@akdes

Haproxy не передаёт header X-SSL-Client-Verify, почему?

Привет.

Пытаюсь активировать mutual auth на haproxy и передать необходимые заголовки бэкэнду, которые к сожалению не доходят.

Конфиг haproxy:
listen test
        bind :80
        bind :443 ssl crt /etc/ssl/certs/pem.pem ca-file /etc/ssl/certs/pem.crt verify optional
        http-request set-header X-SSL                       %[ssl_fc]
        http-request set-header X-SSL-Client-Verify         %[ssl_c_verify]
        http-request set-header X-SSL-Client-SHA1           %{+Q}[ssl_c_sha1]
        http-request set-header X-SSL-Client-DN             %{+Q}[ssl_c_s_dn]
        http-request set-header X-SSL-Client-CN             %{+Q}[ssl_c_s_dn(cn)]
        http-request set-header X-SSL-Issuer                %{+Q}[ssl_c_i_dn]
        http-request set-header X-SSL-Client-Not-Before     %{+Q}[ssl_c_notbefore]
        http-request set-header X-SSL-Client-Not-After      %{+Q}[ssl_c_notafter]

        option httpchk GET /
        http-check expect status 404
        server kwv051 kwv051.my.com:80 check
        server kwv052 kwv052.my.com:80 check
        server kwv053 kwv053.my.com:80 check
        server kwv054 kwv054.my.com:80 check


В php контейнере делаю дамп серверных данных - ни одного из выше указанных заголовков не присутствует.
print_r($GLOBALS);

Ранее реализовывал схему через Ingress-controller, но проблема в том, что мне нужен кэш ssl-сессий, а так как шэрить кэш между несколькими ingress нельзя, а необходимость в нескольких ingress инстанций "очень" есть, пытаюсь реализовать через haproxy

Аннотации Ingress, которые работали (на всякий..) :
nginx.ingress.kubernetes.io/auth-tls-verify-client: "optional"
nginx.ingress.kubernetes.io/auth-tls-verify-depth: "3"
nginx.ingress.kubernetes.io/auth-tls-secret: "ns/mutualauth"

Подскажите, пожалуйста, где искать, как исправить?

HA-Proxy version 2.0.13-2ubuntu0.1 2020/09/08
K8s 1.20.6

Спасибо
  • Вопрос задан
  • 231 просмотр
Решения вопроса 1
@akdes Автор вопроса
Нашёл ошибку:
в конфиге haproxy не хватало
mode http
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы