Ist es möglich, HAProxy dazu zu bringen, einen SSL / Port 443-Endpunkt auf Integrität zu prüfen?
Die check port 443
in der folgenden Konfiguration fehlgeschlagene Integritätsprüfung
HAProxy-Konfiguration unten
global
log 127.0.0.1 local2
chroot /var/lib/haproxy
pidfile /var/run/haproxy.pid
maxconn 50000
user haproxy
group haproxy
daemon
# turn on stats unix socket
stats socket /var/lib/haproxy/stats
defaults
mode tcp
log global
option dontlognull
retries 3
timeout queue 1m
timeout connect 10s
timeout client 1m
timeout server 1m
timeout check 5s
maxconn 15000
#---------------------------------------------------------------------
# status page.
#---------------------------------------------------------------------
listen stats 0.0.0.0:8000
mode http
stats enable
stats uri /haproxy
stats realm HAProxy
#---------------------------------------------------------------------
# Incoming HTTP -> Admin Redirect Proxy rule
#--------------------------------------------------------------------
listen RedirectToHttps
mode http
bind :80
redirect location https://admin.example.com code 301
#---------------------------------------------------------------------
# Incoming HTTPS -> Admin Proxy rule
#---------------------------------------------------------------------
listen ToHttps
mode tcp
bind :443
option ssl-hello-chk
balance roundrobin
option httpchk GET /heartbeat.php HTTP/1.1\r\nHost:\ admin.example.com
server admin-no-check-test ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 maxconn 5000
server admin-150-checkport-80 ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 check port 80 maxconn 5000
server admin-150-checkport-443 ec2-XXX-XXX-XXX-150.eu-west-1.compute.amazonaws.com:443 check port 443 maxconn 5000
ssl_hello_chk
, mit Unterstrichen statt Bindestrichen?Antworten:
Ich glaube
option ssl-hello-chk
und esoption httpchk
gibt 2 verschiedene Arten von Schecks, aber HAProxy erlaubt Ihnen nur, jeweils einen zu verwenden. Sie sollten sich dafür entscheidenssl-hello-chk
, nur zu überprüfen, ob SSL vorhanden ist, oder diehttpchk
URI zu überprüfen, jedoch nicht beide.quelle
ssl-hello-chk
zu arbeiten,option httpchk
wenn ich eincheck port 80