Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: haproxy https load balancing  (Прочитано 1177 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
haproxy https load balancing
« : 01 Марта 2018, 14:26:08 »
Добрый день
Есть два сервера apache (зеркальные) на разных инстансах с 20-кой сайтов
Надоела балансировка средствами dns, решил настроить балансировку HAproxy по активным сессиям (leastconn).
На каждом сайте висит сертификат от letsencrypt.

хотел бы узнать нужно ли мне использовать SNI?

по простому, запрос прилетает по http, HAproxy его перенаправляет на сервак с меньшим количеством коннектов, средствами apache идет редирект на https и дальнейшее взаиможействие происходит по https.

 

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #1 : 01 Марта 2018, 16:57:01 »
хотел бы узнать нужно ли мне использовать SNI?
Ваш вопрос не кажется глупым вам самому?
Что даёт использование SNI в HTTPS?

Пользователь добавил сообщение 01 Марта 2018, 16:58:06:
HAproxy его перенаправляет
haproxy ничего не "перенаправляет". Вообще. HAproxy ПРОКСИРУЕТ. Или пересылает, если хотите обывательскую лексику.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #2 : 01 Марта 2018, 17:11:25 »
Что даёт использование SNI в HTTPS?

Если я правильно понял, то это способность позволяющее браузеру указать имя веб-сервера, с которым он пытается установить соединение. SNI необходимо для того, чтобы на одном IP-адресе могли корректно откликаться по HTTPS веб-серверы, размещённые под разными доменами.

я приписываю apache vhosts тудаже, или я ошибаюсь?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #3 : 01 Марта 2018, 17:25:52 »
SNI необходимо для того, чтобы на одном IP-адресе могли корректно откликаться по HTTPS веб-серверы, размещённые под разными доменами с разными именами
Именно!
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ziminv

  • Автор темы
  • Активист
  • *
  • Сообщений: 263
  • linux mint cinnamon 17.1 64bit 8 Gb ram
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #4 : 01 Марта 2018, 17:50:58 »
А, понял, именно "web-servers" а не их "vhosts" веб сервера. Значит это больше подходит хостингу. Мне SNI не нужна.

Пользователь добавил сообщение 01 Марта 2018, 17:57:26:

тогда подкорректируйте почему "один ip" из этой фразы:
(Нажмите, чтобы показать/скрыть)

https://habrahabr.ru/post/244027/



Пользователь добавил сообщение 01 Марта 2018, 20:25:18:
наверно будит проще спросить как настроить балансировку между двумя инстансами с поддержкой ssl?
есть успешный опыт?

Пользователь добавил сообщение 01 Марта 2018, 20:33:35:
или перенести все существующие сертификаты на HA?
« Последнее редактирование: 01 Марта 2018, 20:33:35 от ziminv »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: haproxy https load balancing
« Ответ #5 : 01 Марта 2018, 21:13:14 »
А, понял, именно "web-servers"
Как именно "веб-сервер" называется на языка каждого отдельного веб-сервера - virtualhost, server или backend, это личное дело веб-сервера.

Не надо ничего "переносить". Линк между HA и бэками тоже должен быть защищён. И лучше будет включить HTTP/2 между HA и бэком, чтобы уменьшить расходы на установление соединения.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.081 секунд. Запросов: 25.