Я пытаюсь понять одну вещь о ведении журнала HAproxy. По сути, у нас есть Pound, работающий перед HAproxy на том же хосте, который выполняет завершение SSL и затем передает запросы в HAproxy. Я пытаюсь понять, как записывать IP-адрес КЛИЕНТА в журналы HAproxy. В настоящий момент, независимо от того, что я делаю, в журналы HAproxy регистрируются следующие данные:
Feb 27 19:37:00 localhost.localdomain haproxy[17365]: 127.0.0.1:44880 [27/Feb/2013:19:36:59.786] ssl_application ssl_application/app01 0/0/0/385/386 200 3470 - - ---- 0/0/0/0/0 0/0 "GET / HTTP/1.1"
Я знаю, что 127.0.0.1 - это IP-адрес прокси-запросов Pound к HAproxy, но мне интересно, есть ли способ, как зарегистрировать фактический IP-адрес клиента в журналах HAproxy.
Конфигурация фунта выглядит так:
User "www-data"
Group "www-data"
LogLevel 3
LogFacility local2
TimeOut 60
# poundctl control socket
Control "/var/run/pound/poundctl.socket"
ListenHTTPS
Address 0.0.0.0
Port 443
Cert "/etc/pound/ssl/certificate.pem"
# Allow PUT and DELETE also (by default only GET, POST and HEAD)?:
xHTTP 1
Service
BackEnd
Address 127.0.0.1
Port 8080
End
End
End
Конфигурация прокси HA выглядит так:
global
log 127.0.0.1 local0 info
log 127.0.0.1 local1 notice
maxconn 4096
user haproxy
group haproxy
stats socket /var/run/haproxy.sock
defaults
log global
mode http
option httplog
option dontlognull
retries 3
redispatch
maxconn 2000
contimeout 5000
clitimeout 50000
srvtimeout 50000
option httpclose
option forwardfor
# Set up application listeners here.
listen application 0.0.0.0:80
acl health_check path_beg /health_check
block if health_check
option httpchk HEAD /health_check HTTP/1.1\r\nHost:\ staging.example.com
balance roundrobin
server app01 10.178.64.113:8000 weight 1 maxconn 100 check
listen ssl_application 0.0.0.0:8080
acl health_check path_beg /health_check
block if health_check
option httpchk HEAD /health_check HTTP/1.1\r\nHost:\ staging.example.com
balance roundrobin
server app01 10.178.64.113:4430 weight 1 maxconn 100 check
listen admin 0.0.0.0:22002
mode http
stats uri /
Любой совет будет очень признателен! IP-адрес клиента должен где-то прятаться, потому что он вошел в Nginx, который находится за HAproxy. Просто нужно выяснить, как внести его в журналы HAproxy.
CMIIW, я никогда не использую Pound, но если вы уверены, что Pound может передавать http-заголовок x-forwarded-for, вы просто добавляете «заголовок запроса захвата x-forwarded-for len 15» в раздел прослушивания HAproxy (http://code.google.com/p/haproxy-docs/wiki/capture_request_header) и убедитесь, что также включена опция httplog.
Помимо X-Forwarded-For, о котором уже упоминалось, вы также можете сделать все прозрачным с помощью Tproxy:
Для этого потребуется 2 подсети, и сделать это очень сложно.