elb是什么意思

ELB是Amazon Web Services (AWS)中的一种服务，全称为Elastic Load Balancer。它是一种用于平衡负载的系统，可以在多台服务器之间分发网络流量。

ELB的主要目的是为了解决在大流量情况下的服务器的性能问题，它能够提供高可用性和负载均衡，并且还能够扩展到多台服务器以满足高流量的需求。

ELB的工作方式是通过将网络流量分发到多台服务器来实现的。当用户发送请求时，ELB会将请求转发到其中一台服务器上，然后服务器会处理请求并返回响应。如果服务器在处理请求时出现问题，ELB会将请求转发到其他服务器上，以确保服务的可用性。

在使用ELB时，用户可以选择使用多种负载均衡策略。例如，可以根据请求的来源IP地址或者端口号来均衡负载。也可以使用基于响应时间的负载均衡策略，即将请求转发到响应时间最短的服务器上。

此外，ELB还提供了健康检查功能，可以检测服务器的健康状态，并在发现问题时将流量转发到其他服务器上。这样，就可以确保服务器的高可用性，并且可以防止因服务器出现故障而导致的网络中断。

前段时间出差，在北京现场遇到一个F5网络不通问题，现记录下来以备后面查阅。

问题解决方案很简单，主要记录下排查过程中的思路。

现场环境是使用F5做负载均衡，即F5对外提供服务地址和端口，F5负载转发请求到后端业务服务器。环境是客户的测试环境，F5也是客户的。我们向客户提交F5转发策略和F5健康检查策略，等待网络开通。本来以为不用担心这一块问题，但客户的网络部门配置完成后，网络一直不通。由于未接触过F5所以前面不知怎么和客户沟通，后拿到F5账号和密码，登录进去后开始定位问题。

进去F5登录界面后，看到配置的转发策略中，后端服务器健康检查是失效的，即F5认为后端服务器不在线。这是怎么回事？

这里首先弄清F5健康检查规则是怎么回事？

F5健康检查规则是指F5在一定周期内向后端服务器发送请求来确认后端服务器是否在线。

如下图：

图中 Send String 就是 F5发送的请求字段， Receive String 是F5接收到响应后对比字段，只要响应中有对比字段则认为成功。Receive String为空时，F5接收到响应就认为成功。

继续排查F5健康检查失效问题。

问题主要在两点：1 发送请求字段写的有问题。2接收的响应中没有包含200 OK，匹配不上。

上述这两点通过抓包可以分析。因为现场没法登陆F5服务器上去抓包，下面就利用nc工具模拟F5发请求。

nc 全名 Netcat (网络刀)，是一个强大的网络工具，可以模拟发送http请求。

下面在和业务服务器同网段的任意一台服务器上装上nc 工具。

然后使用nc 命令发送请求，请求如下：

引号中的请求字段和F5中sendString一致。

利用nc 发送http请求后，得到的响应如下：

把得到的结果复制到一个html文件中，然后打开如下：

现在F5健康检查问题找到了：是因为业务服务器返回400错误，但F5匹配200 OK， 没有匹配上造成F5认为服务器有问题。

继续看问题，nginx为啥会返回错误码400？

这也是本片文章重头戏。

网上查询原因如下：Nginx官方文档介绍，400状态码含义如下：

上面是http1.1的rfc关于host部分的解释，从上面我们了解到如果一个http1.1的请求没有host域，那么server应该给client段发送400的状态码，表明这个请求server不能处理。而对于Nginx server来说，也遵循这样的方式，说明client发送了一个无效的请求，Nginx server无法处理，于是返回了400的状态码。

本次故障中，客户端的调用方式没有使用host 参数，传递了空的Host头给服务端，一旦Nginx设置了proxy_set_header Host $http_host，空Host头就传给了后端。然而，在http 1.1的规范中，Host只要出现空，就会返回400，所以出现了这个故障。

最后，重新修改发送规则如下：这里HOST随便写一个地址就可以。

利用nc 命令测试，结果如下：

F5修改发送规则后，终于网路联通了，如下图：

至此，问题解决。

HAProxy是TCP / HTTP反向代理服务器，尤其适合于高可用性环境

可以针对HTTP请求添加cookie，进行路由后端服务器

可平衡负载至后端服务器，并支持持久连接

支持基于cookie进行调度

支持所有主服务器故障切换至备用服务器

支持专用端口实现监控服务

支持不影响现有连接情况下停止接受新连接请求

可以在双向添加，修改或删除HTTP报文首部

支持基于pattern实现连接请求的访问控制

通过特定的URI为授权用户提供详细的状态信息

软件包：yum install haproxy

主程序：/usr/sbin/haproxy

配置文件：/etc/haproxy/haproxy.cfg

Unit file：/usr/lib/systemd/system/haproxy.service

配置段：

global：全局配置段

进程及安全配置相关的参数

性能调整相关参数

Debug参数

proxies：代理配置段

defaults：为frontend, backend, listen提供默认配置

fronted：前端，相当于nginx, server {}

backend：后端，相当于nginx, upstream {}

listen：同时拥有前端和后端,适用于一对一环境，也就是前段和后端是一一对应的关系，只有一个端和一个后端

备注：以下的所有实验都是根据此拓扑图完成的

代理配置段：

check：对当前server做健康状态检测，只用于四层检测

注意：httpchk，“smtpchk”, “mysql-check”, “pgsql-check” and “ssl-hello-chk” 用于定义应用层检测方法

addr：检测时使用的IP地址，可以实现后端的服务器检测时使用一个ip地址，提供服务使用另外一个ip地址，使流量分流，提高效率

port ：针对此端口进行检测

inter <delay>：连续两次检测之间的时间间隔，默认为2000ms

rise <count>：连续多少次检测结果为“成功”才标记服务器为可用；默认为2

fall <count>：连续多少次检测结果为“失败”才标记服务器为不可用；默认为3

cookie <value>：为当前server指定cookie值，实现基于cookie的会话黏性

disabled：标记为不可用

redir<prefix>：将发往此server的所有GET和HEAD类的请求重定向至指定的URL

cookie <name>[ rewrite | insert | prefix ] [ indirect ] [ nocache ] [ postonly ] [ preserve ] [ httponly ] [ secure ] [ domain <domain>]* [ maxidle <idle>] [ maxlife <life>]

<name>：cookie名称，用于实现持久连接

rewrite：重写

insert：插入

prefix：前缀

在火狐浏览器上访问时，按F12进入调试页面也可以看到，第一次访问时响应报文里会有一个cookie值，这样浏览器下次访问时就会带着这个cookie值，从而被调度到固定的主机

stats enable

启用统计页；基于默认的参数启用stats page

-stats uri: /haproxy?statsuri默认值

-stats realm : HAProxy\Statistics

-stats auth: no authentication

stats uri <prefix>

自定义stats page uri

stats auth <user>:<passwd>

认证时的账号和密码，可使用多次

stats realm <realm>

认证时的realm

stats hide-version

隐藏版本

stats refresh <delay>

设定自动刷新时间间隔

stats admin { if | unless } <cond>

启用stats page中的管理功能

示例

maxconn <conns>：为指定的frontend定义其最大并发连接数；默认为2000

mode { tcp|http|health}

定义haproxy的工作模式

tcp：基于layer4实现代理；可代理mysql, pgsql, ssh, ssl等协议,https时使用此模式，默认模式

http：仅当代理协议为http时使用,centos实际默认模式

health：工作为健康状态检查的响应模式，当连接请求到达时回应“OK”后即断开连接，较少使用

TCP模式的健康状态检测示例

对后端服务器做http协议的健康状态检测：

option httpchk默认为：/ OPTIONS HTTP/1.0

option httpchk <uri>

option httpchk <method><uri>

option httpchk <method><uri><version>

定义基于http协议的7层健康状态检测机制http-check expect [!] <match><pattern>

http协议健康状态检测响应内容或指定响应码

option forwardfor[ except <network>] [ header <name>] [ if-none ]

在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部，其值为前端客户端的地址；用于向后端主发送真实的客户端IP

[ except <network>]：请求报文来自此处指定的网络时不予添加此首部，如haproxy自身所在网络

[ header <name>]：使用自定义的首部名称，而非“X-Forwarded-For”

[ if-none ]如果没有首部才添加首部，如果有使用默认值

示例

errorfile <code><file>自定义错误页

<code>：HTTP status code，支持200, 400, 403, 408, 500, 502, 503, 504，<file>：错误页文件路径

errorlo c<code><url>

相当于errorloc 302 <code><url>，利用302重定向至指URL

示例1

reqadd <string>[{if | unless} <cond>]

在请求报文尾部添加指定首部

rspadd <string>[{if | unless} <cond>]

在响应报文尾部添加指定首部

示例：rspadd X-Via:\ HAPorxy

reqdel <search>[{if | unless} <cond>]

reqidel <search>[{if | unless} <cond>] (ignore case) 不分大小写

从请求报文中删除匹配正则表达式的首部

rspdel <search>[{if | unless} <cond>]

rspidel <search>[{if | unless} <cond>] (ignore case) 不分大小写

从响应报文中删除匹配正则表达式的首部

示例1

示例1

示例2

示例3基于acl实现动静分离

示例4实现不同的域调度到不同服务器

示例5

1 、支持ssl会话；

bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE

crt后证书文件为PEM格式，且同时包含证书和所有私钥

cat demo.crt demo.key>demo.pem

2、 把80端口的请求重向定443

bind *:80

redirect scheme https if !{ ssl_fc}

3、 向后端传递用户请求的协议和端口（frontend或backend）

http-request set-header X-Forwarded-Port %[dst_port] ---添加端口

http-request add-header X-Forwared-Proto https if { ssl_fc} ---添加https协议

支持https指的是客户端访问haproxy时使用https协议，因为这一段一般是外网，而haproxy访问后端的web服务器时不用https，因为这一段一般都是内网

示例

---