烂泥：haproxy学习之https配置

downmovies

　　在前一段时间，我写了几篇有关学习haproxy的文章。今天我们再来介绍下haproxy的https配置，https协议的好处在此，我们就不就作介绍了。
　　我们只介绍如何配置https，以及https在实际生产环境中的应用。
　　PS：本实验全部在haproxy1.5.4版本进行测试通过。haproxy1.3版本以下haproxy配置参数可能不能使用，需要注意版本号。
　　以下haproxy配置是线上生产环境直接使用的。
　　一、业务要求
　　现在根据业务的实际需要，有以下几种不同的需求。如下：
　　1.1 http跳转https
　　把所有请求http://http.ilanni.com的地址全部跳转为https//:http.ilanni.com这个地址。
　　1.2 http与https并存
　　服务器同时开放http://http.ilanni.com和https://http.ilanni.com的访问形式。
　　1.3 同台服务器不同域名之间的https与http
　　同一台服务器对http.ilanni.com域名访问的全部跳转为https://http.ilanni.com，而对haproxy.ilanni.com访问走http协议，也就是跳转到http://haproxy.ilanni.com这个地址。
　　1.4 同台服务器多域名均使用https
　　同一台服务器对http.ilanni.com和haproxy.ilanni.com访问走http是协议。
　　二、配置haproxy并测试业务需求
　　现在我们根据业务的需求，我们来配置haproxy一一达到其需求。
　　2.1 http跳转https配置
　　说实话haproxy的https配置要比nginx配置简单的多了，我们只需要加入几行代码即可实现https的功能。
　　http跳转https的haproxy配置文件内容，如下：
　　global
　　log 127.0.0.1 local0
　　log 127.0.0.1 local1 notice
　　maxconn 4096
　　uid 188
　　gid 188
　　daemon
　　tune.ssl.default-dh-param 2048
　　defaults
　　log global
　　mode http
　　option httplog
　　option dontlognull
　　option http-server-close
　　option forwardfor except 127.0.0.1
　　option redispatch
　　retries 3
　　option redispatch
　　maxconn 2000
　　timeout http-request 10s
　　timeout queue 1m
　　timeout connect 10s
　　timeout client 1m
　　timeout server 1m
　　timeout http-keep-alive 10s
　　timeout check 10s
　　maxconn 3000
　　listen admin_stats
　　bind 0.0.0.0:1080
　　mode http
　　option httplog
　　maxconn 10
　　stats refresh 30s
　　stats uri /stats
　　stats auth admin:admin
　　stats hide-version
　　frontend weblb
　　bind *:80
　　acl is_http hdr_beg(host) http.ilanni.com
　　redirect scheme https if !{ ssl_fc }
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　use_backend httpserver if is_http
　　backend httpserver
　　balance source
　　server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　
　　在以上配置文件中，需要注意的选项如下：
　　tune.ssl.default-dh-param 2048因为我们的SSL密钥使用的是2048bit加密，所以在此进行声明。
　　acl is_http hdr_beg(host) http.ilanni.com
　　redirect scheme https if !{ ssl_fc }
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　这三行表示把所有访问http.ilanni.com这个域名的请求，全部转发到https://http.ilanni.com这个连接。
　　2.2 测试http跳转https
　　http跳转https配置完毕后，我们选择来测试其跳转。如下：
　　
　　你会发现在浏览器中，无论你输入的是http.ilanni.com，还是http://http.ilanni.com亦或是https://http.ilanni.com，都会自动跳转到https://http.ilanni.com。
　　这样就达到了，把所有的http请求跳转到https的目的。
　　2.3 http与https并存配置
　　haproxy要实现http和https并存的话，配置也很简单，只需要把haproxy分别监控不同的端口就行，配置文件如下：
　　global
　　log 127.0.0.1 local0
　　log 127.0.0.1 local1 notice
　　maxconn 4096
　　user haproxy
　　group haproxy
　　daemon
　　tune.ssl.default-dh-param 2048
　　defaults
　　log global
　　mode http
　　option httplog
　　option dontlognull
　　retries 3
　　option redispatch
　　maxconn 2000
　　timeout connect 5000ms
　　timeout client 50000ms
　　timeout server 50000ms
　　listen admin_stats
　　bind 0.0.0.0:1080
　　mode http
　　option httplog
　　maxconn 10
　　stats refresh 30s
　　stats uri /stats
　　stats auth admin:admin
　　stats hide-version
　　frontend weblb
　　bind *:80
　　acl is_http hdr_beg(host) http.ilanni.com
　　use_backend httpserver if is_http
　　backend httpserver
　　balance source
　　server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　frontend weblb443
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　acl is_443 hdr_beg(host) http.ilanni.com
　　use_backend httpserver443 if is_443
　　backend httpserver443
　　balance source
　　server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　在以上配置文件中，我们定义了两个前端，一个前端用于监听80端口，也就是http协议。另外一个前端监听443端口，也就是https协议。
　　此时haproxy会根据客户端请求的协议进行分发，如果发现客户端请求的是http协议，则把该请求分发到监听80端口的前端。如果发现客户端请求的是https协议，则把该请求分发到监听443端口的前端。如此就达到了haproxy让http和https并存的要求。
　　2.4 测试http与https并存
　　http与https并存配置完毕后，我们选择来测试其跳转。如下：
　　
　　
　　通过测试你会发现，在浏览器中如果你输入的是http://http.ilanni.com或者是http.ilanni.com都会直接跳转到http://http.ilanni.com，而输入的是https://http.ilanni.com，则只会跳转到https://http.ilanni.com。
　　如此就到达了，我们业务的要求实现http和https并存。
　　2.5 同台服务器不同域名之间的https与http配置
　　同台服务器不同域名之间的http和https配置比较复杂，第一需要监听两个端口，第二还要根据不同的域名进行分发。
　　haproxy配置文件如下：
　　global
　　log 127.0.0.1 local0
　　log 127.0.0.1 local1 notice
　　maxconn 4096
　　uid 188
　　gid 188
　　daemon
　　tune.ssl.default-dh-param 2048
　　defaults
　　log global
　　mode http
　　option httplog
　　option dontlognull
　　option http-server-close
　　option forwardfor except 127.0.0.1
　　option redispatch
　　retries 3
　　option redispatch
　　maxconn 2000
　　timeout http-request 10s
　　timeout queue 1m
　　timeout connect 10s
　　timeout client 1m
　　timeout server 1m
　　timeout http-keep-alive 10s
　　timeout check 10s
　　maxconn 3000
　　listen admin_stats
　　bind 0.0.0.0:1080
　　mode http
　　option httplog
　　maxconn 10
　　stats refresh 30s
　　stats uri /stats
　　stats auth admin:admin
　　stats hide-version
　　frontend weblb
　　bind *:80
　　acl is_haproxy hdr_beg(host) haproxy.ilanni.com
　　acl is_http hdr_beg(host) http.ilanni.com
　　redirect prefix https://http.ilanni.com if is_http
　　use_backend haproxyserver if is_haproxy
　　backend haproxyserver
　　balance source
　　server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　frontend weblb443
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　acl is_443 hdr_beg(host) http.ilanni.com
　　use_backend httpserver443 if is_443
　　backend httpserver443
　　balance source
　　server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　
　　同台服务器不同域名之间的https与http配置，我们配置了两个前端一个用于监听80端口，并且根据不同的域名进行跳转。在80端口的规则中，如果客户端请求的是http.ilanni.com，这个域名的话，则haproxy会把该请求直接跳转到https://http.ilanni.com。如果是haproxy.ilanni.com，这个域名的话，则分发到后端的服务器。
　　另外一个前端用于监听443端口，用于分发客户端https://http.ilanni.com的请求。
　　2.6 测试同台服务器不同域名之间的https与http配置
　　同台服务器不同域名之间的https与http配置配置完毕后，我们现在来进行测试。如下：
　　
　　
　　通过上图，我们可以发现在浏览器中输入haproxy.ilanni.com会跳转到http://haproxy.ilanni.com这个地址，而如果输入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的话，都会跳转到https://http.ilanni.com。
　　如此就达到了我们的业务要求，同台服务器上访问haproxy.ilanni.com直接跳转到80端口，如果访问的是http.ilanni.com域名的话则跳转到https://http.ilanni.com这个地址。
　　2.7 同台服务器多域名均使用https配置
　　要使同台服务器的两个设置多个域名都使用https协议的话，配置很简单。只需要在haproxy中启用各自的https配置即可。
　　haproxy配置文件，如下：
　　global
　　log 127.0.0.1 local0
　　log 127.0.0.1 local1 notice
　　maxconn 4096
　　uid 108
　　gid 116
　　daemon
　　tune.ssl.default-dh-param 2048
　　defaults
　　log global
　　mode http
　　option httplog
　　option dontlognull
　　option http-server-close
　　option forwardfor except 127.0.0.1
　　option redispatch
　　retries 3
　　option redispatch
　　timeout http-request 10s
　　timeout queue 1m
　　timeout connect 10s
　　timeout client 1m
　　timeout server 1m
　　timeout http-keep-alive 10s
　　timeout check 10s
　　maxconn 3000
　　listen admin_stats
　　bind 0.0.0.0:1080
　　mode http
　　option httplog
　　maxconn 10
　　stats refresh 30s
　　stats uri /stats
　　stats auth admin:admin
　　stats hide-version
　　frontend web80
　　bind *:80
　　acl is_http hdr_beg(host) http.ilanni.com
　　redirect scheme https if !{ ssl_fc }
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　acl is_haproxy hdr_beg(host) haproxy.ilanni.com
　　redirect scheme https if !{ ssl_fc }
　　bind *:443 ssl crt /etc/haproxy/ilanni.com.pem
　　use_backend httpserver if is_http
　　use_backend haproxyserver if is_haproxy
　　backend httpserver
　　balance source
　　server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　backend haproxyserver
　　balance source
　　server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3
　　
　　配置文件比较简单，在此就不做进一步的讲解了。
　　2.8 测试同台服务器多域名均使用https
　　同台服务器多域名均使用https，配置完毕后，现在我们来测试下。
　　
　　
　　通过上图，我们可以看到在浏览中无论是输入http.ilanni.com、http://http.ilanni.com，还是haproxy.ilanni.com、http://haproxy.ilanni.com，都会跳转到相应的https地址。
　　这也达到了我们业务的要求。