使用YARP来实现负载均衡
YARP (“Yet Another Reverse Proxy”) 是一个库,可帮助创建高性能、生产就绪且高度可自定义的反向代理服务器。
YARP 是使用 ASP.NET 和 .NET(.NET 6 及更高版本)的基础结构在 .NET 上构建的,旨在通过 .NET 代码轻松自定义和调整,以满足每个部署方案的特定需求。所以,它支持配置文件,也可以基于自己的后端配置管理系统以编程方式管理配置。
许多现有代理都是为了支持 HTTP/1.1 而构建的,但随着工作负载更改为包括 gRPC 流量,它们需要 HTTP/2 支持,这需要更复杂的实现。通过使用 YARP,项目可以自定义路由和处理行为,而不必实现 http 协议。
同类应用
YARP 的主要用途是负载均衡,它将请求路由到后端服务器,并根据负载均衡策略(如轮询、随机、权重等)将请求分发到后端服务器。目前流行的同类应用有 Nginx、HAProxy 等。
YARP 是在 .NET Core 基础结构之上实现的,可在 Windows、Linux 或 MacOS 上使用。 可以使用 SDK 和您最喜欢的编辑器 Microsoft Visual Studio 或 Visual Studio Code 进行开发。
创建新项目
使用以下步骤生成的项目的完整版本可在基本 YARP 示例中找到。
首先,使用命令行创建一个 “Empty” ASP.NET Core 应用程序:
dotnet new web -n MyProxy -f net8.0
添加项目引用
dotnet add package Yarp.ReverseProxy
添加 YARP 中间件
var builder = WebApplication.CreateBuilder(args);
builder.Services.AddReverseProxy()
.LoadFromConfig(builder.Configuration.GetSection("ReverseProxy"));
var app = builder.Build();
app.MapReverseProxy();
app.Run();
配置
YARP 的配置在 appsettings.json 文件中定义。有关详细信息,请参阅配置文件。
还可以通过编程方式提供配置。有关详细信息,请参阅 配置提供程序。
您可以通过查看 RouteConfig 和 ClusterConfig 来了解有关可用配置选项的更多信息。
{
"Logging": {
"LogLevel": {
"Default": "Information",
"Microsoft": "Warning",
"Microsoft.Hosting.Lifetime": "Information"
}
},
"AllowedHosts": "*",
"ReverseProxy": {
"Routes": {
"route1" : {
"ClusterId": "cluster1",
"Match": {
"Path": "{**catch-all}"
}
}
},
"Clusters": {
"cluster1": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
运行项目
dotnet run --project <path to .csproj file>
其他配置
我们创建了一个完整的YARP项目,可在Github上找到:Gateways
负载均衡
创建了两个路由,baidu-route 和 example-route,分别对应百度和example.com。当使用localhost和127.0.0.1访问时,将请求转发到对应的后端服务器。有关详细信息,请参阅负载均衡。
{
"ReverseProxy": {
"Routes": {
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
}
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
}
},
"Clusters": {
"baidu-cluster": {
"Destinations": {
"destination1": {
"Address": "https://www.baidu.com/"
}
}
},
"example-cluster": {
"Destinations": {
"destination1": {
"Address": "https://example.com/"
}
}
}
}
}
}
缓存
反向代理可用于缓存代理响应,并在请求代理到目标服务器之前提供请求。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅输出缓存。
输出缓存策略可以在 Program.cs 中配置,如下所示:
#region cache
string defaultCachePolicyName = "DefaultCache";
builder.Services.AddOutputCache(options =>
{
string expire = configuration["App:CacheExpire"] ?? "20";
int expireSeconds = int.Parse(expire);
options.AddPolicy("NoCache", build => build.NoCache());
options.AddPolicy(defaultCachePolicyName, build => build.Expire(TimeSpan.FromSeconds(20)));
options.AddPolicy("CustomCache", build => build.Expire(TimeSpan.FromSeconds(expireSeconds)));
});
#endregion
app.UseOutputCache();
增加OutputCachePolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"OutputCachePolicy": "DefaultCache",
},
OutputCachePolicy值为:DefaultCache时,则使用默认缓存策略,缓存20秒。如:CustomCache,则使用自定义缓存策略, 自定义缓存时间, 读取配置文件App:CacheExpire。如果没有配置,或者配置NoCache,则不使用缓存功能。
限流
反向代理可用于在将请求代理到目标服务器之前对请求进行速率限制。这可以减少目标服务器上的负载,增加一层保护,并确保在应用程序中实施一致的策略。此功能仅在使用 .NET 7.0 或更高版本时可用。有关详细信息,请参阅RateLimiter。
RateLimiter 策略可以在 Program.cs 中配置,如下所示:
#region rate limiter
string defaultRateLimiterPolicyName = "DefaultRateLimiter";
builder.Services.AddRateLimiter(options =>
{
options.AddFixedWindowLimiter(defaultRateLimiterPolicyName, opt =>
{
opt.PermitLimit = 4;
opt.Window = TimeSpan.FromSeconds(12);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = 2;
});
options.AddFixedWindowLimiter("CustomRateLimiter", opt =>
{
opt.PermitLimit = rateLimitOptions.PermitLimit;
opt.Window = TimeSpan.FromSeconds(rateLimitOptions.Window);
opt.QueueProcessingOrder = QueueProcessingOrder.OldestFirst;
opt.QueueLimit = rateLimitOptions.QueueLimit;
});
});
#endregion
app.UseRateLimiter();
增加RateLimiterPolicy配置到路由中,如:
"CustomRateLimit": {
"PermitLimit": 100,
"Window": 10,
"QueueLimit": 2
},
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"RateLimiterPolicy": "DefaultRateLimiter"
},
RateLimiterPolicy值为:DefaultRateLimiter时,则使用默认限流策略,每12秒,最多允许4个请求。如:CustomRateLimiter,则使用自定义限流策略,自定义限流策略, 读取配置文件CustomRateLimit。如果没有配置,则不使用限流功能。
请求超时
超时和超时策略可以通过 RouteConfig 为每个路由指定,并且可以从配置文件的各个部分进行绑定。与其他路由属性一样,可以在不重新启动代理的情况下修改和重新加载此属性。有关详细信息,请参阅请求超时。
超时策略可以在 Program.cs 中配置,如下所示:
#region timeouts
builder.Services.AddRequestTimeouts(options => { options.AddPolicy("CustomPolicy", TimeSpan.FromSeconds(30)); });
#endregion
app.UseRequestTimeouts();
30秒为自定义超时时间。
增加TimeoutPolicy配置到路由中,亦可以直接配置Timeout,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"Timeout": "00:00:30"
},
"example-route" : {
"ClusterId": "example-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "127.0.0.1:5000" ]
},
"TimeoutPolicy": "CustomPolicy"
}
TimeoutPolicy和Timeout不可同时配置到同一个路由上面。
跨域
反向代理可以在跨域请求被代理到目标服务器之前处理这些请求。这可以减少目标服务器上的负载,并确保在应用程序中实施一致的策略。有关详细信息,请参阅跨域请求(CORS)。
跨域策略可以在 Program.cs 中配置,如下所示:
#region CORS
string defaultCorsPolicyName = "DefaultCors";
builder.Services.AddCors(options =>
{
options.AddPolicy(defaultCorsPolicyName, policy =>
{
string corsOrigins = configuration["App:CorsOrigins"] ?? "";
if (!string.IsNullOrWhiteSpace(corsOrigins))
{
string[] origins = corsOrigins.Split(",", StringSplitOptions.RemoveEmptyEntries)
.Select(x => x.Trim())
.Select(x =>
{
return x.EndsWith("/", StringComparison.Ordinal) ? x.Substring(0, x.Length - 1) : x;
}).ToArray();
policy = policy.WithOrigins(origins);
}
else
{
policy = policy.AllowAnyOrigin();
}
policy.SetIsOriginAllowedToAllowWildcardSubdomains()
.AllowAnyHeader()
.AllowAnyMethod()
.AllowCredentials();
});
});
#endregion
app.UseCors();
增加CorsPolicy配置到路由中,如:
"baidu-route" : {
"ClusterId": "baidu-cluster",
"Match": {
"Path": "{**catch-all}",
"Hosts": [ "localhost:5000" ]
},
"CorsPolicy": "DefaultCors"
},
CorsPolicy值为:DefaultCors时,则使用默认跨域策略。读取配置文件App:CorsOrigins。如果没有配置,则不使用跨域策略。
HTTPS
HTTPS(HTTP over TLS 加密连接)是出于安全性、完整性和隐私原因在 Internet 上发出 HTTP 请求的标准方式。使用反向代理(如 YARP)时,需要考虑几个 HTTPS/TLS 注意事项。
YARP 是 7 级 HTTP 代理,这意味着传入的 HTTPS/TLS 连接由代理完全解密,因此它可以处理和转发 HTTP 请求。这通常称为 TLS 终止。到目标的传出连接可能加密,也可能不加密,具体取决于提供的配置。
有关详细信息,请参阅HTTPS。
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443);
});
app.UseHsts();
app.UseHttpsRedirection();
自动生成HTTPS证书
YARP 可以通过使用另一个 ASP.NET Core 项目 LettuceEncrypt 的 API 来支持证书颁发机构 Lets Encrypt。它允许您以最少的配置在客户端和 YARP 之间设置 TLS。有关详细信息,请参阅LettuceEncrypt。
builder.Services.AddLettuceEncrypt()
.PersistDataToDirectory(new DirectoryInfo(Path.Combine(env.ContentRootPath, "certs")), "");
builder.WebHost.ConfigureKestrel(kestrel =>
{
kestrel.ListenAnyIP(80);
kestrel.ListenAnyIP(443,
portOptions => { portOptions.UseHttps(h => { h.UseLettuceEncrypt(kestrel.ApplicationServices); }); });
});
"LettuceEncrypt": {
"AcceptTermsOfService": true,
"DomainNames": [
"example.com"
],
"EmailAddress": "it-admin@example.com"
}
DomainNames为域名,EmailAddress为邮箱地址。
使用中间件实现waf
ASP.NET Core 使用中间件管道将请求处理划分为离散的步骤。应用程序开发人员可以根据需要添加和订购中间件。ASP.NET Core 中间件还用于实现和自定义反向代理功能。
反向代理IEndpointRouteBuilderExtensions 提供了一个重载,允许您构建一个中间件管道,该管道将仅针对与代理配置的路由匹配的请求运行。有关详细信息,请参阅Middleware。
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.Use((context, next) =>
{
// Custom inline middleware
return next();
});
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
如果我们的应用对安全性验证要求比较高的话,我们可以使用中间件来实现waf。通过中间件对请求进行验证,比如新建一个WafMiddleware类:
namespace StargazerGateway;
public static class WafMiddleware
{
public static void UseWaf(this IReverseProxyApplicationBuilder proxyPipeline)
{
proxyPipeline.Use((context, next) =>
{
if (!CheckServerDefense(context))
{
context.Response.StatusCode = 444;
return context.Response.WriteAsync("I catch you!");
}
return next();
});
}
private static bool CheckServerDefense(HttpContext context)
{
if(!CheckHeader(context)) return false;
if(!CheckQueryString(context)) return false;
if(!CheckBody(context)) return false;
return true;
}
private static bool CheckHeader(HttpContext context)
{
// TODO: 检查请求头是否包含敏感词
return true;
}
private static bool CheckQueryString(HttpContext context)
{
if(context.Request.Query.ContainsKey("base64_encode")
|| context.Request.Query.ContainsKey("base64_decode")
|| context.Request.Query.ContainsKey("WEB-INF")
|| context.Request.Query.ContainsKey("META-INF")
|| context.Request.Query.ContainsKey("%3Cscript%3E")
|| context.Request.Query.ContainsKey("%3Ciframe")
|| context.Request.Query.ContainsKey("%3Cimg")
|| context.Request.Query.ContainsKey("proc/self/environ")
|| context.Request.Query.ContainsKey("mosConfig_"))
{
return false;
}
// TODO: 检查请求参数是否包含敏感词
return true;
}
private static bool CheckBody(HttpContext context)
{
if (context.Request.Method == "POST"
|| context.Request.Method == "PUT"
|| context.Request.Method == "PATCH")
{
// TODO: 读取请求体, 判断是否包含敏感词
// 重置请求体
context.Request.Body.Seek(0, SeekOrigin.Begin);
return true;
}
return true;
}
}
然后在反向代理中添加中间件:
app.MapReverseProxy(proxyPipeline =>
{
proxyPipeline.UseWaf();
proxyPipeline.UseSessionAffinity();
proxyPipeline.UseLoadBalancing();
proxyPipeline.UsePassiveHealthChecks();
});
中间件在调用时,会先检查请求头、请求参数、请求体,如果包含敏感词,则返回444状态码,表示请求被拦截。当然这些都会产生额外的开销,影响性能。因此需要根据实际情况进行优化。
相关链接
- Microsoft Visual Studio: https://visualstudio.microsoft.com/vs/
- Visual Studio Code: https://code.visualstudio.com/
- YARP 示例 https://github.com/microsoft/reverse-proxy/tree/release/latest/samples/BasicYarpSample
- YARP 文档 https://microsoft.github.io/reverse-proxy/
- YARP 配置 https://microsoft.github.io/reverse-proxy/articles/config-files.html
- RouteConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.RouteConfig.html
- ClusterConfig https://microsoft.github.io/reverse-proxy/api/Yarp.ReverseProxy.Configuration.ClusterConfig.html
- Gateways https://github.com/huangmingji/Stargazer.Abp.Template/tree/main/models/Gateways
- 负载均衡 https://microsoft.github.io/reverse-proxy/articles/load-balancing.html
- 输出缓存 https://microsoft.github.io/reverse-proxy/articles/output-caching.html
- RateLimiter https://microsoft.github.io/reverse-proxy/articles/rate-limiting.html
- 请求超时 https://microsoft.github.io/reverse-proxy/articles/timeouts.html
- 跨域请求(CORS)https://microsoft.github.io/reverse-proxy/articles/cors.html
- HTTPS https://microsoft.github.io/reverse-proxy/articles/https-tls.html
- LettuceEncrypt https://microsoft.github.io/reverse-proxy/articles/lets-encrypt.html
- Middleware https://microsoft.github.io/reverse-proxy/articles/middleware.html
使用YARP来实现负载均衡的更多相关文章
- 【大型网站技术实践】初级篇:借助LVS+Keepalived实现负载均衡
一.负载均衡:必不可少的基础手段 1.1 找更多的牛来拉车吧 当前大多数的互联网系统都使用了服务器集群技术,集群即将相同服务部署在多台服务器上构成一个集群整体对外提供服务,这些集群可以是Web应用服务 ...
- Windows平台分布式架构实践 - 负载均衡
概述 最近.NET的世界开始闹腾了,微软官方终于加入到了对.NET跨平台的支持,并且在不久的将来,我们在VS里面写的代码可能就可以通过Mono直接在Linux和Mac上运行.那么大家(开发者和企业)为 ...
- 微软Azure 经典模式下创建内部负载均衡(ILB)
微软Azure 经典模式下创建内部负载均衡(ILB) 使用之前一定要注意自己的Azure的模式,老版的为cloud service模式,新版为ARM模式(资源组模式) 本文适用于cloud servi ...
- 前端学HTTP之重定向和负载均衡
前面的话 HTTP并不是独自运行在网上的.很多协议都会在HTTP报文的传输过程中对其数据进行管理.HTTP只关心旅程的端点(发送者和接收者),但在包含有镜像服务器.Web代理和缓存的网络世界中,HTT ...
- Windos环境用Nginx配置反向代理和负载均衡
Windos环境用Nginx配置反向代理和负载均衡 引言:在前后端分离架构下,难免会遇到跨域问题.目前的解决方案大致有JSONP,反向代理,CORS这三种方式.JSONP兼容性良好,最大的缺点是只支持 ...
- Nginx反向代理,负载均衡,redis session共享,keepalived高可用
相关知识自行搜索,直接上干货... 使用的资源: nginx主服务器一台,nginx备服务器一台,使用keepalived进行宕机切换. tomcat服务器两台,由nginx进行反向代理和负载均衡,此 ...
- 负载均衡——nginx理论
nginx是什么? nginx是一个强大的web服务器软件,用于处理高并发的http请求和作为反向代理服务器做负载均衡.具有高性能.轻量级.内存消耗少,强大的负载均衡能力等优势. nginx架构? ...
- Supermap iCloudManager -负载均衡
Supermap icm负载均衡理解: 应用场景:地图出图 子节点1和子节点2中的服务保持一致,一般情况下设置的是匿名用户通过nginx访问服务信息,所以不需要登录. 1.通过nginx分发请求,(轮 ...
- asp.net core 实战之 redis 负载均衡和"高可用"实现
1.概述 分布式系统缓存已经变得不可或缺,本文主要阐述如何实现redis主从复制集群的负载均衡,以及 redis的"高可用"实现, 呵呵双引号的"高可用"并不是 ...
- asp.net core 负载均衡集群搭建(centos7+nginx+supervisor+kestrel)
概述 本文目的是搭建三台asp.net core 集群, 并配上 nginx做负载均衡 首先准备要运行的源码 http://pan.baidu.com/s/1c20x0bA 准备三台服务器(或则虚 ...
随机推荐
- 又一个Rust练手项目-wssh(SSH over Websocket Client)
原文地址https://blog.fanscore.cn/a/61/ 1. wssh 1.1 开发背景 公司内部的发布系统提供一个连接到k8s pod的web终端,可以在网页中连接到k8s pod内. ...
- 设线性表中每个元素有两个数据项k1和k2,现对线性表按一下规则进行排序:先看数据项k1,k1值小的元素在前,大的在后;在k1值相同的情况下,再看k2,k2值小的在前,大的在后。满足这种要求的
题目: 设线性表中每个元素有两个数据项k1和k2,现对线性表按一下规则进行排序:先看数据项k1,k1值小的元素在前,大的在后:在k1值相同的情况下,再看k2,k2值小的在前,大的在后.满足这种要求的排 ...
- fluent python-chap3-1
class collections.OrderedDict([items]) 返回一个 dict 子类的实例,它具有专门用于重新排列字典顺序的方法. """ move_t ...
- CSS & JS Effect – Button Hover Bling Bling Effect
效果 原理 一眼看上去, background 有渐变颜色 linear-gradient. 当 hover in 的时候有一束白光, 从右边移动到左边. hover out 则是反过来. 它其实是通 ...
- DOM – Browser Reflow & Repaint
前言 没有深入研究过, 懂个概念就好, 等性能遇到问题在来看看. 以前写的笔记: 游览器 reflow 参考: reflow和repaint引发的性能问题 精读<web reflow> R ...
- bpftool使用方法简介
1.安装bpftool工具 看起来,在不同的linux发行版里,bpftool在不同的软件包里,ubuntu 22上,bpftool是linux-tools-generic的一部分,而树莓派里bpft ...
- 如何判断 js 的数据类型
js 数据类型 一共 7 种 undefined . null . number . string . boolean .object . symbol 其中 object 可以细分 位 数组对象 ...
- element-admin - 图片上传组件 ImageUpload
预览详情 : 父组件:注册引入子组件 :只需要传递一个数据 limit :这是限制显示多少张图片 : 子组件: - 图片上传 - el-upload 代码 : <template> & ...
- WebAssembly 基础以及结合其他编程语言
0x00 WebAssembly 基础 详情参考<WebAssembly | MDN> (1)概述 WebAssembly 简称 WASM 或 WA,是一种新的编码方式,可以在现代的 We ...
- PHP执行root命令权限
先修改php函数启用system vi /usr/local/php/etc/php.ini disable functions 里面删除system 修改php账号执行权限www vi /etc/s ...