haproxy學習之https配置

在前一段時間，我寫了幾篇有關學習haproxy的文章。今天我們再來介紹下haproxy的https配置，https協議的好處在此，我們就不就作介紹了。 我們只介紹如何配置https，以及https在實際生產環境中的應用。 PS：本實驗全部在haproxy1.5.4版本進行測試通過。haproxy1.3版本以下haproxy配置參數可能不能使用，需要注意版本號。 以下haproxy配置是線上生產環境直接使用的。 一、業務要求 現在根據業務的實際需要，有以下幾種不同的需求。如下： 1.1 http跳轉https 把所有請求http://http.ilanni.com的地址全部跳轉為https//:http.ilanni.com這個地址。 1.2 http與https並存 服務器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。 1.3 同台服務器不同域名之間的https與http 同一台服務器對http.ilanni.com域名訪問的全部跳轉為https://http.ilanni.com，而對haproxy.ilanni.com訪問走http協議，也就是跳轉到http://haproxy.ilanni.com這個地址。 1.4 同台服務器多域名均使用https 同一台服務器對http.ilanni.com和haproxy.ilanni.com訪問走http是協議。 二、配置haproxy並測試業務需求 現在我們根據業務的需求，我們來配置haproxy一一達到其需求。 2.1 http跳轉https配置 說實話haproxy的https配置要比nginx配置簡單的多了，我們只需要加入幾行代碼即可實現https的功能。 http跳轉https的haproxy配置文件內容，如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 188 gid 188 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch maxconn 2000 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem use_backend httpserver if is_http backend httpserver balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 在以上配置文件中，需要注意的選項如下： tune.ssl.default-dh-param 2048因為我們的SSL密鑰使用的是2048bit加密，所以在此進行聲明。 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem 這三行表示把所有訪問http.ilanni.com這個域名的請求，全部轉發到https://http.ilanni.com這個連接。 2.2 測試http跳轉https http跳轉https配置完畢後，我們選擇來測試其跳轉。如下： 你會發現在浏覽器中，無論你輸入的是http.ilanni.com，還是http://http.ilanni.com亦或是https://http.ilanni.com，都會自動跳轉到https://http.ilanni.com。 這樣就達到了，把所有的http請求跳轉到https的目的。 2.3 http與https並存配置 haproxy要實現http和https並存的話，配置也很簡單，只需要把haproxy分別監控不同的端口就行，配置文件如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 user haproxy group haproxy daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull retries 3 option redispatch maxconn 2000 timeout connect 5000ms timeout client 50000ms timeout server 50000ms listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_http hdr_beg(host) http.ilanni.com use_backend httpserver if is_http backend httpserver balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 frontend weblb443 bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_443 hdr_beg(host) http.ilanni.com use_backend httpserver443 if is_443 backend httpserver443 balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 在以上配置文件中，我們定義了兩個前端，一個前端用於監聽80端口，也就是http協議。另外一個前端監聽443端口，也就是https協議。 此時haproxy會根據客戶端請求的協議進行分發，如果發現客戶端請求的是http協議，則把該請求分發到監聽80端口的前端。如果發現客戶端請求的是https協議，則把該請求分發到監聽443端口的前端。如此就達到了haproxy讓http和https並存的要求。 2.4 測試http與https並存 http與https並存配置完畢後，我們選擇來測試其跳轉。如下： 通過測試你會發現，在浏覽器中如果你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com，而輸入的是https://http.ilanni.com，則只會跳轉到https://http.ilanni.com。 如此就到達了，我們業務的要求實現http和https並存。 2.5 同台服務器不同域名之間的https與http配置 同台服務器不同域名之間的http和https配置比較復雜，第一需要監聽兩個端口，第二還要根據不同的域名進行分發。 haproxy配置文件如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 188 gid 188 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch maxconn 2000 timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend weblb bind *:80 acl is_haproxy hdr_beg(host) haproxy.ilanni.com acl is_http hdr_beg(host) http.ilanni.com redirect prefix https://http.ilanni.com if is_http use_backend haproxyserver if is_haproxy backend haproxyserver balance source server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 frontend weblb443 bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_443 hdr_beg(host) http.ilanni.com use_backend httpserver443 if is_443 backend httpserver443 balance source server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 同台服務器不同域名之間的https與http配置，我們配置了兩個前端一個用於監聽80端口，並且根據不同的域名進行跳轉。在80端口的規則中，如果客戶端請求的是http.ilanni.com，這個域名的話，則haproxy會把該請求直接跳轉到https://http.ilanni.com。如果是haproxy.ilanni.com，這個域名的話，則分發到後端的服務器。 另外一個前端用於監聽443端口，用於分發客戶端https://http.ilanni.com的請求。 2.6 測試同台服務器不同域名之間的https與http配置 同台服務器不同域名之間的https與http配置配置完畢後，我們現在來進行測試。如下： 通過上圖，我們可以發現在浏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址，而如果輸入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的話，都會跳轉到https://http.ilanni.com。 如此就達到了我們的業務要求，同台服務器上訪問haproxy.ilanni.com直接跳轉到80端口，如果訪問的是http.ilanni.com域名的話則跳轉到https://http.ilanni.com這個地址。 2.7 同台服務器多域名均使用https配置 要使同台服務器的兩個設置多個域名都使用https協議的話，配置很簡單。只需要在haproxy中啟用各自的https配置即可。 haproxy配置文件，如下： global log 127.0.0.1 local0 log 127.0.0.1 local1 notice maxconn 4096 uid 108 gid 116 daemon tune.ssl.default-dh-param 2048 defaults log global mode http option httplog option dontlognull option http-server-close option forwardfor except 127.0.0.1 option redispatch retries 3 option redispatch timeout http-request 10s timeout queue 1m timeout connect 10s timeout client 1m timeout server 1m timeout http-keep-alive 10s timeout check 10s maxconn 3000 listen admin_stats bind 0.0.0.0:1080 mode http option httplog maxconn 10 stats refresh 30s stats uri /stats stats auth admin:admin stats hide-version frontend web80 bind *:80 acl is_http hdr_beg(host) http.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem acl is_haproxy hdr_beg(host) haproxy.ilanni.com redirect scheme https if !{ ssl_fc } bind *:443 ssl crt /etc/haproxy/ilanni.com.pem use_backend httpserver if is_http use_backend haproxyserver if is_haproxy backend httpserver balance source server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 backend haproxyserver balance source server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3 配置文件比較簡單，在此就不做進一步的講解了。 2.8 測試同台服務器多域名均使用https 同台服務器多域名均使用https，配置完畢後，現在我們來測試下。 通過上圖，我們可以看到在浏覽中無論是輸入http.ilanni.com、http://http.ilanni.com，還是haproxy.ilanni.com、http://haproxy.ilanni.com，都會跳轉到相應的https地址。 這也達到了我們業務的要求。