上一篇
haproxy域名转发
HAProxy通过配置前端(frontend)和后端(backend)实现域名转发,基于域名ACL匹配请求,use_backend指定目标服务器,支持多域名负载均衡,高效灵活
HAProxy域名转发深度解析与实战指南
HAProxy核心功能与域名转发原理
HAProxy是一款高性能TCP/HTTP负载均衡器,支持基于内容的请求分发,域名转发本质是通过解析请求头中的Host字段(或SNI字段),将不同域名定向到对应的后端服务集群,其核心逻辑包含:
| 关键组件 | 作用描述 |
|---|---|
| Frontend | 接收客户端请求,执行域名匹配规则 |
| Backend | 定义后端服务器池,处理匹配成功的请求 |
| ACL(访问控制列表) | 定义匹配条件(如hdr_dom、req.ssl_sni等) |
| Rule | 将满足ACL条件的请求转发到指定Backend |
环境准备与快速安装
操作系统兼容
- Debian/Ubuntu:
apt install haproxy - CentOS/RHEL:
yum install haproxy - 源码编译:需安装PCRE、OpenSSL开发库(处理正则和SSL)
配置文件路径
- 主配置文件:
/etc/haproxy/haproxy.cfg - 可创建独立配置文件:
/etc/haproxy/domain-forward.cfg
基础架构图
Client → HAProxy (Frontend) → 根据域名匹配 → Backend_A/Backend_B → 后端服务器域名转发配置实战
基础配置模板
global
log /dev/log local0
maxconn 4096
user haproxy
group haproxy
daemon
defaults
log global
mode http
option httplog
timeout connect 5000ms
timeout client 50000ms
timeout server 50000ms
frontend http-in
bind :80
acl host_a hdr_dom(host) -i example-a.com
acl host_b hdr_dom(host) -i example-b.com
use_backend backend_a if host_a
use_backend backend_b if host_b
backend backend_a
server server1_a 192.168.1.10:80 check
server server2_a 192.168.1.11:80 check
backend backend_b
server server1_b 192.168.2.10:80 check
server server2_b 192.168.2.11:80 checkSSL场景配置
当启用HTTPS时,需通过req.ssl_sni()获取SNI字段:
frontend https-in
bind :443 ssl crt /path/to/cert.pem
acl host_a req.ssl_sni -i example-a.com
use_backend backend_a if host_a通配符域名处理
支持泛域名解析(如.example.com):
acl subdomain hdr_dom(host) -i .example.com use_backend wildcard-backend if subdomain
高级功能扩展
权重与负载均衡算法
| 配置参数 | 作用说明 |
|—————|———————————–|
| weight | 设置服务器权重比例 |
| balance roundrobin | 轮询算法 |
| balance leastconn | 最少连接数优先 |
| balance source | IP哈希算法(会话保持) |
健康检查配置
backend backend_a
option httpchk HEAD /healthcheck.html
server server1_a 192.168.1.10:80 check inter 2000 rise 3 fall 3动态证书管理
集成Let’s Encrypt:
frontend https-in
bind :443 ssl crt /etc/letsencrypt/live/example-a.com/fullchain.pem kv-store
acl host_a req.ssl_sni -i example-a.com性能优化策略
连接复用配置
global
tune.ssl.default-dh-param 2048
# 开启HTTP Keep-Alive
defaults
option http-keep-alive并发连接数优化
根据服务器性能调整maxconn参数,建议:
- 普通服务器:
maxconn 2000 - 高配服务器:
maxconn 10000
日志分级管理
| 日志类型 | 用途说明 |
|—————-|———————————–|
| info | 记录完整请求/响应日志 |
| err | 仅记录错误信息 |
| alert | 发送邮件告警 |
故障排查指南
常见错误及解决方案
| 症状表现 | 可能原因 | 解决方案 |
|————————|———————————–|———————————–|
| 所有请求都转到默认Backend | ACL匹配规则顺序错误 | 调整ACL条件优先级 |
| SSL证书报错 | 证书路径错误/SNI不匹配 | 检查crt文件路径和域名配置 |
| 后端服务器无响应 | 健康检查配置错误 | 验证inter、rise、fall参数 |
调试工具推荐
haproxy -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -db:前台运行并输出调试信息curl -v http://example-a.com:验证域名转发效果ss -ltnp | grep :80:检查监听端口状态
监控与维护
状态页面配置
frontend stats
bind :8888
stats enable
stats uri /admin?stats自动化重载配置
# 使用inotify监控配置文件变更 while inotifywait -e modify /etc/haproxy/.cfg; do haproxy -f /etc/haproxy/haproxy.cfg -p /var/run/haproxy.pid -sf $(cat /var/run/haproxy.pid); done
安全加固建议
| 风险点 | 防护措施 |
|---|---|
| 拒绝服务攻击 | 限制maxconn,启用源IP哈希限速 |
| 敏感信息泄露 | 禁用详细日志(生产环境建议log-format精简) |
| SSL协议破绽 | 强制TLS 1.2+,禁用MD5签名证书 |
FAQs常见问题解答
Q1:为什么域名匹配规则不生效?
A1:可能原因包括:
- ACL条件书写错误(如漏写
-i忽略大小写参数) - 多个ACL条件存在冲突,优先级设置不当
- 请求头中Host字段被代理修改(需检查上游设备)
解决方法:使用show sock命令查看实时匹配情况,添加调试日志log-format。
Q2:如何实现多域名共用同一个SSL证书?
A2:方案有两种:
- 使用通配符证书(如
.example.com)覆盖所有子域名 - 配置SNI检测后动态选择证书文件:
frontend https-in bind :443 ssl crt /certs/default.pem acl sni_a req.ssl_sni -i example-a.com acl sni_b req.ssl_sni -i example-b.com use_backend backend_a if sni_a use_backend backend_b if sni
