搜云库技术团队
前文我们聊了下haproxy的基础安装,以及怎样去代理后端主机的配置;当然没有很详细的去说配置文件中各指令的意思;有关haproxy的安装和代理后端server可以参考本人博客https://tech.souyunku.com/qiuhom-1874/p/12741018.html;今天我们主要来说一下haproxy global配置段常用配置指令的用法和说明;
前边我们大概说了一下haproxy的配置文件大概可以分两段;第一段配置是global配置段即全局配置段,主要是针对haproxy的进程和安全相关的配置;第二段是proxies代理配置段,主要是配置haproxy前端监听那个地址那个端口以及后端server的名称、地址、端口,以及server相关属性等配置;而proxies配置段里又分defaults配置段,这个部分主要是定义后续的backend,listen这两个段的默认配置;什么意思呢?也就是在后面的配置中如果我们没有写对应参数,它默认会继承defaults里的配置;如果说后面的配置中和前边的defaults中的配置重复了,那么就以后面的配置生效,也就是说后面的配置段优先级高于defaults里的配置;了解了haproxy的配置文件结构,接下来我们来看看haproxy的global配置段常用指令;
提示:以上是haproxy1.5.18yum安装里默认提供的global配置段;其中log是用来指定日志的,这里要说一下haproxy的日志,它和nginx的日志不太一样;nginx的日志是我们用access_log 指令来指定日志文件和调用日志格式的名称,意思就是把日志以增量的方式往指定的日志文件中写;而haproxy的日志不是自己记录日志,而是通过把日志发送给rsyslog服务器上的一个facility上,然后通过rsyslog的配置把指定facility上的日志记录到某个文件中或者数据中;以上配置段意思就是把haproxy的日志发送给本机的rsyslog上的local2 记录所有级别类型的日志;其实我们不用配置rsyslog,默认会把日志记录到/var/log/messages这个文件中,这是因为rsyslog中明确定义了所有facility上的info级别以及info级别以上的日志都记录到/var/log/messages中;有关rsyslog的配置说明可以参考本人博客https://tech.souyunku.com/qiuhom-1874/p/12091118.html;接下来我们来配置下,让haproxy的日志记录到/var/log/haproxy.log这个文件中去;
提示:在rsyslog的配置文件中明确要使用local2这个facility上的任何级别的日志都交给/var/log/haproxy.log记录;这样只是把接收日志的方式定义好了;通常如果rsyslog作为日志服务器接收非本机的其他主机日志,我们还要让rsyslog监听在udp或者tcp的514端口上(当然这个端口也可以自己指定,通常不用更改),为其他主机提供服务;所以我们除了要定义把某个facility上的所有级别的日志(当然也可以指定某些级别的日志,这个要看你想要收集那一类的日志)记录到某个文件中外,我们还要把udp或tcp的514端口打开;
提示:以上配置就是导入imudp模块,然后让rsyslog监听在udp的514端口;这样配置后我们就可以保存rsyslog的配置文件,然后重启rsyslog,我们就可以把haproxy的日志记录到/var/log/haproxy.log中去了;
提示:可以看到我们访问haproxy,其中的访问日志就记录到我们定义的/var/log/haproxy.log中去了;
chroot:该指令主要作用同vsftpd里面的chroot类似,禁锢运行目录的;一般这个参数主要是防止haproxy被恶意程序攻击后对操作系统上的其他路径资源的破环;也就是说即便haproxy被恶意程序攻破,最多只能破环我们指定的chroot目录,而非整个系统目录结构;通常情况下haproxy不会出现这种情况,为了安全我们还是配置上这个参数;如果haproxy是我们手动编译安装的,通常我们会把这个参数的值设置成很haproxy的程序编译安装时指定的目录;yum安装的基本上都是/var/lib/haproxy;一般都不会去更改它;
pidfile:该指令是指定pid文件的,通常情况下需要和unit file里指定的pid文件是同一个文件;不是同一个文件的话可能会遇到无法reload的情况;
maxconn:该指令指定haproxy的单个进程最大并发连接数;
user/group:前者用来指定运行haproxy进程的用户(属主),后者是用来指定运行进程的用户属组
uid/gid:前者用来指定运行haproxy工作进程的用户id,后者是指定组id;以上两种方式都是来指定运行haproxy进程的用户身份;默认情况是用的id为99的用户(nobody用户)
deamon:此指令表示haproxy以守护进程运行;
stats socket:指定unix socket文件路径;主要用于本机交互的方式管理haproxy;
以上是haproxy1.5.18配置文件中global段配置选项的说明;在haproxy1.8.0以后的版本中,haproxy支持多进程多线程的方式,而1.5不支持多线程,支持多进程,但是在1.5上启用多进程的方式是串行的,意思就是它不是一个主进程下生成多个子进程,而是一个进程下生成一个进程,然后子进程下在生成子进程的方式;所以如果要使用多进程的方式,建议还是使用1.8以后的版本;
haproxy配置多进程
nbproc:该指令是用于指定haproxy的进程数 ,通常情况下建议同cup核心数一样即可;
cpu-map:该指令用于绑定haproxy对应cup核心;有点类似nginx里的worker_cpu_affinity参数的意义;
提示:以上配置表示指定haproxy的进程数为4个,第一个进程绑定到0号核心上,第二个进程绑定到1号核心上,依次类推;如下
提示:以上是haproxy1.8.20上配置使用多进程,启动进程情况,我们可以看到haproxy进程的父进程都是5945;
在1.5.18上使用多进程
提示:以同样的配置在haproxy1.5.18上,启动的多进程就不一样,在1.5.18上多了一个haproxy-systemd这个进程,并且haproxy进程都是它的子进程,而我们用nbproc指定的进程数是指定haproxy-systemd下的haproxy的子进程数;而1.8.20nbproc指定的是haproxy的子进程数量,没有haproxy-systemd,又或者我们可以理解为1.8.20把1.5.18上的haproxy-systemd和haproxy进程合并成一个进程haproxy;通常情况下haproxy单进程也是足够用了,如果是在要开多进程,建议还是使用1.8以上的版本吧;
haproxy使用多线程
haproxy的多线程是在1.7以后的版本才支持的,所以1.5上面不支持多线程的方式,所以我们这里的演示就用haproxy1.8.20来演示
nbthread:指定每个haproxy进程开启的线程数;
提示:以上配置表示启动4个进程,每个进程里启动4个线程,默认每个进程一个线程
maxsslconn:该指令指定每个haproxy进程ssl最大连接数,通常情况下证书都不放在haproxy上,nginx上放证书更加合适;
maxconnrate:该指令指定每个进程每秒最大连接数;
spread-checks:该指令指定后端server状态check随机提前或延迟百分比时间;通常情况下在后端主机较多的情况下使用;官方建议2-5(20%-50%)之间;如果在后端主机较多的情况下,不使用该指令来延迟对后端主机健康状态检查,那么很有可能降低haproxy的性能,因此该指令在后端主机较多的情况下(比如1000台甚至更多)能够避免同时并发对后端主机check时对haproxy的性能影响;
以上是haproxy global配置段比较常用的配置指令说明,更多配置指令请参考https://cbonte.github.io/haproxy-dconv;
