为了进一步加强内网安全,在原有硬WAF的基础上,又在内网使用的社区版的雷池WAF,作为应用上层的软WAF。从而实现多WAF防护的架构。
经过进一步了解,发现雷池WAF的上游转发代理是基于Tengine的,所以萌生出了一个想法,就是让雷池既可以具备WAF的功能,又具备负载均衡和故障切换的能力。
接下来,开始正题
1、首先准备一个用于测试的HTTP Server,注意:这里需要实现一下 /status 这个路由,随便返回啥,只要是 200 的状态码就行。
package mainimport ("os""fmt""net/http"
)func Hello1Handler(w http.ResponseWriter, r *http.Request) {fmt.Fprintf(w, "I am 11111")
}func Hello2Handler(w http.ResponseWriter, r *http.Request) {fmt.Fprintf(w, "I am 22222")
}func check(w http.ResponseWriter, r *http.Request){fmt.Fprintf(w, "check")
}func main () {if len(os.Args) > 1 {http.HandleFunc("/hello", Hello1Handler)http.HandleFunc("/status", check)http.ListenAndServe(":8001", nil)} else {http.HandleFunc("/hello", Hello2Handler)http.HandleFunc("/status", check)http.ListenAndServe(":8002", nil)}
}
然后分别启动两个服务,分别在8001和8002端口。
2、在雷池里创建一个新的站点,并把上游服务器指向第一个节点。
测试访问正常,请求被代理到了8001的HTTP Server上
3、修改雷池Nginx的conf文件
文件路径:/data/safeline/resources/nginx/sites-enabled
下面会有好几个配置文件,命名格式为:IF_backend_* ,每新建一个网站,这里就会新增一个类似命名的文件。
这里找到刚新建的网站的conf文件(cat一下,看看监听端口什么的就能分辨出来)
我这里是IF_backend_2,这个文件。然后开始修改文件内的配置。
- 添加一个上游server:
- 配置基于健康检测的的负载均衡。这里仅是一些最基础的配置,你也可以根据自己的需求来修改和添加配置。
-
校验conf文件,并重启雷池的Nginx。
docker exec safeline-tengine nginx -t
-
下面的输出,表示校验通过
然后重启Nginx
docker exec safeline-tengine nginx -s reload
-
5、开始测试结果
- 负载均衡的测试
-
因为设置的weight是1,两个节点相等,所以请求在平均分配到两个节点上。
- 单节点掉线的测试
-
关闭8002上的HTTP Server
刷新页面,发现此时请求都集中到了8001的HTTP Server上
至此打完收工,雷池内置的Tengine(Nginx)本身自带了很多模块,常见的负载均衡应该都是可以配置的。再就自行探索吧!
PS:这里需要注意的是,当你自己修改完配置文件,又在系统内修改的话,自定义的一些配置会被覆盖了。所以提前自己做好备份。