haproxy學習之https配置

haproxy學習之https配置
在前一段時間，我寫了幾篇有關學習haproxy的文章。今天我們再來介紹下haproxy的https配置，https協議的好處在此，我們就不就作介紹了。 我們只介紹如何配置https，以及https在實際生產環境中的應用。 PS：本實驗全部在haproxy1.5.4版本進行測試通過。haproxy1.3版本以下haproxy配置參數可能不能使用，需要注意版本號碼。 以下haproxy配置是線上生產環境直接使用的。 一、業務要求 現在根據業務的實際需要，有以下幾種不同的需求。如下： 1.1 http跳轉https 把所有請求http://http.ilanni.com的地址全部跳轉為https//:http.ilanni.com這個地址。 1.2 http與https並存 伺服器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。 1.3 同台伺服器不同網域名稱之間的https與http 同一台伺服器對http.ilanni.com網域名稱訪問的全部跳轉為https://http.ilanni.com，而對haproxy.ilanni.com訪問走http協議，也就是跳轉到http://haproxy.ilanni.com這個地址。 1.4 同台伺服器多網域名稱均使用https 同一台伺服器對http.ilanni.com和haproxy.ilanni.com訪問走http是協議。 二、配置haproxy並測試業務需求 現在我們根據業務的需求，我們來配置haproxy一一達到其需求。 2.1 http跳轉https配置 說實話haproxy的https配置要比nginx配置簡單的多了，我們只需要加入幾行代碼即可實現https的功能。 http跳轉https的haproxy設定檔內容，如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 188 gid 188 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch maxconn 2000 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem use_backend httpserver if is_http backend httpserver balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3  在以上設定檔中，需要注意的選項如下： tune.ssl.default-dh-param 2048因為我們的SSL密鑰使用的是2048bit加密，所以在此進行聲明。 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem 這三行表示把所有訪問http.ilanni.com這個網域名稱的請求，全部轉寄到https://http.ilanni.com這個串連。 2.2 測試http跳轉https http跳轉https配置完畢後，我們選擇來測試其跳轉。如下：  你會發現在瀏覽器中，無論你輸入的是http.ilanni.com，還是http://http.ilanni.com亦或是https://http.ilanni.com，都會自動跳轉到https://http.ilanni.com。 這樣就達到了，把所有的http請求跳轉到https的目的。 2.3 http與https並存配置 haproxy要實現http和https並存的話，配置也很簡單，只需要把haproxy分別監控不同的連接埠就行，設定檔如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 user haproxy group haproxy daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull retries 3 option redispatch maxconn 2000 timeout connect 5000ms timeout client 50000ms timeout server 50000ms listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_http hdr_beg(host) http.ilanni.com use_backend httpserver if is_http backend httpserver balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 frontend weblb443 bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_443 hdr_beg(host) http.ilanni.com use_backend httpserver443 if is_443 backend httpserver443 balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 在以上設定檔中，我們定義了兩個前端，一個前端用於監聽80連接埠，也就是http協議。另外一個前端監聽443連接埠，也就是https協議。 此時haproxy會根據用戶端請求的協議進行分發，如果發現用戶端請求的是http協議，則把該請求分發到監聽80連接埠的前端。如果發現用戶端請求的是https協議，則把該請求分發到監聽443連接埠的前端。如此就達到了haproxy讓http和https並存的要求。 2.4 測試http與https並存 http與https並存配置完畢後，我們選擇來測試其跳轉。如下：  通過測試你會發現，在瀏覽器中如果你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com，而輸入的是https://http.ilanni.com，則只會跳轉到https://http.ilanni.com。 如此就到達了，我們業務的要求實現http和https並存。 2.5 同台伺服器不同網域名稱之間的https與http配置 同台伺服器不同網域名稱之間的http和https配置比較複雜，第一需要監聽兩個連接埠，第二還要根據不同的網域名稱進行分發。 haproxy設定檔如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 188 gid 188 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch maxconn 2000 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_haproxy hdr_beg(host) haproxy.ilanni.com acl is_http hdr_beg(host) http.ilanni.com redirect prefix https://http.ilanni.com if is_http use_backend haproxyserver if is_haproxy backend haproxyserver balance source server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 frontend weblb443 bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_443 hdr_beg(host) http.ilanni.com use_backend httpserver443 if is_443 backend httpserver443 balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3  同台伺服器不同網域名稱之間的https與http配置，我們配置了兩個前端一個用於監聽80連接埠，並且根據不同的網域名稱進行跳轉。在80連接埠的規則中，如果用戶端請求的是http.ilanni.com，這個網域名稱的話，則haproxy會把該請求直接跳轉到https://http.ilanni.com。如果是haproxy.ilanni.com，這個網域名稱的話，則分發到後端的伺服器。 另外一個前端用於監聽443連接埠，用於分發用戶端https://http.ilanni.com的請求。 2.6 測試同台伺服器不同網域名稱之間的https與http配置 同台伺服器不同網域名稱之間的https與http配置配置完畢後，我們現在來進行測試。如下： 通過，我們可以發現在瀏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址，而如果輸入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的話，都會跳轉到https://http.ilanni.com。 如此就達到了我們的業務要求，同台伺服器上訪問haproxy.ilanni.com直接跳轉到80連接埠，如果訪問的是http.ilanni.com網域名稱的話則跳轉到https://http.ilanni.com這個地址。 2.7 同台伺服器多網域名稱均使用https配置 要使同台伺服器的兩個設定多個網域名稱都使用https協議的話，配置很簡單。只需要在haproxy中啟用各自的https配置即可。 haproxy設定檔，如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 108 gid 116 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend web80 bind *:80 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_haproxy hdr_beg(host) haproxy.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem use_backend httpserver if is_http use_backend haproxyserver if is_haproxy backend httpserver balance source server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 backend haproxyserver balance source server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3  設定檔比較簡單，在此就不做進一步的講解了。 2.8 測試同台伺服器多網域名稱均使用https 同台伺服器多網域名稱均使用https，配置完畢後，現在我們來測試下。  通過，我們可以看到在瀏覽中無論是輸入http.ilanni.com、http://http.ilanni.com，還是haproxy.ilanni.com、http://haproxy.ilanni.com，都會跳轉到相應的https地址。 這也達到了我們業務的要求。