HAProxy-Check-Port 443

5

Ist es möglich, HAProxy dazu zu bringen, einen SSL / Port 443-Endpunkt auf Integrität zu prüfen?

Die check port 443in der folgenden Konfiguration fehlgeschlagene Integritätsprüfung

HAProxy-Konfiguration unten

global
    log         127.0.0.1 local2

    chroot      /var/lib/haproxy
    pidfile     /var/run/haproxy.pid
    maxconn     50000
    user        haproxy
    group       haproxy
    daemon

    # turn on stats unix socket
    stats socket /var/lib/haproxy/stats

defaults
    mode                    tcp
    log                     global
    option                  dontlognull
    retries                 3
    timeout queue           1m
    timeout connect         10s
    timeout client          1m
    timeout server          1m
    timeout check           5s
    maxconn                 15000


#---------------------------------------------------------------------
# status page.
#---------------------------------------------------------------------
listen stats 0.0.0.0:8000
    mode http
    stats enable
    stats uri /haproxy
    stats realm HAProxy

#---------------------------------------------------------------------
# Incoming HTTP -> Admin Redirect Proxy rule
#--------------------------------------------------------------------
listen RedirectToHttps
    mode http
    bind :80
    redirect location https://admin.example.com code 301

#---------------------------------------------------------------------
# Incoming HTTPS -> Admin Proxy rule
#---------------------------------------------------------------------
listen ToHttps
    mode tcp
    bind :443
    option ssl-hello-chk
    balance roundrobin
    option httpchk GET /heartbeat.php HTTP/1.1\r\nHost:\ admin.example.com
    server admin-no-check-test     ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 maxconn 5000
    server admin-150-checkport-80  ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 check port 80 maxconn 5000
    server admin-150-checkport-443 ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 check port 443 maxconn 5000
Robert
quelle
Nicht wahr ssl_hello_chk, mit Unterstrichen statt Bindestrichen?
Alexander Janssen
Die Dokumentation ist nicht sehr klar, aber online suchen und bei anderen Fragen zum Serverfehler verlinke ich es ist "ssl-hallo-chk"
Robert

Antworten:

2

Ich glaube option ssl-hello-chkund es option httpchkgibt 2 verschiedene Arten von Schecks, aber HAProxy erlaubt Ihnen nur, jeweils einen zu verwenden. Sie sollten sich dafür entscheiden ssl-hello-chk, nur zu überprüfen, ob SSL vorhanden ist, oder die httpchkURI zu überprüfen, jedoch nicht beide.

Paul Kroon
quelle
Könntest du mir bitte zeigen, wo in der Dokumentation das steht? Da ich in der Lage bin, mit ssl-hello-chkzu arbeiten, option httpchkwenn ich eincheck port 80
Robert
Ich konnte es nicht in den Dokumenten finden, aber es gab einige Forenbeiträge, in denen der HAProxy-Ersteller es erwähnt hat (z. B. serverphorums.com/read.php?10,38918 ). Es gab auch eine neuere, aber ich kann sie jetzt nicht mehr finden. Die Überprüfung von Port 80 funktioniert möglicherweise, da ssl-hello-chk ignoriert wird, aber ich bin nicht sicher. Besteht die Prüfung, wenn Sie eine der beiden Optionen entfernen?
Paul Kroon