Регистрация Войти
Рейтинг:0
avatar Server

Прохождение SSL HAPROXY SNI или терминация

флаг cn
pa bloo

Я хотел бы настроить HAProxy для завершения SSL или передачи через соединение, зависящее от имени хоста, предоставляя только один общедоступный IP-адрес. Например

Интернет -> домен web1.example.com (10.10.10.1) Терминация HAproxy SSL -> Серверная часть (10.10.10.10)

Интернет -> домен web2.example.com (10.10.10.1) Прохождение HAproxy -> Серверная часть (10.10.10.20)

Я хотел бы иметь подобное, чтобы разрешить возможность mTLS для web2.example.com

Можно ли использовать только один публичный IP?

Спасибо.

281
0 + 0
Рейтинг:0
Vadim avatar Server
флаг ar
Vadim

Попробуйте что-нибудь вроде этого. Осторожно, я не проверял =)

интерфейс front_tcp
    привязать *:443
    режим TCP

    acl host_web2 req_ssl_sni -i web2.example.com
    use_backend back_web2, если host_web2

    default_backend back_tcp_to_http

    серверная часть back_tcp_to_http
        сервер haproxy-http 127.0.0.1:8443

интерфейс front_http
    режим http
    привязать 127.0.0.1:8443 ssl crt /etc/ssl/mycert.pem

    acl host_web1 hdr(host) -i web1.example.com
    use_backend back_web1, если host_web1

серверная часть back_web1
    режим http
    сервер web1 10.10.10.10:80

серверная часть back_web2
    режим TCP
    сервер web2 10.10.10.20:443
0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.