Ergebnis 1 bis 5 von 5

Thema: Load Balancer HAproxy mit SSL

  1. #1
    Anfänger
    Registriert
    Apr 2018
    Beiträge
    7
    Gefällt mir!
    0
    Gefällt mir: 1

    Load Balancer HAproxy mit SSL

    Ich würde gerne einen Load Balancer mit SSL , aber keine SSL Termination, aufsetzten. Bislang sieht meine Config so aus:
    Code:
    global
            log /dev/log    local0
            log /dev/log    local1 notice
            chroot /var/lib/haproxy
            stats socket /run/haproxy/admin.sock mode 660 level admin
            stats timeout 30s
            user haproxy
            group haproxy
            daemon
    
            # Default SSL material locations
            ca-base /etc/ssl/certs
            crt-base /etc/ssl/private
    
            # Default ciphers to use on SSL-enabled listening sockets.
            # For more information, see ciphers(1SSL). This list is from:
            #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
            ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
            ssl-default-bind-options no-sslv3
    
    defaults
            log     global
            mode    http
            option  httplog
            option  dontlognull
            timeout connect 5000
            timeout client  50000
            timeout server  50000
            errorfile 400 /etc/haproxy/errors/400.http
            errorfile 403 /etc/haproxy/errors/403.http
            errorfile 408 /etc/haproxy/errors/408.http
            errorfile 500 /etc/haproxy/errors/500.http
            errorfile 502 /etc/haproxy/errors/502.http
            errorfile 503 /etc/haproxy/errors/503.http
            errorfile 504 /etc/haproxy/errors/504.http
    
    
    
    frontend firstbalance
            bind *:80
            option forwardfor
            default_backend webservers
    
    
    backend webservers
            balance roundrobin
            server Loki xxx.xxx.xxx.xxx
            server Ragnarok xxx.xxx.xxx
    Das ganze funktioniert auch so, leider ohne SSL. Würde mich über eine kleine Hilfestellung freuen. Auf den Backend Servern läuft jeweils nginx. Wenn mir da jemand helfen kann bin ich gerne bereit ihm/ ihr eine Aufmerksamkeit in Form von 2-3 Bier in XMR zukommen zu lassen.

    Mfg

  2. Werbung - Hier werben?
  3. #2
    Avatar von syrius
    Registriert
    Mar 2015
    Beiträge
    2,124
    Gefällt mir!
    1,233
    Du gefällst: 2,816
    Frage zwischendurch. Warum HaProxy und nicht gleich alles mit NGINX?

    Gruß
    SzeneBox.org bei Telegram https://t.me/szenebox

  4. #3
    Senior Avatar von Nimbus
    Registriert
    Oct 2015
    Beiträge
    561
    Gefällt mir!
    96
    Du gefällst: 573
    Ich habe haproxy ewig nicht genutzt. Bin folglich etwas raus und kann mich nicht wirklich an das Config-Format erinnern. Ganz spontan fällt mir jedoch auf, dass du nur auf Port 80 lauschst.

    Nach kurzer Recherche würde ich unter
    Code:
    bind *:80
    etwas in folgende Richtung erwarten
    Code:
    bind *:443 ssl crt /etc/ssl/xyz.pem

  5. #4
    Anfänger
    THEMENSTARTER


    Registriert
    Apr 2018
    Beiträge
    7
    Gefällt mir!
    0
    Gefällt mir: 1
    Zitat Zitat von Syrius Beitrag anzeigen
    Frage zwischendurch. Warum HaProxy und nicht gleich alles mit NGINX?

    Gruß
    Magst du mir die geeignete Nginx Config zukommen lassen, bei der sich SSL nutzen lässt? Danke

    Mfg

  6. #5
    Avatar von syrius
    Registriert
    Mar 2015
    Beiträge
    2,124
    Gefällt mir!
    1,233
    Du gefällst: 2,816
    Vorsorglich gleich vorab, bin kein NGINX "Profi".

    In folgendem ist keine Hochverfügbarkeit / Lastenverteilung inbegriffen aber da ich das die Tage eh brauche, schau ich mal was sich dazu finden lässt. Ansonsten wäre das folgende ein simpler Reverse-Proxy samt SSL. Die 10.8.0.2 ist ein VPN-Client / Backend-Webserver.

    Code:
    server {
        listen 80;
        server_name _;
        return 301 https://www.tld.to;
    }
    
    server {
        listen 443 ssl;
        server_name _;
    
        ssl_certificate_key /etc/letsencrypt/live/www.tld.to/privkey.pem;
        ssl_certificate /etc/letsencrypt/live/www.tld.to/fullchain.pem;
    
        location / {
            proxy_pass http://10.8.0.2;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_redirect off;
        }
    }
    Wie @Nimbus erwähnt hat, fehlt in deiner Konfiguration der Part, an welchem Port SSL lauschen soll, sowie die deklaration des Zertifikats.

    # edit

    Das folgende sollte als Lastenverteilung funktionieren. (Quelle: Lastverteilung und Caching mit Nginx - SysEleven ? Hosting. Skaliert.)

    Code:
    upstream ha {
        server 10.8.0.2 weight=5;
        server 10.8.0.3 weight=5;
    }
    
    server {
        listen 80;
        server_name _;
        return 301 https://www.tld.to;
    }
    
    server {
        listen 443 ssl;
        server_name _;
    
        ssl_certificate_key /etc/letsencrypt/live/www.tld.to/privkey.pem;
        ssl_certificate /etc/letsencrypt/live/www.tld.to/fullchain.pem;
    
        location / {
            proxy_pass http://ha;
            proxy_set_header Host $host;
            proxy_set_header X-Real-IP $remote_addr;
            proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
            proxy_set_header X-Forwarded-Proto $scheme;
            proxy_redirect off;
        }
    }
    SzeneBox.org bei Telegram https://t.me/szenebox

Ähnliche Themen

  1. (PHP) - load.to Upload via PHP
    Von darkness im Forum Entwicklung / Programmierung
    Antworten: 0
    Letzter Beitrag: 28.10.2017, 15:38
  2. Status load.to
    Von hardy im Forum Filecrypt.cc - Anregung & Kritik
    Antworten: 8
    Letzter Beitrag: 04.07.2017, 11:31
  3. Fix Hosterplugin load.to
    Von hardy im Forum IntelliTool.it
    Antworten: 2
    Letzter Beitrag: 26.04.2017, 20:21
  4. Click n Load - Seite
    Von 1stAid im Forum Filecrypt.cc - Anregung & Kritik
    Antworten: 3
    Letzter Beitrag: 21.06.2016, 15:13

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  
SzeneBox.org... im Mittelpunkt der Szene!
© since 2015 szeneBOX.org - All Rights Reserved
Domains: www.szenebox.org