La Proxy di TLS multiprocess HAProxy non passa TLS Info

Otteniamo abbastanza traffico TLS su HAProxy ora che un singolo process non è in grado di far fronte al numero di nuove connessioni TLS.

Dopo aver visto come StackOverflow utilizza un proxy TLS sui processi 2- N che invia il traffico al process 1, ho iniziato a sperimentare con questo, in quanto il comportmento predefinito (each process che agisce in modo indipendente) è less che ideale.

Ho effettivamente avuto una configuration come questa:

global nbproc 3 cpu-map 1 0 cpu-map 2 1 cpu-map 3 2 stats bind-process all stats socket /haproxy/proc1.sock mode 666 level admin process 1 stats socket /haproxy/proc2.sock mode 666 level admin process 2 stats socket /haproxy/proc2.sock mode 666 level admin process 3 defaults log global mode http option dontlognull listen tlsproxy bind-process 2 3 bind 0.0.0.0:443 ssl crt /haproxy/example.com.pem mode tcp option tcplog server fe_www abns@fe_www.sock send-proxy frontend fe_www bind-process 1 bind 0.0.0.0:80 bind abns@fe_www.sock accept-proxy default_backend be_www backend be_www bind-process 1 server www01 10.1.1.1:80 

Questo funziona.

Tuttavia, le informazioni sulla connessione TLS non sono disponibili a fe_www

Ciò provoca due problemi:

ACL che utilizzano le informazioni di connessione TLS (ad esempio per redirect il traffico HTTP a HTTPS) sono ora interrotti, poiché tutto è ora una connessione non protetta.

HTTP La logging di informazioni come la versione TLS, TLS Cipher, ecc è rotta – che le informazioni non vengono trasportte.

Ho provato a scambiare l'utilizzo di socket di nome astratto per i collegamenti IP di loopback, ma questo non aiuta.

C'è un modo per riportre le informazioni TLS nella connessione proxied?

One Solution collect form web for “La Proxy di TLS multiprocess HAProxy non passa TLS Info”

È ansible utilizzare send-proxy-v2-ssl per submit informazioni correlate SSL, ma come discusso in questo thread ML HAProxy non implementa ancora l'analisi di tali informazioni nella parte ricevente (accept-proxy).

L'unica soluzione qui è come suggerito da "gf_", è necessario utilizzare http modalità nella parte di tlsproxy e fare tutte le azioni relative a ssl (ACL, reindirizzamenti, logging).

Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.