在2台4核8G的CentOS 7.6服务器上搭建HAProxy + Keepalived高可用负载均衡集群，以下是生产环境最佳实践的分步指南和优化建议：

一、架构拓扑

二、基础部署步骤

1.安装依赖

# 两台节点均执行
yum install -y haproxy keepalived
systemctl enable haproxy keepalived

2.HAProxy配置（/etc/haproxy/haproxy.cfg）

global
    log /dev/log local0
    maxconn 10000   # 根据内存调整（8GB建议8000-12000）
    user haproxy
    group haproxy
    daemon
    nbproc 4        # 启用4进程（匹配4核CPU）
    cpu-map 1 0     # 绑定进程到CPU核心
    cpu-map 2 1
    cpu-map 3 2
    cpu-map 4 3

defaults
    mode http
    timeout connect 5s
    timeout client  30s
    timeout server  30s
    log global
    option httplog
    option dontlognull
    option http-server-close

frontend http-in
    bind :80
    bind :443 ssl crt /etc/haproxy/certs/example.com.pem
    acl allowed_ips src 192.168.1.0/24   # 限制访问IP
    tcp-request connection reject if !allowed_ips
    default_backend servers

backend servers
    balance leastconn   # 最小连接数算法
    server web1 192.168.1.101:80 check inter 2s rise 2 fall 3
    server web2 192.168.1.102:80 check inter 2s rise 2 fall 3

listen stats   # 监控页面
    bind :8080
    stats enable
    stats uri /haproxy?stats
    stats auth admin:SecurePassword
    stats hide-version

3.Keepalived配置（/etc/keepalived/keepalived.conf）

• 主节点：

vrrp_script chk_haproxy {
    script "killall -0 haproxy"   # 检查HAProxy进程是否存活
    interval 2
    weight 2
}

vrrp_instance VI_1 {
    state MASTER
    interface eth0
    virtual_router_id 51
    priority 100   # 主节点优先级更高
    advert_int 1
    authentication {
        auth_type PASS
        auth_pass YourSecurePassword
    }
    virtual_ipaddress {
        192.168.1.200/24   # 虚拟IP
    }
    track_script {
        chk_haproxy
    }
    notify_master "/etc/keepalived/notify.sh master"
    notify_backup "/etc/keepalived/notify.sh backup"
}

• 备节点：
  修改state为BACKUP，priority为90，其他配置相同。

4.启动服务

systemctl start haproxy keepalived

三、生产环境优化

1.HAProxy性能优化

• 连接管理：

global
    tune.ssl.default-dh-param 2048
    tune.bufsize 32768
    tune.maxrewrite 1024

defaults
    option redispatch   # 会话重试
    retries 3
    maxconn 8000

• 内核参数优化（/etc/sysctl.conf）：

net.ipv4.ip_nonlocal_bind = 1
net.core.somaxconn = 65535
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_max_syn_backlog = 10240

执行sysctl -p生效。

• 系统资源限制（/etc/security/limits.conf）：

haproxy soft nofile 65535
haproxy hard nofile 131072

2.Keepalived高可用优化

• 快速故障检测：

vrrp_script chk_haproxy {
    script "systemctl is-active haproxy"  # 使用systemctl精确检查
    interval 1
    fall 2
    rise 2
}

3.安全加固

• 防火墙规则：

firewall-cmd --permanent --add-service=http
firewall-cmd --permanent --add-service=https
firewall-cmd --permanent --add-rich-rule='rule protocol value="vrrp" accept'  # 允许VRRP协议
firewall-cmd --reload

SSL/TLS优化：

• 使用现代加密套件（如AES-GCM、ECDHE）。
• 禁用SSLv2/SSLv3，强制TLS 1.2+。
• 示例配置：

bind :443 ssl crt /etc/haproxy/certs/example.com.pem alpn h2,http/1.1 ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256

四、监控与日志

1.HAProxy监控

• 通过stats页面实时监控流量和后端状态。
• 集成Prometheus：

listen stats
    bind :9101
    mode http
    stats enable
    stats uri /metrics
    stats auth prometheus:Password123

2.日志配置

• 修改/etc/rsyslog.conf：

local0.* /var/log/haproxy/haproxy.log

• 日志轮转（/etc/logrotate.d/haproxy）：

/var/log/haproxy/haproxy.log {
    daily
    rotate 30
    compress
    missingok
    notifempty
}

五、验证与测试

1. VIP漂移测试

# 在主节点停止keepalived，观察VIP是否切换到备节点
systemctl stop keepalived
ip addr show eth0 | grep 192.168.1.200

2. 负载均衡测试：

curl http://192.168.1.200

3. 压力测试：

ab -n 100000 -c 1000 http://192.168.1.200/

六、灾难恢复

• 配置备份：

# 定期备份配置文件
tar czvf /backup/haproxy-keepalived-$(date +%F).tar.gz /etc/haproxy /etc/keepalived

• 自动化脚本：
  使用Ansible或Shell脚本实现配置同步和快速恢复。

通过以上步骤，您将获得一个高性能、高可用的负载均衡集群，适用于生产环境。建议定期更新软件版本，并监控系统资源使用情况（如CPU、内存、连接数）。