HAProxy 返回 503(80 和 443 前端 + 由虚拟主机管理的重定向)

tag-icon tag-icon https haproxy containers 503-error lxd
HAProxy 返回 503(80 和 443 前端 + 由虚拟主机管理的重定向)

我已经找了很多帖子,但没有人解决我的问题......

让我解释一下背景:

专用服务器上的 3 个容器:
[10.173.223.10] haproxy
[10.173.223.11] Container_A (包含网站 http 和 https,使用 hell.com 和 boom.net 子域名)
[10.173.223.12] Container_B (仅包含一个 https 网站:secure1.boom.net)
-- 我不使用 docker,只使用 lxd --

网站托管:
除“secure1.boom.net”托管在 Container_B 上之外,所有子域名(混合 hell.com 和 boom.net)均托管在 Container_A 上。

目的:
- 容器中的 apache2 服务器必须接收 SSL 请求
- 容器中的 apache2 服务器必须管理虚拟主机中的重定向
  (某些项目不需要 SSL 访问)。

有关重定向的详细信息:
目前,在 haproxy 配置中,“http 前端”使用所有主机名(包括 https 网站),因为我希望 apache2 服务器管理 https 重定向。

问题 :
- 在“Container_B”容器中:https 网站 (secure1.boom.net) 运行正常。
  他独自一人在这个容器中。
- 在“Container_B”中,“http-to-https”重定向运行正常(由 apache2 管理)。
- “Container_A”中的所有 http 网站也运行正常。
但:
“Container_A” 中的所有其他 https URL 均失败,出现 503 错误(由 haproxy 生成)。



这是我在 haproxy.log (503 + SC) 中发现的:

May  3 09:59:14 haproxy haproxy[5091]: 81.137.48.107:49722 [03/May/2018:09:59:11.303] HTTPS~ CONTAINER_A_SSL/ContA 68/0/-1/-1/3082 503 224 - - SC-- 0/0/0/0/3 0/0 "GET / HTTP/1.1"

我在这里粘贴 haproxy 配置:

# Default SSL material locations
        #ca-base /SHARED/SSL_certs
        #crt-base /SHARED/SSL_certs
        ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
        ssl-default-bind-options no-sslv3
        tune.ssl.default-dh-param 2048
        ssl-server-verify none

defaults
        log     global
        mode    http
        option  httplog
        option  dontlognull
        option  forwardfor
        option  http-server-close
        timeout connect 5000
        timeout client  50000
        timeout server  50000
        errorfile 400 /etc/haproxy/errors/400.http
        ...
        errorfile 504 /etc/haproxy/errors/504.http

#--- FRONTENDS --------------

frontend HTTP
        bind *:80 v4v6
        http-request set-header X-client-IP %[src]
        # CATCH 80 port websites
        acl CASE_A hdr(host) -i site1.hell.com www.site1.hell.com
        acl CASE_B hdr(host) -i site1.boom.net www.site1.boom.net
        acl CASE_C hdr(host) -i site2.boom.net www.site2.boom.net
        # CATCH 443 port website (redirected by apache)
        acl CASE_D hdr(host) -i secure1.hell.com www.secure1.hell.com
        acl CASE_E hdr(host) -i secure2.hell.com www.secure2.hell.com
        acl CASE_F hdr(host) -i secure1.boom.net www.secure1.boom.net
        # PROPERTIES
        reqadd X-Forwarded-Proto:\ http
        # BACKENDS (80 targets)
        use_backend CONTAINER_A if CASE_A
        use_backend CONTAINER_A if CASE_B
        use_backend CONTAINER_A if CASE_C
        # BACKENDS (443 targets)
        use_backend CONTAINER_A if CASE_D
        use_backend CONTAINER_A if CASE_E
        use_backend CONTAINER_B if CASE_F

frontend HTTPS
        bind *:443 v4v6 ssl crt /SHARED/SSL_certs/ no-sslv3
        http-request set-header X-client-IP %[src]
        # CATCH 443 targets
        acl CASE_SSL_D hdr(host) -i secure1.hell.com www.secure1.hell.com
        acl CASE_SSL_E hdr(host) -i secure2.hell.com www.secure2.hell.com
        acl CASE_SSL_F hdr(host) -i secure1.boom.net www.secure1.boom.net
        # SSL PROPERTIES
        reqadd X-Forwarded-Proto:\ https
        acl secure dst_port eq 443
        rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ \1;\ Secure if secure
        rspadd Strict-Transport-Security:\ max-age=31536000 if secure
        # BACKENDS (443 targets)
        use_backend CONTAINER_A_SSL if CASE_SSL_D
        use_backend CONTAINER_A_SSL if CASE_SSL_E
        use_backend CONTAINER_B_SSL if CASE_SSL_F

#--- BACKENDS --------------------

backend CONTAINER_A
        balance uri
        #server ContA ContA.lxd (disabled: resolving dont works since IP are static in container's interface files)
        server ContA 10.173.223.11

backend CONTAINER_A_SSL
        balance uri
        server ContA 10.173.223.11 ssl

backend CONTAINER_B
        balance uri
        server ContB 10.173.223.12

backend CONTAINER_B_SSL
        balance uri
        server ContB 10.173.223.12 ssl

还有主机 iptable 规则:

*nat
### WEB
-A PREROUTING -i eth0 -p tcp --dport  80 -j DNAT --to-destination 10.173.223.10:80
-A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 10.173.223.10:443
### LXD-BRIDGE-AUTO-CONF
-A POSTROUTING -s 10.173.223.0/24 ! -d 10.173.223.0/24 -m comment --comment "managed by lxd-bridge" -j MASQUERADE
COMMIT

*mangle
### LXD-BRIDGE-AUTO-CONF (DHCP:68)
-A POSTROUTING -o lxdbr0 -p udp -m udp --dport 68 -m comment --comment "managed by lxd-bridge" -j CHECKSUM --checksum-fill
COMMIT

*filter
### DEFAULT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
### LOOPBACK
-I INPUT 1 -i lo -j ACCEPT
### ALREADY ACCEPTED CONNECTIONS
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
### LXC: FORWARD
-A FORWARD -o lxdbr0 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A FORWARD -i lxdbr0 -m comment --comment "managed by lxd-bridge" -j ACCEPT
### LXD: DNS (53) + DHCP (67)
-A INPUT -i lxdbr0 -p tcp -m tcp --dport 53 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A INPUT -i lxdbr0 -p udp -m udp --dport 53 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A INPUT -i lxdbr0 -p udp -m udp --dport 67 -m comment --comment "managed by lxd-bridge" -j ACCEPT
### ICMP (ping)
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
### WEB
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p udp -m multiport --dports 80,443 -j ACCEPT
### FINALLY, DROP ALL the fallbacks
-A INPUT -j DROP
COMMIT

有人能帮我吗 ? :/

相关内容