45_02http反向代理及haproxy

配置实例: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
#Global settings 
# 
global 
    log         127.0.0.1 local2 
    chroot         /var/lib/haproxy 
    pidfile        /var/run/haproxy.pid 
    maxconn    4000 
    user        haproxy 
    group        haproxy 
    spread-check 3 
    nbproc 1 
    daemon 
 
defaults 
    mode             http 
    log            global 
    option            httplog 
    option            httpclose 
    option            dontlognull 
    option    http-server-close 
    option     forwardfor     except 127.0.0.0/8 
    option            redispatch 
    retries             3 
    timeout http-request    10s 
    timeout queue        1m 
    timeout connect    10s 
    timeout client        1m 
    timeout server      1m 
    timeout http-keep-alive 10s 
    timeout check         10s 
    maxconn        3000 
 
listen stats 
    mode     http 
    bind    0.0.0.0:1080 
    stats    enable 
    stats     hide-version 
    stats     uri    /haproxyadmin?stats 
    stats     realm    Haproxy\ Statistics 
    stats     auth     admin:admin    这个要修改 
    stats     admin       if     TRUE 
 
frontend    http-in 
    bind     *:80 
    mode     http 
    log     global 
    option    httpclose 
    option     logasap 
    option     dontlognull 
    capture        request     header     Host     len     20 
    capture     request     header    Referer len     60 
    default_backend     servers 
 
frontend     healthcheck 
    bind    :1099 
    mode     http 
    option    httpclose 
    option     forwardfor 
    default_backend     servers 
 
backend     servers 
    balance     roundrobin 
    server     websrv1     192.168.10.11:80     check     maxconn     2000 
    server     websrv2     192.168.10.12:80    check     maxconn    2000

规划 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
director: 
eth0: 172.16.100.107 
eth0: 192.168.10.7 
 
realserver:         route: 
192.168.10.11        192.168.10.7 
192.168.10.12        192.168.10.7 
 
director: 
    #yum  -y install haproxy 
    #cp /etc/haproxy/haproxy.conf /root/ 
    #vim /etc/sysconfig/rsyslog 
    改为: 
    SYSLOGD_OPTIONS="-c 2 -r" 
    #vim /etc/haproxy/haproxy.conf 
    添加 local2.*     /var/log/haproxy.log 
    #service haproxy start            先确保日志是否正确,然后再更改配置文件 
  
#service haproxy restart 
 
访问172.16.100.107 
 
访问状态: 
172.16.100.107:1080/haproxyadmin?stats 
用户,密码:admin admin 
 
当一台服务器停止了,会有显示的 
 
 
关于对mysql实现负载均衡: 
 
listen ..... 
 
frontend mysql 
    bind *:3306 
    mode tcp 
    log global 
    default_backend mysqlservers 
 
backend mysqlservers 
    balance leastconn 
    server dbsrv1  192.168.10.11:3306 check port 3306 intval 2 rise 1 fall 2   maxconn   300 
    server dbsrv2  192.168.10.12:3306 check port 3306 intval 2 rise 1 fall 2   maxconn   300

实验:
Keepalived + haproxy
Keepalived + nginx

这个地方只是最简单的,可自行参考《构建高可用Linux服务器》

展开全文 >>

45_01http反向代理及haproxy

  1. HAProxy是工作在网络7层之上。
  2. 能够补充Nginx的一些缺点比如Session的保持,Cookie的引导等工作
  3. 支持url检测后端的服务器出问题的检测会有很好的帮助。
  4. 更多的负载均衡策略比如:动态加权轮循(Dynamic Round Robin),加权源地址哈希(Weighted Source Hash),加权URL哈希和加权参数哈希(Weighted Parameter Hash)已经实现
  5. 单纯从效率上来讲HAProxy更会比Nginx有更出色的负载均衡速度。
  6. HAProxy可以对Mysql进行负载均衡,对后端的DB节点进行检测和负载均衡。

如果做负载均衡,建议使用haproxy;;
由于haproxy是单进程的程序,在处理高并发的时候会做的很好,当然由于单进程,在多CPU的场景中,就要对haproxy进行调整,以便能够有效利用多CPU;

配置HAProxy

  1. 配置文件格式

HAProxy的配置处理3类主要参数来源:

  • 最优先处理的命令行参数;
  • “global”配置段,用于设定全局配置参数;
  • proxy相关配置段,如”defaults”、”listen”、”frontend”和”backend”;
  1. 时间格式

一些包含了值的参数表示时间,如超时时长,这些值一般以毫秒为单位,但也可以使用其他的时间单位后缀。

  • us:微秒,即1/1000000秒;
  • ms:毫秒,即1/1000秒;
  • s:秒
  • m:分钟
  • h:小时
  • d:天
  1. 例子

下面的例子配置了一个监听在所有接口的80端口上HTTP proxy服务,它转发所有的请求至后端监听在127.0.0.1:8000上的”server”.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
global
    daemon
    maxconn 25600

defaults
    mode http
    timeout connect 5000ms
    timeout client     50000ms
    timeout server    50000ms

frontend http-in
    bind *:80
    default_backend servers

backend servers
    server server1 127.0.0.1:8080 maxconn 32
  1. 全局配置

“global”配置中的参数为进程级别的参数,且通常与其运行的OS相关;

*进程管理及安全相关的参数

  • chroot :修改haproxy的工作目录至指定的目录并在放弃权限之前执行chroot()
    操作,可以提升haproxy的安全级别,不过需要注意的是要确保指定的目录为空目录且任何用户均不能有写权限;
  • daemon:让haproxy以守护进程的方式工作于后台,其等同于”-D”选项的功能,当然,也可以在命令行中以”-db”选项将其禁用;
  • gid:以指定的GID运行haproxy,建议使用专用于运行haproxy的GID,以免因权限问题带来风险;
  • group :同gid,不过指定的组名;
  • log
    [max level][min level]]:定义全局的syslog服务器,最多可以定义两个
  • log-send-hostname[]:在syslog信息的首部添加当前主机名,可以为”string”指定的名称,也可以缺省使用当前主机名;
  • nbproc:指定启动的haproxy进程个数,只能用于守护进程模式的haproxy,默认只启动一个进程,鉴于调试困难等多方面的原因,一般只在单进程仅能打开少数文件描述符的场景中才使用多进程模式;
  • pidfile;
  • uid:以指定的UID身份运行haproxy进程

  • ulimit-n : 设定每进程所能够打开的最大文件描述符数目,默认情况下其会自动进行计算,因此不推荐修改此选项;
  • user:同uid,但使用的是用户名;
  • stats:
  • node:定义当前节点的名称,用户HA场景中多haproxy进程共享同一个IP地址时;
  • description:当前实例的描述信息;

*性能调整相关的参数

  • maxconn :设定每个haproxy进程所接收的最大并发连接数,其等同于命令行选项”-n”;”ulimit -n”自动计算的结果正是参照此参数设定的;
  • maxpipes :haproxy使用pipe完成基于内核的tcp报文重组,此选项则用于设定每进程所允许使用的pipe个数,每个pipe会打开两个文件描述符,因此,”ulimit -n”自动计算时会根据需要调大此值,默认为maxconn/4,其通常会显得过大;
  • noepoll:在Linux系统上禁用epoll机制;
  • nokqueue:在BSD系统上禁用kqueue机制;
  • nopoll:禁用poll机制;
  • nosepoll:禁用poll机制;
  • nosplice:禁止在Linux套接字上使用内核tcp重组,这回导致更多的recv/send系统调用,不过,在Linux 2.6.25-28系列的内核上,tcp重组功能有bug存在;
  • spread-checks <0..50,in percent>:在haproxy后端有着众多服务器的场景中,在精确的时间间隔后统一对众服务器进行健康状况检查可能会带来意外问题:此选项用于将其检查的时间间隔长度上增加或减小一定的随机时长;
  • tune,bufsize :设定buffer的大小,同样的内存条件下,较小的值可以让haproxy有能力接收更多的并发连接,较大的值可以让某些应用程序使用较大的cookie信息:默认是16384,其可以在编译时修改,不过强烈建议使用默认值;
  • tune.chksize :设定检查缓冲区的大小,单位为字节,更大的值有助于在较大的页面中完成基于字符串或模式的文本查找,但也会占用更多的系统资源,不建议修改;
  • tune.maxaccept :设定haproxy进程内核调度运行时一次性可以接收的连接的个数,较大的值可以带来较大的吞吐率,默认在单进程模式下为100,多进程模式下为8,设定为-1可以禁止此限制;一般不建议修改;
  • tune.maxrewrite :设定为首部重写或追加而预留的缓冲空间,建议使用1024左右的大小,在需要使用更大的空间时,haproxy会自动增加其值;
  • tune.rcvbuf.server :设定内核套接字中服务端或客户端接收缓冲的大小,单位为字节,强烈建议使用默认值;
  • Debug相关的参数
  • debug
  • quiet
  1. 代理

代理相关的配置可以如下配置段中。

  • defaults
  • frontend
  • backend
  • listen

“defaults”段用于为所有其他配置段提供默认参数,这配置默认参数可由下一个”defaults”所重新设定;
“frontend”段可用于定义一系列监听的套接字,这些套接字可接收客户端请 求并与之建立连接;
“backend”段用于定义一系列”后端”服务器,代理将会将对应客户端的请求转发至这些服务器
“listen”段通过关联”前端”和”后端”定义一个完整的代理,通常只对TCP流量有用;
所有代理的名称只能使用大写字母,小写字母,数字,中线,下划线,点号,冒号,此外,ACL名称会区分字母大小写;

  

配置文件中的关键字参考

  1. balance

balance []
balance url_param [check_post[max_wait]]

定义负载均衡算法,可用于”defaults”、”listen”和”backend”。
用于在负载均衡场景中挑选一个server,其仅应用于持久信息不可用的条件下或需要将一个连接重新派发至另一个服务器时,支持的算法有:

  • roundrobin:基于权重进行轮叫,在服务器的处理时间保持均匀分布时,这是最平衡,公平的算法,此算法是动态的,这表示其权重可以在运行时进行调整,不过,在设计上,每个后端服务器仅能最多接收4128的个连接;
  • static-rr:基于权重进行轮叫,与roundrobin类似,但是为静态方法,在运行时调整其服务器权重不会生效,不顾,在后端服务器连接数上没有限制;
  • leastconn:新的连接请求被派发至具有最少连接数目的后端服务器,在有着较长时间会话的场景中推荐使用此算法,如LDAP,SQL等,其并不太适用于较短会话的应用层协议,如HTTP;此算法是动态的,可以在运行时调整其权重;
  • source:将请求的源地址进行hash运算,并由后端服务器的权重总和相除后派发至某匹配的服务器,这可以使得同一个客户端IP的请求始终被派发至某特定的服务器,不过,当服务器权重总数发生变化时,如某服务器宕机或添加了新的服务器,许多客户端的请求可能会被派发至此前请求不同的服务器:常用于负载均衡无cookie功能的基于TCP的协议,默认为静态,不过也可以使用hash-type修改此特性;
  • uri:对URI的左半部分(“问题”标记之前的部分)或整个URI进行hash计算,并有服务器的总权重相除后派发至某匹配的服务器,这可以使得对同一个URI的请求总是被派发至某特定的服务器,除非服务器的权重总数发生了变化,此算法常用于代理缓存或反病毒代理以提高缓存的命中率,需要注意的是,此算法仅应用于hTTP后端服务器的场景,其默认为静态算法,不过也可以使用hash-type修改此特性;
  • url_param:通过为指定的参数在每个HTTPGET请求中将会被检索,如果找到了指定的参数且其通过等于号”=”被赋予了一个值,那么此值被执行hash运算并被服务器的总权重相除后派发至某匹配的服务器,此算法可以通过追踪请求中的用户标识进而确保同一个用户ID的请求将被送往同一个特定的服务器,除非服务器的总权重发生了变化,如果某请求中没有出现制定的参数或没有有效值,则使用轮叫算法对响应请求进行调度:此算法默认是静态的,不过其也可以使用hash-type修改此特性;
  • hdr():对于每个HTTP请求,通过指定的HTTP首部将会被检索,如果相应的首部没有出现或其没有有效值,则使用轮叫算法对响应请求进行调度,其有一个可选选项”use_domain_only”,可在制定检索类似host类的首部时仅计算域名部分(比如通过www.test.com来说,仅计算test字符串的hash值)以降低hash算法的运算量,此算法默认为静态的,不过其也可以使用hash-type修改此特性;
  • rdp-cookie
  • rdp-cookie(name)
  1. bind
    bind [
    ]:[,…] interface
    此指令仅能用于fronend和listen区段,用于定义一个或几个监听的套接字;

 

  • :可选选项,其可以为主机名、IPv4、ipv6地址或*,省略此选项,将其指定为*或0.0.0.0时,将监听当前系统的所有IPv4地址;
  • :可以是一个特定的TCP端口,也可是一个端口范围(如5005-5010),代理服务器将通过指定的端口来接收客户端请求,需要注意的是,每组监听的套接字address:port在同一个实例上只能使用一次,而且小于1024的端口需要有特定权限的用户才能使用,这可能需要通过uid参数来定义;
  • :制定物理接口的名称,仅能在Linux系统上使用,其不能使用接口别名,而仅能物理接口名称,而且只能管理有权限指定绑定的物理接口;
  1. mode
    mode {tcp|http|health}
    设定实例的运行模式或协议,当实现内容交换时,前端和后端必须工作于同一种模式(一般说都是http模式),否则将无法启动实例;
  • tcp:实例运行于纯TCP模式,在客户端和服务器端之间建立一个全双工的连接,且不会对7层报文做任何类型的检查,此为默认模式,通常用于SSL,SSH,SMTP等应用;
  • http:实例运行于HTTP模式,客户端请求在转发至后端服务器之前将被深度分析,所有不与RFC格式兼容的请求都被拒绝;
  • health:实例工作于health模式,其对入站请求仅响应”OK”信息并关闭连接,且不会记录任何日志信息,此模式将用于响应外部组件的健康状态检查请求,目前来讲,此模式已经废弃,因为tcp或http模式中的monitor关键字可完成类似功能;
  1. hash-type

hash-type

定义用于将hash码映射至后端服务器的方法,其不恩能够用于frontend区段,可用方法有map-based和consistent,在大多数场景下推荐使用默认的map-based方法;

  • map-based:hash表是一个包含了所有在线服务器的静态数组,其hash值将会非常平滑,会将权重考虑在列,但其为静态方法,对在线服务器的权重进行调整并不会生效,这意味着其部支持慢速启动,此外,挑选服务器是根据是根据其在数组中的位置进行的,因此,当一台服务器宕机或添加了一台服务器时,大多数连接将会被重新派发至一个此前不同的服务器上,对于缓存服务器的工作场景来说,此方法不甚适用;
  • consistent:hash表是一个由各服务器填充而成的树状结构,基于hash键在hash树中查找相应的服务器时,最近的服务器将被选中,此方法是动态的,支持在运行时修改服务器权重,因此兼容慢速启动的特性,添加一个新的服务器时,仅会对一小部分请求产生影响,因此,尤其适用于后端服务器为cache的场景,不过此算法平滑,派发至各服务器的请求未必达到理想的均衡效果,因此,可能需要不时的调整服务器的权重以获得更好的均衡性;
  1. log

    log global
    log

    [[]]
    为每个实例启用时间和流量日志,因此可用于用于区段,每个实例最多可以指定两个log参数,不过,如果使用了”log global”且”global”段已经定义了两个log参数时,多余了log参数将被忽略;

  • global:的拿钱实例的日志系统参数同”global”端中的定义时,将使用此格式:每个实例仅能定义一次”log global”语句,且其没有任何额外参数;
  • :定义日志发往的位置,其格式之一可以为,其中的port为UDP协议端口,默认为514,格式之二为unix套接字文件路径,单需要留心chroot应用及用户的读取权限;
  • :可以为syslog系统的标准facility之一;
  • :定义日志级别,即输出信息过滤器,默认为所有信息,指定级别时,所有等于或高于此级别的日志信息将会被发送;
  1. maxconn

maxconn

设定一个前端的最大并发连接数,因此,其不能用于backend区段,对于大型站点来说,可以尽可能调大此值以便让haproxy管理连接队列,从而避免无法应答用户请求。当然,此最大值不能超出”global”段中的定义。此外,需要留心的是,haproxy会为每个连接维持两个缓冲,每个缓冲的大小为8KB,再加上其他的数据,每个连接将大约占用17KB的RAM空间。这意味着经过适当优化后,有着1GB的可用RAM空间将能维护40000-50000并发连接。

如果为指定了一个过大值,极端情况下,其最终占据的空间将会超出当前主机的可用内存,这可能带来意想不到的结果,因此,将其设定了一个可接受值为明智选择,其默认为2000;

  1. default_backend

default_backend

在没有匹配的”use_backend”规则时为实例指定使用的默认后端,因此,其不可应用于backend区段,在”frontend”和”backend”之间进行内容交换时,通常使用”use_backend”定义其匹配规则,而没有被规则匹配到的请求将有此参数指定的后端接收。

:指定使用的后端的名称:
使用案例:

use_backend dynamic if url_dyn
use_backend static if url_css url_img extension_img
default_backend dynamic

  1. server

server

:port

为后端声明一个server,因此,不能够用于defaults和frontend区段

  • :为此服务器指定的内部名称,其将会出现在日志及警告信息中,如果设定了”http-send-server-name”,它还将被添加至发往此服务器的请求首部中;
  • :此服务器的IPv4地址,也支持使用可解析的主机名,只不过在启动时需要解析主机名至相应的IPv4地址;

服务器或默认服务器参数:

  • backup:设定为备用服务器,仅在负载均衡场景中的其他server均不可用于启用此server;
  • check:启动对此server执行健康状态检查,其可以借助于额外的其他参数完成更精细的设定,如:

    inter :设定健康状态检查的时间间隔,单位为毫秒,默认为2000,也可以使用fastinter和downinter来根据服务器端状态优化此时间延迟;
    rise :设定健康状态检查中,某离线的server从离线状态转至正常状态需要成功检查的次数;
    fall :确认server从正常状态转换为不可用状态需要检查的次数;

  • cookie :为指定server设定cookie值,此处指定的值将在请求入站时被检查,第一次为此值挑选的server将在后续的请求中被选中,其目的在于实现持久连接的功能;
  • maxconn :指定此服务器接受的最大并发连接数,如果发往此服务器的连接数目高于此处指定的值,其将被放置于请求队列,以等待其他连接被释放;
  • maxqueue :设定请求队列的最大长度;
  • observe :用过观察服务器的通信状况来判定其健康状态,默认为禁用,其支持的类型有layer4和layer7,layer7仅能用于http代理场景;
  • redir :启用重定向功能,将发往此服务器的GET和HEAD请求均已302状态码响应,需要注意的是,在prefix后面不能使用/,且不能使用相对地址以免造成循环,例如:

    server srv1 172.16.100.6:80 redir http://www.test.com check

  • weight :权重,默认为1,最大值为256,0表示不参与负载均衡;

检查方法:

option httpchk
option httpchk
opeion httpchk
option httpchk ,不能用于frontend段,例如:

backend https_relay
mode tcp
option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www
server apache1 192.168.1.1:443 check port 80

使用案例;

server first 172.16.100.7:1080 cookie first check inter 1000
server second 172.16.100.8:1080 cookie second check inter 1000

  1. capture request header

capture request header len

捕获并记录指定的请求首部最近一次出现时的第一个值,仅能用于”frontend”和”listen”区段,捕获的首部值使用花括号{}括起来后添加进日志中。如果需要捕获多个首部值,他们将以指定的次序出现在日志文件中,并以竖线”|”作为分隔符。不存在的首部记录为空字符串,最常需要捕获的首部包括在虚拟主机环境中使用的”Host”、上传请求首部中的”Content-length”、快速区别真实用户和网络机器人的”User-agent”,以及代理环境中记录真实请求来源的”X-Forward-For”。

  • :要捕获的首部的名称,此名称不区分字符大小写,但建议与他们出现在首部中的格式相同,比如大写首字母,需要注意的是,记录在日志中的是首部对应的值,而非首部名称。
  • :指定记录首部的个数没有限制,但每个捕获最多只能记录64个字符。为了保证同一个frontend中日志格式的统一性,首部捕获仅能在frontend中定义;
  1. capture response header

capture response header len
捕获并记录响应首部,其格式和药店同请求首部。

  1. stats enable

启用基于程序编译时默认设置的统计报告,不能用于”frontend”区段。只要没有别外的其他设定,他们就会使用如下的配置:

  • stats uri : /haproxyadmin?stats
  • stats realm : “HAProxy Statistics”
  • stats auth : no authentication
  • stats scope : no restriction

尽管”stats enable”一条就能够启用统计报告,但还是建议设定其他所有的参数,以免其依赖于默认设定而带来非期后果,下面是一个配置案例:

1
2
3
4
5
6
7
8
9
backend public_www
    server websrv1 172.16.100.11:80
    stats enable
    stats hide-version
    stats scope
    stats uri       /haproxyadmin?stats
    stats realm Haproxy\ Statistics
    stats auth    statsadmin:password
    stats auth    statsmaster:password
  1. stats hide-version

stats hide-version

启用统计报告并隐藏HAProxy版本报告,不能用于”frontend”区段,默认情况下,统计页面会显示一些游泳信息,包括HAProxy的版本号,然后,向所有人公开HAProxy的精确版本号是非常有风险的,因为他能帮助恶意用户快速定为版本的缺陷和漏洞,尽管”stats hide-version”一条就能够启用统计报告,但还是建议设定其他所有的参数,以免其依赖于默认设定而带来非期后果,具体请参照”stats enable”一节的说明。

  1. stats realm

stats realm

启用统计报告并高精认证领域,不能用于”frontend”区段,haproxy在读取realm时会将其视作一个单词,因此,中间的任何空白字符都必须使用反斜线进行转义,此参数仅在于”stats auth”配置使用时有意义。

:实现HTTP基本认证时显示在浏览器中的领域名称,用于提示用户输入一个用户名和密码。

尽管”stats realm “ 一条就能够启用统计报告,但还是建议设定其他所有的参数,以免其依赖于默认设定而带来非期后果,具体请参照”stats enable”一节的说明。

  1. stats scope

stats scope { | “ . “}

启用统计报告并限定报告的区段,不能用于”frontend”区段,当指定此语句时,统计报告将仅显示其列举出区段的报告信息,所有其他区段的信息将被隐藏。如果需要显示多个区段的统计报告,此语句可以定义多次。需要注意的是,区段名称检测仅仅是以字符串比较的方式进行,他不会真检测指定的区段是否真正存在。

:可以是一个”listen”、”frontend”或”backend”区段的名称,而”.”则表示stats scope语句所定义的当前区段。

尽管”stats scope”一条就能够启用统计报告,但还是建议设定其他所有的参数,以免其依赖于默认设定而带来非其后果。下面是一个配置案例。

1
2
3
4
backend private_monitoring
    stats enable
    stats uri  /haproxyadmin?stats
    stats refresh 10s
  1. stats auth

stats auth :

启用带认证的统计报告功能并授权一个用户账号,其不能用于”frontend”区段。

:授权进行访问的用户名;
:此用户的访问密码,明文格式。

此语句将基于默认设定启用统计报告功能,并仅允许其定义的用户访问,其也可以定义多次以授权多个用户找好,尅结合”stats realm”参数在提示用户认证是给出一个领域说明信息,在使用非法用户访问统计功能时,其将会响应一个”401 Forbidden”页面。其认证方式为HTTP Basic认证,密码传输会以明文方式进行,因此,配置文件中也使用明文方式进行,因此,配置文件中也使用明文方式存储以说明其非保密信息故此不能相同于其他关键性账号的密码。

尽管”stats auth”一条就能够启用统计报告,但还是建议设定其他所有的参数,以免其依赖于默认设定而代理非期后果。

  1. stats admin

stats admin {if | unless}

在指定的条件满足时启用统计报告页面的管理级别功能,它允许通过web接口启用或禁用服务器,不过,基于安全的角度考虑,统计高博爱页面应该尽可能是只读的。此外,如果启用了HAProxy的多进程模式,启用此管理级别将有可能导致异常行为。

目前来说,POST请求方法被限制于金恩能够使用缓冲区域去保留部分之外的空间,因此,服务器列表不能过长,否则,此请求将无法正常工作,因此,建议一次仅调整少数几个服务器,下面是两个案例,第一个限制了仅能在本机打开报告页面时启用管理级别功能,第二个定义了仅允许通过认证的用户使用管理级别功能。

1
2
3
4
5
6
7
8
backend stats_localhost
    stats enable
    stats admin if LOCALHOST

backend stats_auth
    stats enable
    stats auth haproxyadmin:password
    stats admin if TRUE
  1. option httplog

option httplog [clf]
启用记录HTTP请求,会话状态和计时器的功能。

clf:使用CLF格式来代替HAProxy默认的HTTP格式,通常在使用仅支持CLF格式的特定日志分析器时才需要使用此格式。

默认情况下,日志输入格式非常简陋,因为其仅包含源地址、目标地址和实例名称,而”option httplog”参数将会使得日志格式变得丰富许多,其通常包括但不限于HTTP请求、连接计时器、会话状态、连接数、捕获的首部及cookie、”frontend”、”backend”及服务器名称,当然也包括源地址和端口号等。

  1. option logasap

    no option logasap
    启用或禁用提前将HTTP请求记入日志,不能用于”backend”区段。

默认情况下,HTTP请求是在请求结束时金牛星记录一百年能就爱你勾起整体传输时长和字节数记入日志,由此,传较大的对象时,其记入日志的时长可能会略有延迟。”option logasap”参数能够在服务器发送complete首部时及时记录日志,只不过,此时将不记录整体传输时长和字节数。此情形下,捕获”Content-Length”响应首部来记录传输的字节数是一个较好选择。下面是一个例子.

1
2
3
4
5
listen http_proxy 0.0.0.0:80
    mode http
    option httplog
    option logasap
    log 172.16.100.9 local2
  1. option forwardofor

option forwardfor [except ] [header ] [if-none]

允许在发往服务器的请求首部中插入”X-Forwarded-For”首部。

:可选选项,当指定时,源地址为匹配至此网络中的请求都禁用此功能。
:可选参数,可使用一个自定义的首部,如”X-Client”来替代”X-Forwarded-For”,有些独特的web服务器的确需要用于一个独特的首部。
if-none:仅在此首部不存在时才将其添加至请求报文中。

HAProxy工作于反向代理模式,其发往服务器的请求中的客户端IP均为HAProxy主机的地址而非真正客户端的地址,这会使得服务器端的日志信息记录不了真正的请求来源,”X-Forwarded-For”首部则可用于解决此问题,HAProxy可以向每个发往服务器的请求上添加此首部,并以客户端IP为其value。

需要注意的是,HAProxy工作于隧道模式,其仅检查每一个连接的第一个请求,因此,仅第一个请求报文被附加此首部,如果想为每一个请求都附加此首部,请确保同时使用了”option httpclose”、”option forceclose”和”option http-server-close”几个option。

下面是一个例子:

frontend www
mode http
option forwardfor except 127.0.0.1

  1. errorfile

    errorfile

在用户请求不存在的页面时,返回一个页面文件给客户端而非有haproxy生成的错误代码,可用于所有段中;

:指定对HTTP的哪些状态码返回指定的页面,这里可用的状态码有200,400,403,408,500,502,503和504;
:指定用于响应的页面文件:

例如:

errorfile 400 /etc/haproxy/errorpages/400badreq.http
errorfile 403 /etc/haproxy/errorpages/403forbid.http
errorfile 503 /etc/haproxy/errorpages/503sorry.http

  1. errorloc 和 errorloc302

errorloc
errorloc302

请求错误时,返回一个HTTP重定向至某URL的信息,可用于所有配置段中。

:指定对HTTP的哪些状态码返回指定的页面,这里可用的状态码有200、400、403、408、500、502、503和504;

:Location首部中指定的页面位置的具体路径,可以是在当前服务器上的页面的相对路径,也可以使用绝对路径,需要注意的是,如果URI自身错误时产生某特定状态码信息的话,有可能会导致循环定向;

需要留意的是,这两个关键字都会返回302状态码,这将使得客户端使用同样的HTTP方法获取指定的URL,对于非GET的场景中(如POST)来说会产生问题,因为返回客户的URL是不允许使用GET以外的其他方法的。如果的确有这种问题,可以使用errorloc303来返回303状态码给客户端。

  1. errorloc 303

errorloc 303

请求错误时,返回一个HTTP重定向至某URL的信息给客户端:可用于所有配置段中。

:指定对HTTP的那些状态码返回指定的页面,这里可用的状态码有400,403,408,500,502,504;
:Location首部中指定的页面位置的具体路径,可以是在当前服务器上的页面的相对路径,也可以使用绝对路径,需要注意的是,如果URI自身错误时产生某特定状态码信息的话,有可能会导致循环定向;

例如:

1
2
3
4
5
6
backend webserver
    server 172.16.100.6  172.16.100.6:80 check maxconn 3000 cookie srv01
    server 172.16.100. 7 172.16.100.7:80 check maxconn 3000 cookie srv02
    errorloc 403 /etc/haproxy/errorpages/sorry.htm
    errorloc 503 /etc/haproxy/errorpages/sorry.htm

展开全文 >>

44_03_2_实验:memcached安装配置

环境介绍:

192.168.122.14 node2.test.com     memcached服务器
192.168.122.7    nfs.test.com           LNMP环境

编译安装memcached

  1. 编译安装libevent
1
2
3
4
[root@node2 ~]# tar xf libevent-2.0.22-stable.tar.gz 
[root@node2 ~]# cd libevent-2.0.22-stable 
[root@node2 libevent-2.0.22-stable]# ./configure --prefix=/usr/local/libevent 
[root@node2 libevent-2.0.22-stable]# make && make install
  1. 编译安装memcached
1
2
3
4
5
[root@node2 ~]# yum -y install  cyrus-sasl-devel 
[root@node2 ~]# tar xf memcached-1.4.24.tar.gz 
[root@node2 ~]# cd memcached-1.4.24 
[root@node2 memcached-1.4.24]# ./configure --prefix=/usr/local/memcached --with-libevent=/usr/local/libevent --enable-sasl --enable-64bit 
[root@node2 memcached-1.4.24]# make && make install

  1. 提供启动脚本和系统配置文件 

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    [root@node2 memcached-1.4.24]# useradd -r memcached 
    [root@node2 memcached-1.4.24]# vim /etc/sysconfig/memcached 
    PORT="11211" 
    USER="memcached" 
    MAXCONN="1024" 
    CACHESIZE="64" 
    OPTIONS="" 
     
    [root@node2 memcached-1.4.24]# vim /etc/rc.d/init.d/memcached 
    [root@node2 memcached-1.4.24]# chmod +x /etc/rc.d/init.d/memcached 
    [root@node2 memcached-1.4.24]# service memcached start

  2. 测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
telnet localhost 11211 
stats 
可以看到内存限制大小为64M: 
STAT limit_maxbytes 67108864 
 
修改配置文件,将其改为128M 
[root@node2 memcached-1.4.24]# vim /etc/sysconfig/memcached 
PORT="11211" 
USER="memcached" 
MAXCONN="1024" 
CACHESIZE="128" 
OPTIONS="" 
 
再次进行查看: 
STAT limit_maxbytes 134217728

这个时候已经完成memcached的安装;;

安装PHP的memcache扩展

前提:已经完成LNMP平台的搭建 

1
2
3
4
5
6
7
8
[root@nfs ~]# tar xf memcache-2.2.7.tgz 
[root@nfs ~]# cd memcache-2.2.7 
[root@nfs memcache-2.2.7]# /usr/local/php/bin/phpize 
[root@nfs memcache-2.2.7]# ./configure --with-php-config=/usr/local/php/bin/php-config --enable-memcache 
[root@nfs memcache-2.2.7]# make && make install 
[root@nfs memcache-2.2.7]# vim /etc/php.d/memcache.ini 
extension=memcache.so 
[root@nfs memcache-2.2.7]# service php-fpm restart

测试:

  • 确保php-fpm已经能够正确启用memcache模块:
1
2
3
<?php 
        phpinfo(); 
?> 
1
service php-fpm restart
  • 对memcached进行连接测试
1
2
3
4
5
6
7
8
9
10
11
12
13
<?php 

$mem = new Memcache; 
$mem->connect("192.168.122.14",11211) or die ("Could not connect"); 
$version = $mem->getVersion(); 
echo "Server's version: ".$version."<br/>\n"; 
 
$mem->set('testkey','hello world',0,600) or die("Failed to save data at the memcached server"); 
echo "Store data in the cache (data will expire in 600 seconds)<br/>\n"; 
 
$get_result = $mem->get('testkey'); 
echo "get_result is from memcached server."; 
?>

配置PHP将会话保存至memcached中

1
2
3
4
5
6
[root@nfs html]# vim /etc/php.ini 
 
session.save_handler = memcache 
session.save_path = "tcp://192.168.122.14:11211?persistent=1&weight=1&timeout=1&retry_interval=15" 
 
[root@nfs html]# service php-fpm restart
  • 测试

新建php页面setsess.php,为客户端设置启用session: 

1
2
3
4
5
6
7
8
9
<?php 
session_start(); 
if (!isset($_SESSION['www.test.com'])){ 
    $_SESSION['www.test.com'] = time(); 
} 
print $_SESSION['www.test.com']; 
print "<br><br>"; 
print "Session ID: " . session_id(); 
?>

新建php页面showsess.php,获取当前用户的会话ID: 

1
2
3
4
5
6
7
8
9
<?php 
session_start(); 
$memcache_obj = new Memcache; 
$memcache_obj->connect('192.168.122.14',11211);     测试时注意IP地址; 
$mysess=session_id(); 
var_dump($memcache_obj->get($mysess)); 
$memcache_obj->clost(); 
?>

memadmin图形化工具安装

1
2
3
4
5
[root@nfs ~]# tar xf memadmin-1.0.12.tar.gz 
[root@nfs ~]# cp -r memadmin /usr/html/memadmin 
[root@nfs ~]# cd /usr/html/memadmin/ 
[root@nfs memadmin]# vim config.php   修改用户名和密码

访问:
http://192.168.122.7/memadmin/index.php
添加memcached主机即可进行监控;;

需要说明:在前一节,Nginx配置使用memcached的缓存时,没有配置成功。额,也没看懂;;

memcached启动脚本

1
# vim /etc/rc.d/init.d/memcached 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
#!/bin/sh 
#config: /etc/sysconfig/memcached 
#chkconfig: 2345 55 45 
. /etc/rc.d/init.d/functions 
 
##Default variables 
PORT="11211" 
USER="memcached" 
MAXCONN="1024" 
CACHESIZE="64" 
OPTIONS="" 
 
RETVAL=0 
prog="/usr/local/memcached/bin/memcached" 
desc="Distributed memory caching" 
lockfile="/var/lock/subsys/memcached" 
 
if [ -f /etc/sysconfig/memcached ];then 
    . /etc/sysconfig/memcached 
fi 
. /etc/sysconfig/network 
if [ "$NETWORKING" = "no" ];then 
    exit 0 
fi 
start(){ 
    echo -n $"Starting $desc (memcached): " 
    daemon $prog -d -p $PORT -u $USER -c $MAXCONN -m $CACHESIZE $OPTIONS 
    RETVAL=$? 
    echo 
    [ $RETVAL -eq 0 ] && touch $lockfile 
    return $RETVAL 
} 
 
stop(){ 
    echo -n $"Shutting down $desc (memcached): " 
    killproc $prog 
    RETVAL=$? 
    echo 
    [ $RETVAL -eq 0 ] && rm -f $lockfile 
    return $RETVAL 
} 
 
restart(){ 
    stop 
    start 
} 
 
reload(){ 
    echo -n $"Reloading $desc ($prog): " 
    killproc $prog -HUP 
    RETVAL=$? 
    echo 
    return $RETVAL 
} 
 
case "$1" in 
    start) 
        start 
        ;; 
    stop) 
        stop 
        ;; 
    restart) 
        restart 
        ;; 
    reload) 
        reload 
        ;; 
    status) 
        status $prog 
        RETVAL=$? 
        ;; 
    *) 
        echo  $"Usage: $0 {start|stop|restart|condrestart|status}" 
        RETVAL=1 
esac 
exit $RETVAL 
 
# chmod +x /etc/rc.d/init.d/memcached 
# chkconfig --add memcached

展开全文 >>

43_03_2_搭建LNMP

环境说明

192.168.122.7          web php
192.168.122.220        mysql

编译安装nginx

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#tar xf nginx-1.9.2.tar.gz 
#groupadd -r -g 492 nginx 
#useradd -r -g 492 -u 492 nginx 
 
#yum install pcre-devel  openssl-devel gd-devel 
#mkdir -pv /var/tmp/nginx/client 
 
编译和安装 
./configure \ 
--prefix=/usr \ 
--sbin-path=/usr/sbin/nginx \ 
--conf-path=/etc/nginx/nginx.conf \ 
--error-log-path=/var/log/nginx/error.log \ 
--http-log-path=/var/log/nginx/access.log \ 
--pid-path=/var/run/nginx/nginx.pid \ 
--lock-path=/var/lock/nginx.lock \ 
--user=nginx \ 
--group=nginx \ 
--with-http_ssl_module \ 
--with-http_flv_module \ 
--with-http_stub_status_module \ 
--with-http_gzip_static_module \ 
--http-client-body-temp-path=/var/tmp/nginx/client/ \ 
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \ 
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \ 
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \ 
--http-scgi-temp-path=/var/tmp/nginx/scgi \ 
--with-file-aio \ 
--with-http_image_filter_module \ 
--with-pcre\ 
 --with-http_mp4_module 
#make && make install 
 
 
#chmod +x /etc/rc.d/init.d/nginx 
#chkconfig --add nginx 
#chkconfig nginx on 
#service nginx start

二、测试nginx
测试内容如下: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
#vim /etc/nginx/nginx.conf 
 
worker_processes  1; 
error_log  /var/log/nginx/error.log;         //由于nginx根目录指向/usr,所以我在这里加了绝对路径;; 
events { 
    worker_connections  1024; 
} 
http { 
    include       mime.types; 
    default_type  application/octet-stream; 
    sendfile        on; 
    keepalive_timeout  65; 
    server { 
        listen       80; 
        server_name  localhost; 
        location / { 
            root   html; 
            index  index.html index.htm; 
        } 
     
    location /status { 
        stub_status on; 
        auth_basic "Need password";           //nginx状态路径,可以使用ab -c 1000 -n 1000 http://IP/index.html进行查看 
        auth_basic_user_file /etc/nginx/.users;       //htpasswd -c -m /etc/nginx/.users tom 
    } 
        error_page  404              /404.html; 
        error_page   500 502 503 504  /50x.html; 
        location = /50x.html { 
            root   html; 
        } 
    } 
    server { 
        listen       443 ssl; 
    server_name  localhost; 
        ssl_certificate      /etc/nginx/ssl/nginx.crt; 
        ssl_certificate_key  /etc/nginx/ssl/nginx.key; 
        ssl_session_cache    shared:SSL:1m; 
        ssl_session_timeout  5m; 
        ssl_ciphers  HIGH:!aNULL:!MD5; 
        ssl_prefer_server_ciphers  on; 
        location / { 
            root   html; 
            index  index.html index.htm; 
        } 
    } 
}

编译安装PHP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 yum -y install libxml2-devel bzip2-devel libcurl-devel libmcrypt-devel 
 
tar xf php-5.6.12.tar.bz2 
./configure --prefix=/usr/local/php --with-openssl --enable-fpm --enable-sockets --enable-sysvshm --enable-mbstring --with-freetype-dir --with-jpeg-dir --with-png-dir --with-zlib --with-libxml-dir --enable-xml --with-mhash --with-mcrypt --with-config-file-scan-dir=/etc/php.d --with-bz2 --with-config-file-path=/etc --with-curl --with-mysql=mysqlnd --with-pdo-mysql=mysqlnd --with-mysqli=mysqlnd 
 
make && make install 
 
[root@nfs php-5.6.12]# cp php.ini-production /etc/php.ini 
[root@nfs php-5.6.12]# cp sapi/fpm/init.d.php-fpm /etc/rc.d/init.d/php-fpm 
[root@nfs php-5.6.12]# chmod +x /etc/rc.d/init.d/php-fpm 
[root@nfs php-5.6.12]# chkconfig --add php-fpm 
[root@nfs php-5.6.12]# chkconfig php-fpm on 
[root@nfs php-5.6.12]# cp /usr/local/php/etc/php-fpm.conf.default /usr/local/php/etc/php-fpm.conf 
[root@nfs php-5.6.12]# vim /usr/local/php/etc/php-fpm.conf 
pm.max_children=50 
pm.start_servers=5 
pm.min_spare_servers=2 
pm.max_spare_servers=8 
pid=/usr/local/php/var/run/php-fpm.pid 
[root@nfs php-5.6.12]# service php-fpm start

整合nginx和php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
[root@nfs php-5.6.12]# vim /etc/nginx/nginx.conf 
 
①编辑/etc/nginx/nginx.conf,启用如下选项: 
location ~ \.php${ 
    root                html; 
    fastcgi_pass     127.0.0.1:9000; 
    fastcgi_index    index.php; 
    fastcgi_param  SCRIPT_FILENAME /scripts$fastcgi_script_name; 
    include              fastcgi_params;     
} 
②编辑/etc/nginx/fastcgi_params,将其内容改为如下内容: 
 
fastcgi_param      GATEWAY_INTERFACE   CGI/1.1; 
fastcgi_param      SERVER_SOFTWARE        nginx; 
fastcgi_param      QUERY_STRING               $query_string; 
fastcgi_param      REQUEST_METHOD         $request_method; 
fastcgi_param      CONTENT_TYPE               $content_type; 
fastcgi_param      CONTENT_LENGTH         $content_length; 
fastcgi_param      SCRIPT_FILENAME          $document_root$fastcgi_script_name; 
fastcgi_param      SCRIPT_NAME                 $fastcgi_script_name; 
fastcgi_param      REQUEST_URI                  $request_uri; 
fastcgi_param      DOCUMENT_URI            $document_uri; 
fastcgi_param      DOCUMENT_ROOT        $document_root; 
fastcgi_param      SERVER_PROTOCOL       $server_protocol; 
fastcgi_param      REMOTE_ADDR               $remote_addr; 
fastcgi_param      REMOTE_PORT                $remote_port; 
fastcgi_param      SERVER_ADDR                 $server_addr; 
fastcgi_param      SERVER_PORT                  $server_port; 
fastcgi_param      SERVER_NAME                $server_name; 
 
并在所支持的主页面格式中添加php格式的主页,类似如下: 
location / { 
        root html; 
        index index.php index.html index.htm; 
} 
 
service nginx restart 
 
会发现,当用https访问主页时,发现是下载index.php,说明php-fpm没有处理php文件,那么在https server 段内加入: 
如下所示,即可;; 
server { 
        listen       443 ssl; 
        server_name  localhost; 
        ssl_certificate      /etc/nginx/ssl/nginx.crt; 
        ssl_certificate_key  /etc/nginx/ssl/nginx.key; 
 
        ssl_session_cache    shared:SSL:1m; 
        ssl_session_timeout  5m; 
 
        ssl_ciphers  HIGH:!aNULL:!MD5; 
        ssl_prefer_server_ciphers  on; 
 
        location / { 
            root   html; 
            index  index.html index.htm index.php; 
        } 
        location ~ \.php$ { 
            root           html; 
            fastcgi_pass   127.0.0.1:9000; 
            fastcgi_index  index.php; 
            fastcgi_param  SCRIPT_FILENAME  /scripts$fastcgi_script_name; 
            include        fastcgi_params; 
        } 
    } 
```                  
 
## 安装xcache插件 
 
```bash
[root@nfs ~]# tar xf xcache-3.2.0.tar.gz 
[root@nfs xcache-3.2.0]# /usr/local/php/bin/phpize 
[root@nfs xcache-3.2.0]# ./configure --enable-xcache --with-php-config=/usr/local/php/bin/php-config 
[root@nfs xcache-3.2.0]# make &&make install 
[root@nfs xcache-3.2.0]# mkdir /etc/php.d/ 
[root@nfs xcache-3.2.0]# cp xcache.ini /etc/php.d/ 
[root@nfs xcache-3.2.0]# service php-fpm restart

安装phpMyadmin

1
2
3
4
5
6
[root@nfs pma]# unzip phpMyAdmin-4.4.14-all-languages.zip 
[root@nfs pma]# cp -a phpMyAdmin-4.4.14-all-languages /usr/html/pma 
[root@nfs pma]# cd /usr/html/pma/ 
[root@nfs pma]# cp config.sample.inc.php config.inc.php 
[root@nfs pma]# vim config.inc.php 
$cfg['Servers'][$i]['host'] = '192.168.122.220';

然后这两种方式都可;;
http://192.168.122.7/pma
https://192.168.122.7/pma 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
[root@node1 ~]# cat /etc/rc.d/init.d/nginx 
#!/bin/sh 
# 
# nginx - this script starts and stops the nginx daemon 
# 
# chkconfig:   - 85 15 
# description:  Nginx is an HTTP(S) server, HTTP(S) reverse \ 
#               proxy and IMAP/POP3 proxy server 
# processname: nginx 
# config:      /etc/nginx/nginx.conf 
# pidfile:     /var/run/nginx/nginx.pid 
 
# Source function library. 
. /etc/rc.d/init.d/functions 
 
# Source networking configuration. 
. /etc/sysconfig/network 
 
# Check that networking is up. 
[ "$NETWORKING" = "no" ] && exit 0 
 
nginx="/usr/sbin/nginx" 
prog=$(basename $nginx) 
 
lockfile="/var/lock/nginx.lock" 
pidfile="/var/run/nginx/${prog}.pid" 
 
NGINX_CONF_FILE="/etc/nginx/nginx.conf" 
 
 
 
start() { 
    [ -x $nginx ] || exit 5 
    [ -f $NGINX_CONF_FILE ] || exit 6 
    echo -n $"Starting $prog: " 
    daemon $nginx -c $NGINX_CONF_FILE 
    retval=$? 
    echo 
    [ $retval -eq 0 ] && touch $lockfile 
    return $retval 
} 
 
stop() { 
    echo -n $"Stopping $prog: " 
    killproc -p $pidfile $prog 
    retval=$? 
    echo 
    [ $retval -eq 0 ] && rm -f $lockfile 
    return $retval 
} 
 
restart() { 
    configtest_q || return 6 
    stop 
    start 
} 
 
reload() { 
    configtest_q || return 6 
    echo -n $"Reloading $prog: " 
    killproc -p $pidfile $prog -HUP 
    echo 
} 
 
configtest() { 
    $nginx -t -c $NGINX_CONF_FILE 
} 
 
configtest_q() { 
    $nginx -t -q -c $NGINX_CONF_FILE 
} 
 
rh_status() { 
    status $prog 
} 
 
rh_status_q() { 
    rh_status >/dev/null 2>&1 
} 
 
# Upgrade the binary with no downtime. 
upgrade() { 
    local oldbin_pidfile="${pidfile}.oldbin" 
 
    configtest_q || return 6 
    echo -n $"Upgrading $prog: " 
    killproc -p $pidfile $prog -USR2 
    retval=$? 
    sleep 1 
    if [[ -f ${oldbin_pidfile} && -f ${pidfile} ]];  then 
        killproc -p $oldbin_pidfile $prog -QUIT 
        success $"$prog online upgrade" 
        echo 
        return 0 
    else 
        failure $"$prog online upgrade" 
        echo 
        return 1 
    fi 
} 
 
# Tell nginx to reopen logs 
reopen_logs() { 
    configtest_q || return 6 
    echo -n $"Reopening $prog logs: " 
    killproc -p $pidfile $prog -USR1 
    retval=$? 
    echo 
    return $retval 
} 
 
case "$1" in 
    start) 
        rh_status_q && exit 0 
        $1 
        ;; 
    stop) 
        rh_status_q || exit 0 
        $1 
        ;; 
    restart|configtest|reopen_logs) 
        $1 
        ;; 
    force-reload|upgrade) 
        rh_status_q || exit 7 
        upgrade 
        ;; 
    reload) 
        rh_status_q || exit 7 
        $1 
        ;; 
    status|status_q) 
        rh_$1 
        ;; 
    condrestart|try-restart) 
        rh_status_q || exit 7 
        restart 
        ;; 
    *) 
        echo $"Usage: $0 {start|stop|reload|configtest|status|force-reload|upgrade|restart|reopen_logs}" 
        exit 2 
esac

展开全文 >>

42_04_2_mysql-proxy实验

环境设置

Master MySQL服务器:192.168.122.220    node1.test.com node1
Slave MySQL服务器:   192.168.122.14    node2.test.com node2
MySQL Proxy服务器:   192.168.122.25    nfs.test.com    nfs

  1. 安装配置MySQL-Proxy(这里我没有使用编译安装)
1
2
3
4
5
[root@nfs ~]# tar xf mysql-proxy-0.8.5-linux-el6-x86-64bit.tar.gz -C /usr/local 
[root@nfs ~]# cd /usr/local 
[root@nfs local]#ln -sv mysql-proxy-0.8.5-linux-el6-x86-64bit/ mysql-proxy 
[root@nfs local]#vim /etc/profile.d/mysql-proxy.sh 
export PATH=$PATH:/usr/local/mysql-proxy/bin
  1. 给用户授权
    在Master/Slave建立一个测试用户,因为以后客户端发送的SQL都是通过mysql-proxy服务器来转发,所以要确保可以从mysql-proxy服务器上登录MySQL主从库,分别在主机MySQL和从机MySQL上执行如下命令;

主机MySQL上执行命令如下: 

1
mysql> grant all on *.* to 'test'@'192.168.122.25' identified by 'redhat';

从机MySQL上执行命令如下: 

1
mysql> grant all on *.* to 'test'@'192.168.122.25' identified by 'redhat';

在这一步,如果前面已经配置了主从复制的话,没必要写两遍;

  1. 复制admin.lua脚本:
    这一步必有,因为mysql-proxy会到这个目录下找脚本: 
    1
    2
    cp -p /usr/local/mysql-proxy/lib/mysql-proxy/lua/admin.lua /usr/local/mysql-proxy/share/doc/mysql-proxy/

mysql-proxy的配置文件: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
[root@nfs local]# vim /etc/sysconfig/mysql-proxy 
ADMIN_USER="admin" 
ADMIN_PASSWD="admin" 
PROXY_PID=/var/run/mysql-proxy.pid 
PROXY_USER="mysql-proxy" 
RW="192.168.122.220:3306" 
RO="192.168.122.14:3306" 
split="/usr/local/mysql-proxy/share/doc/mysql-proxy/rw-splitting.lua" 
ADMINSO="/usr/local/mysql-proxy/share/doc/mysql-proxy/admin.lua" 
 
 
[root@nfs local]#chmod 0600 /etc/sysconfig/mysql-proxy 
如下所示:否则不能启动;具体信息可查看/var/log/mysql-proxy 
[root@nfs lua]# ls -al /etc/sysconfig/mysql-proxy 
-rw------- 1 root root 360 10月  3 10:38 /etc/sysconfig/mysql-proxy

mysql-proxy的启动脚本: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
#!/bin/bash 
# 
#set default mysql-proxy configuration 
# 
#chkconfig: - 78 30 
. /etc/rc.d/init.d/functions 
 
prog="/usr/local/mysql-proxy/bin/mysql-proxy" 
 
if [ -f /etc/sysconfig/network ];then 
    . /etc/sysconfig/network 
fi 
[ ${NETWORKING} = "no" ] && exit 0 
#Source mysql-proxy configuraion. 
if [ -f /etc/sysconfig/mysql-proxy ];then 
    . /etc/sysconfig/mysql-proxy 
fi 
 
RETVAL=0 
start() { 
    echo -n $"Stating $prog: " 
    daemon $prog --daemon --log-level=debug --pid-file=$PROXY_PID --log-file=/var/log/mysql-proxy.log   --plugins="proxy" --proxy-backend-addresses=$RW --proxy-read-only-backend-addresses=$RO  --proxy-lua-script=$split --plugins="admin" --admin-username=$ADMIN_USER --admin-password=$ADMIN_PASSWD --admin-lua-script=$ADMINSO --proxy-address="0.0.0.0:3306" --user=$PROXY_USER --keepalive 
 
    RETVAL=$? 
    echo 
    if [ $RETVAL -eq 0 ];then 
        touch /var/lock/subsys/mysql-proxy 
    fi 
} 
stop() { 
    echo -n $"Stopping $prog: " 
    killproc -p $PROXY_PID -d 3 $prog 
    RETVAL=$? 
    echo 
    if [ $RETVAL -eq 0 ];then 
        rm -f /var/lock/subsys/mysql-proxy 
        rm -f $PROXY_PID 
    fi 
} 
#See how we were called 
case "$1" in 
    start) 
        start 
        ;; 
    stop) 
        stop 
        ;; 
    restart) 
        stop 
        start 
        ;; 
    condrestart|try-restart) 
        if status -p $PROXY_PIDFILE $porg &>/dev/null;then 
            stop 
            start 
        fi 
        ;; 
    status) 
        status -p $PROXY_PID $prog 
        ;; 
    *) 
        echo "Usage: $0 {start|stop|restart|reload|status|condrestart|try-restart}" 
        RETVAL=1 
        ;; 
esac 
exit $RETVAL 
 
 
[root@nfs local]#chmod +x /etc/rc.d/init.d/mysql-proxy 
[root@nfs local]#chkconfig --add mysql-proxy 
[root@nfs local]#service mysql-proxy start

测试

测试一

  • tail /var/log/mysql-proxy
  • 进行查看启动信息

    
测试二:

  • mysql -utest -h192.168.122.25 -p
  • redhat
  • 实现读写分离;

    
测试三:进行监管

  • mysql -uadmin -h 192.168.122.25 -p –port=4041
  • admin  
  • select * from backends;

     

测试遇到的问题

  1. MySQL Proxy默认最小4个最大8个的客户端才会实现读写分离,所以可以将其改为最小1个最大2个:
1
2
3
4
5
6
7
8
9
if not proxy.global.config.rwsplit then 
        proxy.global.config.rwsplit = { 
                min_idle_connections = 4,           1, 
                max_idle_connections = 8,             2, 
 
                is_debug = false 
        } 
end

  1. MySQL Proxy服务启动后,看到网页全是乱码,可以将主从数据库的配置文件my.cnf中加入如下代码:
1
2
3
4
[mysqld] 
skip-character-set-client-handshake 
init-connect='SET NAMES utf8' 
default-character-set=utf8

本文有参考《构建高可用Linux服务器》5.2.3,但是有一点没能明白的是本书第二步,故而改成如上所示;
以后可直接从25这个主机上操作,不需考虑后面主机;;;

展开全文 >>

42_04利用mysql-proxy实现读写分离_第一版_

MySQL Proxy

  1. 源码安装时,MySQL proxy的依赖关系:

libevent 1.x or higher
lua 5.1.x or higher
glib2 2.6.0 or higher
pkg-config
libtool-1.5 or higher
MySQL 5.0.x or higher developer files

  1. 添加用户 

    1
    # useradd - r mysql-proxy

  2. 安装 

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    #tar xf mysql-proxy-0.8.2.tar.gz -C /usr/local 
    #ln -sv mysql-proxy-0.8.2 mysql-proxy 
    #cd mysql-proxy 
    #./configure 
    #make 
     
    #make check 
    如果管理员有密码,上面的步骤则需要使用如下格式进行: 
    #MYSQL_PASSWORD=root_pwd make check 
     
    #make install 
     
    默认情况下,mysql-proxy安装在/usr/local/sbin/mysql-proxy,而lua示例脚本安装在/usr/local/share目录中。

  3. 添加环境变量脚本

1
2
#vim /etc/profile.d/mysql-proxy.sh 
export PATH=$PATH:/usr/local/mysql-proxy/bin
  1. 配置指令

    mysql proxy的各配置参数请看官方文档:http://dev.mysql.com/doc/refman/

四、安装配置 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
#mysql-proxy --daemon --log-level=debug  --plugins="proxy" --log-file=/var/log/mysql-proxy.log   --proxy-backend-addresses="172.16.100.106:3306" --proxy-read-only-backend-addresses="172.16.100.107:3306"; 
 
#tail /var/log/mysql-proxy.log 
 
100.106: 
    >GRANT ALL ON *.* TO 'root'@'172.16.%.%' IDENTIFIED BY 'redhat'; 
    >flush privileges; 
 
100.107: 
    mysql -u root -p -h 172.16.100.201 --port=4040 
    redhat 
 
 
 
ls /usr/local/share/doc/mysql-proxy/rw-splitting.lua  这个脚本实现读写分离 
 
#mysql-proxy --daemon --log-level=debug  --plugins="proxy" --log-file=/var/log/mysql-proxy.log   --proxy-backend-addresses="172.16.100.106:3306" --proxy-read-only-backend-addresses="172.16.100.107:3306" --proxy-lua-script=" /usr/local/mysql-proxy/share/doc/mysql-proxy/rw-splitting.lua " 
 
tail /var/log/mysql-proxy.log 
 
 
实现admin功能: 
 
mysql-proxy --daemon --log-level=debug  --log-file=/var/log/mysql-proxy.log   --plugins="proxy" --proxy-backend-addresses="172.16.100.106:3306" --proxy-read-only-backend-addresses="172.16.100.107:3306"  --proxy-lua-script=" /usr/local/mysql-proxy/share/doc/mysql-proxy/rw-splitting.lua "  --plugins="admin" --admin-username="admin" --admin-password="admin" --admin-lua-script="/usr/local/mysql-proxy/share/doc/mysql-proxy/admin.lua" 
说明,这个admin.lua没有提供

107:

mysql -uadmin -h 172.16.100.201 –port=4041 -p
admin

select * from backends;   用来查看有几个后端
会显示state是unknown状态;
mysql -u root -predhat -h 172.16.100.201 –port=4040 -e ‘create database hellodb’;
会发现状态变成了up,说明操作是在代理上操作的,写到了后端服务器上; 

1
2
3
4
5
6
7
8
9
10

# vim /etc/sysconfig/mysql-proxy 
 
ADMIN_USER="admin" 
ADMIN_PASSWORD="admin" 
ADMIN_ADDRESS="" 
ADMIN_LUA_SCRIPT="/usr/local/mysql-proxy/share/doc/mysql-proxy/admin.lua" 
PROXY_ADDRESS="0.0.0.0:3306" 
PROXY_USER="mysql-proxy" 
PROXY_OPTIONS "--daemon --log-level=info  --plugins=proxy --log-file=/var/log/mysql-proxy.log   --proxy-backend-addresses=172.16.100.106:3306 --proxy-read-only-backend-addresses=172.16.100.107:3306 --proxy-lua-script=/usr/local/mysql-proxy/share/doc/mysql-proxy/rw-splitting.lua "

mysql-proxy的启动脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135

#set default mysql-proxy configuration 
ADMIN_USER="admin" 
ADMIN_PASSWD="admin" 
ADMIN_LUA_SCRIPT="/usr/local/mysql-proxy/share/doc/mysql-proxy/admin.lua" 
PROXY_OPTIONS='--daemon' 
PROXY_PID=/var/run/mysql-proxy.pid 
PROXY_USER="mysql-proxy" 
 
#Source mysql-proxy configuraion. 
if [ -f /etc/sysconfig/mysql-proxy ];then 
    . /etc/sysconfig/mysql-proxy 
fi 
 
RETVAL=0 
start() { 
    echo -n $"Stating $prog: " 
    daemon $prog $PROXY_OPTIONS --pid-file=$PROXY_PID --proxy-address="$PROXY_ADDRESS" --user=$PROXY_USER --admin-username="$ADMIN_USER" --admin-lua-script="$ADMIN_LUA_SCRIPT" --admin-password="$ADMIN_PASSWORD" 
    RETVAL=$? 
    echo 
    if [ $RETVAL -eq 0 ];then 
        touch /var/lock/subsys/mysql-proxy 
    fi 
} 
stop() { 
    echo -n $"Stopping $prog:" 
    killproc -p $PROXY_PID -d 3 $prog 
    RETVAL=$? 
    echo 
    if [ $RETVAL -eq 0 ];then 
        rm -f /var/lock/subsys/mysql-proxy 
        rm -f $PROXY_PID 
    fi 
} 
#See how we were called 
case "$1" in 
    start) 
        start 
        ;; 
    stop) 
        stop 
        ;; 
    restart) 
        stop 
        start 
        ;; 
    condrestart|try-restart) 
        if status -p $PROXY_PIDFILE $porg &>/dev/null;then 
            stop 
            start 
        fi 
        ;; 
    status) 
        status -p $PROXY_PID $prog 
        ;; 
    *) 
        echo "Usage: $0 {start|stop|restart|reload|status|condrestart|try-restart}" 
        RETVAL=1 
        ;; 
esac 
exit $RETVAL 
 

# chmod +x /etc/rc.d/init.d/mysql-proxy 
# chkconfig --add mysql-proxy 


## admin lua脚本



function set_error(errmsg) 
 proxy.response = { 
 type = proxy.MYSQLD_PACKET_ERR, 
 errmsg = errmsg or "error" 
 } 
 end 
function read_query(packet) 
 if packet:byte() ~= proxy.COM_QUERY then 
 set_error("[admin] we only handle text-based queries (COM_QUERY)") 
 return proxy.PROXY_SEND_RESULT 
 end 
 local query = packet:sub(2) 
 local rows = { } 
 local fields = { } 
 if query:lower() == "select * from backends" then 
 fields = { 
 { name = "backend_ndx",type = proxy.MYSQL_TYPE_LONG }, 
 { name = "address",type = proxy.MYSQL_TYPE_STRING }, 
 { name = "state",type = proxy.MYSQL_TYPE_STRING }, 
 { name = "type",type = proxy.MYSQL_TYPE_STRING }, 
 { name = "uuid",type = proxy.MYSQL_TYPE_STRING }, 
 { name = "connected_clients",type = proxy.MYSQL_TYPE_LONG }, 
 } 
 for i = 1, #proxy.global.backends do 
 local states = { 
 "unknown", 
 "up", 
 "down"                      } 
 local types = { 
 "unknown", 
 "rw", 
 "ro" 
 } 
 local b = proxy.global.backends[i] 
 rows[#rows + 1] = { 
 i, 
 b.dst.name,          -- configured backend address 
 states[b.state + 1], -- the C-id is pushed down starting at 0 
 types[b.type + 1],   -- the C-id is pushed down starting at 0 
 b.uuid,              -- the MySQL Server's UUID if it is managed 
 b.connected_clients  -- currently connected clients 
 } 
 end 
 elseif query:lower() == "select * from help" then 
 fields = { 
 { name = "command",type = proxy.MYSQL_TYPE_STRING }, 
 { name = "description",type = proxy.MYSQL_TYPE_STRING }, 
 } 
 rows[#rows + 1] = { "SELECT * FROM help", "shows this help" } 
 rows[#rows + 1] = { "SELECT * FROM backends", "lists the backends and their state" } 
 else 
 set_error("use 'SELECT * FROM help' to see the supported commands") 
 return proxy.PROXY_SEND_RESULT 
 end 
proxy.response = { 
 type = proxy.MYSQLD_PACKET_OK, 
 resultset = { 
 fields = fields, 
 rows = rows 
 } 
 } 
 return proxy.PROXY_SEND_RESULT 
 end

这个写的不错:
http://www.zhengdazhi.com/archives/923

关于这一个,可以直接参考The Next;;;

展开全文 >>

42_03_2_实验:MySQL基于GTID的多线程复制

主MySQL的配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
[root@node1 ~]# egrep -v '^$|#' /etc/my.cnf 
[mysqld] 
datadir = /mydata/data 
binlog_format=ROW 
port = 3306 
server_id = 10 
socket = /tmp/mysql.sock 
innodb_file_per_table = ON 
character_set_server = utf8 
rpl_semi_sync_master_enabled = ON 
log_bin = master_bin 
log_bin_index = master_bin.index 
ssl-ca=/usr/local/mysql/ssl/cacert.pem 
ssl-cert=/usr/local/mysql/ssl/master.crt 
ssl-key=/usr/local/mysql/ssl/master.key 
log-slave-updates=true 
gtid-mode=on 
enforce-gtid-consistency=true 
master-info-repository=TABLE    
sync-master-info=1 
slave-parallel-workers=2 
binlog-checksum=CRC32 
master-verify-checksum=1 
slave-sql-verify-checksum=1 
binlog-rows-query-log-events=1 
report-port=3306 
report-host=192.168.122.220 
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES

从MySQL的配置文件

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
[root@node2 ~]# egrep -v '^$|#' /etc/my.cnf 
[mysqld] 
datadir = /mydata/data 
port = 3306 
server_id = 11 
socket = /tmp/mysql.sock 
innodb_file_per_table = ON 
character_set_server = utf8 
relay_log = relay_log 
relay_log_index = relay_log.index 
rpl_semi_sync_slave_enabled = ON 
ssl_ca = /usr/local/mysql/ssl/cacert.pem 
ssl_cert = /usr/local/mysql/ssl/slave.crt 
ssl_key = /usr/local/mysql/ssl/slave.key 
binlog-format=ROW 
log-slave-updates=true 
gtid-mode=on 
enforce-gtid-consistency=true 
master-info-repository=TABLE 
relay-log-info-repository=TABLE 
sync-master-info=1 
slave-parallel-workers=2 
binlog-checksum=CRC32 
master-verify-checksum=1 
slave-sql-verify-checksum=1 
binlog-rows-query-log-events=1 
report-port=3306 
log-bin=mysql-bin.log 
report-host=192.168.122.14 
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES 
1
2
3
4
5
6
7
8
9
10
11
12
13
mysql>GRANT REPLICATION SLAVE ON *.* TO 'repluser'@'192.168.122.%' IDENTIFIED BY 'replpass'; 
mysql>FLUSH PRIVILEGES; 
 
 
 
mysql> change master to master_host='192.168.122.120', 
    -> master_user='repluser', 
    -> master_password='replpass', 
    -> master_auto_position=1; 
Query OK, 0 rows affected, 2 warnings (0.30 sec) 
 
 
mysql>start slave;

如果遇到mysql -urepluser -h 192.168.122.220 -p

出现失败 repluser@node1.test.com    说明出现了域名解析,那么,
skip_name_reslove=ON即可;;;

  1. 设置半同步
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
#On Master 
mysql>INSTALL PLUGIN rpl_semi_sync_master SONAME 'semisync_master.so'; 
mysql>SHOW GLOBAL VARIABLES LIKE '%rpl%'; 
mysql>SET GLOBAL rpl_semi_sync_master_enabled = 1; 
mysql>SET GLOBAL rpl_semi_sync_master_timeout = 1000;   1000ms 
 
#On Slave 
mysql>INSTALL PLUGIN rpl_semi_sync_slave SONAME 'semisync_slave.so'; 
mysql>SET GLOBAL rpl_semi_sync_slave_enabled = 1;  
mysql>STOP SLAVE IO_THREAD; START SLAVE IO_THREAD; 
 
在Master和Slave的my.cnf中编辑: 
 
#On Master 
[mysqld] 
rpl_semi_sync_master_enabled=1 
rpl_semi_sync_master_timeout=1000     #1 second 
 
#On Slave 
[mysqld] 
rpl_semi_sync_slave_enabled =1

展开全文 >>

42_03MySQL主从复制--MySQL5

数据库的复制过滤功能

Master:
show global variables like “binlog_do_db”;
仅将指定数据库的相关修改操作记入二进制日志;
show global variables like “binlog_ignore_db”;

Slave:
replicate-do-db =
replicate-do-table =
replicate-ignore-db =
replicate-ignore-table =
replicate-wild-do-table =
replicate-wild-ignore-table =

关于replicate-wild-do-table可能带来的问题:
http://dinglin.iteye.com/blog/1207776

在进行过滤的时候,应该在Slave上进行定义过滤规则!!
由于这些变量是只读的,所以show没法看到;

例如:
#vim /etc/my.cnf
replicate-do-db = discuz
#service mysqld restart
mysql>show slave status\G
可以看到只复制主服务器discuz这个数据库;

基于GTID实现多线程的复制

GTID(Global Transaction Identifiers)
GTID:由服务器的UUID并结合事务ID标识出来的唯一身份符;

多线程复制:

  • 多线程对单个数据库操作有可能带来数据紊乱,所以每个数据库仅能使用一个线程;
  • 对于一个数据库,多线程没有意义;

从服务器使用:
    slave-parallel-workers=#(线程数目最好和数据库数目相同)
        0:表示禁用

提供的工具:

  • mysqlrelplcate

    实现快速启动从服务器,能够快速检查已经保存的GTIDs,然后从那些没有执行的GTIDs事务中进行备份;

  • mysqlrplcheck

    检查复制环境是否满足的工具

  • mysqlrplshow

    发现并显示复制的拓扑图
    并显示主机名和端口号

  • mysqlfailover

    master故障后,快速使slave提升为master;

  • mysqlrpladmin

    管理工具

MySQL5.6引入的GTID(Global Transaction IDs)使得其复制功能的配置、监控及管理变得更加易于实现,且更加健壮;

要在MySQL5.6中使用复制功能,其服务配置段[mysqld]中至少应该定义如下选项:

binlog-format:二进制日志的格式,有row,statement和mixed几种类型:
    需要注意的是,当设置隔离级别为READ-COMMITTED必须设置二进制日志格式为ROW,现在MySQL官方认为statement这个已经不再适合继续使用;但mixed类型在默认的事务隔离级别下,可能会导致主从数据不一致;
    
log-slave-updates、gitd-mode、enforce-gtid-consistency、report-port和report-host:用于启动GTID及满足附属的其他需求;

master-info-repository和reply-log-info-repository:启用此两项,可用于实现在崩溃时保证二进制及从服务器安全的功能;
sync-master-info:启用之后可保证无信息丢失;
slave-paralles-workers:设定从服务器的SQL线程数,0表示关闭多线程复制功能;
binlog-checksum、master-verity-checksum和slave-verity-checksum:启用复制相关的所有校验功能;
binlog-rows-query-log-events:启用之后可用于在二进制日志记录事件相关的信息,可降低故障排除的复杂度;
log-bin:启用二进制日志,这是保证复制功能的基本前提;
server-id:同一个复制拓扑中的所有服务器的ID号必须唯一;

report-host:

The host name or IP address of the slave to be reported to the master during slave registration,This value appears in the output of SHOW SLAVE HOSTS on the master server.

report-port:

The TCP/IP port number for connecting to the slave,to be reported to the master during slave registration.

master-info-repository:

The setting of this variable determines whether the slave logs master status and connection information to a FILE(master.info),or to a TABLE(mysql.slave_master_info)

relay-log-info-repository:

This option causes the server to log its relay log info to a file or a table.

log_slave_updates:

Whether updates received by a slave server from a master server should be logged to the slave’s own binary log ,binary logging must be enabled on the slave for this variable to have any effect;

enforce_gtid_consistency:强制GTID的一致性 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
一、简单主从模式配置步骤 
 
172.16.100.106 master.test.com 
172.16.100.107 slave.test.com 
 
1、配置主从节点的服务配置文件 
 
1.1、配置master节点: 
[mysqld] 
binlog_format=ROW 
log-bin=master-bin.log 
log-slave-updates=true 
gtid-mode=on 
enforce-gtid-consistency=true 
master-info-repository=TABLE                   //原来master.info这个文件以表的形式存在 
relay-log-info-repository=TABLE 
sync-master-info=1 
slave-parallel-workers=2 
binlog-checksum=CRC32 
master-verify-checksum=1 
slave-sql-verify-checksum=1 
binlog-rows-query-log_events=1 
server-id=1 
report-port=3306 
port=3306 
datadir=/mydata/data 
socket=/tmp/mysql.sock 
report-host=master.test.com 
    由于要进行解析,所以本地应该有hosts文件,但是为了更便捷,可以改为 
    report-host=172.16.100.106(主) 
 
show  global variables like "%gtid%"; 
show master status; 
show global variables like '%uuid%'; 
 
uuid+事务日志号就是GTID号; 
 
1.2、配置slave节点: 
[mysqld] 
binlog-format=ROW 
log-slave-updates=true 
gtid-mode=on 
enforce-gtid-consistency=true 
master-info-repository=TABLE 
relay-log-info-repository=TABLE 
sync-master-info=1 
slave-parallel-workers=2 
binlog-checksum=CRC32 
master-verify-checksum=1 
slave-sql-verify-checksum=1 
binlog-rows-query-log_events=1 
server-id=11 
report-port=3306 
port=3306 
log-bin=mysql-bin.log 
datadir=/mydata/data 
socket=/tmp/mysql.sock 
report-host=slave.test.com 
    一、由于要进行解析,所以本地应该有hosts文件,但是为了更便捷,可以改为 
    report-host=172.16.100.107(从) 
    二、如果想做成高可用,可以启用log-bin=master-bin 
 
2、创建复制用户 
mysql>GRANT REPLICATION SLAVE ON *.* TO 'repluser'@'172.16100.7' IDENTIFIED BY 'replpass'; 
mysql>FLUSH PRIVILEGES; 
说明:172.16.100.7是从节点服务器;如果想一次性授权更多的节点,可以自行根据修改; 
 
3、为备节点提供初始数据集 
 
锁定主表。备份主节点上的数据,将其还原至从节点,如果没有启用GTID,在备份时需要在master上使用show master status命令查看二进制日志文件名称及事件位置,以便后面启动slave节点时使用。 
 
4、启动从节点的复制线程 
 
如果启用了GTID功能,则使用如下命令: 
mysql>CHANGE MASTER TO MASTER_HOST='172.16.100.106',MASTER_USER='repluser',MASTER_PASSWORD='replpass',MASTER_AUTO_POSITION=1; 
 
没启用GTID,则需要使用如下命令: 
slave>CHANGE MASTER TO MASTER_HOST='172.16.100.6', 
->MASTER_USER='repluser', 
->MASTER_PASSWORD='replpass', 
->MASTER_LOG_FILE='master-bin.000003', 
->MASTER_LOG_POS=1174; 
 
5、START SLAVE; 
 
6、查看 
show slave hosts;(主服务器上查看) 
 
二、半同步复制 
与5.5基本一样,可参考前面的。另外如果实施的时候,建议两者都看下,以防忘记; 
已经在5.6上实验,可看42_03(2)实验:MySQL基于GTID的多线程复制; 
 
 
 
Bootstrap mode disables GTIDs. Bootstrap mode should only be used by mysql_install_db which initializes the MySQL data directory and creates system tables. 
 
disable-gtid-unsafe-statements = 0 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
[mysqld] 
 
 datadir = /mydata/data 
 server_id = 10 
log_bin = master-bin 
log_bin_index = master-bin.index 
innodb_file_per_table = ON 
sync_binlog = 1 
binlog-format=ROW 
log-slave-updates=true 
gtid-mode=on 
enforce-gtid-consistency=true 
master-info-repository=TABLE 
relay-log-info-repository=TABLE 
sync-master-info=1 
slave-parallel-workers=2 
binlog-checksum=CRC32 
master-verify-checksum=1 
slave-sql-verify-checksum=1 
binlog-rows-query-log_events=1 
report-port=3306 
port=3306 
socket=/tmp/mysql.sock 
report-host=192.168.1.110 
 
sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES

展开全文 >>

42_02_2_MySQL基于SSL进行主从复制

所有的服务器应该时间同步:

ntpdate ntp.api.bz

##这个在已经实现半同步的基础上实验的

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
在master.test.com操作: 
 
cd /etc/pki/CA 
(umask 077;openssl genrsa -out private/cakey.pem 2048) 
 
vim /etc/pki/tls/openssl.cnf 
countyName_default = CN 
stateOrProvinceName_default     = HN 
localityName_default    = ZZ 
0.organizationName_default      = MY 
organizationalUnitName_default  = Tech 
 
openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3655 
touch index.txt 
echo 01 > serial 
 
为主MySQL创建证书 
mkdir /usr/local/mysql/ssl 
chown -R root.mysql /usr/local/mysql/ssl 
cd /usr/local/mysql/ssl 
(umask 077; openssl genrsa -out master.key 2048) 
openssl req -new -key master.key -out master.csr 
openssl ca -in master.csr -out master.crt -days 365 
chown -R mysql.mysql ./* 
chmod 600 ./* 
 
vim /etc/my.cnf 
 ssl_ca                  = /usr/local/mysql/ssl/cacrt.pem 
 ssl_cert                = /usr/local/mysql/ssl/master.crt 
 ssl_key                 = /usr/local/mysql/ssl/master.key 
 
为从MySQL创建证书 
mkdir /usr/local/mysql/ssl 
chown -R root.mysql /usr/local/mysql/ssl 
cd /usr/lcoal/mysql/ssl 
(umask 077;openssl genrsa -out slave.key 2048) 
openssl req -new slave.key -out slave.csr 
scp slave.csr root@master.test.com:/root 
openssl ca -in /root/slave.csr -out /root/slave.crt -days 365 
scp root@master.test.com:/root/slave.crt /usr/local/mysql/ssl/slave.crt 
chown -R mysql.mysql ./* 
chmod 600 ./* 
 
  
 vim /etc/my.cnf 
  ssl_ca                  = /usr/local/mysql/ssl/cacrt.pem 
 ssl_cert                = /usr/local/mysql/ssl/slave.crt 
 ssl_key                 = /usr/local/mysql/ssl/slave.key 
  
  
> grant replication slave on *.* to repluser@'192.168.122.%' identified by 'replpass' require ssl; 
> flush privileges; 
 
 
    
change master to 
 master_host='192.168.122.220', 
 master_user='repluser', 
 master_password='replpass', 
 master_log_file='master_bin.000007', 
 master_log_pos=1015, 
 master_ssl=1, 
 master_ssl_ca=' /usr/local/mysql/ssl/cacrt.pem', 
 master_ssl_cert='/usr/local/mysql/ssl/slave.crt', 
 master_ssl_key='/usr/local/mysql/ssl/slave.key'; 
 
 start slave; 
 
 
show global variables like '%ssl%'; 
在主从MySQL上可以看到SSL已经启用;; 
 
show slave status \G 
 
可以看到SSL已经启用;;; 
 
 
参考文档: 
http://www.ttlsa.com/mysql/mysql-replication-base-on-ssl/

展开全文 >>

43_03配置Nginx作为webserver

Keepalived+nginx:实现高可用

Tengine:这是阿里利用Nginx再次修改发布的产品;

varnish,squid
    nginx:cache(disk)
    httpd:cache(disk,memory)

nginx支持和memcached服务的缓存加速功能; 

HTTP referer:支持反盗链

传统上基于进程或线程模型架构的web服务通过每进程或每线程处理并发连接请求,这势必会在网络和I/O操作时产生阻塞,其另一个必然结果则是对内存或CPU的利用率低下,生成一个新的进程/线程需要事先备好其运行时环境,这保罗为其分配堆内存和栈内存,以及为其创建新的执行上下文等,这些操作都需要占用CPU,而且过多的进程/线程还会带来线程抖动或频繁的上下文切换,系统性能也会由此进一步下降;

在设计的最初阶段,nginx的主要着眼点就是其高性能以及对物理计算资源的高密度利用,因此其采用了不同的架构模型。受启发于多种操作系统设计中基于“事件”的高级处理机制,nginx采用了模块化、事件驱动、异步、单线程及非阻塞的架构,并大量采用了多路复用及事件通知机制。在ngnix中,连接请求由为数不多的几个仅包含一个线程的进程worker以高效的回环(run-loop)机制进行处理,而每个worker可以并行处理数千个的并发连接及请求;

如果负载以CPU密集型应用为主,如SSL或压缩应用,则worker数目应与CPU数相同,如果负载以IO密集型为主,如响应大量内容给客户端,则worker数应该为CPU个数的1.5倍或2倍;

Ngnix会按需同时运行多个进程:一个主进程(master)和几个工作进程(worker),配置了缓存时还会有缓存加载器进程(cache loader)和缓存管理器进程(cache manager)等,所有进程均是仅含有一个线程,并通过“共享内存”的机制实现进程间通信。主进程以root用户身份运行,而worker、cache loader和cache manager均应以非特权用户运行;

主进程主要完成如下工作:

  1. 读取并验证配置文件
  2. 创建、绑定及关闭套接字
  3. 启动、种植及维护worker进程的个数
  4. 无须终止服务而重新配置工作特性
  5. 控制非终端式程序升级,启用新的二进制程序并在需要时回滚至老版本
  6. 重新打开日志文件,实现日志滚动
  7. 编译嵌入式perl脚本

worker进程主要完成的任务包括:

  1. 接收、传入并处理来自客户端的连接
  2. 提供反向代理及过滤功能
  3. nginx任何能完成的其他任务

cache loader进程主要完成的任务包括:

  1. 检查缓存存储中的缓存对象
  2. 使用缓存元数据建立内存数据库

cache manager进程的主要任务:
1、缓存的失效及过期检验

Nginx的配置有着几个不同的上下文:main、http、server、upstream和location(还有实现右键服务反向代理的mail)。配置语法的格式和定义方式遵循所谓的C风格,因此支持嵌套,还有着逻辑清晰并易于创建、阅读和维护等优势; 

Nginx的代码是由一个核心和一系列的模块组成,核心主要用于提供web server的基本功能,以及web和mail反向代理的功能,还用于启用网络协议,创建必要的运行时环境以及确保不同的模块之间平滑的进行交互。不过,大多数协议相关的功能和某应用特有的功能都是由nginx的模块实现的,这些功能模块大致可分为事件模块、阶段性处理器、输出过滤器、变量处理器、协议、upstream和负载均衡几个类别,这些共同组成了nginx的http功能,时间模块主要用于提供OS独立的(不同的操作系统的时间机制有所不同)时间通知机制如kqueue或epoll等。协议模块则负责实现nginx通过http、tls/ssl、smtp、pop3以及imap与对应的客户端建立会话。

在nginx内部,进程间的通信是通过模块的pipeline或chain实现的:换句话说,每一个功能或操作都由一个模块实现。例如:压缩、通过FastCGI或uwsgi协议与upstream服务器通信,以及与memcached建立会话等;

sendfile:在内核直接完成文件封装发送给请求;

源码编译安装nginx

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
#yum groupinstall "Development Tools" "Server Platform Libraries" 
#tar xf nginx-1.4.1.tar.gz 
#groupadd -r -g 492 nginx 
#useradd -r -g 492 -u 492 nginx 
 
编译和安装 
./configure \ 
--prefix=/usr \ 
--sbin-path=/usr/sbin/nginx \ 
--conf-path=/etc/nginx/nginx.conf \ 
--error-log-path=/var/log/nginx/error.log \ 
--http-log-path=/var/log/nginx/access.log \ 
--pid-path=/var/run/nginx/nginx.pid \ 
--lock-path=/var/lock/nginx.lock \ 
--user=nginx \ 
--group=nginx \ 
--with-http_ssl_module \ 
--with-http_flv_module \ 
--with-http_stub_status_module \ 
--with-http_gzip_static_module \ 
--http-client-body-temp-path=/var/tmp/nginx/client/ \ 
--http-proxy-temp-path=/var/tmp/nginx/proxy/ \ 
--http-fastcgi-temp-path=/var/tmp/nginx/fcgi/ \ 
--http-uwsgi-temp-path=/var/tmp/nginx/uwsgi \ 
--http-scgi-temp-path=/var/tmp/nginx/scgi \ 
--with-file-aio \ 
--with-http_image_filter_module \ 
--with-pcre\ 
 --with-http_mp4_module 
#make && make install 
 
依赖包: 
#yum install pcre-devel  openssl-devel gd-devel 
 
#chmod +x /etc/rc.d/init.d/nginx 
#chkconfig --add nginx 
#chkconfig nginx on 
#service nginx start 
 
如果出现: 
nginx: [emerg] mkdir() "/var/tmp/nginx/client/" failed (2: No such file or directory) 
#mkdir -pv /var/tmp/nginx/client 
 
 
 
测试页位置: 
cd /usr/html/ 
 
配置文件: 
cd /etc/nginx/ 
 
vim nginx.conf 
 
worker_processes  2;   这个最前面有指定 
events{ 
    worker_connections 1024;     最多支持2*1024个请求;这个要注意!!! 
} 
http{ 
    .......... 
} 
server{                     定义虚拟主机 
    location /URI/ { 
        root html; 
        index index.html index.htm; 
    } 
} 
 
location [ = | ~ | ~* | ^~ ]uri {...} 
 location URI{}: 
     对当前路径及子路径下的所有对象都生效; 
 
 location = URI{}: 
     精确匹配指定的路径,不包括子路径,因此,只对当前资源生效; 
 
 location ~URI{}: 
 location ~* URI{}: 
     模式匹配URI,此处的URI可使用正则表达式,~区分字符大小写,~*不区分字符大小写; 
 
 location ^~ URI{}: 
     不使用正则表达式 
 
 优先级: 
     = > ^~ > ~|~* 
 
 
例如: 
location /{ 
    root /web/htdocs; 
    index index.html index.htm; 
} 
location /bbs/ { 
    root  /web; 
} 
 
/web/bbs 
 
定义访问控制: 
①基于IP 
    location / { 
        deny all; 
        allow 192.168.1.2; 
    } 
 
    location /bbs/ { 
        deny 192.168.1.12; 
    } 
②基于用户 
    location / { 
        auth_basic "Restricted"; 
        auth_basic_user_file /etc/nginx/.users; 
    } 
提供用户:htpasswd -c  -m /etc/nginx/.users tom 
第二次时不能使用 -c 选项; 
 
autoindex:列出所有网页,默认没打开,建议不打开; 
 
可以查看服务器的状态信息: 
location /status { 
    stub_status on;   实际使用应该定义用户访问,如上; 
} 
已经接受连接的个数,已经处理的连接的个数,已经处理的请求的个数 
reading --nginx 正在读取其首部请求的个数; 
writing -- nginx 正在读取其主体的请求的个数、正处理着其请求内容的请求的个数或者正在向其客户发送响应的个数 
waiting -- 长连接模式的保持的连接个数; 
 
支持SSL 
ssl_certificate /etc/nginx/ssl/nginx.crt; 
ssl_certificate_key   /etc/nginxssl/nginx.key; 
 
location / { 
    root /web/ssl; 
    index index.html index.htm; 
} 
创建CA: 
cd /etc/pki/CA 
(umask 077;openssl genrsa 2048 > private/cakey.pem) 
openssl req -new -x509 -key private/cakey.pem -out cacert.pem 
touch serial 
echo 01 > serial 
touch index.txt 
 
mkdir /etc/nginx/ssl 
cd /etc/nginx/ssl 
(umask 077; openssl genrsa 1024 > nginx.key) 
openssl req -new -key nginx.key -out nginx.csr 
 
openssl ca -in nginx.csr -days 3650 
 
这样就创建成功; 
 
 
如何定义虚拟主机? 
 
server { 
    listen 80; 
    server_name www.a.org; 
    location /{ 
        root /web/a.org 
        index index.html; 
    } 
} 
 
 
 
如何实现LNMP: 
mysql要注意: 
#vim /etc/ld.so.conf.d/mysql.conf 
/usr/local/mysql/lib 
#ldconfig -v 
 
#ln -sv /usr/local/mysql/include /usr/include/mysql

编译PHP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
./configure --prefix=/usr/local/php\ 
 --with-openssl --with-mysql=/usr/local/mysql  \ 
  --enable-fpm --enable-sockets \ 
  --enable-sysvshm \ 
  --with-mysqli=/usr/local/mysql/bin/mysql_config \ 
  --enable-mbstring --with-freetype-dir\ 
   --with-jpeg-dir --with-png-dir --with-zlib \ 
   --with-libxml-dir \ 
   --enable-xml --with-mhash\ 
 --with-mcrypt \ 
  --with-config-file-scan-dir=/etc/php.d \ 
  --with-bz2 --with-config-file-path=/etc --with-curl 
 
 
yum install libxml2-devel bzip2-devel libcurl-devel libmcrypt-devel epel--release 
如果不想麻烦,可以使用epel源试试; 
mcrypt源码编译的,可参考前面的php源码安装; 
 
为php提供给配置文件: 
#cp php.ini-production /etc/php.ini 
 
为php-fpm提供Sysv init脚本,并将其添加至服务列表: 
#cp sapi/fpm/init.d.php-fpm /etc/rc.d/init.t/php-fpm 
#chmod +x /etc/rc.d/init.d/php-fpm 
#chkconfig --add php-fpm 
#chkconfig php-fpm on 
 
为php-fpm提供配置文件: 
#cp /usr/local/php/etc/php-fpm.conf.default /usr/local/php/etc/php-fpm.conf 
 
编辑php-fpm的配置文件: 
#vim /usr/local/php/etc/php-fpm.conf 
配置fpm的相关选项为你所需要的值,并启用pid文件 
pm.max_children=50 
pm.start_servers=5 
pm.min_spare_servers=2 
pm.max_spare_servers=8 
pid=/usr/local/php/var/run/php-fpm.pid 
 
接下来启动php-fpm: 
#service php-fpm start 
 
接下来验证下: 
#ps aux | grep php-fpm 
 
整合nginx和php 
①编辑/etc/nginx/nginx.conf,启用如下选项: 
location ~ \.php${ 
    root                html; 
    fastcgi_pass     127.0.0.1:9000; 
    fastcgi_index    index.php; 
    fastcgi_param  SCRIPT_FILENAME /scripts$fastcgi_script_name; 
    include              fastcgi_params;     
} 
②编辑/etc/nginx/fastcgi_params,将其内容改为如下内容: 
fastcgi_param      GATEWAY_INTERFACE   CGI/1.1; 
fastcgi_param      SERVER_SOFTWARE        nginx; 
fastcgi_param      QUERY_STRING               $query_string; 
fastcgi_param      REQUEST_METHOD         $request_method; 
fastcgi_param      CONTENT_TYPE               $content_type; 
fastcgi_param      CONTENT_LENGTH         $content_length; 
fastcgi_param      SCRIPT_FILENAME          $document_root$fastcgi_script_name; 
fastcgi_param      SCRIPT_NAME                 $fastcgi_script_name; 
fastcgi_param      REQUEST_URI                  $request_uri; 
fastcgi_param      DOCUMENT_URI            $document_uri; 
fastcgi_param      DOCUMENT_ROOT        $document_root; 
fastcgi_param      SERVER_PROTOCOL       $server_protocol; 
fastcgi_param      REMOTE_ADDR               $remote_addr; 
fastcgi_param      REMOTE_PORT                $remote_port; 
fastcgi_param      SERVER_ADDR                 $server_addr; 
fastcgi_param      SERVER_PORT                  $server_port; 
fastcgi_param      SERVER_NAME                $server_name; 
 
 
并在所支持的主页面格式中添加php格式的主页,类似如下: 
location / { 
        root html; 
        index index.php index.html index.htm; 
} 
 
而后重新载入nginx的配置文件: 
service nginx reload 
 
③在/usr/html新建index.php的测试页面,测试php是否正常; 
cat > /usr/html/index.php<<EOF 
<?php 
phpinfo(); 
?> 
EOF

还有安装xcache;;;;

安装xcache3.2.0,如果使用php-5.6.7会出现两者无法结合的现象,可以使用php-5.6.11版本,编译安装xcache后,一切不需要动,直接service php-fpm restart即可,
然后phpinfo测试下即可;;;

nginx -t
service nginx testconfig   这两个可以检查配置文件是否正确;

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

探索世界美好的存在。