haproxy 背后的 nginx - 无论提交什么域名,页面都会随机加载

haproxy 背后的 nginx - 无论提交什么域名,页面都会随机加载

我目前有一台运行 nginx 的 Web 服务器 (10.0.0.77),带有多个 vhost(几个 wordpress 网站和 nextcloud 安装),全部运行在 1 个 IP 地址上,并且所有内容都使用通配符证书进行保护。无论是内部还是外部,它都运行良好

现在我想通过 HAproxy 代理所有外部流量,下面是我针对一个 wordpres 站点和 nextcloud 的简化 haproxy 配置:

global
log /dev/log    local0
log /dev/log    local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
maxconn 4096
user haproxy
group haproxy
daemon


defaults
log     global
mode    tcp
option  tcplog
option  dontlognull
timeout connect 15s
timeout client  15s
timeout server  15s
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http


frontend localhost80  
bind *:80
mode http
redirect scheme https code 301 if !{ ssl_fc }

frontend localhost443   
bind *:443
option tcplog
mode tcp
acl tls req.ssl_hello_type 1
tcp-request inspect-delay 5s
tcp-request content accept if tls

acl is_wordpress req.ssl_sni -i nextcloud.domain.com   
acl is_nextcloud req.ssl_sni -i wordpress.domain.com  

use_backend nextcloud_cluster if is_nextcloud  
use_backend wordpress_cluster if is_wordpress

backend wordpress_cluster
mode tcp
option ssl-hello-chk
server is_wordpress 10.0.0.77:443 check 


backend nextcloud_cluster
mode tcp
option ssl-hello-chk
server is_nextcloud 10.0.0.77:443 check

问题是,一旦我重新指向外部流量通过我的 haproxy 运行,如果我尝试加载,即 nextcloud.domain.com,我有时会得到 wordpress.domain.com,反之亦然。

知道我哪里做错了吗?

答案1

当使用 SNI 区分后端时,您应该意识到在这种特定情况下非 SNI 客户端将无法访问站点。

但是,如果您的客户端没有问题,并且您仍然平衡到同一个后端(如示例中所示),那么您的配置中仍然有冗余信息。这里更简单的方法是:

frontend localhost443   
  bind *:443
  option tcplog
  mode tcp
  default_backend backend1

backend backend1
  mode tcp
  option ssl-hello-chk
  server server1 10.0.0.77:443 check 

由于您的设置只是第 4 层平衡,如果您仍然获得随机网站,则必须更仔细地研究在 10.0.0.77:443 上运行的 Web 服务器:哪个 Web 服务器,它是如何设置的,直接访问时是否会产生同样的问题?

相关内容