使用YARP来实现负载均衡
YARP (“Yet Another Reverse Proxy”) 是一个库,可帮助创建高性能、生产就绪且高度可自定义的反向代理服务器。
YARP 是使用 ASP.NET 和 .NET(.NET 6 及更高版本)的基础结构在 .NET 上构建的,旨在通过 .NET 代码轻松自定义和调整,以满足每个部署方案的特定需求。所以,它支持配置文件,也可以基于自己的后端配置管理系统以编程方式管理配置。
许多现有代理都是为了支持 HTTP/1.1 而构建的,但随着工作负载更改为包括 gRPC 流量,它们需要 HTTP/2 支持,这需要更复杂的实现。通过使用 YARP,项目可以自定义路由和处理行为,而不必实现 http 协议。
同类应用
YARP 的主要用途是负载均衡,它将请求路由到后端服务器,并根据负载均衡策略(如轮询、随机、权重等)将请求分发到后端服务器。目前流行的同类应用有 Nginx、HAProxy 等。
YARP 是在 .NET Core 基础结构之上实现的,可在 Windows、Linux 或 MacOS 上使用。 可以使用 SDK 和您最喜欢的编辑器 Microsoft Visual Studio 或 Visual Studio Code 进行开发。
创建新项目
使用以下步骤生成的项目的完整版本可在基本 YARP 示例中找到。
首先,使用命令行创建一个 “Empty” ASP.NET Core 应用程序:
dotnet new web -n MyProxy -f net8.0
添加项目引用
dotnet add package Yarp.ReverseProxy
添加 YARP 中间件
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddReverseProxy()
.LoadFromConfig(builder.Configuration.GetSection("ReverseProxy"));
var app = builder.Build();
app.MapReverseProxy();
app.Run();
配置
YARP 的配置在 appsettings.json 文件中定义。有关详细信息,请参阅配置文件。
还可以通过编程方式提供配置。有关详细信息,请参阅 配置提供程序。
您可以通过查看 RouteConfig 和 ClusterConfig 来了解有关可用配置选项的更多信息。
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"ReverseProxy": {
"Routes": {
"route1" : {
"ClusterId": "cluster1",
"Match": {
"Path": "{**catch-all}"
}
}
},
"Clusters": {
"cluster1": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
运行项目
dotnet run --project <path to .csproj file>
其他配置
我们创建了一个完整的YARP项目,可在Github上找到:Gateways
负载均衡
创建了两个路由,baidu-route 和 example-route,分别对应百度和example.com。当使用localhost和127.0.0.1访问时,将请求转发到对应的后端服务器。有关详细信息,请参阅负载均衡。
{
"ReverseProxy": {
"Routes": {
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
}
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
}
},
"Clusters": {
"baidu-cluster": {
"Destinations": {
"destination1": {
"Address": "https://www.baidu.com/"
}
}
},
"example-cluster": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
缓存
反向代理可用于缓存代理响应,并在请求代理到目标服务器之前提供请求。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅输出缓存。
输出缓存策略可以在 Program.cs 中配置,如下所示:
#region cache
string defaultCachePolicyName = "DefaultCache";
builder.Services.AddOutputCache(options =>
{
string expire = configuration["App:CacheExpire"] ?? "20";
int expireSeconds = int.Parse(expire);
options.AddPolicy("NoCache", build => build.NoCache());
options.AddPolicy(defaultCachePolicyName, build => build.Expire(TimeSpan.FromSeconds(20)));
options.AddPolicy("CustomCache", build => build.Expire(TimeSpan.FromSeconds(expireSeconds)));
});
#endregion
app.UseOutputCache();
增加OutputCachePolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"OutputCachePolicy": "DefaultCache",
},
OutputCachePolicy值为:DefaultCache时,则使用默认缓存策略,缓存20秒。如:CustomCache,则使用自定义缓存策略, 自定义缓存时间, 读取配置文件App:CacheExpire。如果没有配置,或者配置NoCache,则不使用缓存功能。
限流
反向代理可用于在将请求代理到目标服务器之前对请求进行速率限制。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅RateLimiter。
RateLimiter 策略可以在 Program.cs 中配置,如下所示:
#region rate limiter
string defaultRateLimiterPolicyName = "DefaultRateLimiter";
builder.Services.AddRateLimiter(options =>
{
options.AddFixedWindowLimiter(defaultRateLimiterPolicyName, opt =>
{
opt.PermitLimit = 4;
opt.Window = TimeSpan.FromSeconds(12);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = 2;
});
options.AddFixedWindowLimiter("CustomRateLimiter", opt =>
{
opt.PermitLimit = rateLimitOptions.PermitLimit;
opt.Window = TimeSpan.FromSeconds(rateLimitOptions.Window);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = rateLimitOptions.QueueLimit;
});
});
#endregion
app.UseRateLimiter();
增加RateLimiterPolicy配置到路由中,如:
"CustomRateLimit": {
"PermitLimit": 100,
"Window": 10,
"QueueLimit": 2
},
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"RateLimiterPolicy": "DefaultRateLimiter"
},
RateLimiterPolicy值为:DefaultRateLimiter时,则使用默认限流策略,每12秒,最多允许4个请求。如:CustomRateLimiter,则使用自定义限流策略,自定义限流策略, 读取配置文件CustomRateLimit。如果没有配置,则不使用限流功能。
请求超时
超时和超时策略可以通过 RouteConfig 为每个路由指定,并且可以从配置文件的各个部分进行绑定。与其他路由属性一样,可以在不重新启动代理的情况下修改和重新加载此属性。有关详细信息,请参阅请求超时。
超时策略可以在 Program.cs 中配置,如下所示:
#region timeouts
builder.Services.AddRequestTimeouts(options => { options.AddPolicy("CustomPolicy", TimeSpan.FromSeconds(30)); });
#endregion
app.UseRequestTimeouts();
30秒为自定义超时时间。
增加TimeoutPolicy配置到路由中,亦可以直接配置Timeout,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"Timeout": "00:00:30"
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
"TimeoutPolicy": "CustomPolicy"
}
TimeoutPolicy和Timeout不可同时配置到同一个路由上面。
跨域
反向代理可以在跨域请求被代理到目标服务器之前处理这些请求。这可以减少目标服务器上的负载,并确保在应用程序中实施一致的策略。有关详细信息,请参阅跨域请求(CORS)。
跨域策略可以在 Program.cs 中配置,如下所示:
#region CORS
string defaultCorsPolicyName = "DefaultCors";
builder.Services.AddCors(options =>
{
options.AddPolicy(defaultCorsPolicyName, policy =>
{
string corsOrigins = configuration["App:CorsOrigins"] ?? "";
if (!string.IsNullOrWhiteSpace(corsOrigins))
{
string[] origins = corsOrigins.Split(",", StringSplitOptions.RemoveEmptyEntries)
.Select(x => x.Trim())
.Select(x =>
{
return x.EndsWith("/", StringComparison.Ordinal) ? x.Substring(0, x.Length - 1) : x;
}).ToArray();
policy = policy.WithOrigins(origins);
}
else
{
policy = policy.AllowAnyOrigin();
}
policy.SetIsOriginAllowedToAllowWildcardSubdomains()
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials();
});
});
#endregion
app.UseCors();
增加CorsPolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"CorsPolicy": "DefaultCors"
},
CorsPolicy值为:DefaultCors时,则使用默认跨域策略。读取配置文件App:CorsOrigins。如果没有配置,则不使用跨域策略。
HTTPS
HTTPS(HTTP over TLS 加密连接)是出于安全性、完整性和隐私原因在 Internet 上发出 HTTP 请求的标准方式。使用反向代理(如 YARP)时,需要考虑几个 HTTPS/TLS 注意事项。
YARP 是 7 级 HTTP 代理,这意味着传入的 HTTPS/TLS 连接由代理完全解密,因此它可以处理和转发 HTTP 请求。这通常称为 TLS 终止。到目标的传出连接可能加密,也可能不加密,具体取决于提供的配置。
有关详细信息,请参阅HTTPS。
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443);
});
app.UseHsts();
app.UseHttpsRedirection();
自动生成HTTPS证书
YARP 可以通过使用另一个 ASP.NET Core 项目 LettuceEncrypt 的 API 来支持证书颁发机构 Lets Encrypt。它允许您以最少的配置在客户端和 YARP 之间设置 TLS。有关详细信息,请参阅LettuceEncrypt。
builder.Services.AddLettuceEncrypt()
.PersistDataToDirectory(new DirectoryInfo(Path.Combine(env.ContentRootPath, "certs")), "");
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443,
portOptions => { portOptions.UseHttps(h => { h.UseLettuceEncrypt(kestrel.ApplicationServices); }); });
});
"LettuceEncrypt": {
"AcceptTermsOfService": true,
"DomainNames": [
"example.com"
],
"EmailAddress": "it-admin@example.com"
}
DomainNames为域名,EmailAddress为邮箱地址。
使用中间件实现waf
ASP.NET Core 使用中间件管道将请求处理划分为离散的步骤。应用程序开发人员可以根据需要添加和订购中间件。ASP.NET Core 中间件还用于实现和自定义反向代理功能。
反向代理IEndpointRouteBuilderExtensions 提供了一个重载,允许您构建一个中间件管道,该管道将仅针对与代理配置的路由匹配的请求运行。有关详细信息,请参阅Middleware。
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.Use((context, next) =>
{
// Custom inline middleware
return next();
});
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
如果我们的应用对安全性验证要求比较高的话,我们可以使用中间件来实现waf。通过中间件对请求进行验证,比如新建一个WafMiddleware类:
namespace StargazerGateway;
public static class WafMiddleware
{
public static void UseWaf(this IReverseProxyApplicationBuilder proxyPipeline)
{
proxyPipeline.Use((context, next) =>
{
if (!CheckServerDefense(context))
{
context.Response.StatusCode = 444;
return context.Response.WriteAsync("I catch you!");
}
return next();
});
}
private static bool CheckServerDefense(HttpContext context)
{
if(!CheckHeader(context)) return false;
if(!CheckQueryString(context)) return false;
if(!CheckBody(context)) return false;
return true;
}
private static bool CheckHeader(HttpContext context)
{
// TODO: 检查请求头是否包含敏感词
return true;
}
private static bool CheckQueryString(HttpContext context)
{
if(context.Request.Query.ContainsKey("base64_encode")
|| context.Request.Query.ContainsKey("base64_decode")
|| context.Request.Query.ContainsKey("WEB-INF")
|| context.Request.Query.ContainsKey("META-INF")
|| context.Request.Query.ContainsKey("%3Cscript%3E")
|| context.Request.Query.ContainsKey("%3Ciframe")
|| context.Request.Query.ContainsKey("%3Cimg")
|| context.Request.Query.ContainsKey("proc/self/environ")
|| context.Request.Query.ContainsKey("mosConfig_"))
{
return false;
}
// TODO: 检查请求参数是否包含敏感词
return true;
}
private static bool CheckBody(HttpContext context)
{
if (context.Request.Method == "POST"
|| context.Request.Method == "PUT"
|| context.Request.Method == "PATCH")
{
// TODO: 读取请求体, 判断是否包含敏感词
// 重置请求体
context.Request.Body.Seek(0, SeekOrigin.Begin);
return true;
}
return true;
}
}
然后在反向代理中添加中间件:
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.UseWaf();
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
中间件在调用时,会先检查请求头、请求参数、请求体,如果包含敏感词,则返回444状态码,表示请求被拦截。当然这些都会产生额外的开销,影响性能。因此需要根据实际情况进行优化。
相关链接
- Microsoft Visual Studio: https://visualstudio.microsoft.com/vs/
- Visual Studio Code: https://code.visualstudio.com/
- YARP 示例 https://github.com/microsoft/reverse-proxy/tree/release/latest/samples/BasicYarpSample
- YARP 文档 https://microsoft.github.io/reverse-proxy/
- YARP 配置 https://microsoft.github.io/reverse-proxy/articles/config-files.html
- RouteConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.RouteConfig.html
- ClusterConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.ClusterConfig.html
- Gateways https://github.com/huangmingji/Stargazer.Abp.Template/tree/main/models/Gateways
- 负载均衡 https://microsoft.github.io/reverse-proxy/articles/load-balancing.html
- 输出缓存 https://microsoft.github.io/reverse-proxy/articles/output-caching.html
- RateLimiter https://microsoft.github.io/reverse-proxy/articles/rate-limiting.html
- 请求超时 https://microsoft.github.io/reverse-proxy/articles/timeouts.html
- 跨域请求(CORS)https://microsoft.github.io/reverse-proxy/articles/cors.html
- HTTPS https://microsoft.github.io/reverse-proxy/articles/https-tls.html
- LettuceEncrypt https://microsoft.github.io/reverse-proxy/articles/lets-encrypt.html
- Middleware https://microsoft.github.io/reverse-proxy/articles/middleware.html
使用YARP来实现负载均衡的更多相关文章
- 【大型网站技术实践】初级篇:借助LVS+Keepalived实现负载均衡
一.负载均衡:必不可少的基础手段 1.1 找更多的牛来拉车吧 当前大多数的互联网系统都使用了服务器集群技术,集群即将相同服务部署在多台服务器上构成一个集群整体对外提供服务,这些集群可以是Web应用服务 ...
- Windows平台分布式架构实践 - 负载均衡
概述 最近.NET的世界开始闹腾了,微软官方终于加入到了对.NET跨平台的支持,并且在不久的将来,我们在VS里面写的代码可能就可以通过Mono直接在Linux和Mac上运行.那么大家(开发者和企业)为 ...
- 微软Azure 经典模式下创建内部负载均衡(ILB)
微软Azure 经典模式下创建内部负载均衡(ILB) 使用之前一定要注意自己的Azure的模式,老版的为cloud service模式,新版为ARM模式(资源组模式) 本文适用于cloud servi ...
- 前端学HTTP之重定向和负载均衡
前面的话 HTTP并不是独自运行在网上的.很多协议都会在HTTP报文的传输过程中对其数据进行管理.HTTP只关心旅程的端点(发送者和接收者),但在包含有镜像服务器.Web代理和缓存的网络世界中,HTT ...
- Windos环境用Nginx配置反向代理和负载均衡
Windos环境用Nginx配置反向代理和负载均衡 引言:在前后端分离架构下,难免会遇到跨域问题.目前的解决方案大致有JSONP,反向代理,CORS这三种方式.JSONP兼容性良好,最大的缺点是只支持 ...
- Nginx反向代理,负载均衡,redis session共享,keepalived高可用
相关知识自行搜索,直接上干货... 使用的资源: nginx主服务器一台,nginx备服务器一台,使用keepalived进行宕机切换. tomcat服务器两台,由nginx进行反向代理和负载均衡,此 ...
- 负载均衡——nginx理论
nginx是什么? nginx是一个强大的web服务器软件,用于处理高并发的http请求和作为反向代理服务器做负载均衡.具有高性能.轻量级.内存消耗少,强大的负载均衡能力等优势. nginx架构? ...
- Supermap iCloudManager -负载均衡
Supermap icm负载均衡理解: 应用场景:地图出图 子节点1和子节点2中的服务保持一致,一般情况下设置的是匿名用户通过nginx访问服务信息,所以不需要登录. 1.通过nginx分发请求,(轮 ...
- asp.net core 实战之 redis 负载均衡和"高可用"实现
1.概述 分布式系统缓存已经变得不可或缺,本文主要阐述如何实现redis主从复制集群的负载均衡,以及 redis的"高可用"实现, 呵呵双引号的"高可用"并不是 ...
- asp.net core 负载均衡集群搭建(centos7+nginx+supervisor+kestrel)
概述 本文目的是搭建三台asp.net core 集群, 并配上 nginx做负载均衡 首先准备要运行的源码 http://pan.baidu.com/s/1c20x0bA 准备三台服务器(或则虚 ...
随机推荐
- Patlibc———更快捷的更换libc
起初是为了简化做pwn题目时,来回更换libc的麻烦,为了简化命令,弄了一个小脚本,可以加入到/usr/local/bin中,当作一个快捷指令 这个写在了tools库(git clone https: ...
- LeetCode 二叉树的最近公共祖先
一.二叉搜索树的最近公共祖先 利用二叉搜索树的性质,祖先的两个孩子,左孩子的小于根节点的值,右孩子大于根节点的值. 如果根节点的值,同时大于p的值和q的值,那么在左子树找根节点: 如果根节点的值,同时 ...
- Angular Material 18+ 高级教程 – Get Started
前言 本编是 Angular Material 教程的开篇,我先介绍一下这个教程. 首先,Angular Material 教程不会像 Angular 教程那么注重原理,也很少会逛源码. 所以,如果你 ...
- uni-app v3.0.0-alpha-3090220231010001
https://uniapp.dcloud.net.cn/tutorial/ #-------------------------------------------------------- 未分类 ...
- Tomcat——idea集成本地Tomcat
IDEA 集成本地Tomcat 添加配置 添加本地Tomcat服务器 配置本地Tomcat路径 部署项目 在 webapp 中添加一个简单的页面作 ...
- AD域下,没有登录服务器处理登录请求
原因: IP地址配置有问题 或者 DNS : 解决办法: 重新设置 IP地址 和 DNS : 此案例中, 切换到 test 账户(域管理员)后发现 , 未配置 IP地址 和 DNS :
- angularjs中控制视图的控制器的两种注入依赖项及服务的写法
在AngularJS中,控制器是用于控制视图行为的重要组件.当定义控制器时,有两种主要的方式注入依赖项: 1. 显式依赖注入,聚聚使用字符串数组形式来注入依赖项: myapp.controller(' ...
- 【赵渝强老师】使用MongoDB的命令行工具:mongoshell
一.启动mongo shell 安装好MongoDB后,直接在命令行终端执行下面的命令: mongo 如下图所示: 可选参数如下: 也可以简写为: 在mongo shell中使用外部编辑器,如:vi, ...
- iOS工厂模式使用小结
一.什么是工厂方法? 正式的解释是:在基类中定义创建对象的一个接口,让子类决定实例化哪个类.工厂方法让一个类的实例化延迟到子类中进行.工厂方法要解决的问题是对象的创建时机,它提供了一种扩展的策略,很好 ...
- CEOI2023
Day1 T1 A Light Inconvenience (light) 题意:若干个人排成一个队列,保证任何时刻队列中都有至少一个人.每个人手中有一个火把,火把有点亮和熄灭两种状态. 现在进行 \ ...