У нас есть 2 балансировщика нагрузки HTTP с HAproxy и heartbeat. В этом кластере 4 узла apache. Он выполняет циклическую балансировку нагрузки. HTTP-кластер работает нормально. У нас возникла проблема с нашим порталом, потому что он использует систему единого входа. Нам нужна поддержка липких соединений в нашем HAproxy. Также нам нужна балансировка нагрузки для HTTPS-трафика. Вот наш файл конфигурации HAproxy.
global
# to have these messages end up in /var/log/haproxy.log you will
# need to:
#
# 1) configure syslog to accept network log events. This is done
# by adding the '-r' option to the SYSLOGD_OPTIONS in
# /etc/sysconfig/syslog
#
# 2) configure local2 events to go to the /var/log/haproxy.log
# file. A line like the following can be added to
# /etc/sysconfig/syslog
#
# local2.* /var/log/haproxy.log
#
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 4000
user haproxy
group haproxy
daemon
# turn on stats unix socket
stats socket /var/lib/haproxy/stats
#---------------------------------------------------------------------
# common defaults that all the 'listen' and 'backend' sections will
# use if not designated in their block
#---------------------------------------------------------------------
defaults
mode http
log global
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.0/8
option redispatch
retries 3
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
#---------------------------------------------------------------------
# main frontend which proxys to the backends
#---------------------------------------------------------------------
frontend main *:5000
acl url_static path_beg -i /static /images /javascript /stylesheets
acl url_static path_end -i .jpg .gif .png .css .js
use_backend static if url_static
default_backend app
#---------------------------------------------------------------------
# static backend for serving up images, stylesheets and such
#---------------------------------------------------------------------
backend static
balance roundrobin
server static 127.0.0.1:4331 check
#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
listen ha-http 10.190.1.28:80
mode http
stats enable
stats auth admin:xxxxxx
balance roundrobin
cookie JSESSIONID prefix
option httpclose
option forwardfor
option httpchk HEAD /haproxy.txt HTTP/1.0
server apache1 portal-04:80 cookie A check
server apache2 im-01:80 cookie B check
server apache3 im-02:80 cookie B check
server apache4 im-03:80 cookie B check
Пожалуйста посоветуй. Заранее благодарны за Вашу помощь.
В вашей конфигурации уже установлен постоянный файл cookie, но я считаю, что вам нужно определить разные файлы cookie для каждого внутреннего сервера, чтобы всегда отправлять посетителя на один и тот же сервер.
Есть ли у вашей системы единого входа собственные файлы cookie? Или вы довольны тем, что придерживаетесь выбора haproxy-сервера, на который направлять трафик? Если у вас есть файл cookie, который задает ваше приложение, есть опция конфигурации, позволяющая указать haproxy балансировать нагрузку на основе уже существующих файлов cookie, а не устанавливать его самостоятельно. (Проверьте "оценка"вариант).
Что касается SSL, существует множество документации, в которой описывается, почему HAProxy не обрабатывает сам SSL. Вместо этого, если вы хотите выполнить балансировку нагрузки SSL + уровня 7 (файлы cookie и т. Д.), Вам необходимо разорвать HTTPS-соединение на балансировщике нагрузки (т. Е. Сделать так, чтобы SSL находился на LB, а не на внутреннем сервере). Я делал это раньше, запустив nginx на том же компьютере, и он работал хорошо.
Однако, если вас устраивает балансировка нагрузки на уровне 4 (без файлов cookie и т. Д.), HAProxy может просто маршрутизировать зашифрованный трафик, не просматривая его содержимое.
Если вы используете spnego / kerberos для аутентификации пользователя, вам необходимо поддерживать соединение между клиентом и серверной частью. Это «особенность» протокола SPNEGO, которая решает проблему через одно и то же соединение.
Помните, что поддержание соединений в рабочем состоянии, вероятно, вызовет проблемы с сохранением соединения, поскольку haproxy проверяет только заголовки первого http-глагола.
Для ssl я бы также выбрал Nginx, другой вариант - stunnel с поддержкой X-FORWARDED-FOR