Большая часть прочитанной мной документации по HAProxy и SSL, кажется, предполагает, что SSL должен быть обработан, прежде чем он достигнет HAProxy. Большинство решений сосредоточено на использовании stunnel, а некоторые предлагают Apache + mod_ssl перед HAProxy.
Однако наша проблема в том, что мы используем Apache в качестве обратного прокси для ряда других сайтов, которые используют свои собственные сертификаты. В идеале мы хотели бы, чтобы HAProxy передавал весь трафик SSL в Apache и позволял Apache обрабатывать SSL или обратное проксирование.
Наша текущая установка:
Apache Reverse Proxy -> Apache + mod_ssl -> Application
Что бы я хотел сделать:
HAProxy -> Apache Reverse Proxy -> Apache + mod_ssl -> Application
Можно ли это сделать? Способен ли HAProxy пересылать SSL-трафик, который будет обрабатываться сервером ЗА ним?
HAproxy может работать как в режимах TCP, так и в HTTP. В режиме TCP он не смотрит на содержимое TCP-пакетов, а просто балансирует нагрузку на соединение на уровне 4.
Итак, вы можете использовать HAproxy для SSL-трафика. Я буду работать нормально. Но вы не получите преимуществ от функций HTTP, которые он включает.
Поскольку ранее я использовал Apache для SSL независимо от обратного проксирования или работы приложений, я настроил Apache для приема SSL-трафика, а затем перенаправил его на HAProxy, который затем перенаправил бы на один из серверов apache в веб-ферме, даже если это это исходный сервер, на котором был установлен SSL.
Попытка использовать stunnel с треском провалилась, пока я не понял, что Apache может быть интерфейсом и бэкендом для HAProxy.
Я мог бы также воспользоваться советом Жюльена, но мне действительно нужны были преимущества HTTP, а не только параметры TCP.