使用YARP来实现负载均衡
YARP (“Yet Another Reverse Proxy”) 是一个库,可帮助创建高性能、生产就绪且高度可自定义的反向代理服务器。
YARP 是使用 ASP.NET 和 .NET(.NET 6 及更高版本)的基础结构在 .NET 上构建的,旨在通过 .NET 代码轻松自定义和调整,以满足每个部署方案的特定需求。所以,它支持配置文件,也可以基于自己的后端配置管理系统以编程方式管理配置。
许多现有代理都是为了支持 HTTP/1.1 而构建的,但随着工作负载更改为包括 gRPC 流量,它们需要 HTTP/2 支持,这需要更复杂的实现。通过使用 YARP,项目可以自定义路由和处理行为,而不必实现 http 协议。
同类应用
YARP 的主要用途是负载均衡,它将请求路由到后端服务器,并根据负载均衡策略(如轮询、随机、权重等)将请求分发到后端服务器。目前流行的同类应用有 Nginx、HAProxy 等。
YARP 是在 .NET Core 基础结构之上实现的,可在 Windows、Linux 或 MacOS 上使用。 可以使用 SDK 和您最喜欢的编辑器 Microsoft Visual Studio 或 Visual Studio Code 进行开发。
创建新项目
使用以下步骤生成的项目的完整版本可在基本 YARP 示例中找到。
首先,使用命令行创建一个 “Empty” ASP.NET Core 应用程序:
dotnet new web -n MyProxy -f net8.0
添加项目引用
dotnet add package Yarp.ReverseProxy
添加 YARP 中间件
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddReverseProxy()
.LoadFromConfig(builder.Configuration.GetSection("ReverseProxy"));
var app = builder.Build();
app.MapReverseProxy();
app.Run();
配置
YARP 的配置在 appsettings.json 文件中定义。有关详细信息,请参阅配置文件。
还可以通过编程方式提供配置。有关详细信息,请参阅 配置提供程序。
您可以通过查看 RouteConfig 和 ClusterConfig 来了解有关可用配置选项的更多信息。
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"ReverseProxy": {
"Routes": {
"route1" : {
"ClusterId": "cluster1",
"Match": {
"Path": "{**catch-all}"
}
}
},
"Clusters": {
"cluster1": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
运行项目
dotnet run --project <path to .csproj file>
其他配置
我们创建了一个完整的YARP项目,可在Github上找到:Gateways
负载均衡
创建了两个路由,baidu-route 和 example-route,分别对应百度和example.com。当使用localhost和127.0.0.1访问时,将请求转发到对应的后端服务器。有关详细信息,请参阅负载均衡。
{
"ReverseProxy": {
"Routes": {
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
}
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
}
},
"Clusters": {
"baidu-cluster": {
"Destinations": {
"destination1": {
"Address": "https://www.baidu.com/"
}
}
},
"example-cluster": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
缓存
反向代理可用于缓存代理响应,并在请求代理到目标服务器之前提供请求。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅输出缓存。
输出缓存策略可以在 Program.cs 中配置,如下所示:
#region cache
string defaultCachePolicyName = "DefaultCache";
builder.Services.AddOutputCache(options =>
{
string expire = configuration["App:CacheExpire"] ?? "20";
int expireSeconds = int.Parse(expire);
options.AddPolicy("NoCache", build => build.NoCache());
options.AddPolicy(defaultCachePolicyName, build => build.Expire(TimeSpan.FromSeconds(20)));
options.AddPolicy("CustomCache", build => build.Expire(TimeSpan.FromSeconds(expireSeconds)));
});
#endregion
app.UseOutputCache();
增加OutputCachePolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"OutputCachePolicy": "DefaultCache",
},
OutputCachePolicy值为:DefaultCache时,则使用默认缓存策略,缓存20秒。如:CustomCache,则使用自定义缓存策略, 自定义缓存时间, 读取配置文件App:CacheExpire。如果没有配置,或者配置NoCache,则不使用缓存功能。
限流
反向代理可用于在将请求代理到目标服务器之前对请求进行速率限制。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅RateLimiter。
RateLimiter 策略可以在 Program.cs 中配置,如下所示:
#region rate limiter
string defaultRateLimiterPolicyName = "DefaultRateLimiter";
builder.Services.AddRateLimiter(options =>
{
options.AddFixedWindowLimiter(defaultRateLimiterPolicyName, opt =>
{
opt.PermitLimit = 4;
opt.Window = TimeSpan.FromSeconds(12);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = 2;
});
options.AddFixedWindowLimiter("CustomRateLimiter", opt =>
{
opt.PermitLimit = rateLimitOptions.PermitLimit;
opt.Window = TimeSpan.FromSeconds(rateLimitOptions.Window);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = rateLimitOptions.QueueLimit;
});
});
#endregion
app.UseRateLimiter();
增加RateLimiterPolicy配置到路由中,如:
"CustomRateLimit": {
"PermitLimit": 100,
"Window": 10,
"QueueLimit": 2
},
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"RateLimiterPolicy": "DefaultRateLimiter"
},
RateLimiterPolicy值为:DefaultRateLimiter时,则使用默认限流策略,每12秒,最多允许4个请求。如:CustomRateLimiter,则使用自定义限流策略,自定义限流策略, 读取配置文件CustomRateLimit。如果没有配置,则不使用限流功能。
请求超时
超时和超时策略可以通过 RouteConfig 为每个路由指定,并且可以从配置文件的各个部分进行绑定。与其他路由属性一样,可以在不重新启动代理的情况下修改和重新加载此属性。有关详细信息,请参阅请求超时。
超时策略可以在 Program.cs 中配置,如下所示:
#region timeouts
builder.Services.AddRequestTimeouts(options => { options.AddPolicy("CustomPolicy", TimeSpan.FromSeconds(30)); });
#endregion
app.UseRequestTimeouts();
30秒为自定义超时时间。
增加TimeoutPolicy配置到路由中,亦可以直接配置Timeout,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"Timeout": "00:00:30"
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
"TimeoutPolicy": "CustomPolicy"
}
TimeoutPolicy和Timeout不可同时配置到同一个路由上面。
跨域
反向代理可以在跨域请求被代理到目标服务器之前处理这些请求。这可以减少目标服务器上的负载,并确保在应用程序中实施一致的策略。有关详细信息,请参阅跨域请求(CORS)。
跨域策略可以在 Program.cs 中配置,如下所示:
#region CORS
string defaultCorsPolicyName = "DefaultCors";
builder.Services.AddCors(options =>
{
options.AddPolicy(defaultCorsPolicyName, policy =>
{
string corsOrigins = configuration["App:CorsOrigins"] ?? "";
if (!string.IsNullOrWhiteSpace(corsOrigins))
{
string[] origins = corsOrigins.Split(",", StringSplitOptions.RemoveEmptyEntries)
.Select(x => x.Trim())
.Select(x =>
{
return x.EndsWith("/", StringComparison.Ordinal) ? x.Substring(0, x.Length - 1) : x;
}).ToArray();
policy = policy.WithOrigins(origins);
}
else
{
policy = policy.AllowAnyOrigin();
}
policy.SetIsOriginAllowedToAllowWildcardSubdomains()
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials();
});
});
#endregion
app.UseCors();
增加CorsPolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"CorsPolicy": "DefaultCors"
},
CorsPolicy值为:DefaultCors时,则使用默认跨域策略。读取配置文件App:CorsOrigins。如果没有配置,则不使用跨域策略。
HTTPS
HTTPS(HTTP over TLS 加密连接)是出于安全性、完整性和隐私原因在 Internet 上发出 HTTP 请求的标准方式。使用反向代理(如 YARP)时,需要考虑几个 HTTPS/TLS 注意事项。
YARP 是 7 级 HTTP 代理,这意味着传入的 HTTPS/TLS 连接由代理完全解密,因此它可以处理和转发 HTTP 请求。这通常称为 TLS 终止。到目标的传出连接可能加密,也可能不加密,具体取决于提供的配置。
有关详细信息,请参阅HTTPS。
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443);
});
app.UseHsts();
app.UseHttpsRedirection();
自动生成HTTPS证书
YARP 可以通过使用另一个 ASP.NET Core 项目 LettuceEncrypt 的 API 来支持证书颁发机构 Lets Encrypt。它允许您以最少的配置在客户端和 YARP 之间设置 TLS。有关详细信息,请参阅LettuceEncrypt。
builder.Services.AddLettuceEncrypt()
.PersistDataToDirectory(new DirectoryInfo(Path.Combine(env.ContentRootPath, "certs")), "");
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443,
portOptions => { portOptions.UseHttps(h => { h.UseLettuceEncrypt(kestrel.ApplicationServices); }); });
});
"LettuceEncrypt": {
"AcceptTermsOfService": true,
"DomainNames": [
"example.com"
],
"EmailAddress": "it-admin@example.com"
}
DomainNames为域名,EmailAddress为邮箱地址。
使用中间件实现waf
ASP.NET Core 使用中间件管道将请求处理划分为离散的步骤。应用程序开发人员可以根据需要添加和订购中间件。ASP.NET Core 中间件还用于实现和自定义反向代理功能。
反向代理IEndpointRouteBuilderExtensions 提供了一个重载,允许您构建一个中间件管道,该管道将仅针对与代理配置的路由匹配的请求运行。有关详细信息,请参阅Middleware。
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.Use((context, next) =>
{
// Custom inline middleware
return next();
});
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
如果我们的应用对安全性验证要求比较高的话,我们可以使用中间件来实现waf。通过中间件对请求进行验证,比如新建一个WafMiddleware类:
namespace StargazerGateway;
public static class WafMiddleware
{
public static void UseWaf(this IReverseProxyApplicationBuilder proxyPipeline)
{
proxyPipeline.Use((context, next) =>
{
if (!CheckServerDefense(context))
{
context.Response.StatusCode = 444;
return context.Response.WriteAsync("I catch you!");
}
return next();
});
}
private static bool CheckServerDefense(HttpContext context)
{
if(!CheckHeader(context)) return false;
if(!CheckQueryString(context)) return false;
if(!CheckBody(context)) return false;
return true;
}
private static bool CheckHeader(HttpContext context)
{
// TODO: 检查请求头是否包含敏感词
return true;
}
private static bool CheckQueryString(HttpContext context)
{
if(context.Request.Query.ContainsKey("base64_encode")
|| context.Request.Query.ContainsKey("base64_decode")
|| context.Request.Query.ContainsKey("WEB-INF")
|| context.Request.Query.ContainsKey("META-INF")
|| context.Request.Query.ContainsKey("%3Cscript%3E")
|| context.Request.Query.ContainsKey("%3Ciframe")
|| context.Request.Query.ContainsKey("%3Cimg")
|| context.Request.Query.ContainsKey("proc/self/environ")
|| context.Request.Query.ContainsKey("mosConfig_"))
{
return false;
}
// TODO: 检查请求参数是否包含敏感词
return true;
}
private static bool CheckBody(HttpContext context)
{
if (context.Request.Method == "POST"
|| context.Request.Method == "PUT"
|| context.Request.Method == "PATCH")
{
// TODO: 读取请求体, 判断是否包含敏感词
// 重置请求体
context.Request.Body.Seek(0, SeekOrigin.Begin);
return true;
}
return true;
}
}
然后在反向代理中添加中间件:
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.UseWaf();
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
中间件在调用时,会先检查请求头、请求参数、请求体,如果包含敏感词,则返回444状态码,表示请求被拦截。当然这些都会产生额外的开销,影响性能。因此需要根据实际情况进行优化。
相关链接
- Microsoft Visual Studio: https://visualstudio.microsoft.com/vs/
- Visual Studio Code: https://code.visualstudio.com/
- YARP 示例 https://github.com/microsoft/reverse-proxy/tree/release/latest/samples/BasicYarpSample
- YARP 文档 https://microsoft.github.io/reverse-proxy/
- YARP 配置 https://microsoft.github.io/reverse-proxy/articles/config-files.html
- RouteConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.RouteConfig.html
- ClusterConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.ClusterConfig.html
- Gateways https://github.com/huangmingji/Stargazer.Abp.Template/tree/main/models/Gateways
- 负载均衡 https://microsoft.github.io/reverse-proxy/articles/load-balancing.html
- 输出缓存 https://microsoft.github.io/reverse-proxy/articles/output-caching.html
- RateLimiter https://microsoft.github.io/reverse-proxy/articles/rate-limiting.html
- 请求超时 https://microsoft.github.io/reverse-proxy/articles/timeouts.html
- 跨域请求(CORS)https://microsoft.github.io/reverse-proxy/articles/cors.html
- HTTPS https://microsoft.github.io/reverse-proxy/articles/https-tls.html
- LettuceEncrypt https://microsoft.github.io/reverse-proxy/articles/lets-encrypt.html
- Middleware https://microsoft.github.io/reverse-proxy/articles/middleware.html
使用YARP来实现负载均衡的更多相关文章
- 【大型网站技术实践】初级篇:借助LVS+Keepalived实现负载均衡
一.负载均衡:必不可少的基础手段 1.1 找更多的牛来拉车吧 当前大多数的互联网系统都使用了服务器集群技术,集群即将相同服务部署在多台服务器上构成一个集群整体对外提供服务,这些集群可以是Web应用服务 ...
- Windows平台分布式架构实践 - 负载均衡
概述 最近.NET的世界开始闹腾了,微软官方终于加入到了对.NET跨平台的支持,并且在不久的将来,我们在VS里面写的代码可能就可以通过Mono直接在Linux和Mac上运行.那么大家(开发者和企业)为 ...
- 微软Azure 经典模式下创建内部负载均衡(ILB)
微软Azure 经典模式下创建内部负载均衡(ILB) 使用之前一定要注意自己的Azure的模式,老版的为cloud service模式,新版为ARM模式(资源组模式) 本文适用于cloud servi ...
- 前端学HTTP之重定向和负载均衡
前面的话 HTTP并不是独自运行在网上的.很多协议都会在HTTP报文的传输过程中对其数据进行管理.HTTP只关心旅程的端点(发送者和接收者),但在包含有镜像服务器.Web代理和缓存的网络世界中,HTT ...
- Windos环境用Nginx配置反向代理和负载均衡
Windos环境用Nginx配置反向代理和负载均衡 引言:在前后端分离架构下,难免会遇到跨域问题.目前的解决方案大致有JSONP,反向代理,CORS这三种方式.JSONP兼容性良好,最大的缺点是只支持 ...
- Nginx反向代理,负载均衡,redis session共享,keepalived高可用
相关知识自行搜索,直接上干货... 使用的资源: nginx主服务器一台,nginx备服务器一台,使用keepalived进行宕机切换. tomcat服务器两台,由nginx进行反向代理和负载均衡,此 ...
- 负载均衡——nginx理论
nginx是什么? nginx是一个强大的web服务器软件,用于处理高并发的http请求和作为反向代理服务器做负载均衡.具有高性能.轻量级.内存消耗少,强大的负载均衡能力等优势. nginx架构? ...
- Supermap iCloudManager -负载均衡
Supermap icm负载均衡理解: 应用场景:地图出图 子节点1和子节点2中的服务保持一致,一般情况下设置的是匿名用户通过nginx访问服务信息,所以不需要登录. 1.通过nginx分发请求,(轮 ...
- asp.net core 实战之 redis 负载均衡和"高可用"实现
1.概述 分布式系统缓存已经变得不可或缺,本文主要阐述如何实现redis主从复制集群的负载均衡,以及 redis的"高可用"实现, 呵呵双引号的"高可用"并不是 ...
- asp.net core 负载均衡集群搭建(centos7+nginx+supervisor+kestrel)
概述 本文目的是搭建三台asp.net core 集群, 并配上 nginx做负载均衡 首先准备要运行的源码 http://pan.baidu.com/s/1c20x0bA 准备三台服务器(或则虚 ...
随机推荐
- bug记录|NON-STATIC METHOD CANNOT BE REFERENCED FROM A STATIC CONTEXT
bug记录|NON-STATIC METHOD CANNOT BE REFERENCED FROM A STATIC CONTEXT 问题:原因:静态方法无法调用自己定义的非静态方法 解决方案:1 ...
- P9032 [COCI2022-2023#1] Neboderi
题意 给长度为 \(n\) 的数组 \(a\),求长度不小于 \(k\) 的区间 \([l,r]\) 使得 \(\gcd_{i = l}^r a_i \times \sum_{i = l}^r a_i ...
- Angular 18+ 高级教程 – Signals
前言 首先,我必须先说明清楚.Signal 目前不是 Angular 的必备知识. 你的项目不使用 Signal 也不会少了条腿,断了胳膊. Angular 官方维护的 UI 组件库 Angular ...
- js 翻译 c# 注意事项
1. split('') 在 c# 是不可以 .Split("") 的 要写 ToCharArray() 更新: 2021-09-25, split('') 是不好的写法, es6 ...
- EF Core – Unit of Work, DbContext, Transaction 概念解释
前言 踩了一个坑, 下面是 2 个 scope 的调用, 第 1 和 3 是一个 Audit log filter action, 第 2 个是 controller. // open tran // ...
- SpringMVC —— 请求参数
请求映射路径 请求方式 get请求传参 post请求传参 POST请求中文参数乱码问题 请求参数(五种类型数据参数) ...
- 某游戏厂商 hdfs 迁移 distcp failing write attempt Tried pipline recovery 5 times without success 问题排查
报错截图: 从报错信息看是 distcp 起的map 任务在写 hdfs 的 pipline 失败了,并且重试了5次没有成功,所以这个 task 直接抛出错误失败被 kill 了. 先说解决办法: 清 ...
- 【赵渝强老师】Kubernetes的探针
Kubernetes提供了探针(Probe)对容器的健康性进行检测.实际上我们不仅仅要对容器进行健康检测,还要对容器内布置的应用进行健康性检测. Probe有以下两种类型: livenessProbe ...
- Linux进程调度-组调度及带宽控制
1. 概述 组调度(task_group)是使用Linux cgroup(control group)的cpu子系统来实现的,可以将进程进行分组,按组来分配CPU资源等. 比如,看一个实际的例子: A ...
- 关于自定义事件父子组件传值问题 $event
1.$event 是 vue 提供的特殊变量,用来表示原生的事件参数对象 event 1.1在原生事件中,$event是事件对象 可以点出来属性 2.在原生事件中,$event是事件对象,在自定义事件 ...