Điểm:0

Trợ giúp Haproxy cho các yêu cầu https trên các cổng tùy chỉnh

lá cờ fr

Chúng tôi muốn sử dụng haproxy ingress 1.7 trên kubernetes để nghe trên cổng 55560 cho kết nối https.

Bạn có thể vui lòng hỗ trợ về vấn đề này?

Đây là tập tin haproxy.cfg của tôi. Khi cố gắng truy cập, nhận được curl: (35) OpenSSL SSL_connect: SSL_ERROR_SYSCALL trong lỗi kết nối.

Https trên 443 hoạt động tốt.

Trân trọng, Kalyan

# _version=5
# Công nghệ HAProxy
# https://www.haproxy.com/
# tập tin này không được thay đổi trực tiếp
# nó nằm dưới sự quản lý của bộ điều khiển xâm nhập haproxy

toàn cầu 
  người địa phương
  thợ cả
  pidfile /var/run/haproxy.pid
  ổ cắm thống kê /var/run/haproxy-runtime-api.sock quản trị viên cấp trình nghe của trình nghe fd
  thời gian chờ thống kê 1m
  tune.ssl.default-dh-param 2048
  ssl-default-bind-options no-sslv3 no-tls-tickets no-tlsv10
  ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA -AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128 -SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA :DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES :!MD5:!PSK
  định dạng log stdout daemon thô
  server-state-file toàn cầu
  server-state-base /var/state/haproxy/

mặc định 
  đăng nhập toàn cầu
  log-format '%ci:%cp [%tr] %ft %b/%s %TR/%Tw/%Tc/%Tr/%Ta %ST %B %CC %CS %tsc %ac/%fc/ %bc/%sc/%rc %sq/%bq %hr %hs "%HM %[var(txn.base)] %HV"'
  gửi lại tùy chọn
  tùy chọn donlognull
  tùy chọn http-keep-alive
  thời gian chờ http-request 5s
  hết thời gian kết nối 5s
  khách hàng hết thời gian 50 giây
  hàng chờ 5s
  máy chủ hết thời gian 50s
  đường hầm thời gian chờ 1h
  thời gian chờ http-keep-alive 1m
  tải-máy chủ-trạng thái-từ-tệp toàn cầu

đồng nghiệp localinstance 
  ngang hàng cục bộ 127.0.0.1:10000

giao diện người dùng 
  chế độ http
  liên kết 0.0.0.0:1042 tên v4
  liên kết :::1042 tên v6 v4v6
  màn hình-uri /healthz
  tùy chọn không đăng nhập bình thường

giao diện người dùng http 
  chế độ http
  liên kết 0.0.0.0:80 tên v4
  liên kết :::80 tên v6
  kết nối yêu cầu tcp mong đợi lớp proxy4 nếu { src -f /etc/haproxy/maps/proxy-protocol-827c05ecc804eacf23a63899ca0ffcf6.map }
  cơ sở http-request set-var(txn.base)
  đường dẫn http-request set-var(txn.path)
  http-request set-var(txn.host) req.hdr(Host),trường(1,:),lower
  http-request set-var(txn.host_match) var(txn.host),map(/etc/haproxy/maps/host.map)
  http-request set-var(txn.host_match) var(txn.host),regsub(^[^.]*,,),map(/etc/haproxy/maps/host.map,'') if !{ var (txn.host_match) -m đã tìm thấy }
  http-request set-var(txn.path_match) var(txn.host_match),concat(,txn.path,),map(/etc/haproxy/maps/path-exact.map)
  http-request set-var(txn.path_match) var(txn.host_match),concat(,txn.path,),map_beg(/etc/haproxy/maps/path-prefix.map) if !{ var(txn.path_match ) -m đã tìm thấy }
  use_backend %[var(txn.path_match),trường(1,.)]
  default_backend default-default-ingress-default-backend-port-1

giao diện người dùng https 
  chế độ http
  liên kết 127.0.0.1:443 tên v4 chấp nhận proxy
  liên kết ::1:443 tên v6 v4v6 chấp nhận proxy
  cơ sở http-request set-var(txn.base)
  đường dẫn http-request set-var(txn.path)
  http-request set-var(txn.host) req.hdr(Host),trường(1,:),lower
  http-request set-var(txn.host_match) var(txn.host),map(/etc/haproxy/maps/host.map)
  http-request set-var(txn.host_match) var(txn.host),regsub(^[^.]*,,),map(/etc/haproxy/maps/host.map,'') if !{ var (txn.host_match) -m đã tìm thấy }
  http-request set-var(txn.path_match) var(txn.host_match),concat(,txn.path,),map(/etc/haproxy/maps/path-exact.map)
  http-request set-var(txn.path_match) var(txn.host_match),concat(,txn.path,),map_beg(/etc/haproxy/maps/path-prefix.map) if !{ var(txn.path_match ) -m đã tìm thấy }
  http-request set-header X-Forwarded-Proto https
  use_backend %[var(txn.path_match),trường(1,.)]
  default_backend default-default-ingress-default-backend-port-1

giao diện người dùng ssl 
  chế độ tcp
  liên kết 0.0.0.0:443 tên v4
  liên kết :::443 tên v6 v4v6
  định dạng nhật ký '%ci:%cp [%t] %ft %b/%s %Tw/%Tc/%Tt %B %ts %ac/%fc/%bc/%sc/%rc %sq/% bq %hr %hs haproxy.MAP_SNI: %[var(sess.sni)]'
  từ chối nội dung yêu cầu tcp nếu !{ req_ssl_hello_type 1 }
  yêu cầu tcp kiểm tra độ trễ 50000
  kết nối yêu cầu tcp mong đợi lớp proxy4 nếu { src -f /etc/haproxy/maps/proxy-protocol-827c05ecc804eacf23a63899ca0ffcf6.map }
  nội dung yêu cầu tcp set-var(sess.sni) req_ssl_sni
  nội dung yêu cầu tcp set-var(txn.sni_match) req_ssl_sni,map(/etc/haproxy/maps/sni.map)
  nội dung yêu cầu tcp set-var(txn.sni_match) req_ssl_sni,regsub(^[^.]*,,),map(/etc/haproxy/maps/sni.map)
  use_backend %[var(txn.sni_match),trường(1,.)]
  default_backend ssl

số liệu thống kê giao diện người dùng 
  chế độ http
  ràng buộc *:1024
  liên kết :::1024 tên v6
  kích hoạt số liệu thống kê
  số liệu thống kê /
  số liệu thống kê làm mới 10s
  cơ sở http-request set-var(txn.base)
  dịch vụ sử dụng yêu cầu http prometheus-exporter if { path /metrics }

giao diện người dùng tcp-55560 
  chế độ tcp
  liên kết 0.0.0.0:55560 tên v4
  liên kết :::55560 tên v6 v4v6
  tùy chọn tcplog
  default_backend default-rapid-po-service-55560

phụ trợ mặc định-ic-http-service-80 
  chế độ http
  thăng bằng vòng tròn
  tùy chọn chuyển tiếp
  máy chủ mặc định init-addr cuối cùng, libc, không có
  máy chủ SRV_1 xxxxxxxxxxx.com:80 trọng lượng kiểm tra 128

phụ trợ mặc định-mặc định-ingress-default-backend-port-1 
  chế độ http
  thăng bằng vòng tròn
  tùy chọn chuyển tiếp
  máy chủ SRV_1 10.119.58.166:8080 trọng lượng kiểm tra 128
  máy chủ SRV_2 127.0.0.1:8080 trọng lượng kiểm tra bị vô hiệu hóa 128

phụ trợ mặc định-nhanh-po-service-55560 
  chế độ tcp
  thăng bằng vòng tròn
  máy chủ mặc định init-addr cuối cùng, libc, không có
  máy chủ SRV_1 xxxxxxx:55560 trọng lượng kiểm tra 128

phụ trợ mặc định-nhanh-dịch vụ-44448 
  chế độ tcp
  thăng bằng vòng tròn
  máy chủ mặc định init-addr cuối cùng, libc, không có
  máy chủ SRV_1 xxxxxxxxxx:44448 trọng lượng kiểm tra 128

phụ trợ mặc định-mẫu-http-service-80 
  chế độ http
  thăng bằng vòng tròn
  tùy chọn chuyển tiếp
  máy chủ mặc định init-addr cuối cùng, libc, không có
  máy chủ SRV_1 xxxxxxxxxxxx:80 trọng lượng kiểm tra 128

phụ trợ mặc định-sample-https-service-443 
  chế độ tcp
  thăng bằng vòng tròn
  máy chủ mặc định init-addr cuối cùng, libc, không có
  máy chủ SRV_1 xxxxxxxxxxxx:443 trọng lượng kiểm tra 128

ssl phụ trợ 
  chế độ tcp
  máy chủ https 127.0.0.1:443 gửi-proxy-v2
lá cờ in
`Đây là tập tin haproxy.cfg của tôi` hình như bạn quên cái này.
lá cờ fr
Cảm ơn bạn @GeraldSchneider, tôi đã thêm, bạn có thể vui lòng giúp tôi trong trường hợp này không
lá cờ in
Bạn đã định cấu hình haproxy để chuyển lưu lượng đến phần phụ trợ mà không cần chấm dứt SSL. Vấn đề là ở dịch vụ phụ trợ của bạn, không phải haproxy.
lá cờ fr
@GeraldSchneider, Cảm ơn bạn rất nhiều vì đã trả lời. Bạn có thể vui lòng đề xuất cách chấm dứt SSL không.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.