爛泥：haproxy學習之https配置

時間 2019-11-11

標籤爛泥 haproxy 學習 https 配置欄目負載均衡简体版

原文原文鏈接

在前一段時間，我寫了幾篇有關學習haproxy的文章。今天咱們再來介紹下haproxy的https配置，https協議的好處在此，咱們就不就做介紹了。前端

咱們只介紹如何配置https，以及https在實際生產環境中的應用。 nginx

PS：本實驗所有在haproxy1.5.4版本進行測試經過。haproxy1.3版本如下haproxy配置參數可能不能使用，須要注意版本號。 web

如下haproxy配置是線上生產環境直接使用的。 redis

1、業務要求 後端

如今根據業務的實際須要，有如下幾種不一樣的需求。以下：瀏覽器

1.1 http跳轉https 服務器

把全部請求http://http.ilanni.com的地址所有跳轉爲https//:http.ilanni.com這個地址。 frontend

1.2 http與https並存 ide

服務器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。學習

1.3 同臺服務器不一樣域名之間的https與http

同一臺服務器對http.ilanni.com域名訪問的所有跳轉爲https://http.ilanni.com，而對haproxy.ilanni.com訪問走http協議，也就是跳轉到http://haproxy.ilanni.com這個地址。

1.4 同臺服務器多域名均使用https

同一臺服務器對http.ilanni.com和haproxy.ilanni.com訪問走http是協議。

2、配置haproxy並測試業務需求

如今咱們根據業務的需求，咱們來配置haproxy一一達到其需求。

2.1 http跳轉https配置

說實話haproxy的https配置要比nginx配置簡單的多了，咱們只須要加入幾行代碼便可實現https的功能。

http跳轉https的haproxy配置文件內容，以下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 188

gid 188

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

option redispatch

maxconn 2000

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

use_backend httpserver if is_http

backend httpserver

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

在以上配置文件中，須要注意的選項以下：

tune.ssl.default-dh-param 2048由於咱們的SSL密鑰使用的是2048bit加密，因此在此進行聲明。

acl is_http hdr_beg(host) http.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

這三行表示把全部訪問http.ilanni.com這個域名的請求，所有轉發到https://http.ilanni.com這個鏈接。

2.2 測試http跳轉https

http跳轉https配置完畢後，咱們選擇來測試其跳轉。以下：

你會發如今瀏覽器中，不管你輸入的是http.ilanni.com，仍是http://http.ilanni.com亦或是https://http.ilanni.com，都會自動跳轉到https://http.ilanni.com。

這樣就達到了，把全部的http請求跳轉到https的目的。

2.3 http與https並存配置

haproxy要實現http和https並存的話，配置也很簡單，只須要把haproxy分別監控不一樣的端口就行，配置文件以下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

user haproxy

group haproxy

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

retries 3

option redispatch

maxconn 2000

timeout connect 5000ms

timeout client 50000ms

timeout server 50000ms

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

use_backend httpserver if is_http

backend httpserver

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

frontend weblb443

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

acl is_443 hdr_beg(host) http.ilanni.com

use_backend httpserver443 if is_443

backend httpserver443

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

在以上配置文件中，咱們定義了兩個前端，一個前端用於監聽80端口，也就是http協議。另一個前端監聽443端口，也就是https協議。

此時haproxy會根據客戶端請求的協議進行分發，若是發現客戶端請求的是http協議，則把該請求分發到監聽80端口的前端。若是發現客戶端請求的是https協議，則把該請求分發到監聽443端口的前端。如此就達到了haproxy讓http和https並存的要求。

2.4 測試http與https並存

http與https並存配置完畢後，咱們選擇來測試其跳轉。以下：

經過測試你會發現，在瀏覽器中若是你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com，而輸入的是https://http.ilanni.com，則只會跳轉到https://http.ilanni.com。

如此就到達了，咱們業務的要求實現http和https並存。

2.5 同臺服務器不一樣域名之間的https與http配置

同臺服務器不一樣域名之間的http和https配置比較複雜，第一須要監聽兩個端口，第二還要根據不一樣的域名進行分發。

haproxy配置文件以下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 188

gid 188

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

option redispatch

maxconn 2000

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_haproxy hdr_beg(host) haproxy.ilanni.com

acl is_http hdr_beg(host) http.ilanni.com

redirect prefix https://http.ilanni.com if is_http

use_backend haproxyserver if is_haproxy

backend haproxyserver

balance source

server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

frontend weblb443

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

acl is_443 hdr_beg(host) http.ilanni.com

use_backend httpserver443 if is_443

backend httpserver443

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

同臺服務器不一樣域名之間的https與http配置，咱們配置了兩個前端一個用於監聽80端口，而且根據不一樣的域名進行跳轉。在80端口的規則中，若是客戶端請求的是http.ilanni.com，這個域名的話，則haproxy會把該請求直接跳轉到https://http.ilanni.com。若是是haproxy.ilanni.com，這個域名的話，則分發到後端的服務器。

另一個前端用於監聽443端口，用於分發客戶端https://http.ilanni.com的請求。

2.6 測試同臺服務器不一樣域名之間的https與http配置

同臺服務器不一樣域名之間的https與http配置配置完畢後，咱們如今來進行測試。以下：

經過上圖，咱們能夠發如今瀏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址，而若是輸入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的話，都會跳轉到https://http.ilanni.com。

如此就達到了咱們的業務要求，同臺服務器上訪問haproxy.ilanni.com直接跳轉到80端口，若是訪問的是http.ilanni.com域名的話則跳轉到https://http.ilanni.com這個地址。

2.7 同臺服務器多域名均使用https配置

要使同臺服務器的兩個設置多個域名都使用https協議的話，配置很簡單。只須要在haproxy中啓用各自的https配置便可。

haproxy配置文件，以下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 108

gid 116

daemon

tune.ssl.default-dh-param 2048