歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

haproxy學習之https配置

在前一段時間,我寫了幾篇有關學習haproxy的文章。今天我們再來介紹下haproxy的https配置,https協議的好處在此,我們就不就作介紹了。   我們只介紹如何配置https,以及https在實際生產環境中的應用。   PS:本實驗全部在haproxy1.5.4版本進行測試通過。haproxy1.3版本以下haproxy配置參數可能不能使用,需要注意版本號。   以下haproxy配置是線上生產環境直接使用的。   一、業務要求   現在根據業務的實際需要,有以下幾種不同的需求。如下:   1.1 http跳轉https   把所有請求http://http.ilanni.com的地址全部跳轉為https//:http.ilanni.com這個地址。   1.2 http與https並存   服務器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。   1.3 同台服務器不同域名之間的https與http   同一台服務器對http.ilanni.com域名訪問的全部跳轉為https://http.ilanni.com,而對haproxy.ilanni.com訪問走http協議,也就是跳轉到http://haproxy.ilanni.com這個地址。   1.4 同台服務器多域名均使用https   同一台服務器對http.ilanni.com和haproxy.ilanni.com訪問走http是協議。   二、配置haproxy並測試業務需求   現在我們根據業務的需求,我們來配置haproxy一一達到其需求。   2.1 http跳轉https配置   說實話haproxy的https配置要比nginx配置簡單的多了,我們只需要加入幾行代碼即可實現https的功能。   http跳轉https的haproxy配置文件內容,如下:   global   log 127.0.0.1 local0   log 127.0.0.1 local1 notice   maxconn 4096   uid 188   gid 188   daemon   tune.ssl.default-dh-param 2048   defaults   log global   mode http   option httplog   option dontlognull   option http-server-close   option forwardfor except 127.0.0.1   option redispatch   retries 3   option redispatch   maxconn 2000   timeout http-request 10s   timeout queue 1m   timeout connect 10s   timeout client 1m   timeout server 1m   timeout http-keep-alive 10s   timeout check 10s   maxconn 3000   listen admin_stats   bind 0.0.0.0:1080   mode http   option httplog   maxconn 10   stats refresh 30s   stats uri /stats   stats auth admin:admin   stats hide-version   frontend weblb   bind *:80   acl is_http hdr_beg(host) http.ilanni.com   redirect scheme https if !{ ssl_fc }   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   use_backend httpserver if is_http   backend httpserver   balance source   server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3     在以上配置文件中,需要注意的選項如下:   tune.ssl.default-dh-param 2048因為我們的SSL密鑰使用的是2048bit加密,所以在此進行聲明。   acl is_http hdr_beg(host) http.ilanni.com   redirect scheme https if !{ ssl_fc }   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   這三行表示把所有訪問http.ilanni.com這個域名的請求,全部轉發到https://http.ilanni.com這個連接。   2.2 測試http跳轉https   http跳轉https配置完畢後,我們選擇來測試其跳轉。如下:     你會發現在浏覽器中,無論你輸入的是http.ilanni.com,還是http://http.ilanni.com亦或是https://http.ilanni.com,都會自動跳轉到https://http.ilanni.com。   這樣就達到了,把所有的http請求跳轉到https的目的。   2.3 http與https並存配置   haproxy要實現http和https並存的話,配置也很簡單,只需要把haproxy分別監控不同的端口就行,配置文件如下:   global   log 127.0.0.1 local0   log 127.0.0.1 local1 notice   maxconn 4096   user haproxy   group haproxy   daemon   tune.ssl.default-dh-param 2048   defaults   log global   mode http   option httplog   option dontlognull   retries 3   option redispatch   maxconn 2000   timeout connect 5000ms   timeout client 50000ms   timeout server 50000ms   listen admin_stats   bind 0.0.0.0:1080   mode http   option httplog   maxconn 10   stats refresh 30s   stats uri /stats   stats auth admin:admin   stats hide-version   frontend weblb   bind *:80   acl is_http hdr_beg(host) http.ilanni.com   use_backend httpserver if is_http   backend httpserver   balance source   server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3   frontend weblb443   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   acl is_443 hdr_beg(host) http.ilanni.com   use_backend httpserver443 if is_443   backend httpserver443   balance source   server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3   在以上配置文件中,我們定義了兩個前端,一個前端用於監聽80端口,也就是http協議。另外一個前端監聽443端口,也就是https協議。   此時haproxy會根據客戶端請求的協議進行分發,如果發現客戶端請求的是http協議,則把該請求分發到監聽80端口的前端。如果發現客戶端請求的是https協議,則把該請求分發到監聽443端口的前端。如此就達到了haproxy讓http和https並存的要求。   2.4 測試http與https並存   http與https並存配置完畢後,我們選擇來測試其跳轉。如下:     通過測試你會發現,在浏覽器中如果你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com,而輸入的是https://http.ilanni.com,則只會跳轉到https://http.ilanni.com。   如此就到達了,我們業務的要求實現http和https並存。   2.5 同台服務器不同域名之間的https與http配置   同台服務器不同域名之間的http和https配置比較復雜,第一需要監聽兩個端口,第二還要根據不同的域名進行分發。   haproxy配置文件如下:   global   log 127.0.0.1 local0   log 127.0.0.1 local1 notice   maxconn 4096   uid 188   gid 188   daemon   tune.ssl.default-dh-param 2048   defaults   log global   mode http   option httplog   option dontlognull   option http-server-close   option forwardfor except 127.0.0.1   option redispatch   retries 3   option redispatch   maxconn 2000   timeout http-request 10s   timeout queue 1m   timeout connect 10s   timeout client 1m   timeout server 1m   timeout http-keep-alive 10s   timeout check 10s   maxconn 3000   listen admin_stats   bind 0.0.0.0:1080   mode http   option httplog   maxconn 10   stats refresh 30s   stats uri /stats   stats auth admin:admin   stats hide-version   frontend weblb   bind *:80   acl is_haproxy hdr_beg(host) haproxy.ilanni.com   acl is_http hdr_beg(host) http.ilanni.com   redirect prefix https://http.ilanni.com if is_http   use_backend haproxyserver if is_haproxy   backend haproxyserver   balance source   server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3   frontend weblb443   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   acl is_443 hdr_beg(host) http.ilanni.com   use_backend httpserver443 if is_443   backend httpserver443   balance source   server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3     同台服務器不同域名之間的https與http配置,我們配置了兩個前端一個用於監聽80端口,並且根據不同的域名進行跳轉。在80端口的規則中,如果客戶端請求的是http.ilanni.com,這個域名的話,則haproxy會把該請求直接跳轉到https://http.ilanni.com。如果是haproxy.ilanni.com,這個域名的話,則分發到後端的服務器。   另外一個前端用於監聽443端口,用於分發客戶端https://http.ilanni.com的請求。   2.6 測試同台服務器不同域名之間的https與http配置   同台服務器不同域名之間的https與http配置配置完畢後,我們現在來進行測試。如下:   通過上圖,我們可以發現在浏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址,而如果輸入的是http.ilanni.com或者是http://http.ilanni.com,亦或是https://http.ilanni.com的話,都會跳轉到https://http.ilanni.com。   如此就達到了我們的業務要求,同台服務器上訪問haproxy.ilanni.com直接跳轉到80端口,如果訪問的是http.ilanni.com域名的話則跳轉到https://http.ilanni.com這個地址。   2.7 同台服務器多域名均使用https配置   要使同台服務器的兩個設置多個域名都使用https協議的話,配置很簡單。只需要在haproxy中啟用各自的https配置即可。   haproxy配置文件,如下:   global   log 127.0.0.1 local0   log 127.0.0.1 local1 notice   maxconn 4096   uid 108   gid 116   daemon   tune.ssl.default-dh-param 2048   defaults   log global   mode http   option httplog   option dontlognull   option http-server-close   option forwardfor except 127.0.0.1   option redispatch   retries 3   option redispatch   timeout http-request 10s   timeout queue 1m   timeout connect 10s   timeout client 1m   timeout server 1m   timeout http-keep-alive 10s   timeout check 10s   maxconn 3000   listen admin_stats   bind 0.0.0.0:1080   mode http   option httplog   maxconn 10   stats refresh 30s   stats uri /stats   stats auth admin:admin   stats hide-version   frontend web80   bind *:80   acl is_http hdr_beg(host) http.ilanni.com   redirect scheme https if !{ ssl_fc }   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   acl is_haproxy hdr_beg(host) haproxy.ilanni.com   redirect scheme https if !{ ssl_fc }   bind *:443 ssl crt /etc/haproxy/ilanni.com.pem   use_backend httpserver if is_http   use_backend haproxyserver if is_haproxy   backend httpserver   balance source   server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3   backend haproxyserver   balance source   server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3     配置文件比較簡單,在此就不做進一步的講解了。   2.8 測試同台服務器多域名均使用https   同台服務器多域名均使用https,配置完畢後,現在我們來測試下。     通過上圖,我們可以看到在浏覽中無論是輸入http.ilanni.com、http://http.ilanni.com,還是haproxy.ilanni.com、http://haproxy.ilanni.com,都會跳轉到相應的https地址。   這也達到了我們業務的要求。
Copyright © Linux教程網 All Rights Reserved