在前一段時間,我寫了幾篇有關學習haproxy的文章。今天我們再來介紹下haproxy的https配置,https協議的好處在此,我們就不就作介紹了。
我們只介紹如何配置https,以及https在實際生產環境中的應用。
PS:本實驗全部在haproxy1.5.4版本進行測試通過。haproxy1.3版本以下haproxy配置參數可能不能使用,需要注意版本號。
以下haproxy配置是線上生產環境直接使用的。
一、業務要求
現在根據業務的實際需要,有以下幾種不同的需求。如下:
1.1 http跳轉https
把所有請求http://http.ilanni.com的地址全部跳轉為https//:http.ilanni.com這個地址。
1.2 http與https並存
服務器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。
1.3 同台服務器不同域名之間的https與http
同一台服務器對http.ilanni.com域名訪問的全部跳轉為https://http.ilanni.com,而對haproxy.ilanni.com訪問走http協議,也就是跳轉到http://haproxy.ilanni.com這個地址。
1.4 同台服務器多域名均使用https
同一台服務器對http.ilanni.com和haproxy.ilanni.com訪問走http是協議。
二、配置haproxy並測試業務需求
現在我們根據業務的需求,我們來配置haproxy一一達到其需求。
2.1 http跳轉https配置
說實話haproxy的https配置要比nginx配置簡單的多了,我們只需要加入幾行代碼即可實現https的功能。
http跳轉https的haproxy配置文件內容,如下:
global
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
maxconn 4096
uid 188
gid 188
daemon
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.1
option redispatch
retries 3
option redispatch
maxconn 2000
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
listen admin_stats
bind 0.0.0.0:1080
mode http
option httplog
maxconn 10
stats refresh 30s
stats uri /stats
stats auth admin:admin
stats hide-version
frontend weblb
bind *:80
acl is_http hdr_beg(host) http.ilanni.com
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
use_backend httpserver if is_http
backend httpserver
balance source
server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
在以上配置文件中,需要注意的選項如下:
tune.ssl.default-dh-param 2048因為我們的SSL密鑰使用的是2048bit加密,所以在此進行聲明。
acl is_http hdr_beg(host) http.ilanni.com
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
這三行表示把所有訪問http.ilanni.com這個域名的請求,全部轉發到https://http.ilanni.com這個連接。
2.2 測試http跳轉https
http跳轉https配置完畢後,我們選擇來測試其跳轉。如下:
你會發現在浏覽器中,無論你輸入的是http.ilanni.com,還是http://http.ilanni.com亦或是https://http.ilanni.com,都會自動跳轉到https://http.ilanni.com。
這樣就達到了,把所有的http請求跳轉到https的目的。
2.3 http與https並存配置
haproxy要實現http和https並存的話,配置也很簡單,只需要把haproxy分別監控不同的端口就行,配置文件如下:
global
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
maxconn 4096
user haproxy
group haproxy
daemon
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option httplog
option dontlognull
retries 3
option redispatch
maxconn 2000
timeout connect 5000ms
timeout client 50000ms
timeout server 50000ms
listen admin_stats
bind 0.0.0.0:1080
mode http
option httplog
maxconn 10
stats refresh 30s
stats uri /stats
stats auth admin:admin
stats hide-version
frontend weblb
bind *:80
acl is_http hdr_beg(host) http.ilanni.com
use_backend httpserver if is_http
backend httpserver
balance source
server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
frontend weblb443
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
acl is_443 hdr_beg(host) http.ilanni.com
use_backend httpserver443 if is_443
backend httpserver443
balance source
server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
在以上配置文件中,我們定義了兩個前端,一個前端用於監聽80端口,也就是http協議。另外一個前端監聽443端口,也就是https協議。
此時haproxy會根據客戶端請求的協議進行分發,如果發現客戶端請求的是http協議,則把該請求分發到監聽80端口的前端。如果發現客戶端請求的是https協議,則把該請求分發到監聽443端口的前端。如此就達到了haproxy讓http和https並存的要求。
2.4 測試http與https並存
http與https並存配置完畢後,我們選擇來測試其跳轉。如下:
通過測試你會發現,在浏覽器中如果你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com,而輸入的是https://http.ilanni.com,則只會跳轉到https://http.ilanni.com。
如此就到達了,我們業務的要求實現http和https並存。
2.5 同台服務器不同域名之間的https與http配置
同台服務器不同域名之間的http和https配置比較復雜,第一需要監聽兩個端口,第二還要根據不同的域名進行分發。
haproxy配置文件如下:
global
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
maxconn 4096
uid 188
gid 188
daemon
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.1
option redispatch
retries 3
option redispatch
maxconn 2000
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
listen admin_stats
bind 0.0.0.0:1080
mode http
option httplog
maxconn 10
stats refresh 30s
stats uri /stats
stats auth admin:admin
stats hide-version
frontend weblb
bind *:80
acl is_haproxy hdr_beg(host) haproxy.ilanni.com
acl is_http hdr_beg(host) http.ilanni.com
redirect prefix https://http.ilanni.com if is_http
use_backend haproxyserver if is_haproxy
backend haproxyserver
balance source
server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
frontend weblb443
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
acl is_443 hdr_beg(host) http.ilanni.com
use_backend httpserver443 if is_443
backend httpserver443
balance source
server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
同台服務器不同域名之間的https與http配置,我們配置了兩個前端一個用於監聽80端口,並且根據不同的域名進行跳轉。在80端口的規則中,如果客戶端請求的是http.ilanni.com,這個域名的話,則haproxy會把該請求直接跳轉到https://http.ilanni.com。如果是haproxy.ilanni.com,這個域名的話,則分發到後端的服務器。
另外一個前端用於監聽443端口,用於分發客戶端https://http.ilanni.com的請求。
2.6 測試同台服務器不同域名之間的https與http配置
同台服務器不同域名之間的https與http配置配置完畢後,我們現在來進行測試。如下:
通過上圖,我們可以發現在浏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址,而如果輸入的是http.ilanni.com或者是http://http.ilanni.com,亦或是https://http.ilanni.com的話,都會跳轉到https://http.ilanni.com。
如此就達到了我們的業務要求,同台服務器上訪問haproxy.ilanni.com直接跳轉到80端口,如果訪問的是http.ilanni.com域名的話則跳轉到https://http.ilanni.com這個地址。
2.7 同台服務器多域名均使用https配置
要使同台服務器的兩個設置多個域名都使用https協議的話,配置很簡單。只需要在haproxy中啟用各自的https配置即可。
haproxy配置文件,如下:
global
log 127.0.0.1 local0
log 127.0.0.1 local1 notice
maxconn 4096
uid 108
gid 116
daemon
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option httplog
option dontlognull
option http-server-close
option forwardfor except 127.0.0.1
option redispatch
retries 3
option redispatch
timeout http-request 10s
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout http-keep-alive 10s
timeout check 10s
maxconn 3000
listen admin_stats
bind 0.0.0.0:1080
mode http
option httplog
maxconn 10
stats refresh 30s
stats uri /stats
stats auth admin:admin
stats hide-version
frontend web80
bind *:80
acl is_http hdr_beg(host) http.ilanni.com
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
acl is_haproxy hdr_beg(host) haproxy.ilanni.com
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
use_backend httpserver if is_http
use_backend haproxyserver if is_haproxy
backend httpserver
balance source
server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
backend haproxyserver
balance source
server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
配置文件比較簡單,在此就不做進一步的講解了。
2.8 測試同台服務器多域名均使用https
同台服務器多域名均使用https,配置完畢後,現在我們來測試下。
通過上圖,我們可以看到在浏覽中無論是輸入http.ilanni.com、http://http.ilanni.com,還是haproxy.ilanni.com、http://haproxy.ilanni.com,都會跳轉到相應的https地址。
這也達到了我們業務的要求。