haproxy
HAProxy介绍
HAProxy是法国开发者威利塔罗(Willy Tarreau)在2000年使用C语言开发的一个开源软件,是一款具备高并发(一万以上)、高性能的TCP和HTTP负载均衡器,支持基于cookie的持久性,自动故障切换,支持正则表达式及web状态统计,目前最新TLS版本为2.0
历史版本:
历史版本更新功能:1.4 1.5 1.6 1.7 1.8 1.9 2.0 2.1 2.2-dev1.8:多线程,HTTP/2缓存……1.7:服务器动态配置,多类型证书……1.6:DNS解析支持,HTTP连接多路复用……1.5:开始支持SSL,IPV6,会话保持……从2013年HAProxy 分为社区版和企业版,企业版将提供更多的特性和功能以及全天24小时的技术支持等服务。
企业版
企业版网站:https://www.haproxy.com/
社区版
社区版网站:http://www.haproxy.org/
github:https://github.com/haproxy
版本对比
HAProxy功能
支持功能:
TCP 和 HTTP反向代理SSL/TSL服务器可以针对HTTP请求添加cookie,进行路由后端服务器可平衡负载至后端服务器,并支持持久连接支持所有主服务器故障切换至备用服务器支持专用端口实现监控服务支持停止接受新连接请求,而不影响现有连接可以在双向添加,修改或删除HTTP报文首部响应报文压缩支持基于pattern实现连接请求的访问控制通过特定的URI为授权用户提供详细的状态信息
支持http反向代理支持动态程序的反向代理支持基于数据库的反向代理不具备的功能:
正向代理--squid,nginx缓存代理--varnishweb服务--nginx、tengine、apache、php、tomcatUDP--目前不支持UDP协议单机性能--相比LVS性能较差实验环境
主机一:haproxy 192.168.234.88
主机二:rs1 192.168.234.10
主机三:rs2 192.168.234.20
在两台rs主机上都安装nginx:
dnf install nginx -y
systemctl enable nginx.service --now #设置开机自启
两台主机都关闭防火墙和selinux:
systemctl disable firewalld --now
setenforce 0
给两台主机各一个测试页面:
echo \"rs1-192.168.234.10 \" > /usr/share/nginx/html/index.html
echo \"rs2-192.168.234.20 \" > /usr/share/nginx/html/index.html
安装haproxy
在haproxy主机上安装
dnf install haproxy -y
systemctl enable haproxy.service --now #设置开机自启
查看版本信息
haproxy的基本配置信息
global:全局配置段
- 进程及安全配置相关的参数
- 性能调整相关参数
- Debug参数
proxies:代理配置段
- defaults:为frontend, backend, listen提供默认配置
- frontend:前端,相当于nginx中的server {}
- backend:后端,相当于nginx中的upstream {}
- listen:同时拥有前端和后端配置,配置简单,生产推荐使用
global配置参数说明
global log 127.0.0.1 local2 #定义全局的syslog服务器;日志服务器需要开启UDP协议,最多可以定义两个 chroot /var/lib/haproxy #锁定运行目录 pidfile /var/run/haproxy.pid #指定pid文件 maxconn 100000 #指定最大连接数 user haproxy #指定haproxy的运行用户 group haproxy #指定haproxy的运行组 daemon #指定haproxy以守护进程方式运行 # turn on stats unix socket stats socket /var/lib/haproxy/stats #指定haproxy的套接字文件 nbproc 2 #指定haproxy的work进程数量,默认是1个 cpu-map 1 0 #指定第一个work绑定第一个cpu核心 cpu-map 2 1 #指定第二个work绑定第二个cpu核心 nbthread 2 #指定haproxy的线程数量,默认每个进程一个线程,此参数与nbproc互斥 maxsslconn 100000 #每个haproxy进程ssl最大连接数,用于haproxy配置了证书的场景下 maxconnrate 100 #指定每个客户端每秒建立连接的最大数量多线程和线程文件配置
global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 100000 user haproxy group haproxy daemon # turn on stats unix socket stats socket /var/lib/haproxy/haproxy.sock1 mode 600 level admin process 1 #启用多个sock文件 stats socket /var/lib/haproxy/haproxy.sock2 mode 600 level admin process 2 nbproc 2 #启用多进程 cpu-map 1 0 #进程和cpu核心绑定防止cpu抖动从而减少系统资源消耗 cpu-map 2 1 #2 表示第二个进程,1表示第二个cpu核心Proxies配置
defaults [] #默认配置项,针对以下的frontend、backend和listen生效,可以多个name也可以没有name
frontend #前端servername,类似于Nginx的一个虚拟主机 server和LVS服务集群。
backend #后端服务器组,等于nginx的upstream和LVS中的RS服务器
listen #将frontend和backend合并在一起配置,相对于frontend和backend配置更简洁,生产常用
注意:name字段只能使用大小写字母,数字,‘-’(dash),’_‘(underscore),’.’ (dot)和 ‘:\'(colon),并且严格区分大小写
defaults 配置参数:option redispatch #当server Id对应的服务器挂掉后,强制定向到其他健康的服务器,重新派发option abortonclose #当服务器负载很高时,自动结束掉当前队列处理比较久的链接,针对业务情况选择开启option http-keep-alive #开启与客户端的会话保持option forwardfor #透传客户端真实IP至后端web服务器mode http|tcp #设置默认工作类型,使用TCP服务器性能更好,减少压力timeout http-keep-alive 120s #session 会话保持超时时间,此时间段内会转发到相同的后端服务器timeout connect 120s #客户端请求从haproxy到后端server最长连接等待时间(TCP连接之前),默认单位mstimeout server 600s #客户端请求从haproxy到后端服务端的请求处理超时时长(TCP连接之后),默认单位ms,如果超时,会出现502错误,此值建议设置较大些,访止502错误timeout client 600s #设置haproxy与客户端的最长非活动时间,默认单位ms,建议和timeout server相同timeout check 5s #对后端服务器的默认检测超时时间default-server inter 1000 weight 3 #指定后端服务器的默认设置frontend 配置参数:bind: #指定HAProxy的监听地址,可以是IPV4或IPV6,可以同时监听多个IP或端口,可同时用于listen字段中#格式:bind []: [, ...] [param*]#注意:如果需要绑定在非本机的IP,需要开启内核参数:net.ipv4.ip_nonlocal_bind=1范例:listen http_proxy #监听http的多个IP的多个端口和sock文件 bind :80,:443,:8801-8810 bind 10.0.0.1:10080,10.0.0.1:10443 bind /var/run/ssl-frontend.sock user root mode 600 accept-proxylisten http_https_proxy #https监听 bind :80 bind :443 ssl crt /etc/haproxy/site.pem #公钥和私钥公共文件listen http_https_proxy_explicit #监听ipv6、ipv4和unix sock文件 bind ipv6@:80 bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem bind unix@ssl-frontend.sock user root mode 600 accept-proxylisten external_bind_app1 #监听file descriptor bind \"fd@${FD_APP1}\"示例:frontend magedu_web_port #可以采用后面形式命名:业务-服务-端口号 bind :80,:8080 bind 10.0.0.7:10080,:8801-8810,10.0.0.17:9001-9010 mode http|tcp #指定负载协议类型 use_backend #调用的后端服务器组名称Proxies配置-backend定义一组后端服务器,backend服务器将被frontend进行调用。mode http|tcp #指定负载协议类型,和对应的frontend必须一致option #配置选项server #定义后端real server注意:option后面加 httpchk,smtpchk,mysql-check,pgsql-check,ssl-hello-chk方法,可用于实现更多应用层检测功能。option 配置check #对指定real进行健康状态检查,如果不加此设置,默认不开启检查 addr #可指定的健康状态监测IP,可以是专门的数据网段,减少业务网络的流量 port #指定的健康状态监测端口 inter #健康状态检查间隔时间,默认2000 ms fall #后端服务器从线上转为线下的检查的连续失效次数,默认为3 rise #后端服务器从下线恢复上线的检查的连续有效次数,默认为2weight #默认为1,最大值为256,0表示不参与负载均衡,但仍接受持久连接backup #将后端服务器标记为备份状态,只在所有非备份主机down机时提供服务,类似Sorry Serverdisabled #将后端服务器标记为不可用状态,即维护状态,除了持久模式,将不再接受连接redirect prefix http://www.baidu.com/ #将请求临时(302)重定向至其它URL,只适用于http模式redir http://www.baidu.com #将请求临时(302)重定向至其它URL,只适用于http模式maxconn #当前后端server的最大并发连接数backlog #当前端服务器的连接数达到上限后的后援队列长度,注意:不支持backendfrontend+backend配置实例范例1:frontend magedu-test-http bind :80,:8080 mode tcp use_backend magedu-test-http-nodesbackend magedu-test-http-nodes mode tcp default-server inter 1000 weight 6 server web1 10.0.0.17:80 check weight 2 addr 10.0.0.117 port 8080 server web1 10.0.0.27:80 check范例2:#官网业务访问入口frontend WEB_PORT_80 bind 10.0.0.7:80 mode http use_backend web_prot_http_nodesbackend web_prot_http_nodes mode http option forwardfor server 10.0.0.17 10.0.0.17:8080 check inter 3000 fall 3 rise 5 server 10.0.0.27 10.0.0.27:8080 check inter 3000 fall 3 rise 5Proxies配置-listen替代frontend+backend使用listen替换上面的frontend和backend的配置方式,可以简化设置,通常只用于TCP协议的应用listen WEB_PORT_80 bind 10.0.0.7:80 mode http option forwardfor server web1 10.0.0.17:8080 check inter 3000 fall 3 rise 5 server web2 10.0.0.27:8080 check inter 3000 fall 3 rise 5socat工具
对服务器动态权重和其它状态可以利用 socat工具进行调整,Socat 是 Linux 下的一个多功能的网络工 具,名字来由是Socket CAT,相当于netCAT的增强版.Socat 的主要特点就是在两个数据流之间建立双向 通道,且支持众多协议和链接方式。如 IP、TCP、 UDP、IPv6、Socket文件等。
#安装socat
dnf install socat -y
#修改配置文件
vim /etc/haproxy/haproxy.cfg
#查看haproxy的状态
#查看集群状态
#设置权重
haproxy算法
static-rr:基于权重的轮询调度
- 不支持运行时利用socat进行权重的动态调整(只支持0和1,不支持其它值)
- 不支持端服务器慢启动
- 其后端主机数量没有限制,相当于LVS中的 wrr
vim /etc/haproxy/haproxy.cfg
测试:
first
- 根据服务器在列表中的位置,自上而下进行调度
- 只会当第一台服务器的连接数达到上限,新请求才会分配给下一台服务
- 会忽略服务器的权重设置
- 不支持用socat进行动态修改权重,可以设置0和1,可以设置其它值但无效
测试:
roundrobin:
- 1. 基于权重的轮询动态调度算法,
- 2. 支持权重的运行时调整,不同于lvs中的rr轮训模式,
- 3. HAProxy中的roundrobin支持慢启动(新加的服务器会逐渐增加转发数),
- 4. 其每个后端backend中最多支持4095个real server,
- 5. 支持对real server权重动态调整,
- 6. roundrobin为默认调度算法,此算法使用广泛
测试:
leastconn
- leastconn加权的最少连接的动态
- 支持权重的运行时调整和慢启动,即:根据当前连接最少的后端服务器而非权重进行优先调度(新客户 端连接)
- 比较适合长连接的场景使用,比如:MySQL等场景。
测试:
source
- 使用客户端的源 IP 地址计算哈希值,决定分配到哪个后端服务器。
- 哈希结果直接映射到服务器,权重不影响哈希分配本身(但影响服务器池的组成)。
- 确保来自同一个客户端的请求总是落到同一台服务器(只要服务器池不变)。简单但不够灵活,如果客户端使用代理或 NAT,大量不同用户可能共享同一个源 IP,导致负载不均衡。
测试:
uri
- 基于对用户请求的URI的左半部分或整个uri做hash,再将hash结果对总权重进行取模后
- 根据最终结果将请求转发到后端指定服务器
- 适用于后端是缓存服务器场景 默认是静态算法,也可以通过hash-type指定map-based和consistent,来定义使用取模法还是一致性 hash
测试:
url-param
url_param对用户请求的url中的 params 部分中的一个参数key对应的value值作hash计算,并由服务器 总权重相除以后派发至某挑出的服务器,后端搜索同一个数据会被调度到同一个服务器,多用与电商 通常用于追踪用户,以确保来自同一个用户的请求始终发往同一个real server 如果没key,将按roundrobin算法
测试:
同一个name稳定在一台rs中
不同name,rs也不同
hdr
- 针对用户每个http头部(header)请求中的指定信息做hash
- 此处由 name 指定的http首部将会被取出并做hash计算
- 然后由服务器总权重取模以后派发至某挑出的服务器,如果无有效值,则会使用默认的轮询调度
模拟不同浏览器访问,rs不同
Haproxy状态页
HAProxy 的状态页(Stats Page) 是实时监控负载均衡集群的核心工具,通过 Web 页面展示关键性能指标和后端节点状态。
(1)各种参数解析
基础配置项解析
参数 说明 示例
stats enable 启用状态页(无此选项则不生效) stats enable
stats uri 状态页访问路径 stats uri /admin?stats
stats auth 基础认证(明文用户/密码) stats auth admin:SecurePass123
stats refresh 页面自动刷新间隔(秒) stats refresh 5s
stats bind 监听地址和端口(默认同 frontend) stats bind :1936
进阶安全控制
参数 说明 生产环境示例
stats hide-version 隐藏 HAProxy 版本号(防漏洞扫描) stats hide-version
stats admin 动态启用管理功能(条件触发) stats admin if { src 10.0.0.0/24 }
stats http-request 集成 ACL 复杂控制 stats http-request allow if { src -f /etc/haproxy/allowlist }
stats realm 认证对话框提示文本 stats realm \"HAProxy Protected\"
实验配置
vim /etc/haproxy/haproxy.cfg
浏览器访问并输入用户名和密码
登录成功
ACL
访问控制列表(ACL,Access Control Lists)是一种基于包过滤的访问控制技术,它可以根据设定的条件对经过服务器传输的数据包进行过滤(条件匹配),即对接收到的报文进行匹配和过滤,基于请求报文头部中的源地址、源端口、目标地址、目标端口、请求方法、URL、文件后缀等信息内容进行匹配并执行进一步操作,比如允许其通过或丢弃。
定义ACL匹配规范,即:判断条件
hdr string,提取在一个HTTP请求报文的首部
hdr([ [,]]):完全匹配字符串,header的指定信息, 表示在多值中使用的值的出现次数
hdr_beg([ [,]]):前缀匹配,header中指定匹配内容的begin
hdr_end([ [,]]):后缀匹配,header中指定匹配内容end
hdr_dom([ [,]]):域匹配,header中的domain name
hdr_dir([ [,]]):路径匹配,header的uri路径
hdr_len([ [,]]):长度匹配,header的长度匹配
hdr_reg([ [,]]):正则表达式匹配,自定义表达式(regex)模糊匹配
hdr_sub([ [,]]):子串匹配,header中的uri模糊匹配
#示例:
hdr() 用于测试请求头部首部指定内容
hdr_dom(host) 请求的host名称,如 www.magedu.com
hdr_beg(host) 请求的host开头,如 www. img. video. download. ftp.
hdr_end(host) 请求的host结尾,如 .com .net .cn
#示例:
acl bad_agent hdr_sub(User-Agent) -i curl wget
block if bad_agent
#有些功能是类似的,比如以下几个都是匹配用户请求报文中host的开头是不是www:
acl short_form hdr_beg(host) www.
acl alternate1 hdr_beg(host) -m beg www.
acl alternate2 hdr_dom(host) -m beg www.
acl alternate3 hdr(host) -m beg www.
base : string
#返回第一个主机头和请求的路径部分的连接,该请求从第一个斜杠开始,并在问号之前结束,对虚拟主机有用
://:@#:/;#?#
base : exact string match
base_beg : prefix match
base_dir : subdir match
base_dom : domain match
base_end : suffix match
base_len : length match
base_reg : regex match
base_sub : substring match
path : string
#提取请求的URL路径,该路径从第一个斜杠开始,并在问号之前结束(无主机部分)
://:@:#/;#?#
path : exact string match
path_beg : prefix match #请求的URL开头,如/static、/images、/img、/css
path_end : suffix match #请求的URL中资源的结尾,如 .gif .png .css .js .jpg .jpeg
path_dom : domain match
path_dir : subdir match
path_len : length match
path_reg : regex match
path_sub : substring match
#示例:
path_beg -i /haproxy-status/
path_end .jpg .jpeg .png .gif
path_reg ^/images.*\\.jpeg$
path_sub image
path_dir jpegs
path_dom magedu
url : string
#提取请求中的URL。一个典型的应用是具有预取能力的缓存,以及需要从数据库聚合多个信息并将它们保存在缓存中的网页门户入口,推荐使用path
url :exact string match
url_beg : prefix match
url_dir : subdir match
url_dom : domain match
url_end : suffix match
url_len : length match
url_reg : regex match
url_sub : substring match
dst #目标IP
dst_port #目标PORT
src #源IP
src_port #源PORT
#示例:
acl invalid_src src 10.0.0.100 192.168.1.0/24
acl invalid_port src_port 0:1023
status : integer
#返回在响应报文中的状态码
#七层协议
acl valid_method method GET HEAD
http-request deny if ! valid_method
ACL匹配模式
-i 不区分大小写-m 使用指定的pattern匹配方法-n 不做DNS解析-u 禁止acl重名,否则多个同名ACL匹配或关系ACL调用方式:
与:隐式(默认)使用或:使用“or” 或 “||”表示否定:使用 \"!\" 表示 #示例:if valid_src valid_port #与关系,A和B都要满足为true,默认为与if invalid_src || invalid_port #或,A或者B满足一个为trueif ! invalid_src #非,取反,A和B哪个也不满足为trueACL示例-域名匹配
#cat /etc/haproxy/conf.d/test.cfg
frontend openlab_web
bind :80
mode http
balance roundrobin
log global
option httplog
###################### acl setting ###############################
acl pc_domain hdr_dom(host) -i www.yunjisuan.com
acl mobile_domain hdr_dom(host) -i mobile.yunjisuan.com
###################### acl hosts #################################
use_backend pc_hosts if pc_domain
use_backend mobile_hosts if mobile_domain
default_backend pc_hosts
###################### backend hosts #############################
backend mobile_hosts
mode http
server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5
backend pc_hosts
mode http
server web2 192.168.234.20:80 check inter 2000 fall 3 rise 5
[root@client ~]#curl www.yunjisuan.com
192.168.234.10
[root@client ~]#curl mobile.yunjisuan.com
192.168.234.20
ACL示例-基于源地址的访问控制
拒绝指定IP或者IP范围访问
测试:
listen web_host
bind :80
mode http
balance roundrobin
log global
option httplog
###################### acl setting ###############################
acl acl_deny_src src 192.168.234.0/24
###################### acl hosts #################################
#block if acl_deny_src #2.1版本后,不再支持block
http-request deny if acl_deny_src
#http-request allow
default_backend default_web
###################### backend hosts #############################
backend magedu_host
mode http
server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5
backend default_web
mode http
server web1 192.168.234.20:80 check inter 2000 fall 3 rise 5
[root@client ~]#curl www.yunjisuan.com
403 Forbidden
Request forbidden by administrative rules.</body
ACL示例-基于文件后缀名实现动静分离
#cat /etc/haproxy/conf.d/test.cfgfrontend magedu_http_port
bind :80
mode http
balance roundrobin
log global
option httplog
###################### acl setting ###############################
acl acl_static path_end -i .jpg .jpeg .png .gif .css .js
acl acl_php path_end -i .php
###################### acl hosts #################################
use_backend mobile_hosts if acl_static
use_backend app_hosts if acl_php
###################### backend hosts #############################
backend mobile_hosts
mode http
server web1 192.168.234.10:80 check inter 2000 fall 3 rise 5
backend app_hosts
mode http
server web2 192.168.234.20:80 check inter 2000 fall 3 rise 5
#分别在后端两台主机准备相关文件
[root@rs1 ~]#ls /usr/share/nginx/html
index.html wang.jpg
[root@rs2 ~]#cat /usr/share/nginx/html/test.php
ACL-匹配访问路径实现动静分离
#cat /etc/haproxy/conf.d/test.cfgfrontend magedu_http_port
bind :80
mode http
balance roundrobin
log global
option httplog
###################### acl setting ###############################
acl acl_static path_beg -i /static /images /javascript
acl acl_static path_end -i .jpg .jpeg .png .gif .css.js
###################### acl hosts #################################
use_backend static_hosts if acl_static
default_backend app_hosts
###################### backend hosts #############################
backend static_hosts
mode http
server web1 192.168.234.13:80 check inter 2000 fall 3 rise 5
backend app_hosts
mode http
server web2 192.168.234.11:80 check inter 2000 fall 3 rise 5
#创建相关文件
[root@rs2~]#mkdir /usr/share/nginx/html/static
[root@rs2 ~]#echo 192.168.234.20> /usr/share/nginx/html/static/test.html
#测试访问
[root@rs1 ~]#curl 192.168.234.20/static/test.html
192.168.234.13
Haproxy的四层负载
HAProxy 是一个高性能、高可用性的负载均衡器和反向代理软件。它的四层负载均衡模式,通常称为 TCP 模式或 Layer 4 (L4) 模式,专注于在传输层(TCP) 工作。这意味着 HAProxy 在此模式下不解析应用层协议(如 HTTP)的内容,它只处理 TCP 连接本身。
实验配置
vim /etc/haproxy/haproxy.cfg
#两台rs上都安装mariadb-server
dnf install mariadb-server
[root@rs1 ~]# vim /etc/my.cnf.d/mariadb-server.cnf
[root@rs2 ~]# vim /etc/my.cnf.d/mariadb-server.cnf
client上也安装mariadb-server用于测试
[root@client ~]# dnf install mariadb-server
测试:
退出再连接
实现了基于mariadb的负载均衡!
证书
haproxy可以实现https的证书安全,从用户到haproxy为https,从haproxy到后端服务器用http通信 但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现。
证书制作
[root@haproxy ~]# mkdir /etc/haproxy/certs #创造用来存放证书文件的目录
[root@haproxy ~]# openssl req -newkey rsa:2048 -nodes -sha256 -keyout /etc/haproxy/certs/hurry.org.key -x509 -days 365 -out /etc/haproxy/certs/hurry.org.crt roxy/certs/hurry.org.key -x509 -days 365 -out /etc/haproxy/certs/hurry.org.crt
openssl req 这是 OpenSSL 的子命令,用于处理证书签名请求。虽然名字叫 req,但结合 -x509 选项时,它可以直 接生成自签名证书,而无需先生成 CSR。-newkey rsa:2048 -newkey:指示 OpenSSL 生成一个新的私钥。 rsa:2048:指定新私钥的算法为 RSA,密钥长度为 2048 位。这是目前广泛使用的安全标准。-nodes 这个选项的意思是 \"不要用密码加密私钥\"。 如果省略 -nodes,OpenSSL 会在生成私钥时提示你设置一个密码。每次 HAProxy(或其他服务)启动使用这个私钥时,都需要输入密码,这对于自动启动的服务非常不便。 重要提示: 使用 -nodes 意味着私钥文件是未加密存储在磁盘上的。必须严格限制该文件的访问权限(通常设置为 600 或 400,仅限 root 或特定服务用户读取),否则存在安全风险。-sha256 指定生成证书请求(以及最终证书)时使用的哈希算法为 SHA-256。 这是当前推荐的安全哈希算法,替代了较弱的 SHA-1 或 MD5。-keyout /etc/haproxy/certs/hurry.org.key -keyout:指定新生成的私钥应保存到的文件路径和名称。 这里私钥将被保存到 /etc/haproxy/certs/hurry.org.key。确保 /etc/haproxy/certs/ 目录存在,或者你有权限创建它。-x509 这是命令的核心选项,改变了 openssl req 的默认行为。 通常 req 用于生成证书签名请求,需要提交给证书颁发机构 (CA) 签名。- x509 选项告诉 OpenSSL 直接生成一个自签名的 X.509 证书,而不是生成 CSR。该证书将使用刚刚生成的私钥进行签名。-days 365 指定生成的自签名证书的有效期,单位为天。 这里设置为 365 天(1 年)。你可以根据需要调整这个值(例如 -days 730 表示 2 年)。-out /etc/haproxy/certs/hurry.org.crt -out:指定生成的自签名证书应保存到的文件路径和名称。 这里证书将被保存到 /etc/haproxy/certs/hurry.org.crt。#把生成的key和crt文件都放到pem文件里
[root@haproxy certs]# vim /etc/haproxy/haproxy.cfg
[root@haproxy certs]# vim /etc/haproxy/haproxy.cfg
测试:
