Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: haproxy https load balancing  (Прочитано 337 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
haproxy https load balancing
« : 01 Март 2018, 15:26:08 »
Добрый день
Есть два сервера apache (зеркальные) на разных инстансах с 20-кой сайтов
Надоела балансировка средствами dns, решил настроить балансировку HAproxy по активным сессиям (leastconn).
На каждом сайте висит сертификат от letsencrypt.

хотел бы узнать нужно ли мне использовать SNI?

по простому, запрос прилетает по http, HAproxy его перенаправляет на сервак с меньшим количеством коннектов, средствами apache идет редирект на https и дальнейшее взаиможействие происходит по https.

 

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25330
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #1 : 01 Март 2018, 17:57:01 »
хотел бы узнать нужно ли мне использовать SNI?
Ваш вопрос не кажется глупым вам самому?
Что даёт использование SNI в HTTPS?

Пользователь добавил сообщение 01 Март 2018, 17:58:06:
HAproxy его перенаправляет
haproxy ничего не "перенаправляет". Вообще. HAproxy ПРОКСИРУЕТ. Или пересылает, если хотите обывательскую лексику.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #2 : 01 Март 2018, 18:11:25 »
Что даёт использование SNI в HTTPS?

Если я правильно понял, то это способность позволяющее браузеру указать имя веб-сервера, с которым он пытается установить соединение. SNI необходимо для того, чтобы на одном IP-адресе могли корректно откликаться по HTTPS веб-серверы, размещённые под разными доменами.

я приписываю apache vhosts тудаже, или я ошибаюсь?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25330
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #3 : 01 Март 2018, 18:25:52 »
SNI необходимо для того, чтобы на одном IP-адресе могли корректно откликаться по HTTPS веб-серверы, размещённые под разными доменами с разными именами
Именно!
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #4 : 01 Март 2018, 18:50:58 »
А, понял, именно "web-servers" а не их "vhosts" веб сервера. Значит это больше подходит хостингу. Мне SNI не нужна.

Пользователь добавил сообщение 01 Март 2018, 18:57:26:

тогда подкорректируйте почему "один ip" из этой фразы:
(Нажмите, чтобы показать/скрыть)

https://habrahabr.ru/post/244027/



Пользователь добавил сообщение 01 Март 2018, 21:25:18:
наверно будит проще спросить как настроить балансировку между двумя инстансами с поддержкой ssl?
есть успешный опыт?

Пользователь добавил сообщение 01 Март 2018, 21:33:35:
или перенести все существующие сертификаты на HA?
« Последнее редактирование: 01 Март 2018, 21:33:35 от ziminv »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 25330
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #5 : 01 Март 2018, 22:13:14 »
А, понял, именно "web-servers"
Как именно "веб-сервер" называется на языка каждого отдельного веб-сервера - virtualhost, server или backend, это личное дело веб-сервера.

Не надо ничего "переносить". Линк между HA и бэками тоже должен быть защищён. И лучше будет включить HTTP/2 между HA и бэком, чтобы уменьшить расходы на установление соединения.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.151 секунд. Запросов: 23.