Haproxy 1.4连接到https后端服务器

时间:2013-08-29 17:05:01

标签: ubuntu ssl https openssl haproxy

我正在尝试使用端口443通过https连接到2个后端服务器,我想找到一种方法来发送密钥& cert文件到后端的服务器。我的haproxy.cfg是:

global
    log 127.0.0.1   local0
    log 127.0.0.1   local1 notice
    #log loghost    local0 info
    maxconn 4096
    #chroot /usr/share/haproxy
    user haproxy
    group haproxy
    daemon
    #debug
    #quiet

defaults
    log     global
    mode    http
    option  httplog
    option  dontlognull
    retries 3
    option redispatch
    maxconn 2000
    contimeout  5000
    clitimeout  50000
    srvtimeout  50000

listen stats :8000
    #mode http
    stats enable
    stats realm Haproxy\ Statistics
    stats uri /
    stats auth admin:password


listen  ssl-relay :80
    mode tcp
    balance roundrobin
    stick-table type ip size 200m expire 30m
    stick on src
    server  server01 www.example.com:443 check inter 2000 fall 3
    server  server02 www.example.com:443 check inter 2000 fall 3

如何让haproxy服务器和后端服务器之间的通信安全?

2 个答案:

答案 0 :(得分:2)

您的客户是否会使用https://myfakepage.com:80作为网址?如果没有,那么你所做的事情基本没有意义。您正在处理与前端的未加密连接,然后是与后端的加密连接。问题是,当连接回到客户端时,它将是未加密的,因此您不会购买任何东西。如果您的客户将使用https://pmyfakepage.com:80,则无需执行任何操作,因为haproxy已经充当了https流量的传递。

您是否尝试在负载均衡器上执行SSL终止,如果是这样,您正在向后执行

你的绑定部分看起来像

frontend ssl-site
bind *:443 ssl crt /path/to/bundle.pem  #you need to make sure the whole cert path is in one pem file
reqadd X-Forwarded-Proto:\ https
default_backend myServers

backend myServers
balance roundrobin
server server1 www.example.com:80
server server2 www2.example.com:80

但正如dtorgo所述,以这种方式终止的ssl仅适用于1.5及以上。如果你觉得stunnel太慢,另一个选择是stud。

希望这能为你解决问题。

答案 1 :(得分:1)

haproxy 1.4不支持SSL。要么更新到1.5,要么使用像stunnel这样的东西。

我在一个非常大的企业实施中使用了这两种产品并且两种产品都运行良好。如果你想坚持使用haproxy 1.4,那么stunnel路线非常简单。只需在haproxy服务器上安装stunnel,在本地端口上侦听,让haproxy连接到该本地端口,然后将stunnel配置为指向远程https端点。除了stunnel中的全局设置,实际配置将是3行

  1. 名称
  2. 在localhost上侦听端口
  3. 目标主机和端口