HAProxy как reverse для http и https одновременно?

Question

[Евгений]

Есть ESXi и на нем несколько VM с http серверами. HTTPS обеспечивает HAProxy (стоит на pfsense) с редиректом https -> http. SSL сертификаты подставляет HAProxy через shared https frontend. Появился еще один сервер который работает исключительно по https и по 443 порту.

https-http настраивал по мануалу https://forums.serverbuilds.net/t/guide-reverse-pr...

Как настроить frontend и backend для нового https сервера, чтобы он и SSL подставлял и https трафик гнал на новый сервер? Не понимаю как завести еще один фронт на 443 если уже есть один и он shared.

Comments

[Drno]

добавить еще 1 внешний IP и сделать upstream
взять у сервера https сертификат, и добавить его к себе

[Евгений]

Drno, а на локалку никак так не пробросить?

[Valentin Barbolin]

Поставь галочку Encrypted SSL и укажи нужный порт.

[Евгений]

Этот сервер умеет только по 443 порту работать

Answer 1

[Максим Гришин]

https://discourse.haproxy.org/t/shared-frontends-h...
я так понимаю, что перед фронтом, который занимается терминированием SSL, ставится ещё один фронтэнд в режиме tcp, который занимается роутингом по бэкам с использованием списков по совпадению TLS SNI. В нем ставишь ACL на тот сервер, который требует HTTPS, ACL под его SNI и бэк по условию, а остальной трафик проваливаешь на второй фронт самого себя (то есть трафик отправляется по loopback на соседний порт, где висит тот же самый haproxy, но трафик уже остается тот, где нужно терминировать SSL). На нем терминируешь SSL и раскидываешь трафик по бэкам.

То есть схема такая: Интернет -> TCP frontend -> ACL фильтр по SNI, если фильтр не пройден, то default backend localhost:port2, на нем уже HTTP frontend -> SSL termination -> backend по имени. Если фильтр пройден, то простой редирект на SSL backend:443.

Comments

[Евгений]

Очень интересное решение. Я попробую это реализовать.