Как перенести gitlab из haproxy в Nginx?

Question

[Iceforest]

хотим перенести гитлаб из haproxy в Nginx, по какой то причине не срабатывает конфиг
Конфиг Nginx

server
{
        listen 80;
        server_name gitlab.*.ru;

location /
        {
                return 301 https://gitlab.*.ru;
        }
}
server
{
        listen 443 ssl;
        server_name gitlab.*.ru;


        location /
                {
                        proxy_pass http://10.*.*.50;
                        proxy_set_header X-Forwarded-Proto https;
                        proxy_set_header X-Forwarded-Ssl  on;

                }

}

Через haproxy работает вот так

global
    log         127.0.0.1 local2

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     4000
    user        haproxy
    group       haproxy
    daemon
    tune.ssl.default-dh-param 2048
    
    stats socket /var/lib/haproxy/stats

defaults
    mode                    http
    log                     global
    option                  httplog
    option                  dontlognull
    option http-server-close
    option forwardfor       except 127.0.0.0/8
    option                  redispatch
    retries                 3
    timeout http-request    10s
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout http-keep-alive 10s
    timeout check           10s
    maxconn                 3000


frontend www-http
bind *:80
reqadd X-Forwarded-Proto:\ http

frontend gitlab_front
bind 80.*.*.*:443
mode tcp
use_backend gitlab


backend gitlab
mode tcp
option ssl-hello-chk
server gitlab_server 10.*.*.*:443

в gitlab.rb
nginx['enable'] = true
nginx['redirect_http_to_https'] = true
nginx['ssl_certificate'] = "/etc/gitlab/ssl/git-le.crt"
nginx['ssl_certificate_key'] = "/etc/gitlab/ssl/git-le-key.key"
nginx['proxy_set_headers'] = {"X-Forwarded-Proto" => "https",
"X-Forwarded-Ssl" => "on",}

Собственно вопрос почему не работает через конфиг Nginx?

Answer 1

[ky0]

Где настройки SSL в нижнем блоке конфига? Плюс, если шифрование у вас на внешнем нгинксе, добавлять его внутри довольно бессмысленно.

Comments

[Iceforest]

Сами сертификаты вшиты в Gitlab.rb , то есть во встроенном Nginx gitlab. Поэтому блоки отсутствует, я так понимаю , если он даже был бы добавлен, он бы роли не играл. Проблема в том, что не мы настраивали этот гитлаб и пока не все понятно как он вообще взаимодействует и почему не работает прокси пасс, если мы практически идентично переписали хапрокси конфиг.

[ky0]

Iceforest, хапрокси проксирует TCP, ему всё равно, что там внутри пакетов. Нгинксу же, как веб-серверу - нет.

Получается, что у вас снаружи сертификатов/ключей нет (то есть это не HTTPS, хоть и 443 порт), проксируется оно внутрь со схемой http:// (хотя внутри, как вы говорите, SSL)... всё настроено неправильно, короче :)

Вынесите шифрование на внешний нгинкс, с внутреннего наоборот уберите - тогда заработает.

[Iceforest]

ky0, спасибо , попробуем перенести шифрование на внешний, а из конфига rb убрать