們通常是網路或應用伺服器。在這個練習中，我使用一個叫做 Ncat 的工具，它是網路領域的「瑞士軍刀」，用來創建一些極其簡單的伺服器。安裝它：

$ sudo yum install nc -y

如果你的系統啟用了 SELinux，你需要啟用埠 8404，這是用於訪問 HAProxy 統計頁面的埠（下面有解釋），以及你的後端伺服器的埠：

$ sudo dnf install policycoreutils-python-utils
$ sudo semanage port -a -t http_port_t  -p tcp 8404
$ sudo semanage port -a -t http_port_t  -p tcp 10080
$ sudo semanage port -a -t http_port_t  -p tcp 10081
$ sudo semanage port -a -t http_port_t  -p tcp 10082

創建兩個 Ncat 網路伺服器和一個 API 伺服器：

$ while true ;
do
nc -l -p 10080 -c 'echo -e "HTTP/1.1 200 OKnn This is Server ONE"' ;
done &

$ while true ;
do
nc -l -p 10081 -c 'echo -e "HTTP/1.1 200 OKnn This is Server TWO"' ;
done &

$ while true ;
do
nc -l -p 10082 -c 'echo -e "HTTP/1.1 200 OKnContent-Type: application/jsonnn { "Message" :"Hello, World!" }"' ;
done &

這些簡單的伺服器列印出一條信息（如「This is Server ONE」），並運行到伺服器停止為止。在現實環境中，你會使用實際的網路和應用程序伺服器。

修改 HAProxy 的配置文件

HAProxy 的配置文件是 /etc/haproxy/haproxy.cfg。你在這裡進行修改以定義你的負載平衡器。這個 基本配置 將讓你從一個工作的伺服器開始：

global
    log         127.0.0.1 local2
    user        haproxy
    group       haproxy

defaults 
    mode                    http
    log                     global
    option                  httplog

frontend main
    bind *:80

    default_backend web
    use_backend api if { path_beg -i /api/ }

    #----------------------    # SSL termination - HAProxy handles the encryption.
    #    To use it, put your PEM file in /etc/haproxy/certs  
    #    then edit and uncomment the bind line (75)
    #----------------------    # bind *:443 ssl crt /etc/haproxy/certs/haproxy.pem ssl-min-ver TLSv1.2
    # redirect scheme https if !{ ssl_fc }

#--------------------------# Enable stats at http://test.local:8404/stats
#--------------------------
frontend stats
    bind *:8404
    stats enable
    stats uri /stats
#--------------------------# round robin balancing between the various backends
#--------------------------
backend web
    server web1 127.0.0.1:10080 check
    server web2 127.0.0.1:10081 check

#--------------------------
# API backend for serving up API content
#--------------------------backend api
    server api1 127.0.0.1:10082 check

重啟並重新載入 HAProxy

HAProxy 可能還沒有運行，所以發出命令 sudo systemctl restart haproxy 來啟動（或重新啟動）它。「重啟」 的方法在非生產情況下是很好的，但是一旦你開始運行，你要養成使用 sudo systemctl reload haproxy 的習慣，以避免服務中斷，即使你的配置中出現了錯誤。

例如，當你對 /etc/haproxy/haproxy.cfg 進行修改後，你需要用 sudo systemctl reload haproxy 來重新載入守護進程，使修改生效。如果有錯誤，它會讓你知道，但繼續用以前的配置運行。用 sudo systemctl status haproxy 檢查 HAProxy 的狀態。

如果它沒有報告任何錯誤，你就有一個正在運行的伺服器。在伺服器上用 curl 測試，在命令行輸入 curl http://localhost/。如果你看到 「This is Server ONE」，那就說明一切都成功了！運行 curl 幾次，看著它在你的後端池中循環，然後看看當你輸入 curl http://localhost/api/ 時會發生什麼。在 URL 的末尾添加 /api/ 將把所有的流量發送到你池子里的第三個伺服器。至此，你就有了一個正常運作的負載平衡器

檢查你的統計資料

你可能已經注意到，配置中定義了一個叫做 stats 的前端，它的監聽埠是 8404：

frontend stats
    bind *:8404
    stats uri /stats
    stats enable

在你的瀏覽器中，載入 http://localhost:8404/stats。閱讀 HAProxy 的博客 學習 HAProxy 的統計頁面，了解你在這裡可以做什麼。

一個強大的負載平衡器

雖然我只介紹了 HAProxy 的幾個功能，但你現在有了一個伺服器，它可以監聽 80 和 443 埠，將 HTTP 流量重定向到 HTTPS，在幾個後端伺服器之間平衡流量，甚至將匹配特定 URL 模式的流量發送到不同的後端伺服器。你還解鎖了非常強大的 HAProxy 統計頁面，讓你對你的系統有一個很好的概覽。

這個練習可能看起來很簡單，不要搞錯了，你剛剛建立和配置了一個非常強大的負載均衡器，能夠處理大量的流量。

為了你方便，我把本文中的所有命令放在了 GitHub Gist 中。

via: https://opensource.com/article/20/11/load-balancing-haproxy

作者：Jim O'Connell 選題：lujun9972 譯者：wxy 校對：wxy

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive