haproxy工作原理

haproxy acl method post get put delete -回复请求头中的方法（HTTP Method）指定了客户端希望对服务器执行的操作。

在Web开发中，我们常常使用GET和POST方法来发送请求和接收响应。

然而，对于一些特定的操作，如更新或删除资源，我们需要使用其他方法。

其中，PUT用于更新资源，DELETE用于删除资源。

在这篇文章中，我们将讨论如何使用HAProxy的ACL（Access Control List）来根据请求头中的方法对请求进行分类和路由。

什么是HAProxyHAProxy是一款高性能的负载均衡器和反向代理服务器。

它具有高可用性、可复用性和可扩展性，可以帮助我们实现高并发和高可靠性的网络应用。

HAProxy的一个重要功能是基于不同条件对请求进行路由和转发。

什么是ACLACL是Access Control List（访问控制列表）的缩写，它是一种规则集，用于对请求进行分类和匹配。

使用ACL，我们可以根据请求的属性，如请求头、源IP地址、查询字符串等，对请求进行过滤和路由。

HAProxy中的ACL使用类似于正则表达式的语法，可以灵活地定义条件。

使用ACL根据HTTP方法路由请求为了理解如何使用ACL根据HTTP方法路由请求，我们首先需要了解HTTP方法的含义。

以下是常见的HTTP方法及其对应的操作：- GET: 用于从服务器获取资源。

这是最常见的HTTP方法，通常用于读取数据。

- POST: 用于向服务器提交数据，以创建新的资源。

POST方法可以将数据作为请求的正文发送给服务器。

通常用于创建新的对象或提交表单数据。

- PUT: 用于更新服务器上的资源。

PUT方法类似于POST方法，但是它用于覆盖或更新现有资源。

- DELETE: 用于删除服务器上的资源。

DELETE方法用于彻底删除资源。

现在，让我们看看如何使用ACL根据HTTP方法来路由请求。

假设我们有一个RESTful API服务器，其中不同的URL路径代表了不同的资源，并使用不同的HTTP方法进行操作。

HAProxy配置⽂件详解⼀、HAProxy简介1.HAProxy 是⼀款提供⾼可⽤性、负载均衡以及基于TCP（第四层）和HTTP（第七层）应⽤的代理软件，⽀持虚拟主机，它是免费、快速并且可靠的⼀种解决⽅案。

2.HAProxy 实现了⼀种事件驱动、单⼀进程模型，此模型⽀持⾮常⼤的并发连接数。

3.HAProxy ⽀持全透明代理（已具备硬件防⽕墙的典型特点）: 可以⽤客户端IP地址或者任何其他地址来连接后端服务器. 这个特性仅在Linux 2.4/2.6内核打了cttproxy补丁后才可以使⽤. 这个特性也使得为某特殊服务器处理部分流量同时⼜不修改服务⼆、HAProxy⼯作原理HAProxy由前端（frontend）和后端（backend），前端和后端都可以有多个。

也可以只有⼀个listen块来同时实现前端和后端。

这⾥主要讲⼀下frontend和backend⼯作模式。

前端（frontend）区域可以根据HTTP请求的header信息来定义⼀些规则，然后将符合某规则的请求转发到相应后端（backend）进⾏处理。

三、HAProxy性能HAProxy借助于OS上⼏种常见的技术来实现性能的最⼤化，所有的这些细微之处的优化实现了在中等规模负载之上依然有着相当低的CPU负载，甚⾄于在⾮常⾼的负载场景中，5%的⽤户空间占⽤率和95%的系统空间占⽤率也是⾮常普遍的现象，这意味着HAProxy进程消耗⽐系统空间消耗低20倍以上。

因此，对OS进⾏性能调优是⾮常重要的。

即使⽤户空间的占⽤率提⾼⼀倍，其CPU占⽤率也仅为10%，这也解释了为何7层处理对性能影响有限这⼀现象。

由此，在⾼端系统上HAProxy的7层性能可轻易超过硬件负载均衡设备。

在⽣产环境中，在7层处理上使⽤HAProxy作为昂贵的⾼端硬件负载均衡设备故障故障时的紧急解决⽅案也时长可见。

硬件负载均衡设备在“报⽂”级别处理请求，这在⽀持跨报⽂请求(request across multiple packets)有着较⾼的难度，并且它们不缓冲任何数据，因此有着较长的响应时间。

HAProxy详解1. HAProxy概述1.1 HAProxy简介HAProxy提供负载均衡以及基于TCP和HTTP应⽤的代理HAProxy只是http协议的反向代理，不提供缓存功能，但额外⽀持对tcp层对基于tcp通信的应⽤做LBhttp协议的反向代理tcp层的LBHAProxy的特性：HAProxy实现了⼀种事件驱动、单⼀进程模型，此模型⽀持⾮常⼤的并发连接数HAProxy中保存了数据的数据结构为弹性⼆叉树结构代理服务器的调度算法：取模法⼀致性哈希算法LB负载均衡器：TCP：lvs，haproxy，nginxapplication layer：http：haproxy，nginx，ats，apachemysql：mysql-proxy1.2 HAProxy性能上的优势单进程、事件驱动模型显著降低了上下⽂切换的开销及内存占⽤O(1)事件检查器（event check）允许其在⾼并发连接中对任何连接的任何时间实现即时探测在任何可⽤的情况下，单缓冲（single buffering）机制能以不复制任何数据的⽅式完成读写操作，这会节约⼤量的CPU时钟周期及内存带宽借助于Linux 2.6 (>= 2.6.27.19)上的splice()系统调⽤，HAProxy可以实现零复制转发(Zero-copy forwarding)在Linux 3.5及以上的OS中还可以实现零复制启动(zero-starting)内存分配器在固定⼤⼩的内存池中可以实现即时内存分配，这能够显著减少创建⼀个会话的时长树型存储：侧重于使⽤弹性⼆叉树，实现了以O(log(N))的低开销来保持计数器命令、保持运⾏队列命令及管理轮询及最少连接队列优化的HTTP⾸部分析：优化的⾸部分析功能避免了在HTTP⾸部分析过程中重读任何内存区域精⼼地降低了昂贵的系统调⽤，⼤部分⼯作都在⽤户空间完成，如时间读取、缓冲聚合及⽂件描述符的启⽤和禁⽤等1.3 负载均衡器的性能评估1. 会话率：会话建⽴的速率2. 会话并发能⼒：整体服务器的会话并发能⼒3. 数据率：在所有会话上数据传输速率1.4 正向代理与反向代理正向代理中，proxy和client同属⼀个LAN，对server透明反向代理中，proxy和server同属⼀个LAN，对client透明1.5 代理和缓存的作⽤代理的作⽤：web缓存（加速）、反向代理、内存路由（根据流量及内容类型等将请求转发⾄特定服务器）、转码器有些CDN会在代理服务器上添加Via⾸部缓存的作⽤：减少冗余内容传输节省带宽、缓解⽹络瓶颈降低了对原始服务器的请求压⼒降低了传输延迟2. HAProxy配置⽂件详解2.1 配置⽂件格式2.1.1 配置⽂件配置⽂件：/etc/haproxy/haproxy.cfg主程序：/usr/sbin/haproxyHAProxy的配置处理3类来主要参数来源：最优先处理的命令⾏参数，global配置段，⽤于设定全局配置参数proxy相关配置段，如“defaults”、“listen”、“frontend”和“backend”2.1.2 简单的配置格式：frontend # 前端，指明它要监听在某个地址的某个端⼝上，能够接受客户端的请求的use_backend # 指明所调⽤的后端组default_backend # 指明的默认的后端组backend # 后端，定义后端服务器组balance # 指定调度算法server # 指定主机serverlisten：# 指明监听的地址和端⼝server # 然后直接指明地址default # 默认的2.1.3 简单的配置⽰例配置⼀个监听在所有接⼝的80端⼝上HTTP Proxy服务，它转发所有的请求⾄后端监听在127.0.0.1:8000上的"server" globaldaemonmaxconn 25600defaultsmode httptimeout connect 5000mstimeout client 50000mstimeout server 50000msfrontend http-inbind *:80 # 监听在80端⼝上default_backend servers # 默认转发到后端的servers组内backend servers # 定义后端的servers组server server1 127.0.0.1:8080 maxconn 322.2 global配置内容详解2.2.1 简单的global配置# 这⾥⽇志只是转交给本地的local2设备，要在rsyslog中添加上local2的设备条⽬，记录到指定的⽂件中log 127.0.0.1 local2chroot /var/lib/haproxy # 切换根⽬录，haproxy是被切换到这个⽬录下以安全模式运⾏的pidfile /var/run/haproxy.pid # pid⽂件的保存位置maxconn 4000 # 最⼤连接数，这⾥⽐较保守，可以按需调整user haproxy # 进程启动时以haproxy⽤户的⾝份运⾏group haproxydaemon # 启动为守护进程# turn on stats unix socketstats socket /var/lib/haproxy/stats # 本地访问统计数据时可以基于共享内存的⽅式进程通信注意：记录⽇志时，要开启rsyslog服务，开启514/tcp和514/udp端⼝然后要加上对应设备的条⽬，以记录⽇志到指定的⽂件中：local2.* /var/log/haproxy.log2.2.2 global配置进阶进程管理及安全相关的参数：chroot <dir>修改haproxy的⼯作⽬录⾄指定的⽬录在放弃权限之前执⾏chroot()操作，可以提升haproxy的安全级别要确保指定的⽬录为空⽬录且任何⽤户均不能有写权限daemon：让haproxy以守护进程的⽅式⼯作于后台log <address> <facility> [max level [min level]]定义全局的syslog服务器，最多可以定义两个nbproc：指定启动的haproxy进程的个数，只能⽤于守护进程模式的haproxy默认只启动⼀个进程，鉴于调试困难等多⽅⾯的原因，⼀般只在单进程仅能打开少数⽂件描述符的场景中才使⽤多进程模式ulimit-n：设定每进程所能够打开的最⼤⽂件描述符数⽬，默认情况下其会⾃动进⾏计算，因此不推荐修改此选项性能调整相关的参数：maxconn <number>设定每个haproxy进程所接受的最⼤并发连接数，其等同于命令⾏选项 “-n”“ulimit -n” ⾃动计算的结果正是参照此参数设定的spread-checks <0..50, in percent>在haproxy后端有着众多服务器的场景中，在精确的时间间隔后统⼀对众服务器进⾏健康状况检查可能会带来意外问题此选项⽤于将其检查的时间间隔长度上增加或减⼩⼀定的随机时长0到50是百分⽐，可以选择向前百分之五⼗或者向后百分之五⼗2.3 代理配置详解代理相关的配置可以如下配置段中defaults <name>“defaults”段⽤于为所有其它配置段提供默认参数，这配置默认配置参数可由下⼀个“defaults”所重新设定frontend <name>“frontend”段⽤于定义⼀系列监听的套接字，这些套接字可接受客户端请求并与之建⽴连接backend <name>“backend”段⽤于定义⼀系列“后端”服务器，代理将会将对应客户端的请求转发⾄这些服务器listen <name>“listen”段通过关联“前端”和“后端”定义了⼀个完整的代理，通常只对TCP流量有⽤Fronted和backend的组合体，⽐如haproxy实例状态监控部分配置组合的⽅式直接定义frontend及相关的backend代理名称的使⽤规则：所有代理的名称只能使⽤⼤写字母、⼩写字母、数字、-(中线)、_(下划线)、.(点号)和:(冒号)ACL名称会区分字母⼤⼩写3. HAProxy配置⽂件中的关键字详解3.1 balance3.1.1 ⽤法balance <algorithm> [ <arguments> ]balance url_param <param> [check_post [<max_wait>]]3.1.2 作⽤定义负载均衡算法，可⽤于“defaults”、“listen”和“backend”<algorithm>⽤于在负载均衡场景中挑选⼀个server其仅应⽤于持久信息不可⽤的条件下或需要将⼀个连接重新派发⾄另⼀个服务器时指明调度算法：动态：权重可动态调整静态：调整权重不会实时⽣效3.1.3 ⽀持的算法roundrobin：动态基于权重进⾏轮询，动态算法，权重可以在运⾏时进⾏调整每个后端主机最多⽀持4128个连接static-rr：静态基于权重进⾏轮询，静态算法，在运⾏时调整其服务器权重不会⽣效每个后端主机⽀持的数量⽆上限leastconn：动态新的连接请求被被派发⾄具有最少连接数⽬的后端服务器较长时间会话的场景中推荐此算法，如LDAP，SQL等其不适⽤于较短会话的应⽤层协议，如HTTPsource：将请求的源地址进⾏hash运算，并由后端服务器的权重总数相除后发⾄某匹配的服务器这可以使得同⼀个客户端IP的请求始终被发派⾄特定的服务器但当服务器权重总数发⽣变化时，如果某服务器宕机，许多客户端的请求可能会被派发⾄与此前请求不同的服务器常⽤于负载均衡⽆cookie功能的基于TCP的协议其默认为静态，不过也可以使⽤hash-type修改此特性，hash-type如果是map-based则就是静态的，consistent则为动态使⽤⽰例：balance sourceserver web1 172.16.100.68:80 check weight 1server web2 172.16.100.69:80 check weight 3uri：对URI的左半部分或整个URI进⾏hash运算，并由服务器的总权重相除后派发⾄某匹配的服务器这可以使得对同⼀个URI的请求总是被派发⾄特定的服务器，除⾮服务器的权重总数发⽣了变化此算法常⽤于代理缓存或反病毒代理以提⾼缓存的命中率此算法仅应⽤于HTTP后端服务器场景其默认为静态算法，不过也可以使⽤hash-type修改此特性使⽤⽰例：balance urihash-type consistenturl_param：通过argument为Url指定的参数在每个HTTP GET请求中将会被检索如果找到了指定的参数且被赋予了⼀个值，那么此值将被执⾏hash运算并被服务器的总权重相除后派发⾄匹配的服务器在url中添加⼀个参数，然后把url中的url_param指定的那个参数的值做hash运算，并处除以总权重此算法可以通过追踪请求中的⽤户标识进⽽确保同⼀个⽤户ID的请求将被送往同⼀个特定的服务器，除⾮服务器的总权重发⽣了变化如果某请求中没有出现指定的参数或其没有有效值，则使⽤轮叫算法对相应请求进⾏调度此算法默认为静态的，不过可以使⽤hash-type修改此特性hdr(<name>)：对于每个HTTP请求，通过<name>指定的HTTP⾸部将会被检索（根据请求报⽂中指定的http⾸部的值来进⾏调度，把指定的header的值做hash计算）如果相应的⾸部没有出现或其没有有效值，则使⽤轮叫算法对相应的请求进⾏调度此算法默认为静态的，不过其也可以⽤hash-type修改此特性使⽤⽰例：balance hdr(User-Agent)hash-type consistent3.2 hash-type3.2.1 ⽤法hash-type <method>3.2.2 作⽤定义⽤于将hash码映射⾄后端服务器的⽅法其不能⽤于frontend区段可⽤的⽅法有map-based和consistent，在⼤多数场景下推荐使⽤默认的map-based⽅法3.2.3 可⽤的⽅法map-based：（其实就是取模算法）hash表是⼀个包含了所有在线服务器的静态数组。

HAProxy负载均衡原理及企业级实例部署haproxy集群⼀ HAProxy简介HAProxy是⼀种⾼效、可靠、免费的⾼可⽤及负载均衡解决⽅案，⾮常适合于⾼负载站点的七层数据请求。

客户端通过HAProxy代理服务器获得站点页⾯，⽽代理服务器收到客户请求后根据负载均衡的规则将请求数据转发给后端真实服务器。

同⼀客户端访问服务器，HAProxy保持回话的三种⽅案：1 HAProxy将客户端ip进⾏Hash计算并保存，由此确保相同IP访问时被转发到同⼀真实服务器上。

2 HAProxy依靠真实服务器发送给客户端的cookie信息进⾏回话保持。

3 HAProxy保存真实服务器的session及服务器标识，实现会话保持功能。

haproxy拓扑结构图⼆配置⽂件解析Haproxy安装后默认没有配置⽂件，需要⼿动创建/etc/haproxy.cfg。

启动haproxy时⽤-f指定配置⽂件路径。

haproxy的配置⽂件包含全局设置段与代理段，global是全局段，defaults、listen、frontend、backend为代理段。

frontend⽤来匹配客户端请求的域名或者URL；backend 定义后端服务器集群haproxy配置⽂件参数详细解析配置项描述global chroot<jail dir>将⼯作⽬录切换到<jail dir>并执⾏chrootdaemon后台⼯作模式uid进程账户id，建议设置为haproxy专⽤账户gid进程组id，建议设置为haproxy专⽤组log<address><facility>配置全局syslog，可以设置两台⽇志服务器nbproc<number>指定后台进程数量pidfile<file>指定pid⽂件ulimit-n<number>设置每个进程最⼤⽂件描述符数量maxconn<number>每个进程⽀持的最⼤并发数tune.bufsize<number>设置buffer⼤⼩，默认16384Bmode可选tcp、http、healthtimeout check<timeout>设置检查超时时间contimeout<timeout>设置连接超时时间balance roundrobin设置轮询负载bind<address>:port定义⼀个或者多个监听地址和端⼝stats auth admin:admin设置监控界⾯的⽤户名和密码stats refresh<number>统计页⾯刷新间隔时间option httplog使⽤http⽇志cookie<name>启⽤cookie的保持连接功能option forwardfor允许插⼊这种数据包头，可以让后端服务器获取客户端ip option abortonclose负载⾼时，⾃动关闭处理时间长的请求option allbackups后端服务器宕机，是否激活全部备机，默认启动第⼀个备机option dontlognull不记录空连接⽇志，主要⽤于不记录健康检查⽇志代理设置option redispatch后端某个机器宕机，强制把请求转发给健康机器monitor-uri<URi>检查uri⽂件是否存在，依次判断主机的健康状态monitor-fail if site_dead服务器宕机时，返回503代码option httpchk<uri>使⽤http协议检查服务器健康状态retries<value>服务器连接失败后的重试次数timeout client客户端最⼤超时时间，单位毫秒timeout server服务器最⼤超时时间，单位毫秒timeout connect最⼤连接超时时间，单位毫秒default_backend默认后端服务器组use_backend当条件满⾜时，指定后端服务器组acl<name><criterion>定义访问控制列表三 Haproxy实例部署本例使⽤listen定义⼀个监控端⼝；使⽤frontend定义⼀个前端80端⼝；通过backend定义名为inside_servers 和 external_servers的服务器组；使⽤default_backend定义默认服务器组external_servers;external_servers包括和 两台服务器inside_servers包含 ⼀台服务器服务器名称⽹络配置 eth0:10.10.10.10eth1:192.168.1.2 eth0:192.168.1.3 eth0:192.168.1.4 eth0:192.168.1.51 ⾸先配置web服务器在web1 web2 web3上安装httpd并配置⽹卡vim /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticIPADDR=192.168.1.3NETMASK=255.255.255.0GATEWAY=192.168.1.2ONBOOT=yesTYPE=Ethernetservice network restartyum install -y httpdiptables -Fiptables -Xservice iptables savesetenforce 0sed -i s/enforcing/disabled/g /etc/sysconfig/selinuxecho "web1 192.168.1.3" > /var/www/html/index.html service httpd restartchkconfig httpd onweb2 web3机器上执⾏与web1相同步骤，注意修改部分参数2 接着haproxy服务器配置设置两块⽹卡vim /etc/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticIPADDR=10.10.10.10NETMASK=255.0.0.0ONBOOT=yesTYPE=Ethernetvim /etc/sysconfig/network-scripts/ifcfg-eth1DEVICE=eth1BOOTPROTO=staticIPADDR=192.168.1.2NETMASK=255.255.255.0GATEWAY=192.168.1.1ONBOOT=yesTYPE=Ethernetservice network restartservice iptables stop内核调优，修改系统⽂件vim /etc/security/limits.conf* soft nofile 65535* hard nofile 65535配置⽇志⽂件,添加三⾏vim /etc/rsyslog.conf$ModLoad imudp $UDPServerRun 514local3.* /var/log/haproxy.logyum -y install gcctar zxf haproxy-1.6.11.tar.gz -C /usr/src/ cd /usr/src/haproxy-1.6.11/make TARGET=linux2628make installmkdir /var/haproxy3 创建配置⽂件vim /etc/haproxy.cfgglobalmaxconn 4096log 127.0.0.1 local3 infochroot /var/haproxyuid 99gid 99daemonnbproc 1pidfile /var/run/haproxy.pidulimit-n 65535stats socket /var/tmp/statsdefaultslog globalmode httpmaxconn 20480option httplogoption httpcloseoption dontlognulloption forwardforoption redispatchoption abortonclosestats refresh 30retries 3balance roundrobincookie SRVtimeout check 2000mstimeout connect 5000mstimeout server 50000mstimeout client 50000mslisten admin_status #定义haproxy的监控界⾯bind 0.0.0.0:6553mode httplog 127.0.0.1 local3 infostats enablestats refresh 5s #监控页⾯⾃动刷新时间5sstats realm Haproxy\ Statistics #登录监控页⾯提⽰符stats uri /admin?stats #监控页⾯URL路径stats auth admin:123456 #监控页⾯的账户密码stats hide-version #隐藏haproxy版本frontend web_service #定义前端服务器bind 0.0.0.0:80mode httplog globaloption httplogoption httpcloseoption forwardfor#acl inside_src src 192.168.1.0/24 #定义acl#use_backend inside_servers if inside_src #判断acl的源地址，把请求转发到inside_servers组default_backend external_servers #默认服务器组backend external_serversmode httpbalance roundrobin #轮询真实服务器option httpchk GET /index.html #检查index⽂件，判断服务器是否健康##定义后端真实服务器，向cookie中插⼊web1信息，check进⾏健康检查，检查时间间隔为2000ms，##连续两次健康则认为是正常开启的，连续三次检查失败则认为宕机，服务器权重1server web1 192.168.1.3:80 cookie web1 check inter 2000 rise 2 fall 3 weight 1server web2 192.168.1.4:80 cookie web2 check inter 2000 rise 2 fall 3 weight 1#backend inside_servers#mode http#balance roundrobin #轮询真实服务器#option httpchk GET /index.html #检查index⽂件，判断服务器是否健康#server web3 192.168.1.5:80 cookie web3 check inter 2000 rise 2 fall 3 weight 14 启动haproxy服务service rsyslog restart #重启系统⽇志服务haproxy -f /etc/haproxy.cfg #启动haproxy服务echo "/usr/local/sbin/haproxy -f /etc/haproxy.cfg" >> /etc/rc.local5 测试验证浏览器访问监控页⾯多次刷新访问将得到web1和web2 不同页⾯信息。

haproxy 缓存机制
HAProxy是一种高性能的负载均衡器和代理服务器，它可以通
过缓存机制来提高性能和减轻后端服务器的负担。

HAProxy的缓存
机制可以通过两种方式来实现，内置缓存和外部缓存。

首先，内置缓存是指HAProxy自身具有一定的缓存能力，可以
在内存中缓存经常请求的内容，以减少对后端服务器的请求。

内置
缓存可以通过配置来启用，可以设置缓存的大小、过期时间、缓存
策略等参数。

当有请求到达时，HAProxy会先检查缓存中是否存在
相应的内容，如果存在且未过期，则直接返回缓存内容，从而减少
了对后端服务器的请求压力。

其次，HAProxy也可以与外部缓存（如Redis、Memcached等）
结合使用，通过在配置中指定外部缓存服务器的地址和端口来实现。

这样可以将缓存数据存储在外部缓存服务器中，实现多个HAProxy
实例之间的共享缓存，提高了缓存的效率和可靠性。

总的来说，HAProxy的缓存机制可以通过内置缓存和外部缓存
来提高性能和减轻后端服务器的负担。

通过合理的配置和使用，可
以有效地提高系统的整体性能和可靠性。

haproxy acl是haproxy负载均衡器中非常重要的一个功能模块。

acl 全称为Access Control List，中文意思是访问控制列表。

haproxy通过acl可以实现灵活的访问控制和请求转发策略，为系统管理员提供了强大的工具来管理和控制请求的流向。

在haproxy中，acl可以用来进行请求的路由、过滤和限制，可以根据请求的内容、来源、目的等多种条件进行灵活的控制，从而实现更加精细化的负载均衡和访问控制。

1. acl的基本语法在haproxy的配置文件中，acl的语法非常简单清晰，基本格式如下：acl <ACL名称> <条件> <值>其中，<ACL名称>是acl的名称，<条件>是acl的条件，<值>是条件需要匹配的值。

haproxy支持多种条件类型，如：- 按照请求的URL路径进行匹配：acl url_path_1 path_beg /path1acl url_path_2 path_end /path2- 按照请求的网络协议头进行匹配：acl header_1 hdr_sub(User-Agent) -i MSIEacl header_2 hdr_end(Host) -i .example- 按照IP位置区域进行匹配：acl ip_1 src 192.168.1.0/24acl ip_2 src 10.0.0.0/8acl ip_3 src 172.16.0.0/12- 按照请求的cookie进行匹配：acl cookie_1 hdr_sub(cookie) -i cookie_name=valueacl cookie_2 req.cook(cookie_name) -m str value- 按照请求方法进行匹配：acl method_1 method GETacl method_2 method POST- 按照请求的协议进行匹配：acl 网络协议_1 { ssl_fc, ssl_fc_sni } -i secure_domainacl 网络协议_2 { ssl_fc, ssl_fc_sni } -i secure.example2. acl的使用场景acl在haproxy中有着广泛的应用场景，可以用来实现很多功能，例如：- 根据请求的URL路径进行请求的转发acl url_path_1 path_beg /apiuse_backend backend_api if url_path_1- 根据用户的IP位置区域进行访问控制acl ip_1 src 192.168.1.0/24网络协议-request deny if !ip_1- 根据请求的头部信息进行访问控制acl header_1 hdr_sub(User-Agent) -i MSIE网络协议-request deny if header_1- 根据请求的cookie信息进行访问控制acl cookie_1 req.cook(cookie_name) -m str value网络协议-request deny if !cookie_1- 根据请求的方法进行访问控制acl method_1 method GET网络协议-request deny if !method_1- 根据请求的协议进行访问控制acl 网络协议_1 { ssl_fc, ssl_fc_sni } -i secure_domain网络协议-request deny if !网络协议_13. acl的高级用法在实际应用中，acl可以结合使用，实现更加复杂的访问控制和请求转发策略，如：- 多个acl结合使用acl url_path_1 path_beg /apiacl ip_1 src 192.168.1.0/24use_backend backend_api if url_path_1 ip_1- 使用acl进行动态的请求转发acl is_login hdr_sub(cookie) -i login=yesuse_backend backend_login if is_loginuse_backend backend_default if !is_login- 使用acl进行灰度发布acl is_new_version hdr_sub(User-Agent) -i version=2.0use_backend backend_v2 if is_new_versionuse_backend backend_v1 unless is_new_version4. 总结通过acl，haproxy可以实现灵活、精细的访问控制和请求转发策略，丰富的acl条件类型和简洁的acl语法使得系统管理员可以根据实际需求进行灵活的配置，帮助应用实现更高效、更安全的访问控制策略。

HAProxy负载均衡策略
HAProxy是⼀个使⽤C语⾔编写的⾃由及开放源代码软件，其提供⾼可⽤性、负载均衡，以及基于TCP和HTTP的应⽤程序代理。

HAProxy是⽀持虚拟主机的，HAProxy的优点能够补充Nginx的⼀些缺点，⽐如⽀持Session的保持，Cookie的引导。

同时⽀持通过获取指定的url来检测后端服务器的状态。

HAProxy跟LVS类似，本⾝就只是⼀款负载均衡软件，单纯从效率上来讲HAProxy会⽐Nginx有更出⾊的负载均衡速度，在并发处理上也是优于Nginx的。

HAProxy⽀持TCP协议的负载均衡转发，可以对MySQL读进⾏负载均衡，对后端的MySQL节点进⾏检测和负载均衡，⼤家可以⽤
LVS+Keepalived对MySQL主从做负载均衡。

HAProxy的负载均衡算法现在具体有如下8种：
①roundrobin，表⽰简单的轮询，这个不多说，这个是负载均衡基本都具备的；
② static-rr，表⽰根据权重，建议关注；
③leastconn，表⽰最少连接者先处理，建议关注；
④ source，表⽰根据请求源IP，这个跟Nginx的IP_hash机制类似我们⽤其作为解决session问题的⼀种⽅法，建议关注；
⑤ri，表⽰根据请求的URI；
⑥rl_param，表⽰根据请求的URl参数’balance url_param’ requires an URL parameter name；
⑦hdr(name)，表⽰根据HTTP请求头来锁定每⼀次HTTP请求；
⑧rdp-cookie(name)，表⽰根据据cookie(name)来锁定并哈希每⼀次TCP请求。