Pound、HAproxy 和 HAproxy 日志记录

Pound、HAproxy 和 HAproxy 日志记录

我正在尝试弄清楚有关 HAproxy 日志记录的一件事。基本上,我们在同一台主机上让 Pound 在 HAproxy 前面运行,执行 SSL 终止,然后将请求传递给 HAproxy。我试图弄清楚的是如何将客户端的 IP 记录到 HAproxy 日志中。目前,无论我做什么,我都会将以下内容记录到 HAproxy 日志中:

Feb 27 19:37:00 localhost.localdomain haproxy[17365]: 127.0.0.1:44880 [27/Feb/2013:19:36:59.786] ssl_application ssl_application/app01 0/0/0/385/386 200 3470 - - ---- 0/0/0/0/0 0/0 "GET / HTTP/1.1"

我知道 127.0.0.1 是 Pound 向 HAproxy 发送代理请求的 IP,但我想知道是否有任何方法可以将实际客户端 IP 记录到 HAproxy 日志中。

磅配置如下:

User        "www-data"
Group       "www-data"

LogLevel   3
LogFacility local2

TimeOut 60

# poundctl control socket
Control "/var/run/pound/poundctl.socket"

ListenHTTPS
    Address 0.0.0.0
    Port    443
    Cert    "/etc/pound/ssl/certificate.pem"

    # Allow PUT and DELETE also (by default only GET, POST and HEAD)?:
    xHTTP        1

    Service
        BackEnd
            Address 127.0.0.1
            Port    8080
        End
    End
End

HA 代理配置如下:

global
        log 127.0.0.1   local0 info
        log 127.0.0.1   local1 notice
        maxconn 4096
        user haproxy
        group haproxy
        stats socket /var/run/haproxy.sock

defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        retries 3
        redispatch
        maxconn 2000
        contimeout      5000
        clitimeout      50000
        srvtimeout      50000
        option httpclose
        option forwardfor

# Set up application listeners here.
listen application 0.0.0.0:80
  acl health_check path_beg /health_check
  block if health_check
  option httpchk HEAD /health_check HTTP/1.1\r\nHost:\ staging.example.com
  balance roundrobin
  server app01 10.178.64.113:8000 weight 1 maxconn 100 check

listen ssl_application 0.0.0.0:8080
  acl health_check path_beg /health_check
  block if health_check
  option httpchk HEAD /health_check HTTP/1.1\r\nHost:\ staging.example.com
  balance roundrobin
  server app01 10.178.64.113:4430 weight 1 maxconn 100 check

listen admin 0.0.0.0:22002
  mode http
  stats uri /

任何建议都将不胜感激!客户端的 IP 一定隐藏在某个地方,因为它被登录到 HAproxy 后面的 Nginx。只需弄清楚如何将其登录到 HAproxy 日志中即可。

答案1

CMIIW,我从来没有使用过 Pound,但如果你确定 Pound 能够传递 http 标头 x-forwarded-for,你只需在 HAproxy 监听部分添加“捕获请求标头 x-forwarded-for len 15”(http://code.google.com/p/haproxy-docs/wiki/capture_request_header),并确保也包含“option httplog”。

答案2

除了已经提到的 X-Forwarded-For 之外,您还可以使用 Tproxy 使整个过程透明:

http://blog.loadbalancer.org/transparent-proxy-of-ssl-traffic-using-pound-to-haproxy-backend-patch-and-howto/

这将需要 2 个子网,而且实现起来很麻烦。

相关内容