La Proxy di TLS multiprocess HAProxy non passa TLS Info

Otteniamo abbastanza traffico TLS su HAProxy ora che un singolo process non è in grado di far fronte al numero di nuove connessioni TLS.

Dopo aver visto come StackOverflow utilizza un proxy TLS sui processi 2- N che invia il traffico al process 1, ho iniziato a sperimentare con questo, in quanto il comportmento predefinito (each process che agisce in modo indipendente) è less che ideale.

Ho effettivamente avuto una configuration come questa:

global nbproc 3 cpu-map 1 0 cpu-map 2 1 cpu-map 3 2 stats bind-process all stats socket /haproxy/proc1.sock mode 666 level admin process 1 stats socket /haproxy/proc2.sock mode 666 level admin process 2 stats socket /haproxy/proc2.sock mode 666 level admin process 3 defaults log global mode http option dontlognull listen tlsproxy bind-process 2 3 bind 0.0.0.0:443 ssl crt /haproxy/example.com.pem mode tcp option tcplog server fe_www abns@fe_www.sock send-proxy frontend fe_www bind-process 1 bind 0.0.0.0:80 bind abns@fe_www.sock accept-proxy default_backend be_www backend be_www bind-process 1 server www01 10.1.1.1:80 

Questo funziona.

Tuttavia, le informazioni sulla connessione TLS non sono disponibili a fe_www

Ciò provoca due problemi:

ACL che utilizzano le informazioni di connessione TLS (ad esempio per redirect il traffico HTTP a HTTPS) sono ora interrotti, poiché tutto è ora una connessione non protetta.

HTTP La logging di informazioni come la versione TLS, TLS Cipher, ecc è rotta – che le informazioni non vengono trasportte.

Ho provato a scambiare l'utilizzo di socket di nome astratto per i collegamenti IP di loopback, ma questo non aiuta.

C'è un modo per riportre le informazioni TLS nella connessione proxied?

  • Haproxy 1.5.3 / OpenSSL - Creazione di PEM
  • Come aggiungere l'intestazione personalizzata contenente l'indirizzo assoluto della risorsa originaria richiesta
  • Software Load Balancer - Inoltro o reindirizzamento ai server backend?
  • Come scalare orizzontalmente la terminazione SSL dietro il bilanciamento del carico HAProxy?
  • Reg Exp per URL in HAProxy
  • HAProxy risponde con NOSRV mentre il backend è in su
  • Controlli di salute di HAProxy e cambio dello stato del server
  • HAProxy rspadd o set-header
  • One Solution collect form web for “La Proxy di TLS multiprocess HAProxy non passa TLS Info”

    È ansible utilizzare send-proxy-v2-ssl per submit informazioni correlate SSL, ma come discusso in questo thread ML HAProxy non implementa ancora l'analisi di tali informazioni nella parte ricevente (accept-proxy).

    L'unica soluzione qui è come suggerito da "gf_", è necessario utilizzare http modalità nella parte di tlsproxy e fare tutte le azioni relative a ssl (ACL, reindirizzamenti, logging).

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.