Назад | Перейти на главную страницу

Повторное шифрование ssl HAproxy и изменение заголовка http

Я хочу использовать Haproxy 1.6.5 в качестве балансировщика нагрузки Https перед своими https-серверами, но у меня возникла проблема непонимания.

Я хочу такого поведения: haproxy доступен как https://example.com но за ним есть несколько https-серверов с самоподписанными сертификатами, которые я не могу переключить на http.

Итак, я настроил свой интерфейс tcp для этого как

frontend tcp_in
       mode tcp
       option tcplog
       bind *:443 ssl crt /etc/ssl/certs/server.bundle.pem
       maxconn 50000

   tcp-request inspect-delay 5s
   tcp-request content accept if { req.ssl_hello_type 1 }

   acl example_acl req.ssl_sni -i example.com
   use_backend special_example if example_acl

После этого я хочу отправить свой трафик на один из бэкэндов, но дело в том, что я хочу запросить что-то вроде https: \ eimA.customer.local из backend1 и https: \ eimB.customer.local из backend2 Я предполагаю, что я нужно переписать заголовок хоста в запросе. (Вероятно, это не будет работать в режиме TCP. Итак, как я могу изменить конфигурацию для этого?)

Моя конфигурация бэкэнда:

backend special_eims
        mode tcp
        option tcplog
        balance roundrobin
        stick-table type binary len 32 size 30k expire 30m
        acl clienthello req_ssl_hello_type 1
        acl serverhello rep_ssl_hello_type 2
        tcp-request inspect-delay 5s
        tcp-request content accept if clienthello
        tcp-response content accept if serverhello


        server eim1 eimA.customer.local:443 check
        server eim2 eimA.customer.local:443 check


        stick on payload_lv(43,1) if clienthello
        stick store-response payload_lv(43,1) if serverhello

В результате из моей конфигурации я получаю ошибку соединения ssl в браузере и

curl -v https://example.com/default -k
* About to connect() to example.com port 443 (#0)
*   Trying 127.0.0.1... connected
* Connected to example.com (127.0.0.1) port 443 (#0)
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* warning: ignoring value of ssl.verifyhost
* NSS error -12263
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error

Прямое подключение к внутреннему серверу с https: // IP-адрес / по умолчанию возвращает ошибку 404, поэтому только https: //eimA.customer.local/default формат разрешены.

Пожалуйста, помогите, извините, если вопрос тупой.

Я решил это через некоторое время. 1. Я перешел из режима TCP в режим HTTP, потому что в режиме TCP вы не можете получить информацию из заголовка HTTP. 2. Использовали реальные доменные имена в серверах и использовали http-send-name-header Host который в основном устанавливает заголовок хоста на имя после server директива 3. Для режима повторного шифрования обязательно наличие внешнего сертификата.

    frontend CUIC_frontend
           mode http
           bind *:443 ssl crt  /etc/ssl/certs/ssl-cert.pem
           option forwardfor
           option http-server-close
           reqadd X-Forwarded-Proto:\ https
    default_backend App_Backend
....
backend App_Backend
        mode http
        balance roundrobin
        http-send-name-header Host
        server full-application1-domain-name  10.10.10.1:443 cookie app1 check ssl verify none 
        server full-application2-domain-name 10.10.10.2:443 cookie app2 check ssl verify none