轉(zhuǎn)自（可能有一定的修改）:
http://freeloda.blog.51cto.com/2033581/1294094

目錄：

1. balance
2. bind
3. mode
4. hash-type
5. log
6. maxconn
7. default_backend
8. server
9. capture request header
10. capture response header
11. stats enable
12. stats hide-version
13. stats realm
14. stats scope
15. stats auth
16. stats admin
17. option httplog
18. option logasap
19. option forwardfor
20. errorfile
21. errorloc 和 errorloc302
22. errorloc303
23. cookie
24. redirect

1.balance

格式：

balance <algorithm> [ <arguments> ]   
balance url_param <param> [check_post [<max_wait>]]

定義負(fù)載均衡算法，可用于“defaults”、“l(fā)isten”和“backend”。<algorithm>用于在負(fù)載均衡場景中挑選一個(gè)server，其僅應(yīng)用于持久信息不可用的條件下或需要將一個(gè)連接重新派發(fā)至另一個(gè)服務(wù)器時(shí)。支持的算法有：

roundrobin：基于權(quán)重進(jìn)行輪叫，在服務(wù)器的處理時(shí)間保持均勻分布時(shí)，這是最平衡、最公平的算法。此算法是動(dòng)態(tài)的，
這表示其權(quán)重可以在運(yùn)行時(shí)進(jìn)行調(diào)整，不過，在設(shè)計(jì)上，使用這種算法時(shí)，支持最多 4095 個(gè)后端服務(wù)器。

所謂運(yùn)行時(shí)調(diào)整（on the fly），比如我們做灰度發(fā)布時(shí)，讓一部分服務(wù)器下線，然后修改配置。這里讓服務(wù)器下線，
是通過 HAProxy 的狀態(tài)頁，將其狀態(tài)切換為維護(hù)狀態(tài)，就可以讓其下線了，然后修改配置即可。然后讓其上線。

對于 roundrobin 算法，如果新上線一臺服務(wù)器，負(fù)載不是一下子全部分給新服務(wù)器，而是慢慢讓其承擔(dān)負(fù)載，這就是所謂
的“慢啟動(dòng)”。

static-rr：基于權(quán)重進(jìn)行輪叫，與roundrobin類似，但是為靜態(tài)方法，在運(yùn)行時(shí)調(diào)整其服務(wù)器權(quán)重不會(huì)生效；不過，
其在支持的后端服務(wù)器上沒有限制；

對于 static-rr 算法，如果新增一臺服務(wù)器，不會(huì)慢啟動(dòng)，負(fù)載會(huì)立即讓其分擔(dān)。

leastconn：新的連接請求被派發(fā)至具有最少連接數(shù)目的后端服務(wù)器；在有著較長會(huì)話時(shí)間的場景中推薦使用此算法，
如 LDAP、SQL 等，其并不太適用于較短會(huì)話的應(yīng)用層協(xié)議，如 HTTP；此算法是動(dòng)態(tài)的，可以在運(yùn)行時(shí)調(diào)整其權(quán)重；

source：將請求的源地址進(jìn)行 hash 運(yùn)算，并由后端服務(wù)器的權(quán)重總數(shù)相除后派發(fā)至某匹配的服務(wù)器；這可以使得同一個(gè)
客戶端IP的請求始終被派發(fā)至某特定的服務(wù)器；不過，當(dāng)服務(wù)器權(quán)重總數(shù)發(fā)生變化時(shí)，如某服務(wù)器宕機(jī)或添加了新的服務(wù)器，
許多客戶端的請求可能會(huì)被派發(fā)至與此前請求不同的服務(wù)器；常用于負(fù)載均衡無cookie功能的基于TCP的協(xié)議；其默認(rèn)為靜態(tài)，
不過也可以使用 hash-type 修改此特性（有一種是動(dòng)態(tài)）；

相當(dāng)于 lvs 的 sh 算法，也相當(dāng)于 nginx 的 ip-hash 算法。建議用于 TCP 模式的調(diào)度，且不支持使用 cookie 插入
模式時(shí)使用。不適用于 HTTP 協(xié)議。

uri：對URI的左半部分(“?”標(biāo)記之前的部分)或整個(gè)URI進(jìn)行hash運(yùn)算，并與服務(wù)器的總權(quán)重相除后派發(fā)至某匹配
的服務(wù)器；這可以使得對同一個(gè)URI的請求總是被派發(fā)至某特定的服務(wù)器，除非服務(wù)器的權(quán)重總數(shù)發(fā)生了變化；

此算法常用于代理緩存（后端服務(wù)器是 Cache server），可以提高緩存的命中率，或反病毒代理；

需要注意的是，此算法僅應(yīng)用于HTTP后端服務(wù)器場景；其默認(rèn)為靜態(tài)算法，不過也可以使用 hash-type 修改此特性
（有一種是動(dòng)態(tài)）；

支持兩個(gè)參數(shù)，len 和 depth，比如 uri len 80 depth 4。不過這個(gè)很少用得到。

URL 的語法格式：
    <scheme>://<user>:<password>@<host>:<port>/<paht>;<params>?<query>#<frag>
    
    ;<params>
        - ftp://downloads.magedu.com/pub/gnu;type=d
        - http://www.magedu.com/hammers;sale=false/index.html;graphics=ture
        
        params 通常是用來填寫表單的數(shù)據(jù)
        
    ?<query>
        - 有一些資源，比如數(shù)據(jù)庫服務(wù)，可以對其發(fā)起詢問或查詢，以縮小請求的資源類型的范圍。
          大致相當(dāng)于 where 查詢子句。

url_param：檢索每個(gè) HTTP GET 請求中，URL 的請求參數(shù)，通過 URL 的請求參數(shù)進(jìn)行調(diào)度。即上面所說的 ;<params> 部分。
Apache 的基本認(rèn)證中，用戶名和密碼就是通過 ;<params> 發(fā)出去的。

這種調(diào)度方法，常用于后端服務(wù)器需要對用戶進(jìn)行認(rèn)證的場景中。

如果找到了指定的參數(shù)且其通過等于號“=”被賦予了一個(gè)值，那么此值將被執(zhí)行 hash 運(yùn)算并被服務(wù)器的總權(quán)重相除后派發(fā)
至某匹配的服務(wù)器；

此算法可以通過追蹤請求中的用戶標(biāo)識進(jìn)而確保同一個(gè)用戶ID的請求將被送往同一個(gè)特定的服務(wù)器，除非服務(wù)器的總權(quán)重發(fā)
生了變化；如果某請求中沒有出現(xiàn)指定的參數(shù)或其沒有有效值，則使用輪叫算法對相應(yīng)請求進(jìn)行調(diào)度；此算法默認(rèn)為靜態(tài)的，
不過其也可以使用hash-type修改此特性（有一種是動(dòng)態(tài)）；

hdr(<name>)：對于每個(gè)HTTP請求，通過<name>指定的HTTP首部將會(huì)被檢索；如果相應(yīng)的首部沒有出現(xiàn)或其沒有有效值，
則使用輪叫算法對相應(yīng)請求進(jìn)行調(diào)度；如果后端服務(wù)器有很多虛擬主機(jī)，就可以基于 Host 首部字段做 hash。

其有一個(gè)可選選項(xiàng)“use_domain_only”，可在指定檢索類似Host類的首部時(shí)僅計(jì)算
域名部分(比如通過www.test.com來說，僅計(jì)算test字符串的hash值)以降低hash算法的運(yùn)算量；
比如有幾個(gè)虛擬主機(jī)都在一個(gè)真實(shí)服務(wù)器上，可以使用 use_domain_only 選項(xiàng)：
    www.magedu.com
    web.magedu.com
    wwww.magedu.com 
        
此算法默認(rèn)為靜態(tài)的，不過其也可以使用hash-type修改此特性（有一種是動(dòng)態(tài)）；      


rdp-cookie      
rdp-cookie(name)
    用于 Windows 的遠(yuǎn)程桌面協(xié)議，基本很少用到。

如果對 mysql 服務(wù)器進(jìn)行調(diào)度，用什么算法？

leastconn

如果對 ssh 服務(wù)器進(jìn)行調(diào)度，用什么算法？

leastconn

如果對圖片服務(wù)器進(jìn)行調(diào)度，使用什么算法？

rr，因?yàn)榉?wù)器是直接訪問文件系統(tǒng)的。

如果對圖片服務(wù)器之前的緩存服務(wù)器進(jìn)行調(diào)度，使用什么算法？

uri

如果對 web 動(dòng)態(tài)程序服務(wù)器進(jìn)行調(diào)度，使用什么算法？

一般需要保持會(huì)話，可用 source

但其實(shí)要保持會(huì)話的話，最理想的方法是基于 cookie 進(jìn)行調(diào)度。

2.bind

格式：

bind [<address>]:<port_range> [, ...]   
bind [<address>]:<port_range> [, ...] interface <interface>

此指令僅能用于 frontend 和 listen 區(qū)段，用于定義一個(gè)或幾個(gè)監(jiān)聽的套接字。

<address>：可選選項(xiàng)，其可以為主機(jī)名、IPv4地址、IPv6地址或*；省略此選項(xiàng)、將其指定為*或0.0.0.0時(shí)，
將監(jiān)聽當(dāng)前系統(tǒng)的所有IPv4地址；

<port_range>：可以是一個(gè)特定的TCP端口，也可是一個(gè)端口范圍(如5005-5010)，代理服務(wù)器將通過指定的端口
來接收客戶端請求；需要注意的是，每組監(jiān)聽的套接字<address:port>在同一個(gè)實(shí)例上只能使用一次，而且小于1024
的端口需要有特定權(quán)限的用戶才能使用，這可能需要通過 uid 參數(shù)來定義；

<interface>：指定物理接口的名稱，僅能在Linux系統(tǒng)上使用；其不能使用接口別名，而僅能使用物理接口名稱，而且
只有管理有權(quán)限指定綁定的物理接口；

例如：

    listen http_proxy
        bind :80, :443
        bind 10.0.0.1:10080, 10.0.0.1:10443

3.mode

格式：

mode { tcp|http|health }

設(shè)定實(shí)例的運(yùn)行模式或協(xié)議。當(dāng)實(shí)現(xiàn)內(nèi)容交換時(shí)，前端和后端必須工作于同一種模式(一般說來都是HTTP模式)，否則將無法啟動(dòng)實(shí)例。

tcp：實(shí)例運(yùn)行于純 TCP 模式，在客戶端和服務(wù)器端之間將建立一個(gè)全雙工的連接，且不會(huì)對7層報(bào)文做任何類型的檢查；
此為默認(rèn)模式，通常用于 SSL、SSH、SMTP 等應(yīng)用；

http：實(shí)例運(yùn)行于HTTP模式，客戶端請求在轉(zhuǎn)發(fā)至后端服務(wù)器之前將被深度分析，所有不與 RFC 格式兼容的請求都會(huì)被拒絕；

health：實(shí)例工作于health模式，其對入站請求僅響應(yīng)“OK”信息并關(guān)閉連接，且不會(huì)記錄任何日志信息；此模式將用于響應(yīng)
外部組件的健康狀態(tài)檢查請求；目前來講，此模式已經(jīng)廢棄，因?yàn)閠cp或http模式中的monitor關(guān)鍵字可完成類似功能；

4. hash-type

格式：

hash-type <method>

定義用于將 hash 碼映射至后端服務(wù)器的方法；不能用于 frontend 區(qū)段；可用方法有 map-based 和 consistent，
在大多數(shù)場景下推薦使用默認(rèn)的 map-based 方法。

map-based：hash表是一個(gè)包含了所有在線服務(wù)器的靜態(tài)數(shù)組。其hash值將會(huì)非常平滑，會(huì)將權(quán)重考慮在列，
但其為靜態(tài)方法，對在線服務(wù)器的權(quán)重進(jìn)行調(diào)整將不會(huì)生效，這意味著其不支持慢速啟動(dòng)。此外，挑選服務(wù)器是
根據(jù)其在數(shù)組中的位置進(jìn)行的，因此，當(dāng)一臺服務(wù)器宕機(jī)或添加了一臺新的服務(wù)器時(shí)，大多數(shù)連接將會(huì)被重新派
發(fā)至一個(gè)與此前不同的服務(wù)器上，對于緩存服務(wù)器的工作場景來說，此方法不甚適用。

consistent：hash表是一個(gè)由各服務(wù)器填充而成的樹狀結(jié)構(gòu)；基于hash鍵在hash樹中查找相應(yīng)的服務(wù)器時(shí)，
最近的服務(wù)器將被選中。此方法是動(dòng)態(tài)的，支持在運(yùn)行時(shí)修改服務(wù)器權(quán)重，因此兼容慢速啟動(dòng)的特性。添加一個(gè)
新的服務(wù)器時(shí)，僅會(huì)對一小部分請求產(chǎn)生影響，因此，尤其適用于后端服務(wù)器為cache的場景。不過，此算法不
甚平滑，派發(fā)至各服務(wù)器的請求未必能達(dá)到理想的均衡效果，因此，可能需要不時(shí)的調(diào)整服務(wù)器的權(quán)重以獲得更
好的均衡性。

推薦對 cache servers 執(zhí)行負(fù)載均衡調(diào)度時(shí)的配置：

balance uri
hash-type consistent

5.log

格式：

log global   
log <address> <facility> [<level> [<minlevel>]]

為每個(gè)實(shí)例啟用事件和流量日志，因此可用于所有區(qū)段。每個(gè)實(shí)例最多可以指定兩個(gè)log參數(shù)，不過，如果使用了“l(fā)og global”且"global"段已經(jīng)定了兩個(gè)log參數(shù)時(shí)，多余了 log 參數(shù)將被忽略。

global：當(dāng)前實(shí)例的日志系統(tǒng)參數(shù)同"global"段中的定義時(shí)，將使用此格式；每個(gè)實(shí)例僅能定義一次“l(fā)og global”語句，且其沒有任何額外參數(shù)；

<address>：定義日志發(fā)往的位置，其格式之一可以為<IPv4_address:PORT>，其中的port為UDP協(xié)議端口，
默認(rèn)為514；格式之二為Unix套接字文件路徑，但需要留心chroot應(yīng)用及用戶的讀寫權(quán)限；

<facility>：可以為syslog系統(tǒng)的標(biāo)準(zhǔn)facility之一；

<level>：定義日志級別，即輸出信息過濾器，默認(rèn)為所有信息；指定級別時(shí)，所有等于或高于此級別的日志信息將會(huì)被發(fā)送；

6.maxconn

格式：

maxconn <conns>

設(shè)定一個(gè)前端的最大并發(fā)連接數(shù)，因此，其不能用于backend區(qū)段。對于大型站點(diǎn)來說，可以盡可能提高此值以便讓haproxy管理連接隊(duì)列，從而避免無法應(yīng)答用戶請求。當(dāng)然，此最大值不能超出“global”段中的定義。此外，需要留心的是，haproxy會(huì)為每個(gè)連接維持兩個(gè)緩沖，每個(gè)緩沖的大小為8KB，再加上其它的數(shù)據(jù)，每個(gè)連接將大約占用17KB的RAM空間。這意味著經(jīng)過適當(dāng)優(yōu)化后，有著1GB的可用RAM空間時(shí)將能維護(hù) 40000-50000 并發(fā)連接。

如果為<conns>指定了一個(gè)過大值，極端場景下，其最終占據(jù)的空間可能會(huì)超出當(dāng)前主機(jī)的可用內(nèi)存，這可能會(huì)帶來意想不到的結(jié)果；因此，將其設(shè)定了一個(gè)可接受值方為明智決定。其默認(rèn)為2000。

7.default_backend

格式：

default_backend <backend>

在沒有匹配的"use_backend"規(guī)則時(shí)，為實(shí)例指定使用的默認(rèn)后端，因此，其不可應(yīng)用于backend區(qū)段。在"frontend"和"backend"之間進(jìn)行內(nèi)容交換時(shí)，通常使用"use-backend"定義其匹配規(guī)則；而沒有被規(guī)則匹配到的請求將由此參數(shù)指定的后端接收。

<backend>：指定使用的后端的名稱；
使用案例：

use_backend     dynamic  if  url_dyn
use_backend     static   if  url_css url_img extension_img
default_backend dynamic

8.server

格式：

server <name> <address>[:port] [param*]

為后端聲明一個(gè)server，因此，不能用于defaults和frontend區(qū)段。

<name>：為此服務(wù)器指定的內(nèi)部名稱，其將出現(xiàn)在日志及警告信息中；如果設(shè)定了"http-send-server-name"，它
還將被添加至發(fā)往此后端服務(wù)器的請求首部中；

<address>：此服務(wù)器的的IPv4地址，也支持使用可解析的主機(jī)名，只不過在啟動(dòng)時(shí)需要解析主機(jī)名至相應(yīng)的IPv4地址；

[:port]：指定將連接請求所發(fā)往的此服務(wù)器時(shí)的目標(biāo)端口，其為可選項(xiàng)；未設(shè)定時(shí)，將使用客戶端請求時(shí)的同一相端口；
當(dāng)前端綁定了多個(gè)端口時(shí)（參考 bind 指令），就不要指定端口了。

[param*]：為此服務(wù)器設(shè)定的一系參數(shù)；其可用的參數(shù)非常多，具體請參考官方文檔中的說明，下面僅說明幾個(gè)常用的參數(shù)；

服務(wù)器或默認(rèn)服務(wù)器參數(shù) [param*]：

backup：設(shè)定為備用服務(wù)器，僅在負(fù)載均衡場景中的其它 server 均不可用于啟用此 server；

check：啟動(dòng)對此server執(zhí)行健康狀態(tài)檢查，其可以借助于額外的其它參數(shù)完成更精細(xì)的設(shè)定，如：
    
    inter <delay>：設(shè)定健康狀態(tài)檢查的時(shí)間間隔，單位為毫秒，默認(rèn)為2000；也可以使用fastinter和downinter
    來根據(jù)服務(wù)器端狀態(tài)優(yōu)化此時(shí)間延遲；      

    rise <count>：設(shè)定健康狀態(tài)檢查中，某離線的server從離線狀態(tài)轉(zhuǎn)換至正常狀態(tài)需要成功檢查的次數(shù)；      

    fall <count>：確認(rèn)server從正常狀態(tài)轉(zhuǎn)換為不可用狀態(tài)需要檢查的次數(shù)；

cookie <value>：為指定server設(shè)定cookie值，此處指定的值將在請求入站時(shí)被檢查，第一次為此值挑選
的server將在后續(xù)的請求中被選中，其目的在于實(shí)現(xiàn)持久連接的功能；

maxconn <maxconn>：指定此服務(wù)器接受的最大并發(fā)連接數(shù)；如果發(fā)往此服務(wù)器的連接數(shù)目高于此處指定的值，
其將被放置于請求隊(duì)列，以等待其它連接被釋放；

maxqueue <maxqueue>：設(shè)定請求隊(duì)列的最大長度；

observe <mode>：通過觀察服務(wù)器的通信狀況來判定其健康狀態(tài)，默認(rèn)為禁用，其支持的類型有“l(fā)ayer4”和“l(fā)ayer7”，
“l(fā)ayer7”僅能用于http代理場景；

redir <prefix>：啟用重定向功能，將發(fā)往此服務(wù)器的GET和HEAD請求均以302狀態(tài)碼響應(yīng)；需要注意的是，
在prefix后面不能使用/，且不能使用相對地址，以免造成循環(huán)；例如：server srv1 172.16.100.6:80 redir 
http://imageserver.test.com check

weight <weight>：權(quán)重，默認(rèn)為1，最大值為256，0表示不參與負(fù)載均衡；

執(zhí)行健康檢查的方式，有多種方式，對于 web 服務(wù)器，使用 httpchk，對于 mysql 服務(wù)器可以使 mysql-check，
還有其他的 check 選項(xiàng)，請參考官方文檔。

option httpchk 
    表示基于 HTTP 協(xié)議做7層檢查。比如請求主頁，得到 200 響應(yīng)碼就可以

option httpchk <uri>    
    指定請求的 uri，默認(rèn)為 /

option httpchk <method> <uri>    
    指定請求的方法，默認(rèn)方法為 OPTIONS，因?yàn)檫@個(gè)方法不需要太多的處理，而且容易從日志中過濾出來。
    指定請求的 uri，默認(rèn)為 /

option httpchk <method> <uri> <version>：不能用于 frontend 段
    指定請求的方法、uri、版本，例如：

# Relay HTTPS traffic to Apache instance and check service availability
# using HTTP request "OPTIONS * HTTP/1.1" on port 80.
backend https_relay
    mode tcp
    option httpchk OPTIONS * HTTP/1.1\r\nHost:\ www.test.com
    server apache1 192.168.1.1:443 check port 80
    
HAProxy 的工作模式是 tcp 模式。但要使用 http 檢查。這里要明確定義使用什么 method 進(jìn)行檢查。
方法為 OPTIONS，uri 為 *，協(xié)議為 HTTP/1.1，因?yàn)?1.1 協(xié)議要求必須攜帶 Host首部，所以這里也
進(jìn)行了指定。

使用案例：

server first  172.16.100.7:1080 cookie first  check inter 1000
server second 172.16.100.8:1080 cookie second check inter 1000

9.capture request header

格式：

capture request header <name> len <length>

在日志中添加額外的信息。

捕獲并在日志中記錄指定的請求首部最近一次出現(xiàn)時(shí)的第一個(gè)值，僅能用于“frontend”和“l(fā)isten”區(qū)段。

捕獲的首部值使用花括號{}括起來后添加進(jìn)日志中。如果需要捕獲多個(gè)首部值，它們將以指定的次序出現(xiàn)在日志文件中，并以豎線“|”作為分隔符。

不存在的首部記錄為空字符串，最常需要捕獲的首部包括在虛擬主機(jī)環(huán)境中使用的“Host”、上傳請求首部中的“Content-length”、快速區(qū)別真實(shí)用戶和網(wǎng)絡(luò)機(jī)器人的“User-agent”，以及代理環(huán)境中記錄真實(shí)請求來源的“X-Forward-For”。

<name>：要捕獲的首部的名稱，此名稱不區(qū)分字符大小寫，但建議與它們出現(xiàn)在首部中的格式相同，比如大寫首字母。
需要注意的是，記錄在日志中的是首部對應(yīng)的值，而非首部名稱。

<length>：指定記錄首部值時(shí)所記錄的精確長度，超出的部分將會(huì)被忽略。

可以捕獲的請求首部的個(gè)數(shù)沒有限制，但每個(gè)捕獲最多只能記錄64個(gè)字符。為了保證同一個(gè)frontend中日志格式的統(tǒng)一性，首部捕獲僅能在frontend中定義。

示例：
capture request header Host len 15
capture request header X-Forwarded-For len 15
capture request header Referer len 15

10.capture response header

格式：

capture response header <name> len <length>

在日志中添加額外的信息。

捕獲并記錄響應(yīng)首部，其格式和要點(diǎn)同請求首部。

示例：
capture response header Content-length len 9
capture response header Location len 15

11.stats enable

格式：

啟用基于程序編譯時(shí)默認(rèn)設(shè)置的統(tǒng)計(jì)報(bào)告，不能用于“frontend”區(qū)段。只要沒有另外的其它設(shè)定，它們就會(huì)使用如下的配置：

stats uri   : /haproxy?stats
stats realm : "HAProxy Statistics"
stats auth  : no authentication
stats scope : no restriction

盡管“stats enable”一條就能夠啟用統(tǒng)計(jì)報(bào)告，但還是建議設(shè)定其它所有的參數(shù)，以免其依賴于默認(rèn)設(shè)定而
帶來非預(yù)期后果。下面是一個(gè)配置案例。

backend public_www
  server websrv1 172.16.100.11:80
  stats enable
  stats hide-version
  stats scope   .
  stats uri     /haproxyadmin?stats
  stats realm   Haproxy\ Statistics
  stats auth    statsadmin:password
  stats auth    statsmaster:password

12.stats hide-version

格式：

stats hide-version

啟用統(tǒng)計(jì)報(bào)告并隱藏 HAProxy 版本報(bào)告，不能用于“frontend”區(qū)段。默認(rèn)情況下，統(tǒng)計(jì)頁面會(huì)顯示一些有用信息，
包括 HAProxy 的版本號，然而，向所有人公開HAProxy的精確版本號是非常有風(fēng)險(xiǎn)的，因?yàn)樗軒椭鷲阂庥脩艨焖俣?br> 位版本的缺陷和漏洞。

盡管“stats hide-version”一條就能夠啟用統(tǒng)計(jì)報(bào)告，但還是建議設(shè)定其它所有的參數(shù)，以免其依賴于默認(rèn)設(shè)定而
帶來非期后果。具體請參照“stats enable”一節(jié)的說明。

13.stats realm

格式：

stats realm <realm>

啟用統(tǒng)計(jì)報(bào)告，并且設(shè)置認(rèn)證領(lǐng)域，不能用于“frontend”區(qū)段。

haproxy在讀取 realm 時(shí)會(huì)將其視作一個(gè)單詞，因此，中間的任何空白字符都必須使用反斜線進(jìn)行轉(zhuǎn)義。
此參數(shù)僅在與“stats auth”配合使用時(shí)有意義。

<realm>：實(shí)現(xiàn)HTTP基本認(rèn)證時(shí)顯示在瀏覽器中的領(lǐng)域名稱，用于提示用戶輸入一個(gè)用戶名和密碼。

盡管“stats realm”一條就能夠啟用統(tǒng)計(jì)報(bào)告，但還是建議設(shè)定其它所有的參數(shù)，以免其依賴于默認(rèn)設(shè)定而帶來
非期后果。具體請參照“stats enable”一節(jié)的說明。

示例：
# public access (limited to this backend only)
backend public_www
server srv1 192.168.0.1:80
stats enable
stats hide-version
stats scope .
stats uri /admin?stats
stats realm Haproxy\ Statistics
stats auth admin1:AdMiN123
stats auth admin2:AdMiN321

# internal monitoring access (unlimited)
backend private_monitoring
    stats enable
    stats uri     /admin?stats
    stats refresh 5s

14.stats scope

格式：

stats scope { <name> | "." }

啟用統(tǒng)計(jì)報(bào)告并限定報(bào)告的區(qū)段，不能用于 “frontend” 區(qū)段。

當(dāng)指定此語句時(shí)，統(tǒng)計(jì)報(bào)告將僅顯示其列舉出區(qū)段的報(bào)告信息，所有其它區(qū)段的信息將被隱藏。如果需要顯示多個(gè)區(qū)段的統(tǒng)計(jì)報(bào)告，此語句可以定義多次。需要注意的是，區(qū)段名稱檢測僅僅是以字符串比較的方式進(jìn)行，它不會(huì)真檢測指定的區(qū)段是否真正存在。

<name>：可以是一個(gè)“l(fā)isten”、“frontend”或“backend”區(qū)段的名稱，而“.”則表示 stats scope
語句所定義的當(dāng)前區(qū)段。

盡管“stats scope”一條就能夠啟用統(tǒng)計(jì)報(bào)告，但還是建議設(shè)定其它所有的參數(shù)，以免其依賴于默認(rèn)設(shè)定而
帶來非期后果。下面是一個(gè)配置案例。

backend private_monitoring
    stats enable
    stats uri     /haproxyadmin?stats
    stats refresh 10s

15.stats auth

格式：

stats auth <user>:<passwd>

啟用帶認(rèn)證的統(tǒng)計(jì)報(bào)告功能并授權(quán)一個(gè)用戶帳號，其不能用于“frontend”區(qū)段。

<user>：授權(quán)進(jìn)行訪問的用戶名；
<passwd>：此用戶的訪問密碼，明文格式；

此語句將基于默認(rèn)設(shè)定啟用統(tǒng)計(jì)報(bào)告功能，并僅允許其定義的用戶訪問，其也可以定義多次以授權(quán)多個(gè)用戶帳號。可以結(jié)合“stats realm”參數(shù)在提示用戶認(rèn)證時(shí)給出一個(gè)領(lǐng)域說明信息。在使用非法用戶訪問統(tǒng)計(jì)功能時(shí)，
其將會(huì)響應(yīng)一個(gè)“401 Forbidden”頁面。

其認(rèn)證方式為HTTP Basic認(rèn)證，密碼傳輸會(huì)以明文方式進(jìn)行，因此，配置文件中也使用明文方式存儲以說明其非
保密信息故此不能相同于其它關(guān)鍵性帳號的密碼。

盡管“stats auth”一條就能夠啟用統(tǒng)計(jì)報(bào)告，但還是建議設(shè)定其它所有的參數(shù)，以免其依賴于默認(rèn)設(shè)定
而帶來非期后果。

16.stats admin

stats admin { if | unless } <cond>

開啟管理功能。

在指定的條件滿足時(shí)啟用統(tǒng)計(jì)報(bào)告頁面的管理級別功能，它允許通過web接口啟用或禁用服務(wù)器，
不過，基于安全的角度考慮，統(tǒng)計(jì)報(bào)告頁面應(yīng)該盡可能為只讀的。

此外，如果啟用了HAProxy的多進(jìn)程模式，啟用此管理級別將有可能導(dǎo)致異常行為。

目前來說，POST 請求方法被限制于僅能使用緩沖區(qū)減去保留部分之外的空間，因此，服務(wù)器列表不能過長，否則，
此請求將無法正常工作。因此，建議一次僅調(diào)整少數(shù)幾個(gè)服務(wù)器。下面是兩個(gè)案例，第一個(gè)限制了僅能在本機(jī)打開報(bào)告頁面時(shí)啟用管理級別功能，第二個(gè)定義了僅允許通過認(rèn)證的用戶使用管理級別功能。

backend stats_localhost
    stats enable
    stats admin if LOCALHOST
backend stats_auth
    stats enable
    stats auth  haproxyadmin:password
    stats admin if TRUE

17.option httplog

格式：

option httplog [ clf ]

啟用記錄 HTTP 請求、會(huì)話狀態(tài)和計(jì)時(shí)器的功能。

clf：使用CLF格式來代替HAProxy默認(rèn)的HTTP格式，通常在使用僅支持CLF格式的特定日志分析器時(shí)才需要使用此格式。

默認(rèn)情況下，日志輸入格式非常簡陋，因?yàn)槠鋬H包括源地址、目標(biāo)地址和實(shí)例名稱，而“option httplog”參數(shù)將會(huì)使得日志格式變得豐富許多，其通常包括但不限于HTTP請求、連接計(jì)時(shí)器、會(huì)話狀態(tài)、連接數(shù)、捕獲的首部及cookie、“frontend”、“backend”及服務(wù)器名稱，當(dāng)然也包括源地址和端口號等。

18.option logasap

格式：

option logasap   
no option logasap

啟用或禁用提前將HTTP請求記入日志，不能用于“backend”區(qū)段。

默認(rèn)情況下，HTTP請求是在請求結(jié)束時(shí)進(jìn)行記錄，以便能將其整體傳輸時(shí)長和字節(jié)數(shù)記入日志，由此，傳較大的對象時(shí)，其記入日志的時(shí)長可能會(huì)略有延遲。
“option logasap” 參數(shù)能夠在服務(wù)器發(fā)送 complete 首部時(shí)即時(shí)記錄日志，只不過，此時(shí)將不記錄整體傳輸時(shí)長和字節(jié)數(shù)。此情形下，
捕獲“Content-Length”響應(yīng)首部來記錄傳輸?shù)淖止?jié)數(shù)是一個(gè)較好選擇。下面是一個(gè)例子。

listen http_proxy 0.0.0.0:80
    mode http
    option httplog
    option logasap
    log 172.16.100.9 local2

19.option forwardfor

格式：

option forwardfor [ except <network> ] [ header <name> ] [ if-none ]

允許在發(fā)往后端服務(wù)器的請求首部中插入“X-Forwarded-For”首部。

<network>：可選參數(shù)，當(dāng)指定時(shí)，源地址為匹配至此網(wǎng)絡(luò)中的請求都禁用此功能。

<name>：可選參數(shù)，可使用一個(gè)自定義的首部，如“X-Client”來替代“X-Forwarded-For”。
有些獨(dú)特的web服務(wù)器的確需要用于一個(gè)獨(dú)特的首部。

if-none：僅在此首部不存在時(shí)才將其添加至請求報(bào)文中。

HAProxy工作于反向代理模式，其發(fā)往服務(wù)器的請求中的客戶端IP均為HAProxy主機(jī)的地址而非真正客戶端的地址，這會(huì)使得服務(wù)器端的日志信息記錄不了真正的請求來源。

“X-Forwarded-For”首部則可用于解決此問題。HAProxy可以向每個(gè)發(fā)往服務(wù)器的請求上添加此首部，并以客戶端IP為其value。

需要注意的是，HAProxy工作于隧道模式，其僅檢查每一個(gè)連接的第一個(gè)請求，因此，僅第一個(gè)請求報(bào)文被附加此首部。如果想為每一個(gè)請求都附加此首部，請確保同時(shí)使用了這幾個(gè)option：

option httpclose
option forceclose
option http-server-close

下面是一個(gè)例子。

frontend www
    mode http
    option forwardfor except 127.0.0.1

20.errorfile

格式：

errorfile <code> <file>

在用戶請求不存在的頁面時(shí)，返回一個(gè)頁面文件給客戶端而非由haproxy生成的錯(cuò)誤代碼；可用于所有段中。

<code>：指定對HTTP的哪些狀態(tài)碼返回指定的頁面；這里可用的狀態(tài)碼有200、400、403、408、500、502、503和504；
<file>：指定用于響應(yīng)的頁面文件；

例如：

errorfile 400 /etc/haproxy/errorpages/400badreq.http
errorfile 403 /etc/haproxy/errorpages/403forbid.http
errorfile 503 /etc/haproxy/errorpages/503sorry.http

21.errorloc 和 errorloc302

格式：

errorloc <code> <url>   
errorloc302 <code> <url>    

請求錯(cuò)誤時(shí)，返回一個(gè)HTTP重定向至某URL的信息；可用于所有配置段中。

<code>：指定對HTTP的哪些狀態(tài)碼返回指定的頁面；這里可用的狀態(tài)碼有200、400、403、408、500、502、503和504；

<url>：Location首部中指定的頁面位置的具體路徑，可以是在當(dāng)前服務(wù)器上的頁面的相對路徑，也可以使用絕對路徑；
需要注意的是，如果URI自身錯(cuò)誤時(shí)產(chǎn)生某特定狀態(tài)碼信息的話，有可能會(huì)導(dǎo)致循環(huán)定向；

需要留意的是，這兩個(gè)關(guān)鍵字都會(huì)返回302狀態(tài)嗎，這將使得客戶端使用同樣的HTTP方法獲取指定的URL，對于非GET方法的場景(如POST)來說會(huì)產(chǎn)生問題，因?yàn)榉祷乜蛻舻腢RL是不允許使用GET以外的其它方法的。如果的確有這種問題，可以使用errorloc303來返回303狀態(tài)碼給客戶端。

22.errorloc303

errorloc303 <code> <url>

請求錯(cuò)誤時(shí)，返回一個(gè)HTTP重定向至某URL的信息給客戶端；可用于所有配置段中。

<code>：指定對HTTP的哪些狀態(tài)碼返回指定的頁面；這里可用的狀態(tài)碼有400、403、408、500、502、503和504；

<url>：Location首部中指定的頁面位置的具體路徑，可以是在當(dāng)前服務(wù)器上的頁面的相對路徑，也可以使用絕對路徑；
需要注意的是，如果URI自身錯(cuò)誤時(shí)產(chǎn)生某特定狀態(tài)碼信息的話，有可能會(huì)導(dǎo)致循環(huán)定向；

例如：

backend webserver
  server 172.16.100.6 172.16.100.6:80 check maxconn 3000 cookie srv01
  server 172.16.100.7 172.16.100.7:80 check maxconn 3000 cookie srv02
  errorloc 403 /etc/haproxy/errorpages/sorry.htm
  errorloc 503 /etc/haproxy/errorpages/sorry.htm

23. cookie

cookie <name> [ rewrite | insert | prefix ] [ indirect ] [ nocache ]
[ postonly ] [ preserve ] [ httponly ] [ secure ]
[ domain <domain> ]* [ maxidle <idle> ] [ maxlife <life> ]

在 backend 中激活基于 cookie 的持久連接。

適用于：default, listen, backend

參數(shù)說明：

<name>:
指定 cookie 的名字。該 cookie 可能被監(jiān)測、修改、插入信息。這個(gè) cookie 由響應(yīng)報(bào)文的 Set-Cookie header 發(fā)送給客戶端（只發(fā)送一次）。客戶端收到該 cookie 后，在其請求報(bào)文的 Cookie header 中攜帶該 cookie。

應(yīng)特別注意，不要使該 cookie 的名字與其他 cookie 沖突。
不同的 backends 應(yīng)使用不同的 cookie name

在一個(gè) HTTP backend 中之只能定義一個(gè) persistent cookie。

例如我們在一個(gè) backend 中定義：
    cookie SRV insert indirect nocache

在該 backend 中，cookie 的值在 server 語句中定義：
    server first  10.1.1.1:1080 cookie first  check inter 1000
    server second 10.1.1.2:1080 cookie second check inter 1000

如果第一次請求調(diào)度至第一個(gè)服務(wù)器，cookie 的值為 first；如果調(diào)度至第二個(gè)服務(wù)器，cookie 的值為 second；

Set-Cookie 首部的內(nèi)容包含：SRV=first/second，客戶端收到之后，以后向該域名路徑發(fā)送的請求，都會(huì)攜帶有包含 
SRV=first/second 的 cookie。根據(jù) cookie 的值為 first or second，請求被調(diào)度至第一個(gè)或者
第二個(gè)服務(wù)器。這就是基于 cookie 的連接保持。這時(shí)是根據(jù) cookie 的值來調(diào)度的，不是基于算法，即使
backend 的算法是 roundrobin 算法，也不會(huì)進(jìn)行輪詢調(diào)度。

24. redirect

語法：

redirect location <loc> [code <code>] <option> [{if | unless} <condition>]
redirect prefix   <pfx> [code <code>] <option> [{if | unless} <condition>]
redirect scheme   <sch> [code <code>] <option> [{if | unless} <condition>]

使用范圍： frontend, backend, listen

If/unless the condition is matched, the HTTP request will lead to a redirect
response. If no condition is specified, the redirect applies unconditionally.

如果/除非 條件滿足，返回重定向給客戶端；如果未指定條件，表示直接返回重定向。

參數(shù)說明：

<loc>

redirect location <loc>；

使 Location 首部的值等于 loc;

<pfx>

redirect prefix <pfx>；

構(gòu)建 Location 首部為：<pfx> + 完整的 URI path + query string；

• 如果使用了 "drop-query" 選項(xiàng)，表示不添加 query string；

• 如果 <pfx> = /，那么不需要重新構(gòu)建 URI；適用的場景：重定向至同一個(gè) URL，但是插入一個(gè) cookie；

<sch>

redirect scheme <sch>；

構(gòu)建 Location 首部為：<sch> + "://" + 第一個(gè) Host 首部字段的值 + URI path + query sting

• 如果使用了 "drop-query" 選項(xiàng)，表示不添加 query string；

• 如果沒有給出 URI path，或者 path = *，則使用 "/" 替代 URI path；

• 如果找不到 Host 首部字段，則返回空的 Host 首部，大部分瀏覽器將其解釋為：重定向到同一個(gè) host；

常用于將 HTTP 重定向至 HTTPS

<code>

<code> 是可選的；用于指定重定向的狀態(tài)碼，不同的重定向碼表示不同的重定向類型，支持使用 301, 302, 303, 307 and 308；

302 是默認(rèn)狀態(tài)碼；

301 表示："Moved permanently" 永久重定向；瀏覽器可以將這個(gè) Location 進(jìn)行緩存

302 表示："Moved temporarily" 臨時(shí)重定向；瀏覽器不應(yīng)該緩存這個(gè) Location

303 表示：與 302 相同，但瀏覽器會(huì)使用 GET 方法獲取 location

307 表示：與 302 相同，但會(huì)明確讓瀏覽器使用同一個(gè) method

308 表示：與 301 相同，但會(huì)明確讓瀏覽器使用同一個(gè) method

<option>

選項(xiàng)是用于調(diào)整重定向的行為的：

"drop-query"

用于 prefix-based redirection 和 sch-based redirection，表示設(shè)置 Location 字段時(shí)，不添加 query string；

使用場景舉例：將用戶導(dǎo)向一個(gè)非安全的頁面；

"append-slash"

這個(gè)選項(xiàng)和 drop-query 合用時(shí)，可將不是以 '/' 重定向至同一個(gè) Location ，但在尾部添加上 '/'；

這個(gè)修改可確保搜索引擎只看到一個(gè) URL；

這時(shí)最好使用 301 作為狀態(tài)碼；

"set-cookie NAME[=value]"

在重定向響應(yīng)中添加一個(gè) "Set-Cookie" 首部字段；

這使得用戶的下一次訪問會(huì)攜帶 cookie，利用這一點(diǎn)可以防御某些類型的 DoS 攻擊；

因?yàn)闆]有添加其他的 cookie 選項(xiàng)，所以這里設(shè)置的 cookie 是唯一的 cookie，這是其成為一個(gè) session cookie；

注意，對于瀏覽器而言，一個(gè)不帶 = 符號的 cookie name，和帶了 = 符號的 cookie name 是不同的；

"clear-cookie NAME[=]"

在重定向響應(yīng)中添加一個(gè) "Set-Cookie" 首部字段，但 "Max-Age" 屬性被設(shè)置為 0，瀏覽器會(huì)刪除這個(gè) cookie；

使用場景舉例：訪問了一個(gè)登出頁面 logout page，表示要退出訪問，這時(shí)為安全考慮最好刪除 cookie，以免被人盜取，這對于提高安全性是有好處的；

特別要注意，"clear-cookie NAME" 和 "clear-cookie NAME=" 是不同的；前者不會(huì)刪除這樣的 cookie: "NAME=value"，必須使用 "clear-cookie NAME=" 刪除這樣的 cookie，這一點(diǎn)不同是因?yàn)闉g覽器而產(chǎn)生的，因?yàn)闉g覽器對其進(jìn)行不同的處理。

示例1：Move the login URL only to HTTPS. 強(qiáng)制用戶使用 HTTPS 協(xié)議訪問登陸頁面

acl clear      dst_port  80
acl secure     dst_port  8080
acl login_page url_beg   /login
acl logout     url_beg   /logout
acl uid_given  url_reg   /login?userid=[^&]+
acl cookie_set hdr_sub(cookie) SEEN=1

redirect prefix   https://mysite.com set-cookie SEEN=1 if !cookie_set # 如果用戶訪問時(shí)不攜帶 cookie，讓其重定向使用 HTTPS 訪問，并且為其設(shè)置 cookie
redirect prefix   https://mysite.com           if login_page !secure # 訪問登陸頁面，但不是訪問的安全端口，重定向使用 HTTPS 協(xié)議
redirect prefix   http://mysite.com drop-query if login_page !uid_given # 訪問登陸頁面，但沒有給出 userid 信息，讓用戶重新填寫登陸信息
redirect location http://mysite.com/           if !login_page secure # 訪問非登陸頁面，但卻要求使用安全端口，這沒必要，讓用戶重定向到普通頁面
redirect location / clear-cookie USERID=       if logout # 登出之后，讓瀏覽器刪除 cookie USERID=value，且重定向到首頁

示例2：Send redirects for request for articles without a '/'.

acl missing_slash path_reg ^/article/[^/]*$
redirect code 301 prefix / drop-query append-slash if missing_slash # 不改變 URI，改變默認(rèn)狀態(tài)碼為 301，刪除 query string，并在 URI 尾部添加 "/"

示例3：Redirect all HTTP traffic to HTTPS when SSL is handled by haproxy.
acl is_ssl dst_port 8080
redirect scheme https if !is_ssl