HAProxy چیست؟ آموزش کامل لود بالانسر و پروکسی سرور پرقدرت

با رشد روزافزون ترافیک وب و گسترش خدمات آنلاین، مدیریت بهینه بار سرورها و حفظ دسترسی مداوم اهمیت بالایی پیدا کرده است. یکی از ابزارهای قدرتمندی که در این زمینه به‌کار می‌رود، HAProxy است. این نرم‌افزار به‌عنوان یک لود بالانسر (Load Balancer) و پروکسی سرور (Proxy Server)، نقشی کلیدی در بهبود سرعت، امنیت و پایداری سرویس‌ها ایفا می‌کند.

در این مقاله توضیح خواهیم داد که HAProxy چیست، چگونه کار می‌کند و چه کاربردهایی برای کسب‌وکارهای آنلاین دارد. همچنین به تاریخچه، الگوریتم‌ها و قابلیت‌های امنیتی آن پرداخته و در پایان روش نصب آن روی CentOS را مرور می‌کنیم.

مکانیزم HA یا High Availability چیست؟

High یا Availability HA به توانایی یک سیستم یا سرویس در ارائه خدمات به طور پیوسته و بدون انقطا اشاره دارد. در مواقعی که اعتماد به دسترسی به یک سرویس بسیار اهمیت دارد، از مکانیزم‌های High Availability برای کاهش زمان توقف و افزایش قابلیت اطمینان استفاده می‌شود.

برای دستیابی به High Availability در محیط‌های شبکه و سیستم، از چندین رویکرد و مکانیزم استفاده می‌شود. استفاده از Load Balancers مانند HAProxy برای تقسیم بار بین چندین سرور به منظور جلوگیری از بارگذاری زیاد بر روی یک سرور و افزایش قابلیت اطمینان.

داشتن تکرارپذیری به معنای داشتن نسخه‌های تکراری از سرویس‌ها یا سخت‌افزارها است تا در صورت خرابی یکی از آنها، سرویس بتواند از نسخه دیگری ادامه یابد. ایجاد یک گروه (کلاستر) از سرورها یا سیستم‌ها که هماهنگی خود را در ارائه خدمات به سطح بالا افزایش می‌دهد و در صورت خرابی یک عضو، دیگر اعضا جایگزین می‌شوند.

HAProxy چیست؟

HAProxy یک نرم‌افزار لود بالانسر و پروکسی معکوس است که به‌طور خاص برای توزیع بار ترافیک شبکه طراحی شده است. این نرم‌افزار به کاربران این امکان را می‌دهد که ترافیک ورودی را بین چندین سرور توزیع کنند و در نتیجه عملکرد بهتری را برای برنامه‌های وب و خدمات آنلاین فراهم کنند.

ویژگی‌های اصلی HAProxy:

1. توزیع بار (Load Balancing): HAProxy می‌تواند ترافیک را به‌طور مساوی بین چندین سرور توزیع کند، که به افزایش کارایی و کاهش زمان بارگذاری صفحات کمک می‌کند.
2. پشتیبانی از پروتکل‌های مختلف: HAProxy از پروتکل‌های HTTP، HTTPS و TCP پشتیبانی می‌کند، که این امکان را می‌دهد تا در محیط‌های مختلفی از آن استفاده شود.
3. پایداری و مقیاس‌پذیری: این نرم‌افزار به‌خوبی می‌تواند با افزایش ترافیک کنار بیاید و به راحتی مقیاس‌پذیر است.
4. قابلیت مانیتورینگ و گزارش‌گیری: HAProxy ابزارهای مفیدی برای مانیتور کردن ترافیک و عملکرد سرورها ارائه می‌دهد.
5. پشتیبانی از SSL: HAProxy می‌تواند SSL termination را انجام دهد، به این معنی که می‌تواند اتصالات HTTPS را مدیریت کند و بار پردازش رمزنگاری را از سرورهای پشت آن کم کند.

کاربردهای HAProxy:

• وب‌سایت‌ها و برنامه‌های وب: برای توزیع بار ترافیک بین سرورهای مختلف و بهبود عملکرد.
• سرورهای پایگاه داده: برای توزیع درخواست‌های پایگاه داده و بهینه‌سازی عملکرد.
• سیستم‌های بزرگ: در محیط‌های ابری و سیستم‌های مقیاس بزرگ برای مدیریت ترافیک و مقیاس‌پذیری.

HAProxy به‌عنوان یکی از محبوب‌ترین و قابل اعتمادترین لود بالانسرها شناخته می‌شود و در بسیاری از سازمان‌ها و شرکت‌ها برای بهبود عملکرد خدمات آنلاین مورد استفاده قرار می‌گیرد.

تاریخچه HAProxy

HAProxy اولین بار در سال ۲۰۰۰ توسط Willy Tarreau معرفی شد و به سرعت توجه توسعه‌دهندگان و سازمان‌ها را جلب کرد. دلیل اصلی این محبوبیت، عملکرد بالا و پشتیبانی از پروتکل‌های متنوعی مانند HTTP، TCP و SSL بود.

با گذشت زمان، این نرم‌افزار به‌طور مداوم توسعه یافت و امکانات جدیدی مانند مانیتورینگ، پشتیبانی از معماری میکروسرویس و الگوریتم‌های پیشرفته توازن بار به آن اضافه شد. امروز HAProxy یکی از پرکاربردترین لود بالانسرها در صنعت فناوری است.

اصطلاحات HAProxy

Access Control List .1

Access Control List یا ACL، یک مکانیزم در HAProxy است که به شما این امکان را می‌دهد تا با استفاده از شرایط و قوانین، کنترل دسترسی به منابع و سرویس‌های مختلف را تعیین کنید. ACL به وسیله‌ی عبارات منطقی و شرایط پیچیده می‌تواند تصمیم‌گیری در مورد مسیردهی ترافیک و مدیریت درخواست‌ها را تحت کنترل قرار دهد.

مثال:

acl is_static path_end -i .jpg .jpeg .png .gif

acl is_dynamic path_end -i .php .cgi .asp

use_backend static_servers if is_static

use_backend dynamic_servers if is_dynamic

در این مثال، دو ACL به نام‌های `is_static` و `is_dynamic` تعریف شده‌اند. اولیه بر اساس پسوند فایل تشخیص می‌دهد که آیا درخواست به منابع استاتیک یا دینامیک اشاره دارد. سپس از این ACL‌ها برای انتخاب backend مناسب بر اساس نوع درخواست استفاده می‌شود.

Backend .2

Backend در HAProxy یک گروه از سرورها یا منابع است که برای پاسخ به درخواست‌های کاربران استفاده می‌شود. این مفهوم به ما این امکان را می‌دهد که یک گروه از سرورها را به عنوان یک واحد مدیریت و به اشتراک گذاری بار تعریف کنیم. Backend مسئولیت انجام عملیات واقعی پروکسی و توزیع بار را دارد.

مثال:

backend static_servers

balance roundrobin

server server1 192.168.1.101:80 check

server server2 192.168.1.102:80 check

در این مثال، یک backend به نام `static_servers` تعریف شده است که برای پاسخ به درخواست‌های منابع استاتیک مسئول است. این backend دو سرور با IPهای ۱۹۲.۱۶۸.۱.۱۰۱ و ۱۹۲.۱۶۸.۱.۱۰۲ را شناسایی کرده و از الگوریتم توازن بار roundrobin برای توزیع درخواست‌ها به آن‌ها استفاده می‌کند.

Frontend .3

Frontend در HAProxy بخشی از تنظیمات است که درگیری با ترافیک ورودی به سرور را اداره می‌کند. این مفهوم معمولاً به مسئولیت‌هایی اشاره دارد که مرتبط با مسیردهی و پیکربندی درخواست‌های کاربران به Backendها می‌شود.

مثال:

frontend http_front

bind *:80

acl is_static path_end -i .jpg .jpeg .png .gif

acl is_dynamic path_end -i .php .cgi .asp

use_backend static_servers if is_static

use_backend dynamic_servers if is_dynamic

در این مثال، یک frontend به نام `http_front` تعریف شده است که به پورت ۸۰ بایند شده و از دو ACL برای تشخیص نوع درخواست (استاتیک یا دینامیک) استفاده می‌کند. بر اساس نتیجه این تشخیص، به backend مناسب ارجاع می‌دهد.

Load Balancing چیست؟ انواع لود بلنسینگ کدامند؟

Load Balancing به معنای توزیع مناسب ترافیک وارد شده بین چندین سرور یا منبع است. این فرآیند به بهبود عملکرد سیستم، افزایش دسترسی و قابلیت اطمینان، و تعادل بار بر روی سرورها کمک می‌کند. در محیط‌های با تعداد کاربران بالا یا سرورهای متعدد، Load Balancer می‌تواند بهبود قابل توجهی در کارایی و پایداری سیستم ایجاد کند. اگر سایت شما بازدیدکننده زیادی دارد، پیشنهاد می‌کنیم خرید هاست پربازدید وب‌رمز را برای استفاده پیشنهاد می‌دهیم.

در ادامه به انواع این فناوری اشاره خواهد شد:

بدون لود بلنسینگ

• همه درخواست‌ها به یک سرور ارسال می‌شوند.
• این روش نقض اصل توازن بار است و ممکن است به اضعاف یک سرور و ضعیف کردن دسترسی سیستم منجر شود.
• معمولاً در محیط‌های کم ترافیک و بدون نیاز به پردازش توزیع شده استفاده می‌شود.

لایه ۴

• تصمیم‌گیری بر اساس اطلاعات لایه ۴ (آدرس IP و پورت).
• این نوع توازن بار مناسب برای مواردی است که نیاز به توازن بار بر روی اتصالات شبکه از جمله TCP یا UDP دارند.
• Load Balancer در اینجا به عنوان یک Switch اطلاعات شبکه عمل می‌کند و بهترین سرور برای هر اتصال را انتخاب می‌کند.

لایه ۷

• تصمیم‌گیری بر اساس اطلاعات لایه ۷ مانند URL یا سربرگ‌های HTTP.
• این نوع توازن بار معمولاً در محیط‌های وب برای توازن بار برروی درخواست‌های HTTP/HTTPS استفاده می‌شود.
• Load Balancer در اینجا توانایی دارد ترافیک را بر اساس نوع محتوا یا درخواست‌های خاص به سرورهای مختلف ارسال کند. این روش بهینه برای برنامه‌ها و سرویس‌های وب با پروتکل‌های بیشتر است.

الگوریتم‌های HAProxy

۱- الگوریتم Roundrobin

الگوریتم Roundrobin در HAProxy به صورت یک دور پیمایشی از خرید سرور عمل می‌کند و به ترتیب هر درخواست را به یکی از سرورها ارسال می‌کند. این الگوریتم ساده و عادلانه است و هر سرور به ترتیب یک درخواست را دریافت می‌کند.

در این مثال، تنظیمات یک backend به نام `my_servers` با الگوریتم Roundrobin نشان داده شده است. هر درخواست به یکی از سه سرور با IPهای ۱۹۲.۱۶۸.۱.۱۰۱ تا ۱۹۲.۱۶۸.۱.۱۰۳ ارسال می‌شود.

۲- الگوریتم leastconn

الگوریتم leastconn در HAProxy به سرور با کمترین تعداد اتصال فعال ارسال درخواست می‌کند. این الگوریتم به این صورت عمل می‌کند که درخواست جدید به سروری ارسال می‌شود که تاکنون کمترین تعداد اتصال فعال را داشته باشد.

در این مثال، تنظیمات یک backend با الگوریتم leastconn نشان داده شده است. هر درخواست به سرور با کمترین تعداد اتصال ارسال می‌شود.

۳- الگوریتم Source

الگوریتم Source به ترتیب آدرس‌های IP مشتریان به سرورها درخواست می‌فرستد. این به معنای این است که یک مشتری خاص همیشه به یک سرور خاص ارجاع می‌شود، که می‌تواند مناسب برای حالت‌هایی با حساسیت به وضعیت نشر باشد.

در این مثال، تنظیمات یک backend با الگوریتم Source نشان داده شده است. هر مشتری به یکی از سه سرور ارجاع می‌شود بر اساس آدرس IP مشتری.

HAProxy از چه پروتکل‌هایی پشتیبانی می‌کند؟

HAProxy از پروتکل‌های مختلفی برای مدیریت ترافیک و توزیع بار پشتیبانی می‌کند، از جمله HTTP، TCP، UDP، و SSL/TLS.

HTTP Authenticator

HAProxy می‌تواند با استفاده از Access Control Lists و HTTP Headers به عنوان یک HTTP Authenticator عمل کند. این قابلیت به مدیران اجازه می‌دهد که بر اساس اطلاعات مشخص در درخواست‌ها، دسترسی به سرویس‌ها را کنترل کنند.

# تعریف یک ACL برای بررسی احراز هویت

acl valid_user hdr_sub(User-Agent) -i ValidUserAgent

use_backend secure_backend if valid_user

Multithreading

HAProxy از چند رشته (Multithreading) برای اجرای همزمان و پردازش بهتر ترافیک پشتیبانی می‌کند. این قابلیت از نسخه‌های جدید HAProxy بهره‌مند است و بهبود عملکرد در مواجه با بار زیاد را فراهم می‌کند.

Load Balancing لایه 4 و لایه 7

HAProxy قادر به اعمال توازن بار بر روی لایه 4 (TCP) و لایه 7 (HTTP/HTTPS) می‌باشد. برای توازن بار لایه 4 از متغیرهای مانند IP و پورت استفاده می‌کند، در حالی که در توازن بار لایه 7 از اطلاعات مانند URL یا سربرگ‌های HTTP نیز بهره می‌برد.

توازن بار بر روی لایه 4 (TCP)

backend tcp_servers

balance roundrobin

mode tcp

server server1 192.168.1.101:8080 check

server server2 192.168.1.102:8080 check

توازن بار بر روی لایه 7 (HTTP)

backend http_servers

balance roundrobin

mode http

server server1 192.168.1.101:80 check

server server2 192.168.1.102:80 check

قابلیت‌های HAProxy

Transparent Proxy .1

HAProxy قابلیت اجرای به عنوان یک Transparent Proxy را دارد که به معنای این است که نه تنها به عنوان یک نقطه میانی برای توزیع بار عمل می‌کند، بلکه همچنین می‌تواند بدون اینکه مشتریان از وجود آن آگاه باشند، ترافیک را به سرورها ارسال کند. این قابلیت از طریق تنظیماتی در سطح شبکه و تنظیمات iptables یا firewalld امکان‌پذیر است.

Content Inspections .2

HAProxy قابلیت Content Inspection یا بازرسی محتوا را نیز دارد. این به معنای این است که می‌تواند درخواست‌ها و پاسخ‌ها را بر اساس محتوای آن‌ها بررسی کند و بر اساس شرایط مشخص، تصمیم‌گیری نماید. این قابلیت از طریق ACL‌ها و اصطلاحات منطقی در HAProxy قابل پیاده‌سازی است.

CLI For Server Management .3

HAProxy دارای یک رابط خط فرمان (Command-Line Interface یا CLI) برای مدیریت سرورها و تنظیمات است. این ابزار می‌تواند از طریق خط فرمان یا اسکریپت‌ها به شما این امکان را بدهد که سرورها را مدیریت کنید، تنظیمات را تغییر دهید و وضعیت HAProxy را بررسی کنید.

این دستورات نمونه می‌باشند و ممکن است بسته به تنظیمات سیستم و HAProxy تغییر کنند. CLI برای ایجاد اسکریپت‌ها یا اتصال از راه دور به مدیران این امکان را می‌دهد تا به راحتی مدیریت و کنترل نمایند.

امنیت HAProxy

HAProxy یک Reverse Proxy است که به عنوان یک نقطه واسط بین مشتریان و سرورها عمل می‌کند و برای توزیع بار، حفاظت از سرورها، و مدیریت ترافیک استفاده می‌شود. امنیت HAProxy در چندین سطح مختلف انجام می‌شود. برای افزایش امنیت سرور وب‌سایت خود می‌توانید از خدمات مدیریت سرور وب‌رمز بهره ببرید.

در ادامه، جنبه‌های امنیتی مهم HAProxy را مورد بررسی قرار می‌دهیم:

1. SSL/TLS Encryption

– HAProxy قابلیت پشتیبانی از SSL/TLS را دارد که اطلاعات ارسالی بین مشتریان و سرورها را رمزگذاری می‌کند. برای خرید ssl ارزان خدمات صدور گواهی اس اس ال وب‌رمز بهترین انتخاب است.

– این امکان به مدیران اجازه می‌دهد تا برای ارتقاء امنیت اطلاعات حساس مانند اطلاعات ورود یا اطلاعات مالی، از اتصال امن استفاده کنند.

2. Access Control Lists

– HAProxy از ACL‌ها برای تعیین و کنترل دسترسی به منابع مختلف استفاده می‌کند.

– این ACL‌ها می‌توانند بر اساس ویژگی‌های مانند IP آدرس، هدرهای HTTP، یا سایر مشخصه‌های درخواست تعریف شوند و به مدیران این امکان را بدهند تا دسترسی به سرویس‌ها را محدود یا کنترل کنند.

3. Protection Against DDoS Attacks

– HAProxy می‌تواند مقاومت در برابر حملات DDoS (توزیع شده از خدمات) را فراهم کند.

– این امکان از طریق تنظیمات Rate Limiting، تعداد اتصالات مجاز برای یک IP خاص، یا اعمال محدودیت‌های دیگر که از حملات DDoS محافظت کنند، ارائه می‌شود.

آزمایش سلامت سرورها در HAProxy

آزمایش سلامت سرورها (Health Checks) در HAProxy اجازه می‌دهد تا HAProxy به صورت دوره‌ای و خودکار وضعیت سلامت سرورها را بررسی کرده و در صورت نیاز ترافیک را از سرورهای نامناسب جلوگیری کند. برای انجام این کار، می‌توانید از یک Health Check به عنوان یک فرآیند پس‌زمینه استفاده کنید که به‌صورت دوره‌ای وضعیت سرورها را بررسی کرده و تصمیم بگیرد که آیا یک سرور قابل استفاده است یا خیر. لازم به ذکر است که هنگام خرید ‌وب‌سرور از وب سرور nginx غافل نشوید.

در HAProxy، می‌توانید از دستور `option httpchk` یا `option tcp-check` برای تعیین نحوه انجام Health Check استفاده کنید. همچنین، می‌توانید `http-check expect` را برای تعیین یک مقدار انتظار برای Health Check استفاده کنید. مشخص می‌کند که ما انتظار داریم که یک پاسخ با کد وضعیت ۲۰۰ دریافت کنیم.

منظور از Sticky Sessions و Health Check چیست؟

Health Check چیست؟

Health Check به معنای بررسی دوره‌ای و خودکار وضعیت سلامت سرورها توسط یک لایه توزیع‌کننده ترافیک می‌باشد. این فرآیند اغلب شامل ارسال درخواست‌های کوچک به سرورها و بررسی پاسخ‌ها برای اطمینان از اینکه سرورها قابل دسترسی هستند و در وضعیت سلامت قرار دارند.

Health Check به مدیران سیستم این امکان را می‌دهد تا به طور خودکار سرورهای نامناسب را از توزیع ترافیک خارج کنند و ترافیک را به سرورهای سالم هدایت کنند.

Health Check از معیارهای مختلفی مانند پینگ، ارسال درخواست HTTP، یا بررسی درستی اطلاعات در دیتابیس می‌تواند استفاده کند.

Sticky Sessions چیست؟

Sticky Sessions (یا Session Affinity) یک مفهوم در محیط‌های توزیع بار است که به معنای ارتباط یکتا بین یک مشتری (معمولاً با استفاده از یک Session ID) و یک سرور است. به این ترتیب، هر مشتری به یک سرور خاص متصل می‌شود و اتصال به سرورها به صورت ثابت باقی می‌ماند، حتی در طول چند درخواست مختلف.

استفاده از Sticky Sessions می‌تواند مفید باشد زمانی که برنامه‌ها یا سرویس‌ها به حالت stateful نیاز دارند و اطلاعاتی در حافظه سرور نگهداری می‌شود که باید به صورت مداوم به یک سرور خاص تخصیص داده شود. این موضوع معمولاً در برنامه‌های وب با حالت لاگین و اطلاعات جلسه (session) مورد استفاده قرار می‌گیرد.

برای فعال‌سازی Sticky Sessions در HAProxy، معمولاً از تنظیمات مانند balance source یا appsession در فایل تنظیمات HAProxy استفاده می‌شود.

نحوه نصب نرم‌افزار HAProxy روی centos

نصب HAProxy روی سیستم‌عامل CentOS یک فرآیند نسبتاً ساده است. برای اجرای پایدار این سرویس بهتر است از خرید سرور مجازی وب ‌رمز استفاده کنید.

در ادامه، مراحل نصب HAProxy بر روی CentOS را برای شما شرح می‌دهم. این راهنما برای نسخه‌های CentOS 7 و 8 مناسب است.

مراحل نصب HAProxy روی CentOS:

1. به‌روزرسانی بسته‌ها: ابتدا باید اطمینان حاصل کنید که همه بسته‌های نصب شده به‌روز هستند. از دستور زیر استفاده کنید:

   sudo yum update -y
   

2. نصب HAProxy: برای نصب HAProxy از دستور زیر استفاده کنید:

   sudo yum install haproxy -y
   

3. تنظیم HAProxy: بعد از نصب، باید فایل پیکربندی HAProxy را ویرایش کنید. فایل پیکربندی معمولاً در مسیر /etc/haproxy/haproxy.cfg قرار دارد. می‌توانید با ویرایشگر متنی مانند nano یا vi این فایل را ویرایش کنید:

   sudo vi /etc/haproxy/haproxy.cfg
   

   در این فایل، می‌توانید تنظیمات مربوط به لود بالانسر را اضافه کنید. به عنوان مثال، می‌توانید بخش‌های frontend و backend را پیکربندی کنید.

4. فعال کردن HAProxy: برای فعال کردن HAProxy و اطمینان از اینکه این سرویس با راه‌اندازی سیستم شروع به کار کند، از دستورات زیر استفاده کنید:

   sudo systemctl start haproxy
   sudo systemctl enable haproxy
   

5. بررسی وضعیت HAProxy: برای اطمینان از اینکه HAProxy به درستی نصب و فعال شده است، می‌توانید از دستور زیر استفاده کنید:

   sudo systemctl status haproxy
   

6. تنظیمات فایروال: اگر فایروال فعال است، باید پورت‌های مورد نیاز HAProxy (معمولاً پورت 80 برای HTTP و 443 برای HTTPS) را باز کنید. برای این کار می‌توانید از دستورات زیر استفاده کنید:

   sudo firewall-cmd --permanent --add-port=80/tcp
   sudo firewall-cmd --permanent --add-port=443/tcp
   sudo firewall-cmd --reload
   

تست HAProxy:

پس از نصب و پیکربندی HAProxy، می‌توانید آن را با استفاده از مرورگر وب یا ابزارهایی مانند curl تست کنید. به آدرس IP سرور خود مراجعه کنید تا ببینید آیا HAProxy به درستی کار می‌کند یا خیر.

این مراحل به شما کمک می‌کند تا HAProxy را بر روی CentOS نصب و پیکربندی کنید. اگر سوال یا مشکلی داشتید، خوشحال می‌شوم که کمک کنم.

نتیجه‌گیری

HAProxy یک ابزار متن‌باز و بسیار قدرتمند برای مدیریت ترافیک و افزایش دسترس‌پذیری سرویس‌های وب است. از توزیع بار بین سرورها گرفته تا مقاومت در برابر حملات DDoS، این نرم‌افزار امکانات متنوعی در اختیار مدیران شبکه و توسعه‌دهندگان قرار می‌دهد.

اگر به دنبال ارتقای امنیت، پایداری و سرعت وب‌سایت خود هستید، پیاده‌سازی HAProxy می‌تواند راهکاری مطمئن باشد. شرکت‌هایی مانند وب‌رمز با ارائه خدمات حرفه‌ای سرور و هاست، زیرساخت لازم برای استفاده بهینه از این ابزار را فراهم می‌کنند.