В настоящее время у меня есть один веб-сервер (10.0.0.77), на котором запущен nginx с несколькими vhosts (пара сайтов wordpress и установка nextcloud), все работает на одном IP-адресе, и все защищено wildcard-сертификатом. Это работает отлично — как внутри, так и снаружи.
Теперь я хочу проксировать весь внешний трафик через HAproxy. Ниже представлена моя упрощенная конфигурация haproxy для одного сайта wordpres и nextcloud:
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
maxconn 4096
user haproxy
group haproxy
daemon
defaults
log global
mode tcp
option tcplog
option dontlognull
timeout connect 15s
timeout client 15s
timeout server 15s
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend localhost80
bind *:80
mode http
redirect scheme https code 301 if !{ ssl_fc }
frontend localhost443
bind *:443
option tcplog
mode tcp
acl tls req.ssl_hello_type 1
tcp-request inspect-delay 5s
tcp-request content accept if tls
acl is_wordpress req.ssl_sni -i nextcloud.domain.com
acl is_nextcloud req.ssl_sni -i wordpress.domain.com
use_backend nextcloud_cluster if is_nextcloud
use_backend wordpress_cluster if is_wordpress
backend wordpress_cluster
mode tcp
option ssl-hello-chk
server is_wordpress 10.0.0.77:443 check
backend nextcloud_cluster
mode tcp
option ssl-hello-chk
server is_nextcloud 10.0.0.77:443 check
Проблема в том, что как только я перенаправляю внешний трафик на работу через свой HAProxy, при попытке загрузить ie. nextcloud.domain.com я иногда получаю wordpress.domain.com и наоборот.
Есть идеи, где я ошибаюсь?
решение1
При использовании SNI для различения бэкэндов следует помнить, что в этом конкретном случае клиенты, не использующие SNI, не смогут получить доступ к сайтам.
Однако, если это устраивает ваших клиентов и вы по-прежнему балансируете на том же бэкэнде (как в примере), у вас все еще есть избыточная информация в вашей конфигурации. Более простой подход здесь будет таким:
frontend localhost443
bind *:443
option tcplog
mode tcp
default_backend backend1
backend backend1
mode tcp
option ssl-hello-chk
server server1 10.0.0.77:443 check
Поскольку ваша настройка представляет собой просто балансировку уровня 4, если вы все еще получаете случайные веб-сайты, вам придется более внимательно изучить веб-сервер, работающий по адресу 10.0.0.77:443: какой веб-сервер, как он настроен, вызывает ли он ту же проблему при прямом доступе?