具有 SSL 后端的 AWS ELB 在 SSL 流内添加了代理协议

Question 1

这是针对您的问题 1 的信息，请查看下面的 URL。

http://docs.aws.amazon.com/elasticloadbalancing/latest/classic/using-elb-listenerconfig-quickref.html

桌子最后一排的战利品TCP/SSL 负载均衡器（第二张表）。这只是你的情况。它明确地说

不支持代理协议标头。

因此对于你的问题2，答案是否定的。

并且很抱歉我无法为您的问题3和4提供更多帮助。（实际上，根据我的经验，对于问题4，我认为您的方法已经足够好了。也许我的经验还不够;P）

Answer

这是针对您的问题 1 的信息，请查看下面的 URL。

http://docs.aws.amazon.com/elasticloadbalancing/latest/classic/using-elb-listenerconfig-quickref.html

桌子最后一排的战利品TCP/SSL 负载均衡器（第二张表）。这只是你的情况。它明确地说

不支持代理协议标头。

因此对于你的问题2，答案是否定的。

并且很抱歉我无法为您的问题3和4提供更多帮助。（实际上，根据我的经验，对于问题4，我认为您的方法已经足够好了。也许我的经验还不够;P）

Question 2

我也遇到了这个问题。但是，我在内部负载均衡器上使用 nginx 而不是 HA-proxy。

解决方案类似，但我认为值得发布：

#nginx.conf

user  nginx;
worker_processes  1;

error_log  /dev/stderr debug;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}

stream {
    upstream stream_backend {
        server 127.0.0.1:500;
    }

    server{
        listen 443 ssl;
        proxy_pass stream_backend;

        ssl_certificate /certs/local/public.crt;
        ssl_certificate_key /certs/local/private.key;
        ssl_protocols TLSv1.2;
        ssl_ciphers HIGH:!aNULL:!MD5;
    }
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '[$host] $remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /dev/stdout  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  60;

    #gzip  on;
    server {
        listen 8000;
        location /elb-status {
        keepalive_timeout 0;    # Disable HTTP keepalive

            access_log off;
            return 200;
        }
    }

    map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }

    server {
        listen 80 proxy_protocol;
        server_name test-nginx.corp.com;

        location / {
            keepalive_timeout 0;    # Disable HTTP keepalive
            return 301 https://$host$request_uri;
        }
    }

    upstream nginx-test-stack {
        server 10.42.111.6:80;
    }

    server {
        listen 127.0.0.1:500 proxy_protocol;
        server_name test-nginx.corp.com;
        real_ip_header proxy_protocol;

        location / {
            proxy_pass http://nginx-test-stack;
        }

    }
}

这样我就可以为任何 TCP 连接启用 E2E 加密。如果需要，我可以代理 websockets 或 https，或者直接使用 TCP

Answer

我也遇到了这个问题。但是，我在内部负载均衡器上使用 nginx 而不是 HA-proxy。

解决方案类似，但我认为值得发布：

#nginx.conf

user  nginx;
worker_processes  1;

error_log  /dev/stderr debug;
pid        /var/run/nginx.pid;


events {
    worker_connections  1024;
}

stream {
    upstream stream_backend {
        server 127.0.0.1:500;
    }

    server{
        listen 443 ssl;
        proxy_pass stream_backend;

        ssl_certificate /certs/local/public.crt;
        ssl_certificate_key /certs/local/private.key;
        ssl_protocols TLSv1.2;
        ssl_ciphers HIGH:!aNULL:!MD5;
    }
}

http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    log_format  main  '[$host] $remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  /dev/stdout  main;

    sendfile        on;
    #tcp_nopush     on;

    keepalive_timeout  60;

    #gzip  on;
    server {
        listen 8000;
        location /elb-status {
        keepalive_timeout 0;    # Disable HTTP keepalive

            access_log off;
            return 200;
        }
    }

    map $http_upgrade $connection_upgrade {
        default upgrade;
        '' close;
    }

    server {
        listen 80 proxy_protocol;
        server_name test-nginx.corp.com;

        location / {
            keepalive_timeout 0;    # Disable HTTP keepalive
            return 301 https://$host$request_uri;
        }
    }

    upstream nginx-test-stack {
        server 10.42.111.6:80;
    }

    server {
        listen 127.0.0.1:500 proxy_protocol;
        server_name test-nginx.corp.com;
        real_ip_header proxy_protocol;

        location / {
            proxy_pass http://nginx-test-stack;
        }

    }
}

这样我就可以为任何 TCP 连接启用 E2E 加密。如果需要，我可以代理 websockets 或 https，或者直接使用 TCP

具有 SSL 后端的 AWS ELB 在 SSL 流内添加了代理协议

答案1

答案2

相关内容