第五周负载及缓存

1、运用haproxy实现nginx服务负载均衡

http://cbonte.github.io/haproxy-dconv/1.5/configuration.html #github之上的文档手持地址

docker pull nginx:alpine #使用docker拉取nginx镜像

[root@centos7 ~]# docker run --name web1 -d --network bridge nginx:alpine #启动容器

WARNING: IPv4 forwarding is disabled. Networking will not work.

4055e0d579ff7f0ef999322ab6d698ce7f7d15f1e049231b848e9704a390545a

[root@centos7 ~]# docker run --name web2 -d --network bridge nginx:alpine#启动容器

exec -it web1 /bin/sh #连接容器

/  # cd /usr/share/nginx/html

/usr/share/nginx/html # echo hello world 1 > /usr/share/nginx/index.html #修改一下测试页

[root@centos7 ~]# docker exec -it web2 /bin/sh

/ # echo hello world 2 > /usr/share/nginx/html/index.html


vim /etc/haproxy/haproxy.cfg

修改配置文件在frontend 字段中指定前段调度监听的端口为80,调度到后端websrvs组。定义后端backend组 组名为websrvs ,组内服务器172.17.0.2|0.3这两台主机。

frontend myweb *:80

        default_backend websrvs

backend websrvs

        server web1 172.17.0.2:80 check

        server web1 172.17.0.3:80 check


测试调度成功

listen http_proxy #也可以使用listen将前端和后端定义在一起,定义多端口,

        bind :80,:8080 #也可以使用bind绑定端口

#      default_backend websrvs

#backend websrvs

        server web1 172.17.0.2:80 check

        server web2 172.17.0.3:80 check



balance:后端服务器组内的服务器调度算法只能定义在backend和listen中

balance <algorithm> [ <arguments> ]

balance url_param <param> [check_post]

算法:

roundrobin:Each server is used in turns, according to their weights.

server options: weight #

动态算法:支持权重的运行时调整,支持慢启动;每个后端中最多支持4095个server;

static-rr:

静态算法:不支持权重的运行时调整及慢启动;后端主机数量无上限;

leastconn:

推荐使用在具有较长会话的场景中,例如MySQL、LDAP等;

first:

根据服务器在列表中的位置,自上而下进行调度;前面服务器的连接数达到上限,新请求才会分配给下一台服务;

source:源地址hash;

除权取余法:

一致性哈希:

uri:

对URI的左半部分做hash计算,并由服务器总权重相除以后派发至某挑出的服务器;

<scheme>://<user>:<password>@<host>:<port>/<path>;<params>?<query>#<frag>

左半部分:/<path>;<params>

整个uri:/<path>;<params>?<query>#<frag>

username=jerry


url_param:对用户请求的uri的<params>部分中的参数的值作hash计算,并由服务器总权重相除以后派发至某挑出的服务器;常用于追踪用户,以确保来自同一个用户的请求始终发往同一个Backend Server;

                            username=tom

hdr(<name>):对于每个http请求,此处由<name>指定的http首部将会被取出做hash计算; 并由服务器总权重相除以后派发至某挑出的服务器;没有有效值的会被轮询调度;

hdr(Cookie)

rdp-cookie

rdp-cookie(<name>)

hash-type:哈希算法

hash-type <method> <function> <modifier>

map-based:除权取余法,哈希数据结构是静态的数组;

consistent:一致性哈希,哈希数据结构是一个树;

<function> is the hash function to be used : 哈希函数

sdbm

djb2

wt6

示例

balance roundrobin

balance url_param userid

balance url_param session_id check_post 64

balance hdr(User-Agent)

balance hdr(host)

balance hdr(Host) use_domain_only


server <name> <address>[:[port]] [param*]

定义后端主机的各服务器及其选项;

server <name> <address>[:port] [settings ...]

default-server [settings ...]

<name>:服务器在haproxy上的内部名称;出现在日志及警告信息中;

<address>:服务器地址,支持使用主机名;

[:[port]]:端口映射;省略时,表示同bind中绑定的端口;

[param*]:参数

maxconn <maxconn>:当前server的最大并发连接数;

backlog <backlog>:当前server的连接数达到上限后的后援队列长度;

backup:设定当前server为备用服务器;

check:对当前server做健康状态检测;

addr :检测时使用的IP地址;

port :针对此端口进行检测;

inter <delay>:连续两次检测之间的时间间隔,默认为2000ms;

rise <count>:连续多少次检测结果为“成功”才标记服务器为可用;默认为2;

fall <count>:连续多少次检测结果为“失败”才标记服务器为不可用;默认为3;


注意:option httpchk,"smtpchk", "mysql-check", "pgsql-check" and "ssl-hello-chk" 用于定义应用层检测方法;

cookie <value>:为当前server指定其cookie值,用于实现基于cookie的会话黏性;

disabled:标记为不可用;

on-error <mode>:后端服务故障时的行动策略;

                                - fastinter: force fastinter

                                - fail-check: simulate a failed check, also forces fastinter (default)

                                - sudden-death: simulate a pre-fatal failed health check, one more failed

                                check will mark a server down, forces fastinter

                                - mark-down: mark the server immediately down and force fastinter

redir <prefix>:将发往此server的所有GET和HEAD类的请求重定向至指定的URL;

server web2 172.17.0.3:80 redir http://www.baidu.com #示例

weight <weight>:权重,默认为1;

                        OK --> PROBLEM

                            OK --> PROBLEM --> PROBLEM --> PROBLEM

                        PROBLEM --> OK


统计接口启用相关的参数:

stats enable

启用统计页;基于默认的参数启用stats page;

- stats uri  : /haproxy?stats

- stats realm : "HAProxy Statistics"

- stats auth  : no authentication

- stats scope : no restriction

stats auth <user>:<passwd>

认证时的账号和密码,可使用多次;

stats realm <realm>

认证时的realm;

stats uri <prefix>

自定义stats page uri

stats refresh <delay>

设定自动刷新时间间隔;

stats admin { if | unless } <cond>

启用stats page中的管理功能

配置示例:

listen stats

bind :9099

stats enable

stats realm HAPorxy\ Stats\ Page #登录时验证提示信息

stats auth admin:admin

stats admin if TRUE


#############在frontend 加入stats enable 即可访问

frontend myweb

       bind :80,:8080

        default_backend websrvs

backend websrvs

        server web1 172.17.0.2:80 check

        server web2 172.17.0.3:80 check

listen stats :9090

        stats enable

        stats uri /admin ?stats #自定义修改页面路径



mode { tcp|http|health }

定义haproxy的工作模式;

tcp:基于layer4实现代理;可代理mysql, pgsql, ssh, ssl等协议;

http:仅当代理的协议为http时使用;

health:工作为健康状态检查的响应模式,当连接请求到达时回应“OK”后即断开连接;


cookie <name> [ rewrite | insert | prefix ] [ indirect ] [ nocache ] [ postonly ] [ preserve ] [ httponly ] [ secure ] [ domain <domain> ]* [ maxidle <idle> ] [ maxlife <life> ]

<name>:is the name of the cookie which will be monitored, modified or inserted in order to bring persistence.

rewirte:重写;

insert:插入;

prefix:前缀;

基于cookie的session sticky的实现:

backend websrvs

cookie WEBSRV insert nocache indirect #定义cookie的名称和插入cookie报文的信息,这里的名称并不重要

server srv1 172.16.100.6:80 weight 2 check rise 1 fall 2 maxconn 3000 cookie srv1 #定义cookie名

server srv2 172.16.100.7:80 weight 1 check rise 1 fall 2 maxconn 3000 cookie srv2

option forwardfor [ except <network> ] [ header <name> ] [ if-none ]

Enable insertion of the X-Forwarded-For header to requests sent to servers

在由haproxy发往后端主机的请求报文中添加“X-Forwarded-For”首部,其值前端客户端的地址;用于向后端主发送真实的客户端IP;


reqadd <string> [{if | unless} <cond>]

Add a header at the end of the HTTP request

rspadd <string> [{if | unless} <cond>]

Add a header at the end of the HTTP response

rspadd X-Via:\ HAPorxy

reqdel  <search> [{if | unless} <cond>]

reqidel <search> [{if | unless} <cond>]  (ignore case)

Delete all headers matching a regular expression in an HTTP request

rspdel  <search> [{if | unless} <cond>]

rspidel <search> [{if | unless} <cond>]  (ignore case)

Delete all headers matching a regular expression in an HTTP response

rspidel  Server.*

日志系统:

log:

log global

log <address> [len <length>] <facility> [<level> [<minlevel>]]

no log

注意:

默认发往本机的日志服务器;

(1) local2.*      /var/log/local2.log

(2) $ModLoad imudp

$UDPServerRun 514

log-format <string>:


对后端服务器做http协议的健康状态检测:

option httpchk

option httpchk <uri>

option httpchk <method> <uri>

option httpchk <method> <uri> <version>

定义基于http协议的7层健康状态检测机制;

http-check expect [!] <match> <pattern>

Make HTTP health checks consider response contents or specific status codes.


配置HAProxy支持https协议:

1 支持ssl会话;

bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE

crt后的证书文件要求PEM格式,且同时包含证书和与之匹配的所有私钥;

cat  demo.crt demo.key > demo.pem

2 把80端口的请求重向定443;

bind *:80

redirect scheme https if !{ ssl_fc }

另一种配置:对非ssl的任何url的访问统统定向至https主机的主页;

            redirect location https://172.16.0.67/ if !{ ssl_fc }

3 如何向后端传递用户请求的协议和端口

http_request set-header X-Forwarded-Port %[dst_port]

http_request add-header X-Forwared-Proto https if { ssl_fc }

    配置时常用的功能:

        http --> https


        mode http

        压缩、条件式转发、算法、stats page、自定义错误页、访问控制、日志功能

        最大并发连接;

            global, defaults, frontend, listen, server

        基于cookie的session粘滞

        后端主机的健康状态检测

        请求和响应报文首部的操纵


acl:

访问控制列表(ACL)的使用提供了一种灵活的解决方案来执行内容切换,并且通常基于从请求,响应或任何环境状态中提取的内容来做出决策

acl <aclname> <criterion> [flags] [operator] [<value>] ...

<aclname>:ACL names must be formed from upper and lower case letters, digits, '-' (dash), '_' (underscore) , '.' (dot) and ':' (colon).ACL names are case-sensitive.

<value>的类型:

- boolean

- integer or integer range

- IP address / network

- string (exact, substring, suffix, prefix, subdir, domain)

- regular expression

- hex block

匹配字符串:

- exact match    (-m str) : the extracted string must exactly match the patterns ;

- substring match (-m sub) : the patterns are looked up inside the extracted string, and the ACL matches if any of them is found inside ;

- prefix match    (-m beg) : the patterns are compared with the beginning of the extracted string, and the ACL matches if any of them matches.

- suffix match    (-m end) : the patterns are compared with the end of the extracted string, and the ACL matches if any of them matches.

- subdir match    (-m dir) : the patterns are looked up inside the extracted string, delimited with slashes ("/"), and the ACL matches if any of them matches.

- domain match    (-m dom) : the patterns are looked up inside the extracted string, delimited with dots ("."), and the ACL matches if any of them matches.

acl作为条件时的逻辑关系:

- AND (implicit)

- OR  (explicit with the "or" keyword or the "||" operator)

- Negation with the exclamation mark ("!")

if invalid_src invalid_port #与

if invalid_src || invalid_port #或

if ! invalid_src invalid_port#非


基于ACL的动静分离示例:

frontend  web *:80

acl url_static      path_beg      -i  /static /images /javascript /stylesheets

acl url_static      path_end      -i  .jpg .gif .png .css .js .html .txt .htm

use_backend staticsrvs          if url_static

default_backend            appsrvs

backend staticsrvs

balance    roundrobin

server      stcsrv1 172.16.100.6:80 check

backend appsrvs

balance    roundrobin

server  app1 172.16.100.7:80 check

server  app1 172.16.100.7:8080 check

listen stats

bind :9091

stats enable

stats auth admin:admin

stats admin if TRUE







global配置参数:

进程及安全管理:chroot, daemon,user, group, uid, gid

log:定义全局的syslog服务器;最多可以定义两个;

log <address> [len <length>] <facility> [max level [min level]]

nbproc <number>:要启动的haproxy的进程数量;

ulimit-n <number>:每个haproxy进程可打开的最大文件数;

性能调整:

maxconn <number>:设定每个haproxy进程所能接受的最大并发连接数;Sets the maximum per-process number of concurrent connections to <number>.

                        总体的并发连接数:nbproc * maxconn

maxconnrate <number>:Sets the maximum per-process number of connections per second to <number>. 每个进程每秒种所能创建的最大连接数量;

maxsessrate <number>:设定会话常见速率

maxsslconn <number>: Sets the maximum per-process number of concurrent SSL connections to <number>.

                        设定每个haproxy进程所能接受的ssl的最大并发连接数;

spread-checks <0..50, in percent>

















2、搭建haproxy实现mysql负载均衡

docker pull mysql:5.7 #拉取镜像

[root@centos7 haproxy]# docker run --name db1 -d e "MYSQL_ROOT_PASSWORD=123456" mysql:5.7 #启动容器1

[root@centos7 haproxy]# docker run --name db2 -d e "MYSQL_ROOT_PASSWORD=123456" mysql:5.7 #启动容器2


docker exec -it db1 /bin/sh #连接容器创建账号

mysql> GRANT ALL ON *.* to 'myuser'@'%' identified by '123456';

docker exec -it db1 /bin/sh 

mysql> GRANT ALL ON *.* to 'myuser'@'%' identified by '123456';

yum install haproxy


修改配置

vi/etc/haproxy/haproxy.cfg


配置如下

global

daemon

nbproc 1

pidfile /var/run/haproxy.pid

defaults

mode tcp               #默认的模式mode { tcp|http|health },tcp是4层,http是7层,health只会返回OK

retries 3               #两次连接失败就认为是服务器不可用,也可以通过后面设置

option redispatch       #当serverId对应的服务器挂掉后,强制定向到其他健康的服务器

option abortonclose     #当服务器负载很高的时候,自动结束掉当前队列处理比较久的链接

maxconn 4096            #默认的最大连接数

timeout connect 5000ms  #连接超时

timeout client 30000ms  #客户端超时

timeout server 30000ms  #服务器超时

timeout check 2000      #=心跳检测超时

log 127.0.0.1 local0 err #[err warning info debug]

listen configMysql

bind :3306

mode tcp

maxconn 4086

server s1 172.17.0.2:3306

server s2 172.17.0.3:3306

启动

在解压目录下执行haproxy -f /etc/haproxy/haproxy.cfg

或者使用






3、搭建tomcat服务器, 并通过nginx反向代理访问

Tomcat安装

tomcat下载

进入官网,在左侧download中选择对应tomcat主版本,然后点击右侧的Archives,找到对应的具体版本后进入到bin目录下载tar.gz包,点击Which version查看Tomcat版本对应的JDK版本要求。

这里我们下载的版本是7.0.73

安装步骤

首先确保已经安装好了jdk,并且jdk版本能够满足当前Tomcat的版本要求。

解压缩:tar -zxvf apache-tomcat-7.0.73.tar.gz

将tomcat移到安装软件位置:mv apache-tomcat-7.0.73 /usr/local/

环境变量配置

编辑环境变量配置文件:vim /etc/profile

在文件末尾位置添加如下内容(CATALINA_HOME为安装tomcat的路径)

export CATALINA_HOME=/usr/local/apache-tomcat-7.0.73

通过vim的 ":wq" 命令进行保存退出

使配置生效:source /etc/profile

字符集配置

进入tomcat安装目录的conf目录,编辑server.xml文件

cd /usr/local/apache-tomcat-7.0.73/

vim server.xml

找到配置8080端口的位置,在节点末尾添加URIEncoding="UTF-8"

tomcat验证

进入tomcat安装目录的bin目录,执行./startup.sh,看到如图提示代表启动成功。

可以通过主机的ip地址+8080端口访问tomcat主页,比如:http://192.168.0.110:8080/

需要注意检查防火墙是否关闭,如果未关闭需要配置iptables规则开放8080端口。

关闭iptables规则:iptables -F & iptables -t nat -F

Tomcat启动与关闭

Tomcat启动:${CATALINA_HOME}/bin/startup.sh

Tomcat关闭:${CATALINA_HOME}/bin/shutdown.sh

${CATALINA_HOME}代表tomcat的安装路径

这里将nginx和tomcat都安装在/usr/local目录下,tomcat目录分别命名为tomcat1和tomcat2。

配置环境变量

vim /etc/profile# 在文件末尾添加如下内容

export CATALINA_BASE=/usr/local/tomcat1export CATALINA_HOME=/usr/local/tomcat1export

TOMCAT_HOME=/usr/local/tomcat1export 

CATALINA_2_BASE=/usr/local/tomcat2export 

CATALINA_2_HOME=/usr/local/tomcat2export 

TOMCAT_2_HOME=/usr/local/tomcat2# 通过vim的 ":wq" 命令进行保存退出# 使配置生效source /etc/profile

修改两个tomcat的编码

vim ${tomcat}/conf/server.xml

进入tomcat安装目录,编辑conf目录下的server.xml文件,找到如下节点添加编码配置:URIEncoding="UTF-8"

<Connectorport="8080"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"URIEncoding="UTF-8"/>

修改第二个tomcat的配置

修改第二个tomcat的bin目录下的catalina.sh文件,找到# OS注释内容,在其下面新增配置

vim/usr/local/tomcat2/bin/catalina.sh# 新增如下配置# OS specific support.  $var _must_ be set to either true or false.export CATALINA_BASE=$CATALINA_2_BASEexport CATALINA_HOME=$CATALINA_2_HOME

修改第二个tomcat的conf目录下的server.xml文件,,修改3个端口配置

vim /usr/local/tomcat2/conf/server.xml# 修改以下3个端口,修改为9005,9080,9009<Serverport="9005"shutdown="SHUTDOWN"><ListenerclassName="org.apache.catalina.startup.VersionLoggerListener"/><Connectorport="9080"protocol="HTTP/1.1"connectionTimeout="20000"redirectPort="8443"URIEncoding="UTF-8"/><Connectorport="9009"protocol="AJP/1.3"redirectPort="8443"/>

为了方便对两个tomcat进行区分,我们修改第二个tomcat的主页logo图片,即替换/usr/local/tomcat2/webapps/ROOT/tomcat.png,图片名保持一致。

防火墙配置

如果开启了防火墙,需要配置防火墙规则,先将两个tomcat的端口进行开放,主要是为了测试,在配置了Nginx负载均衡后就可以关闭端口了。

vim /etc/sysconfig/iptables# 添加如下规则-A INPUT -p tcp -m tcp --dport 8080 -j ACCEPT-A INPUT -p tcp -m tcp --dport 9080 -j ACCEPT# 重启iptablesservice iptables restart

tomcat验证

分别启动两个tomcat,即执行命令:${tomcat}/bin/startup.sh

注意检查两个tomcat启动使用的环境变量是否正确。

分别访问两个tomcat,这里是在windows下访问虚拟机的IP + 端口。

修改nginx主配置文件nginx.conf

vim /usr/local/nginx/conf/nginx.conf# 在注释内容上面添加如下内容include vhost/*.conf;# another virtual host

在Nginx安装目录的conf目录下新建一个vhost目录,然后在vhost目录下新建配置文件,文件名需要以.conf结尾

cd /usr/local/nginx/conf/mkdir vhostcd vhost/vim www.silly.com.conf

配置文件添加如下内容,这里server_name配置的是主机对应的域名,proxy_pass是反向代理配置,upstream是负载均衡配置。

upstream www.silly.com{

        server 127.0.0.1:8080 weight=1;

        server 127.0.0.1:9080 weight=2;

}

server {

    listen 80;

    autoindex on;

    server_name silly.com www.silly.com;

    access_log /usr/local/nginx/logs/access.log combined;

    index index.html index.htm index.jsp index.php;

    location / {

        proxy_pass http://www.silly.com;

        add_header Access-Control-Allow-Origin *;

    }

}


4、采用varnish为nginx实现缓存加速

使用epel中仓库自带varnish安装包

yum install epel-release varnish

varnish中配置文件

/etc/varnish/default.vcl #用来定义缓存策略的配置文件

/etc/varnish/varnish.params #用来定义进程状态端口等,本身没有配置参数,这个配置文件会把自身定义的变量传递给unitfile文件,启动时通过配置文件定义的参数来启动

[root@centos7 ~]# cat /etc/varnish/varnish.params


cat /usr/lib/systemd/system/varnish.service#服务单元启动时都调用了param文件中的变量

修改varnish.params配置文件


RELOAD_VCL=1

VARNISH_VCL_CONF=/etc/varnish/default.vcl #加载默认vcl配置文件,可修改

VARNISH_LISTEN_PORT=80 #监听的端口默认为6081,客户端监听端口

VARNISH_ADMIN_LISTEN_ADDRESS=127.0.0.1 #监听在本机地址

VARNISH_ADMIN_LISTEN_PORT=6082#管理端口

VARNISH_SECRET_FILE=/etc/varnish/secret #秘钥文件

VARNISH_STORAGE="file,/var/cache/varnish/,2G" #缓存的类型,大小,可用内存缓存,文件缓存等。。malloc基于内存缓存。file表示为磁盘缓存,需要varnish用户对此目录拥有权限

VARNISH_USER=varnish #运行varnish进程的用户

VARNISH_GROUP=varnish

mkdir /var/cache/varnish/ #创建缓存目录

chown -R varnish.varnish /var/cache/varnish/ #修改缓存目录所属用户及组

systemctl start varnish 启动varnish


docker pull nginx:1.14-alpine #使用容器拉取镜像,使用varnish作为前端

docker run --name web1 -d nginx:1.14-alpine #启动容器


查看容器地址



修改配置文件监听后端的地址及端口


[root@centos7 varnish]# varnish_reload_vcl  #重新加载新vcl文件

Loading vcl from /etc/varnish/default.vcl 加载配置文件

Current running config name is

Using new config name reload_2019-09-16T04:42:42

VCL compiled. 编译

VCL 'reload_2019-09-16T04:42:42' now active

available      0 boot #随系统启动的vcl文件。未启动

active          0 reload_2019-09-16T04:42:42#当前正在使用的vcl版本即我们修改后的版本

Done


缓存成功

命令端接口varnishadm管理varnish

[root@centos7 varnish]# varnishadm -S /etc/varnish/secret -T 127.0.0.1:6082 #-S指定秘钥文件 -T 指定主机(本机)及端口

200       

-----------------------------

Varnish Cache CLI 1.0

-----------------------------

Linux,3.10.0-693.el7.x86_64,x86_64,-sfile,-smalloc,-hcritbit

varnish-4.0.5 revision 07eff4c29

Type 'help' for command list.

Type 'quit' to close CLI session.


help [<command>]

ping [<timestamp>]

auth <response> #认证

quit

banner #欢迎信息

status#状态信息

start#开启varnish进程

stop#关闭

vcl.load <configname> <filename> #与vcl相关,加载vcl文件进来

vcl.inline <configname> <quoted_VCLstring>

vcl.use <configname>#切换vcl文件

vcl.discard <configname>

vcl.list #显示vcl文件

param.show [-l] [<param>] #定义进程工作特性,即使生效,重启失效

param.set <param> <value>

panic.show

panic.clear

storage.list#存储相关

vcl.show [-v] <configname>

backend.list [<backend_expression>] #后端服务器相关

backend.set_health <backend_expression> <state>

ban <field> <operator> <arg> [&& <field> <oper> <arg>]...

ban.list #缓存清理相关

vcl.show -v boot #查看默认的vcl规则

varnish的vcl文件常用变量

变量类型:

内建变量:

req.*:request,表示由客户端发来的请求报文相关;

req.http.*

req.http.User-Agent, req.http.Referer, ...

bereq.*:由varnish发往BE主机的httpd请求相关;Backend 后端主机

bereq.http.*

beresp.*:由BE主机响应给varnish的响应报文相关;

beresp.http.*

resp.*:由varnish响应给client相关;

obj.*:存储在缓存空间中的缓存对象的属性;只读;

举例:obj.hits是内建变量,用于保存某缓存项的从缓存中命中的次数;

vim /etc/varnish/default.vcl 

sub vcl_deliver{ #定义在deliver阶段,不能定义在recv(接受客户端请求阶段)和backend_response(后端服务器响应阶段)

if (obj.hits>0) {

set resp.http.X-Cache = "HIT via" + " " + server.ip;

} else {

set resp.http.X-Cache = "MISS from " + server.ip;

}

}

varnish> vcl.load test1 default.vcl  加载配置文件进来,并且改名为test1

200       

VCL compiled.

vcl.use test1 切换到test1 vcl文件 

200       

VCL 'test1' now active

vcl.list

200       

available      0 boot

available      0 reload_2019-09-16T04:42:42

active          0 test1

varnish_reload_vcl #也可以使用此命令重新加载配置文件

1

curl -I http://172.17.0.1 访问本机请求的头部值,查看,第一次为miss第二次为hit


VCL有多个状态引擎,状态之间存在相关性,但状态引擎彼此间互相隔离;每个状态引擎可使用return(action)指明关联至哪个下一级引擎;每个状态引擎对应于vcl文件中的一个配置段,即为subroutine

                vcl_init

                vcl_recv,

                    vcl_synth

                    vcl_pipe

                    vcl_pass

                    vcl_hash

                        vcl_hit

                            vcl_deliver

                        vcl_miss

                        vcl_pass

                            vcl_backend_fetch

                                vcl_backend_error

                                vcl_backend_response

                                    vcl_deliver

vcl的语法格式:

(1) VCL files start with “vcl 4.0;”

(2) //, # and /* foo */ for comments; #注释

(3) Subroutines are declared with the sub keyword; 例如sub vcl_recv { ...};#每一个子例程都要用sub 加上关键词之内,

(4) No loops, state-limited variables(受限于引擎的内建变量);#不支持循环

(5) Terminating statements with a keyword for next action as argument of the return() function, i.e.: return(action);用于实现状态引擎转换;#指定吓一跳是谁

(6) Domain-specific;

流程示意图


定义哪些能缓存,哪些不能缓存的项

sub vcl_recv {  #在recv阶段调整访问login界面时不能被缓存,直接发往后端。

        if(req.url ~ "^/login") {

                return(pass);

}

docker exec -it web1 /bin/sh #进入容器创建页面

echo hello index nginx >> /usr/share/nginx/html/login

####访问login界面便不会再名字缓存,访问普通首页即会缓存


vcl变量

变量类型:

内建变量:

req.*:request,表示由客户端发来的请求报文相关;

req.http.*

req.http.User-Agent, req.http.Referer, ...

bereq.*:由varnish发往BE主机的httpd请求相关;

bereq.http.*

beresp.*:由BE主机响应给varnish的响应报文相关;

beresp.http.*

resp.*:由varnish响应给client相关;

obj.*:存储在缓存空间中的缓存对象的属性;只读;

常用变量:

bereq.*, req.*:

bereq.http.HEADERS

bereq.request, req.request:请求方法;

bereq.url, req.url:请求的url;

bereq.proto,req.proto:请求的协议版本;

bereq.backend:指明要调用的后端主机;

req.http.Cookie:客户端的请求报文中Cookie首部的值;

req.http.User-Agent ~ "chrome"

beresp.*, resp.*:

beresp.http.HEADERS

beresp.status, resp.status:响应的状态码;

reresp.proto, resp.proto:协议版本;

beresp.backend.name:BE主机的主机名;

beresp.ttl:BE主机响应的内容的余下的可缓存时长;

obj.*

obj.hits:此对象从缓存中命中的次数;

obj.ttl:对象的ttl值

server.*

server.ip:varnish主机的IP;

server.hostname:varnish主机的Hostname;

client.*

client.ip:发请求至varnish主机的客户端IP;


缓存对象的修剪:purge, ban

            配置purge操作:

                (1) 能执行purge操作

                    sub vcl_purge { #定义purge方法。

                        return (synth(200,"Purged")); #返回200 清理成功

                    }


                (2) 何时执行purge操作

                    sub vcl_recv { #这个配置项是接收请求时,发现是purge则会掉上面定义好的purge方法清理缓存

                        if (req.method == "PURGE") {

                            return(purge);  

                        }

                        ...

                    }


curl -X PURGE http://172.17.0.1 #模拟purge方法清理缓存

添加此类请求的访问控制法则:

acl purgers {

"127.0.0.0"/8;

"10.1.0.0"/16;

}

sub vcl_recv {

if (req.method == "PURGE") {

if (!client.ip ~ purgers) {

return(synth(405,"Purging not allowed for " + client.ip));

}

return(purge);

}

...

}

Banning: #使用ban命令清理指定页面的缓存

(1) varnishadm:

ban <field> <operator> <arg> #在命令行中使用ban命令清理指定缓存

示例:

ban req.url ~ (?i)^/javascripts

(2) 在配置文件中定义,使用ban()函数;

示例:

if (req.method == "BAN") {

ban("req.http.host == " + req.http.host + " && req.url == " + req.url);

# Throw a synthetic page so the request won't go to the backend.

return(synth(200, "Ban added"));

}

curl -X BAN http://www.ilinux.io/test1.html

ban req.http.host==www.ilinux.io && req.url==/test1.html


如何设定使用多个后端主机:

backend default {

.host = "172.16.100.6";

.port = "80";

}

backend appsrv {

.host = "172.16.100.7";

.port = "80";

}

sub vcl_recv {

if (req.url ~ "(?i)\.php$") {

set req.backend_hint = appsrv;

} else {

set req.backend_hint = default;

}

...

}

nginx: proxy_pass

haproxy: use_backend


BE Health Check:#健康状态检测

backend BE_NAME {

.host = 

.port =

.probe = {

.url=

.timeout=

.interval=

.window=

.threshold=

}

}

.probe:定义健康状态检测方法;

.url:检测时要请求的URL,默认为”/";

.request:发出的具体请求;

.request =

"GET /.healthtest.html HTTP/1.1"

"Host: www.magedu.com"

"Connection: close"

.window:基于最近的多少次检查来判断其健康状态;

.threshold:最近.window中定义的这么次检查中至有.threshhold定义的次数是成功的;成功阈值;

.interval:检测频度;

.timeout:超时时长;

.expected_response:期望的响应码,默认为200;

健康状态检测的配置方式:

probe check {

.url = "/.healthcheck.html";

.window = 5;

.threshold = 4;

.interval = 2s;

.timeout = 1s;

}

backend default {

.host = "10.1.0.68";

.port = "80";

.probe = check;

}

backend appsrv {

.host = "10.1.0.69";

.port = "80";

.probe = check;

}

            手动设定BE主机的状态:

                sick:管理down;

                healthy:管理up;

                auto:probe auto;


varnish做负载均衡配置示例

Director:#需要导入此模块来做负载均衡

varnish module;

使用前需要导入:

import directors;

示例:

import directors;    # load the directors

示例: 1定义后端机器。2将后端服务器分组加入GROUP中,并指定其调度算法

backend imgsrv1 {

.host = "192.168.10.11";

.port = "80";

}

backend imgsrv2 {

.host = "192.168.10.12";

.port = "80";

}

backend appsrv1 {

.host = "192.168.10.21";

.port = "80";

}

backend appsrv2 {

.host = "192.168.10.22";

.port = "80";

}

sub vcl_init {

new imgsrvs = directors.random();

imgsrvs.add_backend(imgsrv1,10);

imgsrvs.add_backend(imgsrv2,20);

new staticsrvs = directors.round_robin();

appsrvs.add_backend(appsrv1);

appsrvs.add_backend(appsrv2);

new appsrvs = directors.hash();

appsrvs.add_backend(appsrv1,1);

appsrvs.add_backend(appsrv2,1);

}

sub vcl_recv {

if (req.url ~ "(?i)\.(css|js)$" {

set req.backend_hint = staticsrvs.backend();

}

if (req.url ~ "(?i)\.(jpg|jpeg|png|gif)$" {

set req.backend_hint = imgsrvs.backend();

} else {

set req.backend_hint = appsrvs.backend(req.http.cookie);

}

}

基于cookie的session sticky:

sub vcl_init {

new h = directors.hash();

h.add_backend(one, 1);  // backend 'one' with weight '1'

h.add_backend(two, 1);  // backend 'two' with weight '1'

}

sub vcl_recv {

// pick a backend based on the cookie header of the client

set req.backend_hint = h.backend(req.http.cookie);

}

设置后端的主机属性:

backend BE_NAME {

...

.connect_timeout = 0.5s; #超时时长

.first_byte_timeout = 20s; #发送报文时第一字节传输时长

.between_bytes_timeout = 5s;#从后端服务器接收报文超时时长,字节和字节之间传输间隔时间

.max_connections = 50; #与后端服务器最大并非连接

}

varnish的运行时参数:

线程模型:

cache-worker

cache-main

ban lurker

acceptor:

epoll/kqueue:

...

线程相关的参数:使用线程池机制管理线程;

在线程池内部,其每一个请求由一个线程来处理; 其worker线程的最大数决定了varnish的并发响应能力;

thread_pools:Number of worker thread pools. 最好小于或等于CPU核心数量;

thread_pool_max:The maximum number of worker threads in each pool. 每线程池的最大线程数;

thread_pool_min:The minimum number of worker threads in each pool. 额外意义为“最大空闲线程数”;

最大并发连接数 = thread_pools  * thread_pool_max

thread_pool_timeout:Thread idle threshold.  Threads in excess of thread_pool_min, which have been idle for at least this long, will be destroyed.

thread_pool_add_delay:Wait at least this long after creating a thread.

thread_pool_destroy_delay:Wait this long after destroying a thread.

Timer相关的参数:

send_timeout:Send timeout for client connections. If the HTTP response hasn't been transmitted in this many seconds the session is closed.

timeout_idle:Idle timeout for client connections.

timeout_req: Max time to receive clients request headers, measured from first non-white-space character to double CRNL.

cli_timeout:Timeout for the childs replies to CLI requests from the mgt_param.

设置方式:

vcl.param

param.set

永久有效的方法:

varnish.params

DEAMON_OPTS="-p PARAM1=VALUE -p PARAM2=VALUE"

varnish日志区域:

shared memory log

计数器

日志信息

1、varnishstat - Varnish Cache statistics

-1

-1 -f FILED_NAME

-l:可用于-f选项指定的字段名称列表;

MAIN.cache_hit

MAIN.cache_miss

# varnishstat -1 -f MAIN.cache_hit -f MAIN.cache_miss

                    显示指定参数的当前统计数据;

# varnishstat -l -f MAIN -f MEMPOOL

                    列出指定配置段的每个参数的意义;

2、varnishtop - Varnish log entry ranking

-1    Instead of a continously updated display, print the statistics once and exit.

-i taglist,可以同时使用多个-i选项,也可以一个选项跟上多个标签;

-I <[taglist:]regex>:对指定的标签的值基于regex进行过滤;

-x taglist:排除列表

-X  <[taglist:]regex>:对指定的标签的值基于regex进行过滤,符合条件的予以排除;

3、varnishlog - Display Varnish logs

4、 varnishncsa - Display Varnish logs in Apache / NCSA combined log format #以ncsa(类似http协议日志)方式显示-D 以守护进程运行

varnishncsa -D -w /var/log/varnish_access.log #以守护进程方式启动varnish日志

systemctl start varnishncsa #以守护进程启动且剥离终端也不会被停止

内建函数:

hash_data():指明哈希计算的数据;减少差异,以提升命中率;

regsub(str,regex,sub):把str中被regex第一次匹配到字符串替换为sub;主要用于URL Rewrite

regsuball(str,regex,sub):把str中被regex每一次匹配到字符串均替换为sub;

return():

ban(expression)

ban_url(regex):Bans所有的其URL可以被此处的regex匹配到的缓存对象;

synth(status,"STRING"):生成响应报文;




5、LNMP结合varnish实现动静分离

docker pull duckll/lnmp #我这里拿一个做好的镜像提供lnmp架构

docker run -idt --name lnmp -p {port}:80 -v {diretory}:/home/wwwroot/default/{something} duckll/lnmp #启动容器,并指定端口及存储卷

vim /etc/varnish/default.vcl #修改配置文件添加后端主机并指定访问缓存规则

backend web {

        .host = "172.17.0.2";

        .port = "80";

}

backend lnmp {

        .host = "172.17.0.5";

        .port = "80";#

}

sub vcl_recv { #在recv 字段添加规则,将以php结尾请求的报文发送至web服务器,也就是上面我们定义好的后端服务器名称

        if(req.url ~ "(?i)\.php$") {

                set req.backend_hint = web; #设置backend_hint(后端服务器提示符)为backend名称即为web

        else{

                set req.backend_hint = default;

        }


6、实现varnish对静态资源的缓存

使用容器模拟动态和静态服务器

静态 nginx 172.17.0.2

动态 php+apache 172.17.0.3

docker pull nginx 

docker run --name web1 -d nginx

docker pull php:7.3-rc-apache

docker run --name web2 -d php:7.3-rc-apache #启动容器

docker exec -it web2 /bin/sh #连接容器

cd /var/www/html #进入目录

echo "<?php phpinfo(); ?>" >index.php


vim /etc/varnish/default.vcl #修改配置文件添加后端主机并指定访问缓存规则

backend web {

        .host = "172.17.0.3";

        .port = "80";

}


sub vcl_recv { #在recv 字段添加规则,将以php结尾请求的报文发送至web服务器,也就是上面我们定义好的后端服务器名称

        if(req.url ~ "(?i)\.php$") {

                set req.backend_hint = web; #设置backend_hint(后端服务器提示符)为backend名称即为web

        else{

                set req.backend_hint = default;

        }

vcl.load test3 default.vcl 在命令行中装载此配置文件命名为test3

vcl.use test3 #切换到test3配置



©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,794评论 6 498
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 92,050评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,587评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,861评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,901评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,898评论 1 295
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,832评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,617评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 45,077评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,349评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,483评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,199评论 5 341
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,824评论 3 325
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,442评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,632评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,474评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,393评论 2 352

推荐阅读更多精彩内容