haproxy - vượt qua ip gốc / từ xa trong chế độ tcp

Tôi đã thiết lập haproxy với khả năng cân bằng tải và chuyển đổi dự phòng ip của cụm percona và vì nó hoạt động rất tốt nên tôi muốn sử dụng cùng một lb / failover cho dịch vụ / daemon khác.

Tôi đã cấu hình haproxy theo cách này:

listen my_service 0.0.0.0:4567
    mode tcp
    balance leastconn
    option tcpka
    contimeout      500000
    clitimeout      500000
    srvtimeout      500000

    server host1 xxx.xxx.xxx.xx1:4567 check port 4567 inter 5000 rise 3 fall 3
    server host2 xxx.xxx.xxx.xx2:4567 check port 4567 inter 5000 rise 3 fall 3

Cân bằng tải hoạt động tốt, nhưng dịch vụ nhìn thấy IP của bộ cân bằng tải thay vì IP thực tế của khách hàng. Trong chế độ http, việc chuyển haproxy dọc theo IP từ xa khá dễ dàng, nhưng tôi phải làm thế nào trong chế độ tcp? Điều này rất quan trọng do bản chất của dịch vụ tôi cần tải cân bằng.

Cảm ơn! Vito

Chỉ để tham khảo trong tương lai, keepaliving là một giải pháp cho failover không tải cân bằng (có thể bạn có nghĩa là LVS?). chế độ proxy trong suốt cho HAProxy không liên quan gì đến việc gửi IP gốc, đó là chế độ HTTP không minh bạch thông thường nơi bạn có thể sử dụng tiêu đề HTTP được tiêu chuẩn hóa cho việc này.

Theo tôi, câu trả lời chính xác cho câu hỏi ban đầu là: Bạn có thể biên dịch hỗ trợ proxy trong suốt trong HAProxy trên kernel linux được kích hoạt TPROXY. Điều này cùng với phiên bản hỗ trợ TPROXY thích hợp + cấu hình của iptables trên cùng một máy cho phép hỗ trợ proxy tcp hoàn toàn minh bạch thực tế. Điều này có nghĩa là các máy chủ phụ trợ KHÔNG cần bất kỳ cấu hình đặc biệt nào.

Lưu ý rằng đây thực sự không phải là thiết lập được đề xuất cho HAProxy và chỉ nên được sử dụng nếu bạn thực sự cần nó.

Rõ ràng có một số chế độ "trong suốt" cho haproxy mà tôi chưa bao giờ nhìn vào hoặc muốn làm gì với nó, mà bạn có thể thử. Mặt khác, bạn sẽ cần dạy bất cứ dịch vụ phụ trợ nào về cách gửi IP gốc của haproxy ("PROXY blahblah") và yêu cầu dịch vụ rút IP gốc ra khỏi đó.

Tại sao bạn lại bận tâm với haproxy? Bạn đã được bảo quản sẵn, và nó cũng thực hiện cân bằng tải trong suốt thích hợp.

Sử dụng send-proxytrong cấu hình của bạn (trên mỗi máy chủ) sẽ cung cấp cho bạn ip nguồn gốc ở phía máy chủ nhận, ngay cả trong chế độ TCP. Điều này đòi hỏi HAProxy 1.5+.

Bạn có thể tìm thêm thông tin về Giao thức Proxy trong Tài liệu HAProxy .

listen my_service 0.0.0.0:4567
mode tcp
balance leastconn
option tcpka
contimeout      500000
clitimeout      500000
srvtimeout      500000

server host1 xxx.xxx.xxx.xx1:4567 send-proxy check port 4567 inter 5000 rise 3 fall 3
server host2 xxx.xxx.xxx.xx2:4567 send-proxy check port 4567 inter 5000 rise 3 fall 3

Bạn có thể đặt HAProxy thành Chế độ NAT, chế độ này vẫn sử dụng chế độ TCP trong Lớp 4 nhưng làm cho IP trong suốt.

Chế độ NAT cân bằng tải lớp 4 HAProxy

Mặt khác, Chế độ trong suốt HAPorxy sử dụng chế độ HTTP trong Lớp 7, điều này không ảnh hưởng đến bạn vì đã có forwardfortùy chọn trong chế độ HTTP.

Chế độ proxy trong suốt cân bằng tải lớp 7 HAProxy

Cấu hình này làm việc cho tôi. IP nguồn có thể được truy xuất trong $ _SERVER ['HTTP_X_FORWARDED_FOR']:

toàn cầu
        [..... công cụ thông thường .... ]   
        ssl-server-verify

lối vào chính *: 5000
        liên kết *: 443 ssl crt /etc/ssl/mycert_with_private_key.pem
        chế độ http
        tùy chọn chuyển tiếp
        reqadd X-Forwarded-Proto: \ https
        default_backend https_server

phụ trợ https_server
        chế độ http
        cân bằng ít kết nối
        tùy chọn tcpka
        loại bàn dính kích thước ip 200k hết hạn 30m
        máy chủ srv04 192.168.1.10:443 ssl kiểm tra
        máy chủ srv05 192.168.1.11:443 kiểm tra ssl