2

我正在尝试使用端口 443 通过 https 连接到 2 个后端服务器,并且我想找到一种将密钥和证书文件发送到后端服务器的方法。我的 haproxy.cfg 是:

global
    log 127.0.0.1   local0
    log 127.0.0.1   local1 notice
    #log loghost    local0 info
    maxconn 4096
    #chroot /usr/share/haproxy
    user haproxy
    group haproxy
    daemon
    #debug
    #quiet

defaults
    log     global
    mode    http
    option  httplog
    option  dontlognull
    retries 3
    option redispatch
    maxconn 2000
    contimeout  5000
    clitimeout  50000
    srvtimeout  50000

listen stats :8000
    #mode http
    stats enable
    stats realm Haproxy\ Statistics
    stats uri /
    stats auth admin:password


listen  ssl-relay :80
    mode tcp
    balance roundrobin
    stick-table type ip size 200m expire 30m
    stick on src
    server  server01 www.example.com:443 check inter 2000 fall 3
    server  server02 www.example.com:443 check inter 2000 fall 3

我们如何才能使 haproxy 服务器和后端服务器之间的通信安全???

4

2 回答 2

2

您的客户会使用https://myfakepage.com:80作为网址吗?如果不是,那么你所做的在很大程度上是毫无意义的。您正在处理与前端的未加密连接,然后是与后端的加密连接。问题是当连接回到客户端时,它将是未加密的,所以你不会给自己买任何东西。如果您的客户将使用https://pmyfakepage.com:80则无需执行任何操作,因为 haproxy 已经充当了 https 流量的传递。

您是否尝试在负载均衡器上执行 SSL 终止,如果是,您正在向后执行

你的绑定部分看起来像

frontend ssl-site
bind *:443 ssl crt /path/to/bundle.pem  #you need to make sure the whole cert path is in one pem file
reqadd X-Forwarded-Proto:\ https
default_backend myServers

backend myServers
balance roundrobin
server server1 www.example.com:80
server server2 www2.example.com:80

但正如 dtorgo 所说,以这种方式终止 ssl 仅适用于 1.5 及更高版本。如果您发现 stunnel 太慢,另一种选择是螺柱。

希望这可以为您解决问题。

于 2013-08-30T00:53:07.477 回答
1

haproxy 1.4 不支持 SSL。要么更新到 1.5,要么考虑使用类似 stunnel 的东西。

我已经在一个非常大的企业实施中使用了这两种产品,并且两种产品都运行良好。如果您想坚持使用 haproxy 1.4,那么 stunnel 路线非常容易。只需在您的 haproxy 服务器上安装 stunnel,侦听本地端口,让 haproxy 连接到该本地端口,然后将 stunnel 配置为指向远程 https 端点。除了 stunnel 中的全局设置外,实际配置为 3 行

  1. 姓名
  2. 在 localhost 上监听端口
  3. 目的主机和端口
于 2013-08-29T22:32:53.240 回答