Load Balancer HAproxy mit SSL

Ich würde gerne einen Load Balancer mit SSL , aber keine SSL Termination, aufsetzten. Bislang sieht meine Config so aus:

Code:

---

global
        log /dev/log    local0
        log /dev/log    local1 notice
        chroot /var/lib/haproxy
        stats socket /run/haproxy/admin.sock mode 660 level admin
        stats timeout 30s
        user haproxy
        group haproxy
        daemon

        # Default SSL material locations
        ca-base /etc/ssl/certs
        crt-base /etc/ssl/private

        # Default ciphers to use on SSL-enabled listening sockets.
        # For more information, see ciphers(1SSL). This list is from:
        #  https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3

defaults
        log    global
        mode    http
        option  httplog
        option  dontlognull
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        errorfile 403 /etc/haproxy/errors/403.http
        errorfile 408 /etc/haproxy/errors/408.http
        errorfile 500 /etc/haproxy/errors/500.http
        errorfile 502 /etc/haproxy/errors/502.http
        errorfile 503 /etc/haproxy/errors/503.http
        errorfile 504 /etc/haproxy/errors/504.http



frontend firstbalance
        bind *:80
        option forwardfor
        default_backend webservers


backend webservers
        balance roundrobin
        server Loki xxx.xxx.xxx.xxx
        server Ragnarok xxx.xxx.xxx

---

Das ganze funktioniert auch so, leider ohne SSL. Würde mich über eine kleine Hilfestellung freuen. Auf den Backend Servern läuft jeweils nginx. Wenn mir da jemand helfen kann bin ich gerne bereit ihm/ ihr eine Aufmerksamkeit in Form von 2-3 Bier in XMR zukommen zu lassen.

Mfg

Frage zwischendurch. Warum HaProxy und nicht gleich alles mit NGINX?

Gruß

Ich habe haproxy ewig nicht genutzt. Bin folglich etwas raus und kann mich nicht wirklich an das Config-Format erinnern. Ganz spontan fällt mir jedoch auf, dass du nur auf Port 80 lauschst.

Nach kurzer Recherche würde ich unter

Code:

---

bind *:80

---

etwas in folgende Richtung erwarten

Code:

---

bind *:443 ssl crt /etc/ssl/xyz.pem

---

Zitat:

---

Zitat von Syrius

Frage zwischendurch. Warum HaProxy und nicht gleich alles mit NGINX?

Gruß

---

Magst du mir die geeignete Nginx Config zukommen lassen, bei der sich SSL nutzen lässt? Danke

Mfg

Vorsorglich gleich vorab, bin kein NGINX "Profi".

In folgendem ist keine Hochverfügbarkeit / Lastenverteilung inbegriffen aber da ich das die Tage eh brauche, schau ich mal was sich dazu finden lässt. Ansonsten wäre das folgende ein simpler Reverse-Proxy samt SSL. Die 10.8.0.2 ist ein VPN-Client / Backend-Webserver.

Code:

---

server {
    listen 80;
    server_name _;
    return 301 https://www.tld.to;
}

server {
    listen 443 ssl;
    server_name _;

    ssl_certificate_key /etc/letsencrypt/live/www.tld.to/privkey.pem;
    ssl_certificate /etc/letsencrypt/live/www.tld.to/fullchain.pem;

    location / {
        proxy_pass http://10.8.0.2;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
    }
}

---

Wie @Nimbus erwähnt hat, fehlt in deiner Konfiguration der Part, an welchem Port SSL lauschen soll, sowie die deklaration des Zertifikats.

# edit

Das folgende sollte als Lastenverteilung funktionieren. (Quelle: Lastverteilung und Caching mit Nginx - SysEleven ? Hosting. Skaliert.)

Code:

---

upstream ha {
    server 10.8.0.2 weight=5;
    server 10.8.0.3 weight=5;
}

server {
    listen 80;
    server_name _;
    return 301 https://www.tld.to;
}

server {
    listen 443 ssl;
    server_name _;

    ssl_certificate_key /etc/letsencrypt/live/www.tld.to/privkey.pem;
    ssl_certificate /etc/letsencrypt/live/www.tld.to/fullchain.pem;

    location / {
        proxy_pass http://ha;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_redirect off;
    }
}

---