A Megera Domada FELIZ. Trabalhamos ssl <--> ssl com a geração de certificados separadamente em cada servidor

Como parte deste tutorial, configuraremos um proxy reverso para que nossos sites funcionem no modo transparente em 10 minutos. Ir.

Eu defini a tarefa de que o roteamento transparente entre o visitante e o site final funcionasse sem problemas no meu servidor sob a liderança do Proxmox com um pool de sites. Porque a internet está cheia de manuais de configuração básica do Haproxy, me deparei com o problema de que 99% desses artigos descrevem o trabalho de um servidor proxy em modo de terminação, e aí a informação vai de acordo com uma versão desprotegida (de um proxy para a VM final). Isso não me convinha e comecei a pesquisar pouco a pouco informações na rede. Infelizmente, em nosso segmento de língua russa há pouco disso (leia-se não). Tivemos que lanhar o segmento burguês. Trago o resultado final à sua atenção, acho que certamente funcionará para qualquer pessoa.

global
log /dev/log    local0
log /dev/log    local1 notice
stats socket /haproxy-admin.sock mode 660 level admin
stats timeout 30s
daemon
defaults
maxconn 2000
mode http        
log global
option dontlognull # bind *:443 ssl crt .
option http-server-close
timeout http-request 10s
timeout connect         5000
timeout client          50000
timeout server         50000
frontend stats
bind *:5000
stats enable
stats uri /stats
stats refresh 10s
stats auth admin:mysupersecretpassword #   
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Bloco responsável por ssl para ssl

frontend env_ssl_frontend
bind *:443
mode tcp
option tcplog
tcp-request inspect-delay 10s
tcp-request content accept if { req_ssl_hello_type 1 }
use_backend bk_app1 if { req.ssl_sni -m end site1.ru }
use_backend bk_app2 if { req.ssl_sni -m end counter.site1.ru }
use_backend bk_app3 if { req.ssl_sni -m end site2.com }  
use_backend bk_app4 if { req.ssl_sni -m end site3.msk.ru }
use_backend bk_app5 if { req.ssl_sni -m end site4.ru }
use_backend bk_app6 if { req.ssl_sni -m end site5.msk.ru }

backend bk_app1
mode tcp
balance leastconn
option tcp-check 
server main 192.168.1.26:443 send-proxy check

backend bk_app2
mode tcp
balance leastconn
option tcp-check
server main 192.168.1.38:443 send-proxy check

backend bk_app3
mode tcp
balance leastconn
option tcp-check
server main 192.168.1.37:443 send-proxy check

backend bk_app4
mode tcp
balance leastconn
option tcp-check
server main 192.168.1.100:443 check

backend bk_app5
mode tcp
balance leastconn
option tcp-check
server main 192.168.1.31:443 send-proxy check

backend bk_app6
balance leastconn
mode tcp
option tcp-check
server main 192.168.1.200:443 check
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

Bloco responsável pela operação dos sites na porta 80

frontend public
        bind *:80

        #  
        acl host_subdomain1 hdr(host) -i site1.ru 
        acl host_subdomain2 hdr(host) -i counter.site1.ru
        acl host_subdomain3 hdr(host) -i site2.com
        acl host_subdomain4 hdr(host) -i site3.msk.ru
        acl host_subdomain5 hdr(host) -i site4.ru
        acl host_subdomain6 hdr(host) -i site5.msk.ru
        ##  acl 
        use_backend subdomain1 if host_subdomain1
        use_backend subdomain2 if host_subdomain2
        use_backend subdomain3 if host_subdomain3
        use_backend subdomain4 if host_subdomain4
        use_backend subdomain5 if host_subdomain5
        use_backend subdomain6 if host_subdomain6

backend subdomain1
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-1 192.168.1.26:80 check

backend subdomain2
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-2 192.168.1.37:80 check

backend subdomain3
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-3 192.168.1.31:80 check

backend subdomain4
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-4 192.168.1.100:80 check

backend subdomain5
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-5 192.168.1.200:80 check

backend subdomain6
        option httpclose
        option forwardfor
        cookie JSESSIONID prefix
        server subdomain-6 192.168.1.38:80 check    
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
    

O que obtivemos como resultado:

1. ssl . , ssl .
2. ( ) .
3. .
4. , . ip ( 192.168.1.150:5000) 5000 . admin .

Haproxy.

, PROXMOKS-e N - Letsencrypt, , Haproxy .

( ) c ( ) , 80 . .

, .

!

PS O próprio proxy reverso é gerado e é ótimo no Ubuntu 18.04, que vem em modelos Proxmox. No início, eu o executei em um modo de máquina virtual completo, mas essa decisão não se justificou, pois consumiu uma boa quantidade de processador e outros recursos da máquina host. Com a transferência do servidor proxy para o contêiner LXC, o consumo de recursos caiu para quase dois por cento dos recursos da máquina host e podemos dizer que não consome nada.