我想利用请求变量 ssl_fc_sni 动态路由到服务器。是否可以配置 haproxy 服务器语句以使用变量作为地址和/或端口?示例
backend citest3bk_spice_default server compute1 %[ssl_fc_sni] ssl verify required crt server.pem ca-file ca.pem force-tlsv12 weight 0
目前,我收到错误
parsing [/etc/haproxy/haproxy.cfg:157] : 'server compute1' : invalid address: '%[ssl_fc_sni]' in '%[ssl_fc_sni]'
答案1
所以看起来这行不通。我认为这也不是个好主意,因为最终用户可以提供任何用作后端的 Web 服务器。在我看来,这听起来像是一个巨大的安全问题。
为什么不为您想要直接访问的每个 Web 服务器静态配置一个后端,然后基于 cookie 或自定义 URL 将流量路由到仅包含单个服务器的后端?