Промышленный балансировщик нагрузки с WAF на борту — 180 000 соединений в секунду и Intelligent WAF с точностью 98.5%.
«HAProxy не просто балансирует трафик — он его анализирует, защищает и доставляет с нулевым downtime.»
HAProxy — это reference-реализация L4/L7 балансировщика нагрузки с открытым исходным кодом. Он используется в инфраструктуре GitHub, Twitter, Instagram, Reddit и большинства крупнейших сайтов мира. Производительность на уровне ядра: в версии 3.x с AWS-LC TLS-библиотекой достигается 180 000 новых TLS-соединений в секунду на одном сервере — это уровень дорогостоящих аппаратных балансировщиков.
В стеке IgNix HAProxy работает на L7 перед backend-серверами: распределяет HTTP/HTTPS трафик, выполняет health checks, управляет сессиями и реализует zero-downtime deploys (сначала drain, потом replace). Kernel TLS (kTLS) передаёт шифрование в ядро ОС, освобождая CPU HAProxy для бизнес-логики балансировки. ACME-интеграция автоматически обновляет TLS-сертификаты без перезапуска.
Intelligent WAF в HAProxy 3.x — это не сигнатурный фильтр, а ML-модель с точностью 98.5% и задержкой менее 1 мс. Она обнаруживает SQL-инъекции, XSS, Path Traversal и другие атаки без ложных срабатываний, которые блокируют легитимных пользователей. Threat Detection Engine присваивает каждому источнику score репутации и может блокировать подозрительные сессии ещё до обращения к приложению.
Килл-фичи:
180 000 conn/s (AWS-LC TLS) — рекордная производительность TLS-терминации на commodity-железе без аппаратных ускорителей
Intelligent WAF (98.5% accuracy, <1 мс) — ML-модель обнаружения атак без ложных срабатываний и без задержки
Kernel TLS (kTLS) — TLS-шифрование в ядре ОС, CPU HAProxy полностью занят балансировкой
QUIC backend — передача трафика на backend по QUIC/HTTP3, ускорение для плохих каналов
ACME + TLS ECH — автоматические сертификаты и шифрование метаданных Client Hello (ECH) против DPI
Zero-downtime deploy — drain соединений перед заменой backend, нулевой downtime при обновлениях
Threat Detection Engine — репутационный scoring источников, проактивная блокировка до hit приложения
Что заменяет: F5 BIG-IP, Citrix ADC, AWS ALB/NLB, Nginx Plus (платный), Radware
Версия: HAProxy 3.3.6 (latest) / 3.2.15 LTS
Роль в стеке: Слой 2 — Сетевые сервисы / L7 балансировщик и WAF