Я не уверен, понимаю ли я, как именно работает haproxy. У меня есть система, состоящая из нескольких серверов с коммуникацией на основе http. Я хочу использовать haproxy как балансировщик нагрузки и что-то вроде https-сервера одновременно. Это должно работать следующим образом: пользователь пишет адрес, и haproxy решает - если это http, то он перенаправляет его на https, если это https, то он подключается к системе через http. Я имею в виду, что только клиент с haproxy должен иметь https-соединение, но haproxy с системой должен иметь http. Вот изображение с описанной архитектурой:
Я написал файл конфигурации haproxy, и единственное, что я получаю, это перенаправление с http на https и отображение первого сайта — остальное не работает, потому что все коммуникации выглядят так:
клиент --(https)--> haproxy --(https)-->система
вместо
клиент --(https)--> haproxy --(http)-->система
Возможно ли создать его с помощью haproxy?
Ниже представлен мой файл конфигурации haproxy:
global
pidfile /var/run/haproxy.pid
log 127.0.0.1 local2 debug
maxconn 2048
tune.ssl.default-dh-param 2048
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
defaults
mode http
option forwardfor
option http-server-close
log global
option httplog
option dontlognull
option forwardfor
option http-server-close
option redispatch
option tcp-smart-accept
option tcp-smart-connect
timeout http-request 10s
timeout queue 1m
timeout connect 5s
timeout client 2m
timeout server 2m
timeout http-keep-alive 10s
timeout check 5s
retries 3
compression algo gzip
compression type text/html text/html;charset=utf-8 text/plain text/css text/javascript application/x-javascript application/javascript application/ecmascript application/rss+xml application/atomsvc+xml application/atom+xml application/atom+xml;type=entry application/atom+xml;type=feed application/cmisquery+xml application/cmisallowableactions+xml application/cmisatom+xml application/cmistree+xml application/cmisacl+xml application/msword application/vnd.ms-excel application/vnd.ms-powerpoint
frontend https-in
bind *:80
redirect scheme https if !{ ssl_fc }
bind *:443 ssl crt /etc/ssl/private/cert.pem
capture request header X-Forwarded-For len 64
capture request header User-agent len 256
capture request header Cookie len 64
capture request header Accept-Language len 64
rspadd Strict-Transport-Security:\ max-age=15768000
option contstats
default_backend share-https
backend share-https
option httpchk GET /share
balance roundrobin
cookie JSESSIONID prefix
server main srv1:9080 cookie main check inter 5000 weight 4
server secondary srv2:9080 cookie secondary check inter 5000 weight 1
решение1
Проблема была в том, что описанная мной система была Alfresco - приложение под названием "share" имеет CSRFPolicy, которая блокирует https. Согласно этомурешение:
- Скопируйте конфигурацию по умолчанию «CSRFolicy» из:
TOMCAT_HOME/webapps/share/WEB-INF/classes/alfresco/share-security-config.xml
к:
TOMCAT_HOME/shared/classes/alfresco/web-extension/share-config-custom.xml
- Добавьте атрибут replace="true":
<config evaluator="string-compare" condition="CSRFPolicy" replace="true">
- Обновить свойствареферериисточникс полным доменным именем (https) Apache VirtualHost
<referer>https://HAProxyAddress/.*</referer> <origin>https://HAProxyAddress</origin>
И все. У меня работает.