我正在运行一个haproxy服务器,并想知道我需要什么configuration来注销正在连接(从我的networking服务器到我的客户端)。 我目前只logging传入连接(客户端到服务器)。 提前致谢。
连接到ipv6 subdobain www6.example.com需要很长时间。 在铬的净选项卡显示20s花费在“连接”。 其他时间要快得多。 然而,只有前两个连接是缓慢的(有时是21s,41s,24s)。 以下要求低于1秒。 等待〜2分钟,前两个请求再次该死的缓慢。 通过ipv4子域www.example.com调用相同的服务器(同时)是相当快的。 通过ipv6调用其他服务器(同时)也相当快。 在服务器上用haproxy精确运行ubuntu。 大部分处理的stream量是ipv4。 在连接build立之前,服务器端有这么长时间的问题? 我很高兴有任何见解,并热衷于提供更多的信息。 编辑:从铬添加屏幕截图。
我已经打开了默认option http-keep-alive ,并在前端定义中尝试过。 但浏览器中的响应头不会显示保持活动,尽pipe它在浏览器的请求头中。 使用Chrome浏览器。 haproxy的后端是apache 2.4 + php-fpm。 HAProxy版本1.5.3 谢谢
一个客户的网站目前正在遭受攻击,我已经被调用来解决这个问题。 大量的IP(容易超过5000个)不断地打/login ,可能试图暴露自己的方式。 我已经改变了网站,所以页面返回一个500错误,但他们并没有放弃。 显然这对于现在无法login的真实用户来说并不好。 负载平衡是通过HAProxy来完成的,我对这方面的知识还很less(虽然我比几个小时前还多了很多)。 我已经尝试了很多我在网上find的明智的东西,但似乎没有任何帮助,可能是因为存在如此大量的IP来执行攻击。 在这个问题上,那么: 如果在Y秒内点击/login超过X次,我该如何拒绝IP? 而且,子点 – 我怎么能看到拒绝的日志,所以我知道它实际上工作? 以下是haproxy.log的示例: Jun 3 14:24:50 hap-server haproxy[11831]: 46.161.62.79:15290 [03/Jun/2017:14:24:49.505] www-https-test~ www-backend/www-03 751/0/202/38/991 500 220 – – —- 428/428/120/38/0 0/0 "GET /login HTTP/1.1" Jun 3 14:24:50 hap-server haproxy[11831]: 46.161.63.132:47804 [03/Jun/2017:14:24:49.505] www-https-test~ www-backend/www-04 751/0/202/38/991 500 220 – – —- 428/428/119/42/0 0/0 "GET /login HTTP/1.1" Jun 3 […]
我有一个简单的Web服务器configurationApache Web服务器和Tomcat。 比如我们有2个服务器。 我计划扩大规模 当然,我们很快就需要一个负载均衡解决scheme。 我应该用Apache来面向Tomcat服务器进行负载平衡还是使用其他方法? 是否有一个原因,我应该使用一些外部软件,如HaProxy负载平衡,而不是mod_proxy_http,为Apache服务器? 在Linux环境中search负载平衡时 你发现很多Haproxy的东西,但不是为Apache服务器,为什么!? 谢谢!
请不要回答“这是不可能的”,因为这是浪费时间。 我正在开发云设备,我有一个合理的理由来保护这一层免受DDoS攻击,而且也没有几家公司在做相同的事情,所以请不要告诉我,我没有这个意思,很多公司都希望购买这个解决scheme,看到与使用股票Linux实施它的问题 由于缺less像CPU和RAM这样的资源,我的Linux内核在10.000连接上崩溃。 我想知道如何安全地限制它,它不会在netfilter连接跟踪表或其他地方创buildtcp / ip连接,当有人试图从各种主机打开100.000连接? 网卡是1GBps和缓冲区最大,它可以采取很多的连接,但我想它只有5.000在同一时间,其余的被丢弃,除非有空闲的连接插槽。 在内核级别,所以不会污染netfilter或其他任何东西,并且会尽快删除。 有这些因素: HAProxy连接的数量仅限于5.000 Linux崩溃了10.000打开的连接 我想每分钟经受住100.000次打开的连接,所以也许netfilter可以处理它,但是没有HAProxy。 现有的连接继续运行 这是为了使机器不受oos攻击而承受DDoS攻击,而且一旦攻击中断,服务就会自动以低速率恢复正常的方式。 这是关于服务器实例的物理层,而不是交换机。 假设交换机正在向我传递我能处理的这么多的stream量,上游提供商并不总是有可能调整或保护这个。
我想让我的服务器SSL保护,它有两个部分之一的网站和另一个应用程序。 为了平衡他们,我们使用haproxy 。 现在我们要确保这个haproxy。 我已经安装了证书和密钥文件 在configurationhaproxy.cfg时如下所示: frontend https bind *:443 ssl crt /etc/ssl/ssl.key/myserver.key /etc/ssl/certs/www_appointpress_com.ca-bundle /etc/ssl/certs/somefile.crt acl hari path_beg /customers acl css path_beg /assets reqadd X-Forwarded-Proto:\ https default_backend appointpress_site 而重新启动haproxy我得到像这样的错误: bind only supports transparent …… options 。 我该如何解决这个错误
我试图绑定不同的端口上的多个证书,但我收到以下错误: [ALERT] 308/144418 (17671) : Starting frontend https_in: cannot bind socket [10.12.61.12:444] 这是configuration frontend https_in bind 10.12.61.11:80 bind 10.12.61.11:443 ssl crt /etc/ssl/certs/domain1.com.pem bind 10.12.61.12:444 ssl crt /etc/ssl/certs/sub.domain1.com.pem mode tcp acl domain_site1 hdr(host) -i site.domain.com use_backend bk_domain1 if domain_site1 acl domain_site2 hdr(host) -i site.sub.domain.com use_backend bk_domain1 if domain_site2 backend bk_domain1 balance leastconn server node1 10.0.20.16:80 check […]
所有, 我遇到了HAProxy在后台服务器重新启动后无法恢复的问题。 我没有使用代理进行负载均衡,而是将不同的URL指向不同的服务器(Web和Web服务)以避免跨域问题。 该代理工作正常,直到第一次检查失败,但后来HAProxy从不恢复转发到它一旦它备份。 代理运行在Docker容器( https://registry.hub.docker.com/u/dockerfile/haproxy/dockerfile/ )中,它应该运行HAProxy 1.5.3。 haproxy.cfg global log 127.0.0.1 local0 log 127.0.0.1 local1 notice user haproxy group haproxy defaults mode http log global option dontlognull option httpclose option httplog option forwardfor option persist option redispatch option http-server-close contimeout 5000 clitimeout 50000 srvtimeout 50000 maxconn 60000 retries 3 errorfile 400 /etc/haproxy/errors/400.http errorfile 403 […]
我有一个关于Keepalived + Haproxy的问题。 在工作中,我分配了一个Keepalived和Haproxy的冗余Web服务器。 目前我们的设置如下: Apache(作为负载均衡器)+ Modsecurity(waf)——> 3 x IIS(Web服务器,Windows Server 2012) 这里的问题是,Apache负载平衡请求的速度越来越慢。 我应该使用: 情况1: Apache和Modsecurity作为ssl卸载和waf。 keepalived + haproxy冗余和负载平衡器。 情景2: Keepalived(冗余)—-> 2个Apache(负载均衡器)+ Modsecurity(waf)——> 3个IIS 情况3: 使用nginx作为SSL卸载,使用Modsecurity作为waf + Keepalived和Haproxy。 哪个性能更好? Thx之前:)