Я использую HAProxy для балансировки нагрузки и хочу, чтобы мой сайт поддерживал только https. Таким образом, я хотел бы перенаправить все запросы с порта 80 на порт 443.
Как мне это сделать?
Изменить: мы хотели бы перенаправить на тот же URL-адрес на https, сохранив параметры запроса. Таким образом, http://foo.com/bar будет перенаправлять на https://foo.com/bar
Ответы:
Я обнаружил, что это самая большая помощь :
Используйте HAProxy 1.5 или новее и просто добавьте следующую строку в конфигурацию внешнего интерфейса:
redirect scheme https code 301 if !{ ssl_fc }
http-request redirect scheme https code 301 if !{ ssl_fc }. В документации по перенаправлению http в ALOHA HAProxy 7.0 даже упоминается, что « синтаксис обеих директив одинаковый, при этом перенаправление теперь считается устаревшим, и конфигурации должны перемещаться в форму перенаправления HTTP-запросов ». Не будучи полностью уверенным, я делаю вывод, что то же самое объяснение применимо к более новым выпускам версии HAProxy с открытым исходным кодом.
У меня недостаточно репутации, чтобы прокомментировать предыдущий ответ, поэтому я публикую новый ответ, чтобы дополнить ответ Джея Тейлора. В основном его ответ будет выполнять перенаправление, хотя и неявное перенаправление, что означает, что он выдаст 302 (временное перенаправление), но поскольку вопрос сообщает, что весь веб-сайт будет обслуживаться как https, тогда соответствующее перенаправление должно быть 301 (постоянное перенаправление ).
redirect scheme https code 301 if !{ ssl_fc }
Это кажется незначительным изменением, но влияние может быть огромным в зависимости от веб-сайта, с постоянным перенаправлением мы информируем браузер, что он больше не должен искать версию http с самого начала (избегая будущих перенаправлений) - экономия времени для https места. Это также помогает с SEO, но не разделяет ваши ссылки.
Чтобы перенаправить весь трафик:
redirect scheme https if !{ ssl_fc }
Для перенаправления одного URL-адреса (в случае нескольких интерфейсов / бэкэндов)
redirect scheme https if { hdr(Host) -i www.mydomain.com } !{ ssl_fc }
Согласно http://parsnips.net/haproxy-http-to-https-redirect/ это должно быть так же просто, как настроить haproxy.cfg, чтобы он содержал следующее.
#---------------------------------------------------------------------
# Redirect to secured
#---------------------------------------------------------------------
frontend unsecured *:80
redirect location https://foo.bar.com
#---------------------------------------------------------------------
# frontend secured
#---------------------------------------------------------------------
frontend secured *:443
mode tcp
default_backend app
#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
mode tcp
balance roundrobin
server app1 127.0.0.1:5001 check
server app2 127.0.0.1:5002 check
server app3 127.0.0.1:5003 check
server app4 127.0.0.1:5004 check
Лучший гарантированный способ перенаправить все с http на https:
frontend http-in
bind *:80
mode http
redirect scheme https code 301
Это немного удобнее использовать «код 301», но с тем же успехом можно сообщить клиенту, что это навсегда. Часть 'mode http' не важна для конфигурации по умолчанию, но не повредит. Если у вас есть mode tcpраздел по умолчанию (как у меня), то это необходимо.
Небольшое изменение решения user2966600 ...
Чтобы перенаправить все, кроме одного URL (в случае нескольких интерфейсов / бэкэндов):
redirect scheme https if !{ hdr(Host) -i www.mydomain.com } !{ ssl_fc }
Как сказал Джей Тейлор, HAProxy 1.5-dev имеет redirect schemeдирективу конфигурации, которая выполняет именно то, что вам нужно.
Однако, если вы не можете использовать 1.5, и если вы готовы скомпилировать HAProxy из исходного кода, я перенес эту redirect schemeфункциональность, чтобы она работала в 1.4. Вы можете получить патч здесь: http://marc.info/?l=haproxy&m=138456233430692&w=2
В более новых версиях HAProxy рекомендуется использовать
http-request redirect scheme https if !{ ssl_fc }
для перенаправления http-трафика на https.
Если вы хотите переписать URL-адрес, вам нужно изменить виртуальный хост своего сайта, добавив следующие строки:
### Enabling mod_rewrite
Options FollowSymLinks
RewriteEngine on
### Rewrite http:// => https://
RewriteCond %{SERVER_PORT} 80$
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,NC,L]
Но если вы хотите перенаправить все свои запросы с порта 80 на порт 443 веб-серверов за прокси-сервером, вы можете попробовать этот пример conf на своем haproxy.cfg:
##########
# Global #
##########
global
maxconn 100
spread-checks 50
daemon
nbproc 4
############
# Defaults #
############
defaults
maxconn 100
log global
mode http
option dontlognull
retries 3
contimeout 60000
clitimeout 60000
srvtimeout 60000
#####################
# Frontend: HTTP-IN #
#####################
frontend http-in
bind *:80
option logasap
option httplog
option httpclose
log global
default_backend sslwebserver
#########################
# Backend: SSLWEBSERVER #
#########################
backend sslwebserver
option httplog
option forwardfor
option abortonclose
log global
balance roundrobin
# Server List
server sslws01 webserver01:443 check
server sslws02 webserver02:443 check
server sslws03 webserver03:443 check
Я надеюсь это поможет тебе
Почему вы не используете ACL для различения трафика? над моей головой:
acl go_sslwebserver path bar
use_backend sslwebserver if go_sslwebserver
Это дополняет то, что ответил Мэтью Браун.
См. Документацию ha , поищите такие вещи, как hdr_dom и ниже, чтобы найти дополнительные параметры ACL. Есть много вариантов.
Добавьте это в конфигурацию внешнего интерфейса HAProxy:
acl http ssl_fc,not
http-request redirect scheme https if http
инструкция перенаправления является устаревшей
вместо этого используйте перенаправление http-запроса
acl http ssl_fc,not
http-request redirect scheme https if http
Просто:
frontend incoming_requsts
bind *:80
bind *:443 ssl crt *path_to_cert*.**pem**
**http-request redirect scheme https unless { ssl_fc }**
default_backend k8s_nodes
redirect scheme https code 301 if { hdr(Host) -i www.mydomain.com } !{ ssl_fc }