HAProxy 之 ACL介绍和使用

1  概述

访问控制列表(ACL)的使用为HAProxy提供了一个灵活的解决方案来执行内容交换,并且通常基于从请求中提取的内容、响应或任何环境状态进行决策,HAProxy基于ACL实现了灵活的调度

本文介绍ACL语句中各个参数含义,定义ACL,使用ACL,以及结合例子来介绍ACL的使用

 2  ACL作为条件时的逻辑关系

-与:隐式(默认)使用,默认为与的关系

-或:使用“or” 或“||”表示

-否定:使用“!“ 表示

示例:

有两个条件为invalid_src 和invalid_port

if  invalid_src invalid_port #与关系
if invalid_src|| invalid_port #或关系
if  ! invalid_src #非关系

3 ACL 格式定义

3.1  ACL格式介绍

格式如下:

acl  <aclname>   <criterion>  [flags] [operator] [<value>] ...

参数介绍

<aclname>:ACL名称,自定义,可使用字母,数字,: . -_ 等符号,同时区分字符大小写

<criterion>:比较的标准和条件,下一小节介绍具体用法。

<value>的类型:

-boolean

-integeror integer range

-IPaddress / network

-string(exact, substring, suffix, prefix, subdir, domain)

-regularexpression:正则表达式

-hexblock

<flags>

-i不区分大小写

-m使用指定的pattern匹配方法

-n不做DNS解析

-u强制每个ACL必须唯一ID,否则多个同名ACL或关系

-- 强制flag结束. 当字符串和某个flag相似时使用

[operator]

匹配整数值:eq、ge、gt、le、lt

匹配字符串:

-exactmatch (-m str) :字符串必须完全匹配模式

-substringmatch (-m sub) :在提取的字符串中查找模式,如果其中任何一个被发现,ACL将匹配

-prefixmatch (-m beg) :其中,beg为begin的缩写,在提取的字符串首部中查找模式,如果其中任何一个被发现,ACL将匹配

-suffixmatch (-m end) :将模式与提取字符串的尾部进行比较,如果其中任何一个匹配,则ACL进行匹配

-subdirmatch (-m dir) :查看提取出来的用斜线分隔(“/”)的字符串,如果其中任何一个匹配,则ACL进行匹配

-domainmatch (-m dom) :查找提取的用点(“.”)分隔字符串,如果其中任何一个匹配,则ACL进行匹配

3.2  参数criterion介绍

criterion是比较的标准和条件,比较条件和标准很多:dst,dst_port,src,src_port, base : string, path : string, url: string,req.hdr([<name>[,<occ>]]) : string,status: integer

这里将一一介绍相关用法

dst:目标IP

dst_port:目标PORT

src:源IP

src_port:源PORT

示例:

定义一个acl,名称为invalid_src,指定源ip是172.18.50.61

acl  invalid_src src  172.18.50.61

.base: string

返回第一个主机头和请求的路径部分的连接,该请求从第一个斜杠开始,并在问号之前结束,对虚拟主机有用

完整的url中:<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>,base指的是<host>:<port>/<path>;<params>

base: exact string match
base_beg: prefix match
base_dir: subdir match
base_dom: domain match
base_end: suffix match
base_len: length match
base_reg: regex match
base_sub: substring match

.path: string

提取请求的URL路径,该路径从第一个斜杠开始,并在问号之前结束(无主机部分),默认会被调度到同一后端主机上。

完整的url中:<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>,path指/<path>;<params>

path : exact string match
path_beg : prefix match
path_dir : subdir match
path_dom : domain match
path_end : suffix match
path_len : length match
path_reg : regex match
path_sub : substring match

例子

表示当来自ip :172.18.50.61访问http:/ip/admin的url就会被拒绝,61访问其他的资源不会被拒绝

acl deny_src src 172.18.50.61
acl sunnypath path_beg /sunny
block if deny_srcsunnypath

.url:string

提取请求中的URL。一个典型的应用是具有预取能力的缓存,以及需要从数据库聚合多个信息并将它们保存在缓存中的网页门户入口

url: exact string match
url_beg: prefix match
url_dir: subdir match
url_dom: domain match
url_end: suffix match
url_len: length match
url_reg: regex match
url_sub: substring match

.req.hdr([<name>[,<occ>]]): string

提取在一个HTTP请求报文的首部

hdr([<name>[,<occ>]]) :exact string match
hdr_beg([<name>[,<occ>]]): prefix match
hdr_dir([<name>[,<occ>]]): subdir match
hdr_dom([<name>[,<occ>]]): domain match
hdr_end([<name>[,<occ>]]): suffix match
hdr_len([<name>[,<occ>]]): length match
hdr_reg([<name>[,<occ>]]): regex match
hdr_sub([<name>[,<occ>]]): substring match

示例一:

禁止使用curl命令

acl not_curl hdr_sub(User-Agent) -i curl
block if not_curl

示例二:

实现域名的调度,根据首部实现,将地址为www.sunny.com 满足acl 为imagehost的请求调度到image这组backend的服务器请求,其他的请求调度到默认的组为websrv处理请求。这个使用要保证测试主机能够解析haproxy服务器为www.sunny.com

acl imagehost hdr(host) www.sunny.com
use_backend image if imagehost
default_backendwebsrv

.status: integer

返回在响应报文中的状态码,根据返回的状态码进行匹配

3.3  预定义ACL

系统预定义的ACL,可以直接使用

以下将介绍预定义ACL的等价配置和用法说明

格式为

ACL名称:ACL等价配置;ACL用法说明

TRUE:always_true;总是匹配
FALSE:always_false;从不匹配
HTTP:req_proto_http;匹配HTTP协议
HTTP_1.0:req_ver 1.0;匹配HTTP协议1.0
HTTP_1.1:req_ver 1.1;匹配HTTP协议1.1
HTTP_CONTENT:hdr_val(content-length)gt 0;匹配已存在内容长度
HTTP_URL_ABS:url_reg ^[^/:]*://;匹配URL绝对路径
HTTP_URL_SLASH:url_beg /;匹配URL相对路径
HTTP_URL_STAR:url *;匹配URL 等于"*"
LOCALHOST:src 127.0.0.1/8;匹配从localhost来的连接
METH_CONNECT:method CONNECT;匹配HTTP CONNECT方法
METH_GET:method GET HEAD;匹配HTTP GET 或者 HEAD 方法
METH_HEAD:method HEAD;匹配 HTTP HEAD 方法
METH_OPTIONS:method OPTIONS;匹配 HTTP OPTIONS方法
METH_POST:method POST;匹配 HTTP POST 方法
METH_TRACE:method TRACE;匹配 HTTP TRACE方法
RDP_COOKIE:req_rdp_cookie_cntgt 0;匹配RDPcookie的存在
REQ_CONTENT:req_len gt 0;匹配请求缓冲区中的数据
WAIT_END:wait_end;等待内容分析的结束

4  ACL使用

 use_backend配置

.use_backend   <backend>[{if | unless}
<condition>]

当if/unless一个基于ACL的条件匹配时切换指定backend。

例子

以下例子实现动静分离,当访问php文件的时候,就往dynhost这组backend调度,其他资源默认都发到websrv这组backend。

acl dynhost path_end  .php
acl imagehost hdr(host) www.sunny.com
use_backend image if dynhost
default_backend  websrv

block配置

阻止7层请求if/unless一个条件匹配

.block { if | unless }<condition>

.示例:

acl invalid_src  src172.16.200.2
block if invalid_src

http-request配置

对7层请求的访问控制,主要指http-request

.http-request   {allow | deny |add-header <name> <fmt> |set-header <name><fmt> } [ { if | unless }  <condition>]

根据第4层条件对传入连接执行操作

.tcp-request connection  {accept|reject}  [{if | unless} <condition>]

注意协议和模式的匹配,默认为HTTP协议,haproxy一般用来调度http,如果非http协议就用mode来单独定义,如mode  tcp,不过生产中,mysql一般用专业调度数据库的工具来调度

5  例子

例子一:实现ssh的调度

先在ssh的配置文件更改ssh监听的ip的ip为非22端口,然后haproxy配置如下

listen ssh
bind 172.18.50.63:22
balance leastconn
acl invalid_src  src  172.18.50.
tcp-request connection reject if  invalid_src
mode tcp
server sshsrv1 172.18.50.65:22 check
server sshsrv2 172.18.50.75:22 check  backup

测试 

在172.18.50.61上测试,每次测试完成后,都要把172.18.50.63下/root/.ssh/known_hosts下的172.18.50.63的记录清理掉然后在重新ssh连接,否则调度中,有一台会因为mac不一致导致安全问题,调度成功了,但是连接不上。

ssh  172.18.50.63

例子二:实现mysql调度

实现只有主机172.18.50.61能够通过172.18.50.73这台机器调度到后端的mysql,其他的机器都不能通过172.18.50.73调度连接

listenmysql
    mode tcp 
    bind 172.18.50.73:3306
    balance roundrobin
    acl valid_src src 172.18.50.61
    tcp-request connection reject unless valid_src
    server mysqlsrv1 172.18.50.65:3306 check
       server mysqlsrv2172.18.50.75:3306 check

测试

登陆数据库

mysql -uwpadmin -pPass123456 -h 172.18.50.73

登陆数据库后,如果用system可以调用本机的linux命令,但是查看的是本机的相关信息,如system  hostname 查看的是本机的计算机名,通过查看变量名在mysql里查看远程的连接计算机名

show variables like ‘hostname‘;

例子三:基于ACL 实现wordpress动静分离

注意,因为应用wordpress在调用php脚本时,需要用到其他资源,所以default_backend要设置在处理wordpress  里php文件的服务器组中,如以下的dynamicblog专门用来处理php文件,所以将default_backend设置为dynamicblog这一组服务器。

frontend  http
    bind *:80
    acl url_dyn path_end -i.php
    acl url_stac path_end-i  .jpg .gif .png .css .js .html .txt
    default_backenddynamicblog if url_dyn
    use_backend    staticblog if url_stac
    reqadd sunny-x-via:\ haproxy7c
    rspdel Server
    rspadd  Server:\ Sunny-proxy7c
    option forwardfor    header sunny-x-client
backend staticblog
    balance     roundrobin
    cookie WEBSRV insertnocache
    server      web6e 172.18.50.65:80 check weight 1   inter 3000 rise 2 fall 2 cookie cksrv1
backend dynamicblog
    balance     roundrobin
    cookie WEBSRV insertnocache
    server     web6e 172.18.50.75:80 check weight 1  inter 3000 rise 2 fall 2 cookie cksrv2
listen stats
bind :9091
stats enable
stats auth  admin:admin
stats admin  if TRUE
时间: 2024-10-14 06:31:58

HAProxy 之 ACL介绍和使用的相关文章

haproxy利用ACL规则封禁自定义IP地址拒绝访问

现在有一个需求就是在发版的时候希望除公司IP外的外网访问服务的时候都是拒绝访问的 现在利用haproxy 的acl规则作出限制 errorfile       403 /etc/haproxy/errfile/403.httpacl url_bao hdr(Host) -i bao.doyoulicai.com acl kongzhong_src src 222.73.17.25 222.73.17.24 http-request deny if url_jr !kongzhong_src us

haproxy 常用acl规则与会话保持

一.常用的acl规则 haproxy的ACL用于实现基于请求报文的首部.响应报文的内容或其它的环境状态信息来做出转发决策,这大大增强了其配置弹性.其配置法则通常分为两 步,首先去定义ACL,即定义一个测试条件,而后在条件得到满足时执行某特定的动作,如阻止请求或转发至某特定的后端.定义ACL的语法格式如下. acl <aclname> <criterion> [flags] [operator] <value> ... <aclname>:ACL名称,区分字符

Haproxy 配置 ACL 处理不同的 URL 请求

需求说明服务器介绍:HAProxy Server: 192.168.1.90WEB1 : 192.168.1.103WEB2 : 192.168.1.105Domain: tecadmin.net当用户访问:tecadmin.net/blog链接,只会跳转到WEB2(192.168.1.105)服务器.而其他所有的访问将根据权值跳转到WEB1或者WEB2服务器 配置文件 global log 127.0.0.1 local0 notice maxconn 50000 daemon default

HAProxy 之 算法介绍

1  概述 本文将介绍haproxy用到的10中调度算法和hash算法,haproxy由命令balance指定后端服务器组内的服务器调度算法 2  调度算法介绍 定义算法格式 balance  <algorithm>  [ <arguments> ] balance url_param <param>  [check_post] .调度算法总共10种,注意和 lvs的十种不一样:         roundrobin: 基于权重轮询,动态算法,支持权重的运行时调整,这个

haproxy的acl与或非关系

当定义多个acl时,有时候需要多个条件进行组合: acl is_www hdr_beg(host) -i www.51yunv.com    acl is_dns src 116.211.121.0/24 218.65.212.0/24 正常的写法,单个条件: use_backend www if is_www 或者的写法: use_backend www if is_www || is_dns and的写法 use_backend www if is_www is_dns use_backen

haproxy基于ACL的动静分离

acl 语法: acl  <acl_name>  <criterion> [flags] [operator] <value> acl_name:自定义的acl名称,区分大小写,只能包含.字母.数字."-". "_"  .":"  . "." criterion:检查条件 flag:标志位,例如: -i:不区分大小写 operation:操作符,做数值比较,例如:eq(=).ge(>=

HAProxy 的acl应用

非常好的博文推荐:http://blog.51cto.com/1992tao/1875563 官方文档:https://cbonte.github.io/haproxy-dconv/1.9/configuration.html#block hdr([<name>[,<occ>]]) : string                                 ACL derivatives :这将提取请求的URL路径,该路径从第一条斜杠开始.                 

Haproxy的基础知识介绍

在日常生活中,http主要用于做为公司的正向代理,通过SNAT技术为互联网节省了很多的IP地址,相反haproxy是作为反向代理,接收普通用户的请求.代理的作用主要有访问控制.web缓存(加速).反向代理.内容路由(根据流量及内容类型等条件将请求转发至特定的服务器).转码器,以及在代理服务器上添加Via首部,用于分析经过的路由等作用.目前haproxy的版本主要有两个,一个为1.4,特点是能够提供较好的弹性,还有一个版本是1.3的版本,其特性为内容交换以及超强的负载,都是衍生以1.2版本.Hap

高可用高性能负载均衡软件HAproxy详解指南-第二章(配置文件、关键字、ACL)

第二章:HAproxy配置文件详解以及HAproxy的ACL详解 对Linux有兴趣的朋友加入QQ群:476794643 在线交流 本文防盗链:http://zhang789.blog.51cto.com 上一篇:第一章:HAproxy简介及安装配置 目录 haproxy 配置文件详解 haproxy 配置文件中的关键字参考 haproxy的ACL 附:一份完整的HAproxy的配置文件 由于字体过多分开写的,全系列文章链接 第一章:HAproxy简介及安装配置 http://zhang789.