Ich möchte dynamisch zu einem Server routen, indem ich eine Anforderungsvariable ssl_fc_sni verwende. Ist es möglich, die haproxy-Serveranweisung so zu konfigurieren, dass eine Variable für Adresse und/oder Port verwendet wird? Beispiel:
backend citest3bk_spice_default server compute1 %[ssl_fc_sni] ssl verify required crt server.pem ca-file ca.pem force-tlsv12 weight 0
Derzeit erhalte ich einen Fehler
parsing [/etc/haproxy/haproxy.cfg:157] : 'server compute1' : invalid address: '%[ssl_fc_sni]' in '%[ssl_fc_sni]'
Antwort1
Es sieht also so aus, als würde das nicht funktionieren. Ich halte das auch nicht für eine gute Idee, da die Endbenutzer dann die IP-Adresse vonbeliebigWebserver, der als Backend verwendet werden würde. Das klingt für mich nach einem großen Sicherheitsproblem.
Warum konfigurieren Sie nicht für jeden Webserver, auf den Sie direkt zugreifen möchten, ein Backend statisch und leiten den Datenverkehr dann auf der Grundlage eines Cookies oder einer benutzerdefinierten URL an das Backend um, das nur den einzelnen Server enthält?