HAProxy с SSL и липкими сессиями

Мы пытаемся настроить HAProxy (v1.5.1) для использования SSL.

Хотя нам удалось это сделать, у нас есть некоторые проблемы с настройками циклического перебора:

Мы хотим иметь сеансы с использованием флешки, но haproxy, похоже, отправляет все сеансы (из разных браузеров) на один и тот же узел (my.vm.2), хотя другой узел (my.vm.1) также доступна. Таким образом, похоже, что настройка циклического перебора не работает должным образом.

Это наша текущая конфигурация, мы будем признательны за помощь / идеи.:):

global
   debug
   stats socket /etc/haproxy/haproxysock level admin
   tune.ssl.default-dh-param 2048

defaults
   mode http
   balance roundrobin
   timeout connect 5s
   timeout queue   300s
   timeout client  300s
   timeout server  300s

frontend https_frontend
   bind *:8443
   mode tcp
   reqadd X-Forwarded-Proto:\ https
   default_backend my_backend


backend my_backend
   mode tcp
   stick-table type ip size 200k expire 30m
   stick on src
   default-server inter 1s
   server my.vm.1 my.vm.1:8443 check id 1 maxconn 500
   server my.vm.2 my.vm.2:8443 check id 2 maxconn 500
   option httpclose
   option redispatch
   retries 15

listen admin
   bind *:8081
   stats enable
   stats refresh 1s

2 ответа

Я бы предложил выполнить всю вашу обработку SSL в HAProxy и использовать протокол прокси (send-proxy а также accept-sslproxy) поэтому информация о клиенте передается от процессора ssl в интерфейс + бэкэнд. Это выглядит примерно так:

listen ssl-proxy
    bind 1.2.3.4:443 ssl crt /etc/ssl/mycert.pem npn http/1.1
    mode tcp
    bind-process 2 3 4
    server http 127.0.0.1:80 send-proxy

frontend dev
    #Do whatever you want here since it is http
    mode http
    bind 1.2.3.4:80 name dev
    bind 127.0.0.1:80 accept-proxy name accept-sslproxy
    bind-process 1

    acl is_ssl dst_port 443
    reqadd X-Forwarded-Proto:\ https if is_ssl
    default_backend my_backend

backend my_backend
    mode http
    #Do whatever you want here since it is http

Липкие сеансы основаны на IP, поэтому разные браузеры будут по-прежнему использовать один и тот же сервер, поскольку исходный IP-адрес остается прежним.

Другие вопросы по тегам