Ich versuche folgendes einzurichten:
┌──────────────────┐ ┌────────────────────┐ ┌─────────┐
│ │ │ │ │ │
│ Router │ │ │ │Server 1 │
│ NAT │Port forward│ │ │ │
│ │ ────────► │ Server 0 │ │HTTP > │
│ │ │ │ │HTTPS │
│ │ │ 1.example.com ───────────► │redirect │
│ │ │ 2.example.com ────┐ └─────────┘
└──────────────────┘ └────────────────────┘ │ 192.168.178.8
192.168.178.4 │
│ ┌─────────┐
│ │ │
│ │ │
│ │Server 2 │
└─► │ │
│HTTP only│
│ │
└─────────┘
192.168.178.7
Ich möchte, dass Server 0 als vollständig transparenter Proxy fungiert, der nur den Datenverkehr weiterleitet. Damit die Clients keine TLS-Verbindung mit Server 0, sondern direkt mit Server 1/2 herstellen und die auf HTTP-01-Challenge basierende automatische Zertifikatsgenerierung und -erneuerung auf Server 1/2 weiterhin funktioniert.
Antwort1
Bearbeiten: Wenn Sie Bedenken haben, dass die Verbindung zwischen Ihrem Reverse-Proxy (der den SSL-Tunnel beendet) und dem Inhaltsserver nicht gesichert ist, obwohl dies funktioniert und sicher ist, ist es möglicherweise besser, Upstream-SSL oder einen sicheren Tunnel wie SSH oder IPSEC zwischen dem Inhaltsserver und Ihrem Reverse-Proxy zu konfigurieren.
Ich habe es zum Laufen gebracht:
Dateistruktur:
ngnix/
config/
nginx.conf
http_server_name.js
docker-compose.yml
nginx.conf
load_module modules/ngx_stream_js_module.so;
events {}
stream {
js_import main from http_server_name.js;
js_set $preread_server_name main.get_server_name;
map $preread_server_name $http {
1.example.com server1_backend_http;
2.example.com server2_backend_http;
}
map $ssl_preread_server_name $https {
1.example.com server1_backend_https;
2.example.com server2_backend_https;
}
upstream server1_backend_http {
server 192.168.178.8:80;
}
upstream server1_backend_https {
server 192.168.178.8:443;
}
upstream server2_backend_http {
server 192.168.178.7:80;
}
server {
listen 443;
ssl_preread on;
proxy_pass $https;
}
server {
listen 80;
js_preread main.read_server_name;
proxy_pass $http;
}
}
docker-compose.yml
version: '3'
services:
ngnix:
image: nginx
container_name: ngnix
restart: unless-stopped
volumes:
- ./config/ngnix.conf:/etc/nginx/nginx.conf:ro
- ./config/http_server_name.js:/etc/nginx/http_server_name.js:ro
ports:
- "192.168.178.4:80:80"
- "192.168.178.4:443:443"
var server_name = '-';
/**
* Read the server name from the HTTP stream.
*
* @param s
* Stream.
*/
function read_server_name(s) {
s.on('upload', function (data, flags) {
if (data.length || flags.last) {
s.done();
}
// If we can find the Host header.
var n = data.indexOf('\r\nHost: ');
if (n != -1) {
// Determine the start of the Host header value and of the next header.
var start_host = n + 8;
var next_header = data.indexOf('\r\n', start_host);
// Extract the Host header value.
server_name = data.substr(start_host, next_header - start_host);
// Remove the port if given.
var port_start = server_name.indexOf(':');
if (port_start != -1) {
server_name = server_name.substr(0, port_start);
}
}
});
}
function get_server_name(s) {
return server_name;
}
export default {read_server_name, get_server_name}
Dokumentation:
ngx_http_upstream_module
ngx_http_map_module
ngx_stream_proxy_module
Bearbeitung Nr. 1:
Lesendieser Blog-BeitragFür mehr Information
Bearbeitung Nr. 2:
Sie können auch Regex verwenden, um ein Standard-Backend und Ausnahmen für andere Domänen zu haben oder Ihr Backend dynamisch basierend auf Parametern in der Domäne auszuwählen.
Lesendieser KernFür mehr Information