Einrichtung von HAProxy mit SSL Passthrough für Mehrere Domains und Backends

Erfahren Sie, wie Sie `HAProxy` als Load Balancer mit SSL Passthrough für mehrere Domains konfigurieren. Diese Schritt-für-Schritt-Anleitung behandelt alles von der Einrichtung bis zur Implementierung. --- Dieses Video basiert auf der Frage https://stackoverflow.com/q/57513884/ gestellt von dem Nutzer 'olivierg' ( https://stackoverflow.com/u/4279387/ ) sowie auf der Antwort https://stackoverflow.com/a/62444304/ bereitgestellt von dem Nutzer 'olivierg' ( https://stackoverflow.com/u/4279387/ ) auf der Website 'Stack Overflow'. Vielen Dank an diese großartigen Nutzer und die Stackexchange-Community für ihre Beiträge. Besuchen Sie diese Links, um den Originalinhalt und weitere Details zu sehen, z. B. alternative Lösungen, aktuelle Entwicklungen zum Thema, Kommentare, Versionsverlauf usw. Der ursprüngliche Titel der Frage lautete beispielsweise: HAProxy with SSL passthrough to multiple domains with multiple backends Außerdem steht der Inhalt (außer Musik) unter der Lizenz CC BY-SA https://meta.stackexchange.com/help/licensing Der ursprüngliche Fragenbeitrag steht unter der Lizenz 'CC BY-SA 4.0' ( https://creativecommons.org/licenses/by-sa/4.0/ ), und der ursprüngliche Antwortbeitrag steht unter der Lizenz 'CC BY-SA 4.0' ( https://creativecommons.org/licenses/by-sa/4.0/ ). Falls Ihnen irgendetwas auffällt oder Unstimmigkeiten bestehen, schreiben Sie mir bitte an vlogize [AT] gmail [DOT] com. --- Einrichtung von HAProxy mit SSL Passthrough für Mehrere Domains und Backends Beim Betreiben mehrerer Anwendungen, insbesondere solcher, die sichere Verbindungen über HTTPS erfordern, stellt das richtige Load Balancing eine große Herausforderung dar. Dies gilt besonders, wenn Sie den SSL-Verkehr aus Sicherheitsgründen nicht entschlüsseln möchten. In diesem Blogbeitrag zeigen wir, wie man HAProxy als Load Balancer mit SSL Passthrough einrichtet, sodass Sie den Verkehr effizient an Ihre Backend-Server weiterleiten können und gleichzeitig die Sicherheit erhalten bleibt. Das Problem verstehen Stellen Sie sich vor, Sie verwalten 50 verschiedene Anwendungen, die jeweils SSL mit spezifischen Domains und Zertifikaten nutzen. Das Problem besteht darin, dass Sie ohne einen Load Balancer (LB) Ihre DNS-Einträge direkt auf den primären Webserver jedes Clusterknotens zeigen. Dieses Setup macht den sekundären Knoten praktisch nutzlos, da bei einem Ausfall manuelle DNS-Änderungen nötig wären, um den Verkehr umzuleiten, was zu Ausfallzeiten führt. Darüber hinaus ist eine SSL-Entschlüsselung keine Option aufgrund rechtlicher und sicherheitstechnischer Gründe, besonders wenn sich der Load Balancer in einem anderen Land befindet. Das Ziel ist es daher, eine HAProxy-Instanz zu implementieren, die SSL-Verkehr transparent behandelt und diesen korrekt an Backends weiterleitet, während hohe Verfügbarkeit (HA) und Session-Stickiness gewährleistet werden. Ist diese Einrichtung mit HAProxy möglich? Absolut! HAProxy kann SSL Passthrough zuverlässig realisieren und folgt dabei der folgenden Struktur: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Die obige Architektur zeigt, wie Anfragen von verschiedenen Domains zu ihren jeweiligen Backends weitergeleitet werden, ohne den SSL-Verkehr zu entschlüsseln. Schritt-für-Schritt Konfiguration von HAProxy 1. Globale Einstellungen Beginnen Sie mit der Definition globaler Einstellungen für HAProxy: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Diese Konfiguration erlaubt HAProxy im Daemon-Modus zu laufen und hohe Verbindungszahlen zu verarbeiten. 2. Allgemeine Standardwerte Setzen Sie als Nächstes allgemeine Standardwerte für alle Sektionen: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Diese Defaults bieten eine solide Basis für das Verbindungsmanagement. 3. Einrichtung der Statistikanzeige Eine Überwachung ist sehr hilfreich. Konfigurieren Sie eine Statistikseite für die Visualisierung des Verkehrs: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Damit können Sie die Leistung Ihres Load Balancers überwachen. 4. Frontend-Konfiguration Definieren Sie nun das Frontend, das eingehende Verbindungen verwaltet: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Dies stellt sicher, dass Ihr Frontend HTTPS-Verkehr auf Port 443 erwartet. 5. ACLs und Backend-Konfiguration Um den Verkehr an die richtigen Backends zu leiten, erstellen Sie Access Control Lists (ACLs) und Backend-Definitionen: [[Siehe Video, um diesen Text oder Codeausschnitt anzuzeigen]] Jede Anwendung hat einen eigenen Backend-Abschnitt, in dem Server so konfiguriert sind, dass sie SSL unterstützen. So bleibt der gesamte Datenverkehr verschlüsselt. Fazit Die Einrichtung von HAProxy mit SSL Passthrough für mehrere Domains und Backends ist machbar und praxisgerecht. Dieser Ansatz bietet Load Balancing und wahrt gleichzeitig die SSL-Anforderungen Ihrer Anwendungen. Die Verwendung von Session-Stickiness über die Direktive balance source hilft, Verbin