我正在尝试使用DDoS保护规则(速率限制)来设置HaProxy。 不过,我认为HaProxy现在正在限制CloudFlare IP,而不是访问者/真实IP。 (注:我的网站本身很好,因为我已经修复了我的网站的PHP代码)我该如何解决? 我的/etc/haproxy/haproxy.cfg global log 127.0.0.1 local0 notice maxconn 10000 user haproxy group haproxy defaults log global mode http option httplog option dontlognull retries 3 option redispatch timeout http-request 10s timeout connect 5000 timeout client 30s timesout server 5000 frontend domain bind *:80 stick-table type ip size 1m expire 10s store gpc0,http_req_rate(10s) tcp-request […]
我们是一个多租户服务,并在我们的负载均衡器(HAProxy + Apache for SSL终止)中终止我们的SSL,由于专用IP需求,这已经引起了越来越大的痛苦。 但时代已经改变,我们正在考虑转向SNI,所以我希望2015年的教育意见能够把它作为我们的标准。 我将概述我们的假设: 由于POODLE攻击,SSL已经死亡(长寿命TLS) TLS内置了SNI IE6 / Windows XP(<sp3)由于多种原因而死亡,其中最重要的就是XP要进入EOL 在这一点上,我们已经终止了对IE7和IE8的支持 我认为现在SNI基本上是全球支持的吗? …和… 除此之外,我还应该考虑哪些情况会影响支持? 最后… 既然HAProxy 1.5直接支持SSL终止,那么直接与SNI有关的经验是否会影响到我们推出这项服务的能力呢?
我在一些Web服务器前面有一个HAProxy。 从客户到HAProxy的连接是SSL安全的。 但在HAProxy终止,从HAProxy到底层Web服务器的stream量都清楚了。 我很清楚前向stream量是如何来的,即来自客户>> HAProxy >> Web服务器。 但是反过来呢? 从Web服务器到客户端? 它是否安全?
这是我单个DNS条目的loadbalancer文件的一个例子。 acl: – 'is_site_net hdr(host) -i site.net' use_backend: – 'site_net if is_site.net whitelist_list' site_net: options: server: 'site_net 10.10.10.10:80' 我想包含一个使用通配符的条目,并想知道如何在我的文件中实现: *.demo.site.net
好吧,这就是我想要完成的一切。 返回地面我有多个IIS Web服务器,每个都运行多个Web站点,每个站点都有自己的IP地址。 每个IIS“网站”通过编程和主机头来运行数百个网站。 我想插入一个反向代理服务器,我有每个Web服务器。 这是我想要反向代理服务器接受给定IP地址(1.2.3.4)上的所有stream量,并将stream量传递给IIS站点(1.2.3.104) – 这可以在nginx或varnish中完成。 反向代理将有大约10个定义的监听IP地址(1.2.3.4 – 1.2.3.14),每个转发stream量到自己相应的IIS站点(1.2.3.104 – 1.2.3.114)。 它不是一个负载平衡,我们具体是路由IP到具体的IP。 我认为这是可能的nginx或清漆。 现在有趣的部分我想创build一个新的备份 IIS服务器,这将有网站,在这个例子中有IP地址1.2.3.204 – 1.2.3.214)。 我想手动故障转移到这个备份服务器的stream量。 我最终将configuration所有的IIS服务器使用这个备份服务器,我将用它来在我的Web服务器上运行更新,这就是为什么我只想用它作为手动故障切换服务器。 我知道我看到某处有一个“命令行”来故障转移到备份服务器,但是我找不到它是什么产品,但我认为它是nginx。 我不需要caching任何东西,因为我们在IIS中caching对象,这就是为什么我需要专门发送从1.2.3.4到1.2.3.104和1.2.3.5到1.2.3.105等的stream量
我想了解HAProxy统计信息Web界面中显示的参数。 什么是maxsock参数? current conns在一般过程信息current conns ? 为什么它与后端的当前会话不一样? 我也有Google Analytics,监控我们的网站,但Google Analytics和会话中的用户不一样。
我遇到了一个使用TLS后端的HAProxy-Server问题。 启动HAProxy时,后端会将所有服务器报告为closures状态: Server web_remote/apache_rem_1 is DOWN, reason: Layer6 invalid response, info: "SSL handshake failure", check duration: 41ms. 1 active and 0 backup servers left. 0 sessions active, 0 requeued, 0 remaining in queue. 后端的configuration如下: backend web_remote balance leastconn option httpchk HEAD / option redispatch retries 3 default-server inter 5000 rise 2 fall 5 maxconn 10000 […]
问题 我无法达到6k个请求/秒。 我得到了很多超时。 我的回应时间高达26秒。 介绍 我正在设置一个服务器,将承载一个100MB的静态网站。 问题是,我将不得不连续处理大约8000个连续5天的请求。 我做了以下设置: HAProxy -> Varnish -> Nginx -> Staticfiles HAProxy处理端口80上的连接(即将在端口443上),将请求转移到将从caching中提供文件的Varnish。 我已经设置Nginx expires 7d; 。 所以Narnish会每隔7天向Nginx请求静态文件。 我在Nginx上使用最高的压缩级别,所以Varnish存储高度压缩的静态文件gzip_comp_level 9; 。 我在Nginx expires 7d;设置了静态文件的ttl为7天expires 7d; 。 我已经设置了大量的线程(至less,我认为)在清漆thread_pools=8 thread_pool_max=4000 。 我已经设置了一个不大但不小的内存清漆(静态文件不大于100MB) malloc,512m 。 我已经在HAProxy maxconn 65000设置了最大的maxconn。 我试图玩的sysctlconfiguration,但我不知道它改变了什么,这就是为什么我认为我的问题来自我的configuration。 我相信与maxconn 65000 HAProxy不油门。 我认为油漆油门我的要求,但我不知道如何确认。 我的服务器是这样设置的: Intel(R)Xeon(R)CPU E3-1245 V2 @ 3.40GHz 编号:8 高速caching:8192 KB 速度:1764兆赫 RAM 2 […]
我想将发送特定URL的IP列入黑名单,但只限于一段确定的时间。 比方说10分钟。 我正在考虑创build一个粘贴表,并存储src IP并增加一个计数器。 一旦柜台超过X重试,我否认它。 stick-table有一个expire参数,但是我注意到只要有新的数据写在里面,expire计数器就会被重置。 所以expire参数是表格范围的。 因此,条目将永不过期,直到10分钟内没有添加任何内容。 有什么办法可以实现这种暂时的阻塞?
我尝试了几次,但我无法弄清楚为什么我的mariadb负载平衡器与haproxy不工作。 我有 : 1 HAProxy(CentOS):10.181.102.249 1名硕士(CentOS):10.183.241.150 2个奴隶(CentOS):10.182.2.50和10.181.164.36 HAproxy conf: global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon stats socket /var/lib/haproxy/stats defaults mode http log global option dontlognull option redispatch retries 3 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive […]