Estou tentando configurar o seguinte:
┌──────────────────┐ ┌────────────────────┐ ┌─────────┐
│ │ │ │ │ │
│ Router │ │ │ │Server 1 │
│ NAT │Port forward│ │ │ │
│ │ ────────► │ Server 0 │ │HTTP > │
│ │ │ │ │HTTPS │
│ │ │ 1.example.com ───────────► │redirect │
│ │ │ 2.example.com ────┐ └─────────┘
└──────────────────┘ └────────────────────┘ │ 192.168.178.8
192.168.178.4 │
│ ┌─────────┐
│ │ │
│ │ │
│ │Server 2 │
└─► │ │
│HTTP only│
│ │
└─────────┘
192.168.178.7
Quero que o servidor 0 atue como um proxy totalmente transparente que apenas encaminhe o tráfego. Para que os clientes não estabeleçam conexão TLS com o servidor 0, mas diretamente com o servidor 1/2 e a geração e renovação automatizada de certificados baseada no desafio HTTP-01 no servidor 1/2 ainda funcione.
Responder1
Editar: Se você está preocupado com a conexão entre o seu proxy reverso (que termina o túnel SSL) e o servidor de conteúdo sendo inseguro, embora isso funcione e seja seguro, talvez seja melhor configurar o SSL upstream ou um túnel seguro como SSH ou IPSEC entre o servidor de conteúdo e seu proxy reverso.
Eu fiz funcionar:
Estrutura do arquivo:
ngnix/
config/
nginx.conf
http_server_name.js
docker-compose.yml
nginx.conf
load_module modules/ngx_stream_js_module.so;
events {}
stream {
js_import main from http_server_name.js;
js_set $preread_server_name main.get_server_name;
map $preread_server_name $http {
1.example.com server1_backend_http;
2.example.com server2_backend_http;
}
map $ssl_preread_server_name $https {
1.example.com server1_backend_https;
2.example.com server2_backend_https;
}
upstream server1_backend_http {
server 192.168.178.8:80;
}
upstream server1_backend_https {
server 192.168.178.8:443;
}
upstream server2_backend_http {
server 192.168.178.7:80;
}
server {
listen 443;
ssl_preread on;
proxy_pass $https;
}
server {
listen 80;
js_preread main.read_server_name;
proxy_pass $http;
}
}
docker-compose.yml
version: '3'
services:
ngnix:
image: nginx
container_name: ngnix
restart: unless-stopped
volumes:
- ./config/ngnix.conf:/etc/nginx/nginx.conf:ro
- ./config/http_server_name.js:/etc/nginx/http_server_name.js:ro
ports:
- "192.168.178.4:80:80"
- "192.168.178.4:443:443"
var server_name = '-';
/**
* Read the server name from the HTTP stream.
*
* @param s
* Stream.
*/
function read_server_name(s) {
s.on('upload', function (data, flags) {
if (data.length || flags.last) {
s.done();
}
// If we can find the Host header.
var n = data.indexOf('\r\nHost: ');
if (n != -1) {
// Determine the start of the Host header value and of the next header.
var start_host = n + 8;
var next_header = data.indexOf('\r\n', start_host);
// Extract the Host header value.
server_name = data.substr(start_host, next_header - start_host);
// Remove the port if given.
var port_start = server_name.indexOf(':');
if (port_start != -1) {
server_name = server_name.substr(0, port_start);
}
}
});
}
function get_server_name(s) {
return server_name;
}
export default {read_server_name, get_server_name}
Documentação:
ngx_http_upstream_module
ngx_http_map_module
ngx_stream_proxy_module
Edição nº 1:
Leiaesta postagem do blogpara mais informações
Edição nº 2:
você também pode usar regex para ter um back-end padrão e exceções para outros domínios ou escolher seu back-end dinamicamente com base nos parâmetros do domínio.
Leresta essênciapara mais informações