HAProxy с SSL и липкими сессиями
Мы пытаемся настроить HAProxy (v1.5.1) для использования SSL.
Хотя нам удалось это сделать, у нас есть некоторые проблемы с настройками циклического перебора:
Мы хотим иметь сеансы с использованием флешки, но haproxy, похоже, отправляет все сеансы (из разных браузеров) на один и тот же узел (my.vm.2
), хотя другой узел (my.vm.1
) также доступна. Таким образом, похоже, что настройка циклического перебора не работает должным образом.
Это наша текущая конфигурация, мы будем признательны за помощь / идеи.:):
global
debug
stats socket /etc/haproxy/haproxysock level admin
tune.ssl.default-dh-param 2048
defaults
mode http
balance roundrobin
timeout connect 5s
timeout queue 300s
timeout client 300s
timeout server 300s
frontend https_frontend
bind *:8443
mode tcp
reqadd X-Forwarded-Proto:\ https
default_backend my_backend
backend my_backend
mode tcp
stick-table type ip size 200k expire 30m
stick on src
default-server inter 1s
server my.vm.1 my.vm.1:8443 check id 1 maxconn 500
server my.vm.2 my.vm.2:8443 check id 2 maxconn 500
option httpclose
option redispatch
retries 15
listen admin
bind *:8081
stats enable
stats refresh 1s
2 ответа
Я бы предложил выполнить всю вашу обработку SSL в HAProxy и использовать протокол прокси (send-proxy
а также accept-sslproxy
) поэтому информация о клиенте передается от процессора ssl в интерфейс + бэкэнд. Это выглядит примерно так:
listen ssl-proxy
bind 1.2.3.4:443 ssl crt /etc/ssl/mycert.pem npn http/1.1
mode tcp
bind-process 2 3 4
server http 127.0.0.1:80 send-proxy
frontend dev
#Do whatever you want here since it is http
mode http
bind 1.2.3.4:80 name dev
bind 127.0.0.1:80 accept-proxy name accept-sslproxy
bind-process 1
acl is_ssl dst_port 443
reqadd X-Forwarded-Proto:\ https if is_ssl
default_backend my_backend
backend my_backend
mode http
#Do whatever you want here since it is http
Липкие сеансы основаны на IP, поэтому разные браузеры будут по-прежнему использовать один и тот же сервер, поскольку исходный IP-адрес остается прежним.