目前,我正在使用tcp模式将SSL流量重定向到加载和处理证书的两个后端节点。这正如预期的那样,在使用SNI的apache中,我可以处理必要的域。
对于其中一个域,我需要将其移动到不同的后端和服务器。我的问题 - 是否可以在同一个前端ip / port中的haproxy中进行此设置?我不想将所有证书加载到HAProxy中 - 但是只需加载需要指向不同后端的站点的证书就可以了。
基本上,我可以运行这样的东西,而无需将所有ssl证书加载到haproxy中吗?
acl host_mysite hdr(host) -i mysite.example.com
更新。以下是现有的配置部分:
frontend http_frontend
bind :::80 v4v6
tcp-request inspect-delay 5s
default_backend http_backend
acl host_mysite hdr(host) -i mysite.example.com
use_backend http_backend2 if host_mysite
backend http_backend
balance roundrobin
mode http
default-server inter 4s rise 3 fall 2
fullconn 20000
reqadd X-Forwarded-Proto:\ https if { ssl_fc }
server server1 192.168.192.1:80 maxconn 10000 check
server server2 192.168.192.2:80 maxconn 10000 check
backend http_backend2
mode http
default-server inter 4s rise 3 fall 2
fullconn 20000
server server3 192.168.192.3:80 maxconn 10000 check
frontend ssl_frontend
bind :::443 v4v6
mode tcp
default_backend ssl_backend
backend ssl_backend
balance roundrobin
mode tcp
default-server inter 4s rise 3 fall 2
fullconn 20000
reqadd X-Forwarded-Proto:\ https if { ssl_fc }
option ssl-hello-chk
server server1 192.168.192.1:443 maxconn 10000 check
server server2 192.168.192.2:443 maxconn 10000 check