我使用 HAProxy 作为反向代理,将所有域名路由到私有计算机集群中的各个服务器。大多数情况下,流量代表 Web 应用或 API,使用 HTTPS 为它们提供服务是合理的。因此,我以这种方式创建了一个前端:
前端第 7 层-http 监听器
bind *:443 ssl crt /etc/httpd/certs/haproxy.pem
mode http
[...]
我还有一台服务器需要接收 TLS 加密流量,并且有自己的证书。这意味着我必须恢复到 TCP 以让数据通过而不在 HAProxy 中解密。此外,在这种情况下,HAProxy 不必管理任何证书。更像这样:
前端第4层监听器
bind *:443 ssl
mode tcp
[...]
作为一个新手,我的理解是 HAProxy 不能有 2 个具有类似绑定的字体端,即这里的 *:443。
知道这两种情况来自不同的域名,处理这种情况的最佳方法是什么?例如:httpapp.mydomain.com对于第 7 层和tcpserver.mydomain.com对于第 4 层
答案1
我自己从来没有这样做过,但你可以使用 SNI 来分割流量吗?一个例子是这里: