HAPROXY实现HTTPS代理HTTP

于 2024-08-06 14:28:02 发布
阅读量134 收藏 3
点赞数 3
文章标签: http https 网络协议 ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40001694/article/details/140953674
版权

文章目录

背景

我们公司用了金蝶的云星空,这个系统的实施团队给我们内网弄了一堆HTTP的80端口,并且系统要把HTTP映射到公网,HTTP太不安全,所以准备对外部访问改成HTTPS,这里面就有两种方案:
A.金蝶全套系统都统一改HTTPS,包括业务系统对内对外的各种接口地址都需要配置HTTPS。
B.仅更改对用户的访问地址为HTTPS,业务系统对内的接口地址等仍然使用HTTP。

因为是内网,又涉及到SSL证书内网不信任的问题,考虑服务器互相调用接口又需要重新写,金蝶的团队也不愿意干,领导意愿又不高,这里采用第二种方式。

一、实现的架构

普通用户——访问HTTPS地址——HAPROXY将HTTPS转成HTTP——金蝶前端服务器

二、操作步骤

1.HAPROXY配置

首先需要有一个SSL证书,可以购买也可以自己生成,为外网用的最好还是购买一个。
将SSL证书存储到HAPROXY的某个目录下

cd /data
[root@kcm2hatest data]# ll
总用量 24
-rw-r--r-- 1 root root 6565 81 13:39 cert.pem
-rw-r--r-- 1 root root 1675 81 13:39 key.key

将key与pem文件合并

[root@kcm2hatest data]# cat cert.pem key.key | tee newsslcert.pem
[root@kcm2hatest data]# ll
总用量 24
-rw-r--r-- 1 root root 6565 81 13:39 cert.pem
-rw-r--r-- 1 root root 1675 81 13:39 key.key
-rw-r--r-- 1 root root 8241 81 14:01 newsslcer.pem

添加HAPROXY配置

#---------------------------------------------------------------------------------------------------------------
#       对外https的10000端口,对内http的10000
#--------------------------------------------------------------------------------------------------------------
listen k3-ssl  
    bind *:10000 ssl crt /data/newsslcer.pem  #绑定SSL证书
    mode http  
    log global  
    option httplog  
    option dontlognull  
    option forwardfor except 127.0.0.0/8  
    maxconn 8000  
    timeout client 30s  
    timeout server 30s  
  
    balance roundrobin  
    hash-type consistent  
    stick-table type ip size 10240k expire 24h  
    stick on src  

    http-request set-header X-Forwarded-Port %[dst_port]
    http-request set-header X-Forwarded-Proto http if !{ ssl_fc }
    http-request set-header X-Forwarded-Proto https if { ssl_fc }
    http-request set-header X-Forwarded-For %[hdr(X-Forwarded-For)],\ %[src] if { hdr_cnt(X-Forwarded-For) gt 0 }
    http-request set-header X-Forwarded-For %[src] if { hdr_cnt(X-Forwarded-For) eq 0 }
    server app1 192.168.1.4:10000 check weight 50 check inter 2s rise 3 fall 5   #两个服务器的地址
    server app2 192.168.1.5:10000 check weight 50 check inter 2s rise 3 fall 5   #两个服务器的地址

重启HAPROXY

systemctl restart haproxy

2.金蝶云星空配置

IIS中绑定HTTP端口,新增一个10000端口
更改星空配置文件

  <appSettings> 后面加这一条
    <add key="ForwardLoginUrl" value="{X-Forwarded-Proto}://{Forward-x-RequestHost}:{X-Forwarded-Port}" />

重启IIS

结果

用户访问HTTPS地址可以正常的访问云星空各项业务,实现了一定的安全性。

中年运维
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反向代理负载均衡HAPROXY最佳实践
01-17
### 反向代理负载均衡HAPROXY最佳实践 #### 集群概念与作用 在探讨HAPROXY在反向代理负载均衡中的最佳实践之前,我们首先需要理解集群的基本概念及其作用。集群(Cluster)是一种将多台计算机通过网络连接起来共同...
Go-k8s使用多Haproxy自动发现代理Lb
08-14
Haproxy是一款开源的高性能四层负载均衡器,广泛用于HTTPHTTPS、TCP等协议的负载分发。它支持基于内容的路由,可以根据请求头或URL路径进行智能转发,提供高可用性和性能优化。 在k8s中,服务发现是通过kube-api...
haproxy-2.3.2-win64
01-03
总的来说,haproxy-2.3.2-win64是Windows环境中实现高可用、高性能网络服务的重要工具,尤其适用于需要在Windows服务器集群中进行负载均衡和反向代理的场景。结合Cygwin64的特性,它为开发者提供了更广阔的平台选择...
haproxy-2.8.3.tar.gz
09-25
haproxy,全称为“High Availability Proxy”,是一款开源的、高性能的负载均衡器和反向代理服务器,广泛应用于各种高可用性和高性能的网络环境中。haproxy-2.8.3是haproxy的一个稳定版本,它在前一版本的基础上进行...
HttpRequest请求对象和HttpResponse响应对象
Liuzhengyue_的博客
08-02 400
HttpResponse是Django中的一个类,用于封装HTTP响应。它包括响应头和响应体,可以设置内容类型、状态码、cookies等。常用方法有write()用于追加内容,set_cookie()用于设置cookie,delete_cookie()用于删除cookie。HttpResponse对象的常见用法包括返回HTML页面、文件下载、重定向等。其子类HttpResponseRedirect、JsonResponse等分别用于重定向和返回JSON数据。通过请求对象获取请求头。
快速将网站从HTTP升级为HTTPS
ABCDEFK1234的博客
08-02 397
快速将网站从HTTP升级为HTTPS
利用HttpServlet完成MySql数据库my_user表的登录校验
xjdkxnhcoskxbco的博客
08-02 293
功能:利用HttpServlet完成MySql数据库my_user表的登录校验。step1:在porm.xml文件中导jdbc的依赖。main函数下java包的class类。maven官网中搜索:mySQL。并复制依赖粘贴到pom文件中。maven官网网址;mysql数据库输入。查询当前的数据库版本。
计算机网络基础之网络套接字socket编程(初步认识UDP、TCP协议)
溟洵的博客
08-05 661
“宿命论是那些缺乏意志力的弱者的借口。 ——罗曼.罗兰”,本章是为应用层打基础,因为在写应用层时将直接通过文本和代码的形式来更加可视化的理解网络,本章主要写的是如何使用网络套接字和udp、tcp初步认识。
计算机网络(网络层)
风吟Pro的博客
08-05 1056
计算机网络:网络层
【计算机网络】[第一章][自用]
qq_52329915的博客
08-02 394
(1 )
websocket和websockets的区别
professorman的博客
08-02 345
● 底层控制 vs 高层抽象:websocket-client 提供更底层的控制,而 websockets 提供更高层的抽象。● 同步 vs 异步:websocket-client 主要是同步的,而 websockets 是异步的,利用了 asyncio 库。● 使用场景:websocket-client 适合需要更细粒度控制的场景,websockets 适合需要高性能和并发的场景。● 易用性:websockets 提供了更简单的 API,特别是对于已经使用 asyncio 的应用程序来说。
《计算机网络》(第8版)第9章 无线网络和移动网络 复习笔记
m0_70617423的博客
07-29 864
无线局域网 WLAN 无线个人区域网 WPAN 无线城域网 WMAN 蜂窝移动通信网 两种不同的无线上网
计算机网络总结
Achooyo的博客
08-04 1700
以上问题都可以被HTTPDNS方案解决,HTTPDNS服务器可以自由掌控缓存更新速度,HTTPDNS放弃DNS协议而是使用HTTP协议使得用户只需一次http请求即可完成域名解析,HTTPDNS服务器由于直接获取了用户的源IP所以可以实现精准的流量调度。:SSL 即Secure Sockets Layer(安全套接层),由网景公司1994年开发的安全协议,处于OSI五层(会话层),TLS·即Transport Layer Security(传输层安全),它是SSL的3.1版本。403——禁止访问。
计算机网络的基本概念
westdjjdjdk的博客
08-05 749
端口号在网络通信中扮演着重要角色,使得多个应用和服务能够在同一设备上正常运行并进行有效的通信。正确管理和配置端口号是网络安全和性能的重要组成部分。网络协议是指在计算机网络中,不同设备之间通信时遵循的规则和标准。它们定义了数据如何被格式化、传输、处理和接收。网络协议是计算机和其他设备之间实现有效通信的基石,通过遵循一系列规则和标准,确保数据的准确传输和处理。熟悉常见的网络协议有助于理解网络的运作和解决相关问题。网络协议分层是将复杂的网络通信过程划分成多个层次,以便于设计、实现和管理。
websocket封装与使用
qq_51279669的博客
08-02 307
uniapp中关于webSocket的封装与使用。
计算机网络(TCP报文段首部格式中序号和确认号)
weixin_63566653的博客
08-05 464
例如,在建立连接的过程中,序号始终出现在每个发送的TCP报文段中,以标识数据的起始位置。在连接关闭时,通过发送特定的TCP报文段(如FIN包)来通知对方连接即将关闭,这些报文段中也包含序号和确认号,以确保连接的平滑关闭和数据传输的完整性。TCP首部的序号和确认号是根据TCP通信的不同阶段和目的来决定的。在建立连接的过程中,序号用于标识发送数据的起始位置,而确认号用于表示接收方期望接收的下一个数据的起始位置。序号的增长依赖于通信双方的数据传输情况,每个报文段的序号都是基于发送方和接收方的协商和状态来确定的。
计算机网络-数据链路层
最新发布
Lenn Louis' Scribe
08-05 873
由于一旦检测出冲突就立即终止发送,这时发送的数据一定小于64字节,因此凡是长度小于64字节的帧都是由于冲突而异常终止的无效帧,只要收到了这种无效帧,就应当立即将其终止。当数据字段的长度小于46字节时,数据链路层就会在数据字段的后面加入一个整数字节的填充字段,以保证以太网的MAC帧长不小于64字节,接收端还必须能够将添加的字节去掉。接收端收到物理层传过来的数字信号读取到帧开始字符一直到帧结束字符,就认为接收到了一个完整的帧。不同的数据链路层协议的帧的首部和尾部包含的信息有明确的规定,帧的首部和尾部有。
计算机基础(Windows 10+Office 2016)教程 —— 第4章 计算机网络与Internet(上)
m0_70617423的博客
07-31 991
计算机网络概述 计算机网络的组成和分类 网络传输介质和通信设备
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值