我正在尝试使用端口443通过https连接到2个后端服务器,我想找到一种方法来发送密钥& cert文件到后端的服务器。我的haproxy.cfg是:
global
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
#log loghost local0 info
maxconn 4096
#chroot /usr/share/haproxy
user haproxy
group haproxy
daemon
#debug
#quiet
defaults
log global
mode http
option httplog
option dontlognull
retries 3
option redispatch
maxconn 2000
contimeout 5000
clitimeout 50000
srvtimeout 50000
listen stats :8000
#mode http
stats enable
stats realm Haproxy\ Statistics
stats uri /
stats auth admin:password
listen ssl-relay :80
mode tcp
balance roundrobin
stick-table type ip size 200m expire 30m
stick on src
server server01 www.example.com:443 check inter 2000 fall 3
server server02 www.example.com:443 check inter 2000 fall 3
如何让haproxy服务器和后端服务器之间的通信安全?
答案 0 :(得分:2)
您的客户是否会使用https://myfakepage.com:80作为网址?如果没有,那么你所做的事情基本没有意义。您正在处理与前端的未加密连接,然后是与后端的加密连接。问题是,当连接回到客户端时,它将是未加密的,因此您不会购买任何东西。如果您的客户将使用https://pmyfakepage.com:80,则无需执行任何操作,因为haproxy已经充当了https流量的传递。
您是否尝试在负载均衡器上执行SSL终止,如果是这样,您正在向后执行
你的绑定部分看起来像
frontend ssl-site
bind *:443 ssl crt /path/to/bundle.pem #you need to make sure the whole cert path is in one pem file
reqadd X-Forwarded-Proto:\ https
default_backend myServers
backend myServers
balance roundrobin
server server1 www.example.com:80
server server2 www2.example.com:80
但正如dtorgo所述,以这种方式终止的ssl仅适用于1.5及以上。如果你觉得stunnel太慢,另一个选择是stud。
希望这能为你解决问题。
答案 1 :(得分:1)
haproxy 1.4不支持SSL。要么更新到1.5,要么使用像stunnel这样的东西。
我在一个非常大的企业实施中使用了这两种产品并且两种产品都运行良好。如果你想坚持使用haproxy 1.4,那么stunnel路线非常简单。只需在haproxy服务器上安装stunnel,在本地端口上侦听,让haproxy连接到该本地端口,然后将stunnel配置为指向远程https端点。除了stunnel中的全局设置,实际配置将是3行