HAProxy 之 实现https访问

最新推荐文章于 2024-04-25 08:00:00 发布
最新推荐文章于 2024-04-25 08:00:00 发布
阅读量3.2k 收藏 2
点赞数
分类专栏: Linux平台
原文链接:https://www.jianshu.com/p/87c290244079
版权

1  概述

 

启用https将使得服务器的性能大大降低,如果后端的服务器压力较大或者性能不够,启用web server上启用https将对服务器造成更大的压力,但是为了安全的考量,启用https将是非常关键的。所以,这里有个折中的方法,当用户到达haproxy这里的访问是在公网环境,通过https进行访问,而从haproxy到达后端服务器属于企业的局域网中,我们认为是相对安全的,所以通过haprxoy服务器上redirect的功能,将客户端访问的请求全部转换为https,同时将该https的请求转换为http请求来访问后端服务器。

2  配置HAProxy支持https协议

 

2.1通过自签名生成证书文件

证书文件为PEM格式,要求把私钥和证书文件放在一起,自签名生成证书文件,用如下命令实现,在HA上配置,RS上不用生成证书文件,后端走HTTP协议

cd /etc/pki/tls/certs/

make /etc/haproxy/haproxy.pem

#以上命令将生成私钥和证书文件都放在一起pem文件,而且直接放置在/etc/haproxy/这个路径下

如果向CA申请的证书文件,需要用如下命令将证书和私钥打包成一份

cat  haproxy.crthaproxy.key > haproxy.pem

2.2支持ssl会话

 

指定证书文件的路径,并重定向80端口到443端口

绑定端口格式

bind *:443 ssl crt  /PATH/TO/SOME_PEM_FILE

例子

bind *:80

bind *:443 ssl crt  /etc/haproxy/haproxy.pem

redirect scheme https if !{ ssl_fc}

redirect当访问80端口时自动跳转到443

2.3  log 记录

向后端log传递用户请求的协议和端口(frontend或backend),方便查看用户访问的端口号,不是必须的配置。以下两个方法二选一

http-request  set-header X-Forwarded-Port %[dst_port]

http-request  add-header X-Forwared-Proto https if {ssl_fc}

set-header设置表示如果存在就覆盖原信息,X-Forwarded-Port是格式的自定义的名字,这里是根据源端口来设置,如源端口是443,就添加为443,当HA收到请求的时候,就会把HA访问后台RS用的端口号转发到后台的服务器

add-header不管原来是否有什么格式,都添加上去,X-Forwared-Proto是格式的名字,是log里定义需要调用的名字,log加上去的内容为https

RS定义log

LogFormat "%h %l %u%t \"%r\" %>s %b \"%{Referer}i\"\"%{User-Agent}i\"  \"%{X-Forwared-Proto} i\"" combined



作者:ghbsunny
链接:https://www.jianshu.com/p/87c290244079
 

zane_aimingoo
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Haproxy安装配置(负载均衡及监控、网页动静分离、访问控制、读写分离、Haproxy日志采集)
weixin_43314056的博客
02-21 303
Haproxy 提供高可用性、负载均衡以及基于TCP和HTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。HaProxy特别适用于那些负载特大的web站点, 这些站点通常又需要会话保持或七层处理。Haproxy运行在当前的硬件上,完全可以支持数以万计的并发连接。并且它的运行模式使得它可以很简单安全的整合进您当前的架构中,同时可以保护你的 web 服务器不被暴露到网络上。 Ha...
配置HAProxy负载均衡集群.doc
09-14
准备4台Linux服务器,两台做Web服务器,1台安装HAProxy,1台做客户端。...客户端访问HAProxyHAProxy分发请求到后端Real Server; 开启HAProxy监控页面,及时查看调度器状态; 设置HAProxy为开机启动;
haproxy:HAProxy管理和编排
04-23
Here be deamons, this module is still under heavy development not all parsers are hooked up on the API's yet. Feel free to contribute and build the best HAProxy orchestration module out there. hapoxy HAProxy是一个了不起的代理,它支持许多不同的算法来实现负载平衡,它可以处理HTTP,TCP,WebSocket连接,执行SSL终止等等。 但是管理这些代理可能会有些痛苦。 那就是haproxy ,它提供对HAProxy的统计套接字的访问,该套接字允许您启用,禁用服务器和前端,读出统计信息等等。 除此之外,它还可以热重载配置更改并启动,停止HAProxy,即使它作为守护程序运行也是如此。 安
api_haproxy:到 haproxy 的 Python API
07-22
api_haproxy 介绍 这个 Django 应用程序通过常见的 API 调用涵盖了 HAProxy 配置文件生命周期的构建、生成、验证和部署过程。 该项目是作为有关 NFV(网络功能虚拟化)的学士论文的一部分而开发的。 应用程序使用来自子模块的异常。 也可以使用 api_core 中引入的,有关更多详细信息,请参阅下面的进行部分。 您可能希望使用整个 Django 项目来实现此应用程序。 您可以在存储库中找到它。 一个典型的用例可能包括这个模块在一个 Django 项目中,放置在一个 HAProxy 虚拟机模板中,将其标记为“负载平衡器”。 使用创建的模板,您可以为您的客户生成虚拟机,然后为他们提供稍后根据需要配置它的方法,而无需使用 ssh 访问虚拟机。 安装 将此应用程序和 api_core 应用程序子模块到您的 Django 项目中 git submodule add *r
Haproxy - 安装SSL证书
最新发布
简单记录一下。
04-25 513
以上例子htps端口使用443,具体使用可根据需要改成其他端口,具体的配置可复制一份原来http端口使用的代码,在此代码基础上做相应的修改。其中 /etc/haproxy/haproxy.pem 是合并后的证书文件。在global 区块加入如下代码。
Ansible-role-httpd-haproxy-aws:AWS上的Httpd Web服务器和Haproxy负载均衡器的Ansible角色
05-03
Ansible-role-httpd-haproxy-aws AWS上的Httpd Web服务器和Haproxy负载均衡器的Ansible角色 创建一个匿名角色myapache来配置Httpd WebServer。 创建另一个可访问角色myloadbalancer来配置HAProxyLB。 我们需要结合这两个角色来控制Web服务器的版本,并解决HAProxy.cfg文件中每个受管节点上动态添加主机ip的难题。 谢谢!
haproxy-confd:完全动态的HAProxy confd组合,适用于dockerized世界
05-02
HAProxy与confd结合使用,可通过etcd自动发现和重新配置服务来实现HTTP负载平衡。 先决条件 此设置取决于通过DNS查找服务后端。 如果您使用Docker来运行服务,我们强烈建议您使用一些编排层,例如Kontena。 至少考虑使用例如weave将您的容器联网并为它们提供可寻址的DNS条目。 特征 由Confd 0.10.0支持的HAProxy 1.5.x 暂时来自jnummelin / confd分支的ConfD,因为它具有用于Alpine Linux的预构建包 使用零停机时间重新配置(例如-代替harpy reload,这将删除所有连接,并将逐渐将新的连接转移到新的配置中) 添加了对备份kv存储中密钥存在的验证,以防止失败 还支持来自etcd的证书 暂时而言,证书未加密,因此请确保以其他方式对etcd的访问是安全的。 通过etcd配置 创建允许confd查找服务的路径:
烂泥:haproxy学习之https配置
weixin_34071713的博客
11-05 1191
本文由ilanniweb提供友情赞助,首发于烂泥行天下 想要获得更多的文章,可以关注我的微信ilanniweb。 在前一段时间,我写了几篇有关学习haproxy的文章。今天我们再来介绍下haproxyhttps配置https协议的好处在此,我们就不就作介绍了。 我们只介绍如何配置https,以及https在实际生产环境中的应用。 PS:本实验全部在haproxy1.5.4版本进行测试通...
haproxy https实现
一直在努力学习的菜鸟
04-22 3960
haproxy https实现 haproxy可以实现https证书安全,从用户到haproxyhttps,从haproxy到后端服务器用http通信。但基于性能考虑,生产中证书都是在后端服务器比如nginx上实现 #配置HAProxy支持https协议,支持ssl会话; bind *:443 ssl crt /PATH/TO/SOME_PEM_FILE #指令crt后证书文件为PEM格式,需要同时包含证书和所有私钥 cat demo.key demo.crt > demo.pem #把
haproxy 看到的是https,后台是http的原因
weixin_30800807的博客
06-24 303
https://www.zjtest6.com/admin/api/menu haproxy 日志; Jun 24 13:23:02 localhost haproxy[23205]: 192.168.33.29:56800 [24/Jun/2016:13:23:02.677] www~ appserver_3000/webhost01_8001 2/0/6/12/20 200 1...
ha 配置ssl_基于haproxy的全站https
weixin_36312811的博客
01-17 261
前一段时间新疆等地用户访问国务院官网,在首页上发现大量淫秽信息及广告,后反映给相关工作人员。经排查,并非是网站被劫持和入侵,而是运营商流量劫持导致的这个结果……此处且不论该时间后续事宜,作为一名优秀的运维工程师,我们面对运营商如此流氓的行为,应该怎么办? 当然是全站HTTPS了,目前,百度、阿里、腾讯等国内互联网巨头已经采用全站HTTPS。下面我将带你模拟搭建HTTPS。这是一个常见的haprox...
nginx简单实现负载均衡
01-20
2)实现访问调度处理 根据用户终端不同进行调度访问 /根据服务器性能 实现方式: 软件方式实现 nginx lvs haproxy 硬件方式实现 F5 A10 负载均衡 名词解释: 负载均衡:实现并发访问压力分担/实现访问调度处理 反向代...
Linux shell实现HTTP服务示例代码
01-11
一、前言 使用代理服务器 HAProxy 对 Mysql 做负载均衡是常用方案,为提高可用性,当某个 Mysql 出现问题时,例如服务器故障了,或者数据复制...(3)HAProxy 访问这个HTTP服务,根据返回的结果信息来判断这个 mysql
python实现mysql的读写分离及负载均衡
12-23
Oracle数据库有其公司开发的配套rac来实现负载均衡,目前已知的最大节点数能到128个,但是其带来的维护成本无疑是很高的,并且rac的稳定性也并不是特别理想,尤其是节点很多的时候。  但是,相对mysql来说,rac的...
实现负载均衡的Web服务器软件nginx-1.13.0
01-13
实现负载均衡常用的Web服务器软件有Nginx、HAProxy、LVS、Apache,本资源是Nginx的负载均衡策略。 负载均衡的目的是为了解决单个节点压力过大,造成Web服务响应过慢,严重的情况下导致服务瘫痪,无法正常提供服务。
【HAPrxoy】如何解决使用haproxy作为反向代理端口耗尽问题?
michaelwoshi的博客
09-08 510
高并发中负载均衡器临时端口耗尽问题 https://www.maideliang.com/index.php/archives/48/ 1. 对于tcp请求来说,tcp的客户端服务端概念和http的不同,请求双方,哪边关闭请求,哪边就是tcp客户端,另一边就为服务端。 2、tcp的一个链接由4个值确定,源ip、源端口、目标ip、目标地址。 tcp状态图中有一个TIME_WAIT状态,也叫2MSL状态,该状态是为了保证在tcp客户端发给tcp服务端最后一个ACK能顺利到达的一个等待状态。若没有..
负载均衡haproxy(七层)
qq_43114229的博客
12-08 1047
实现环境: server1 server2 server3 1、haproxy 实现负载均衡 [root@server1 ~]# yum install haproxy -y 安装软件 [root@server2 ~]# systemctl start httpd server2上启动apache [root@server3 ~]# systemctl start httpd server3上启动apache [root@server1 ~]# cd /etc/haproxy/ [root@ser
HaProxy在CentOS 6安装
JackieLiu
12-18 117
1.先查看操作系统的版本信息,执行命令     #:uname -a   Linux AY131218134006746d78Z 2.6.32-358.6.2.el6.x86_64 #1 SMP Thu May 16 20:59:36 UTC 2013 x86_64 x86_64 x86_64 GNU/Linux 2.获取haProxy的源码包,并解压:   #:wget http:/...
haproxy+keepalived高可用实现具体步骤
06-01
实现 HAProxy+Keepalived 高可用需要按照以下步骤进行: 1. 安装 HAProxy 和 Keepalived 在主服务器和备份服务器上安装 HAProxy 和 Keepalived。 2. 配置 HAProxy 编辑 HAProxy 配置文件,配置监听端口和后端服务器信息,并启用统计页面。例如: ``` global log 127.0.0.1 local2 chroot /var/lib/haproxy pidfile /var/run/haproxy.pid maxconn 4000 user haproxy group haproxy daemon defaults log global mode http option httplog option dontlognull option forwardfor option redispatch retries 3 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout check 10s listen webfarm bind 0.0.0.0:80 mode http stats enable stats uri /haproxy balance roundrobin option httpchk HEAD / HTTP/1.1\r\nHost:localhost server web1 192.168.0.1:80 check server web2 192.168.0.2:80 check ``` 3. 配置 Keepalived 编辑 Keepalived 配置文件,配置虚拟 IP 地址、HAProxy 的状态检测方式和状态转移时的优先级。例如: ``` vrrp_script chk_haproxy { script "killall -0 haproxy" interval 2 weight 2 } vrrp_instance VI_1 { interface eth0 state MASTER virtual_router_id 51 priority 101 virtual_ipaddress { 192.168.0.100/24 } track_script { chk_haproxy } } ``` 4. 启动 HAProxy 和 Keepalived 在两台服务器上分别启动 HAProxy 和 Keepalived。 5. 测试高可用 访问虚拟 IP 地址,检查是否能够正常访问,并手动切换主备服务器,检查是否能够自动切换。 注意:以上仅为简单示例,请根据实际情况进行配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值