haproxy学习之https配置一、业务要求二、配置haproxy并测试业务需求

在前一段时间，我写了几篇有关学习haproxy的文章。今天我们再来介绍下haproxy的https配置，https协议的好处在此，我们就不就作介绍了。

我们只介绍如何配置https，以及https在实际生产环境中的应用。

<b>ps</b><b>：本实验全部在haproxy1.5.4版本进行测试通过。haproxy1.3版本以下haproxy配置参数可能不能使用，需要注意版本号。</b>

<b>以下haproxy配置是线上生产环境直接使用的。</b>

现在根据业务的实际需要，有以下几种不同的需求。如下：

把所有请求http://http.ilanni.com的地址全部跳转为https//:http.ilanni.com这个地址。

服务器同时开放http://http.ilanni.com和https://http.ilanni.com的访问形式。

同一台服务器对http.ilanni.com域名访问的全部跳转为https://http.ilanni.com，而对haproxy.ilanni.com访问走http协议，也就是跳转到http://haproxy.ilanni.com这个地址。

同一台服务器对http.ilanni.com和haproxy.ilanni.com访问走http是协议。

现在我们根据业务的需求，我们来配置haproxy一一达到其需求。

说实话haproxy的https配置要比nginx配置简单的多了，我们只需要加入几行代码即可实现https的功能。

http跳转https的haproxy配置文件内容，如下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 188

gid 188

daemon

<b>tune.ssl.default-dh-param 2048</b>

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

maxconn 2000

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

listen admin_stats

bind 0.0.0.0:1080

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

<b>redirect scheme https if !{ ssl_fc }</b>

<b>bind *:443 ssl crt /etc/haproxy/ilanni.com.pem</b>

use_backend httpserver if is_http

backend httpserver

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

在以上配置文件中，需要注意的选项如下：

tune.ssl.default-dh-param 2048因为我们的ssl密钥使用的是2048bit加密，所以在此进行声明。

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

这三行表示把所有访问http.ilanni.com这个域名的请求，全部转发到https://http.ilanni.com这个连接。

http跳转https配置完毕后，我们选择来测试其跳转。如下：

你会发现在浏览器中，无论你输入的是http.ilanni.com，还是http://http.ilanni.com亦或是https://http.ilanni.com，都会自动跳转到https://http.ilanni.com。

这样就达到了，把所有的http请求跳转到https的目的。

haproxy要实现http和https并存的话，配置也很简单，只需要把haproxy分别监控不同的端口就行，配置文件如下：

user haproxy

group haproxy

tune.ssl.default-dh-param 2048

timeout connect 5000ms

timeout client 50000ms

timeout server 50000ms

frontend weblb443

acl is_443 hdr_beg(host) http.ilanni.com

use_backend httpserver443 if is_443

backend httpserver443

在以上配置文件中，我们定义了两个前端，一个前端用于监听80端口，也就是http协议。另外一个前端监听443端口，也就是https协议。

此时haproxy会根据客户端请求的协议进行分发，如果发现客户端请求的是http协议，则把该请求分发到监听80端口的前端。如果发现客户端请求的是https协议，则把该请求分发到监听443端口的前端。如此就达到了haproxy让http和https并存的要求。

http与https并存配置完毕后，我们选择来测试其跳转。如下：

通过测试你会发现，在浏览器中如果你输入的是http://http.ilanni.com或者是http.ilanni.com都会直接跳转到http://http.ilanni.com，而输入的是https://http.ilanni.com，则只会跳转到https://http.ilanni.com。

如此就到达了，我们业务的要求实现http和https并存。

同台服务器不同域名之间的http和https配置比较复杂，第一需要监听两个端口，第二还要根据不同的域名进行分发。

haproxy配置文件如下：

acl is_haproxy hdr_beg(host) haproxy.ilanni.com

redirect prefix https://http.ilanni.com if is_http

use_backend haproxyserver if is_haproxy

backend haproxyserver

server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

同台服务器不同域名之间的https与http配置，我们配置了两个前端一个用于监听80端口，并且根据不同的域名进行跳转。在80端口的规则中，如果客户端请求的是http.ilanni.com，这个域名的话，则haproxy会把该请求直接跳转到https://http.ilanni.com。如果是haproxy.ilanni.com，这个域名的话，则分发到后端的服务器。

另外一个前端用于监听443端口，用于分发客户端https://http.ilanni.com的请求。

同台服务器不同域名之间的https与http配置配置完毕后，我们现在来进行测试。如下：

通过上图，我们可以发现在浏览器中输入haproxy.ilanni.com会跳转到http://haproxy.ilanni.com这个地址，而如果输入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的话，都会跳转到https://http.ilanni.com。

如此就达到了我们的业务要求，同台服务器上访问haproxy.ilanni.com直接跳转到80端口，如果访问的是http.ilanni.com域名的话则跳转到https://http.ilanni.com这个地址。

要使同台服务器的两个设置多个域名都使用https协议的话，配置很简单。只需要在haproxy中启用各自的https配置即可。

haproxy配置文件，如下：

uid 108

gid 116

log       global

mode      http

option    httplog

option    dontlognull

option    http-server-close

option    forwardfor except 127.0.0.1

option    redispatch

retries   3

timeout   http-request    10s

timeout   queue           1m

timeout   connect         10s

timeout   client          1m

timeout   server          1m

timeout   http-keep-alive 10s

timeout   check           10s

maxconn   3000

bind        0.0.0.0:1080

mode        http

option      httplog

maxconn     10

stats       refresh 30s

stats       uri /stats

stats       auth admin:admin

stats       hide-version

frontend web80

    bind *:80 

    acl is_http hdr_beg(host) http.ilanni.com

    redirect scheme https if !{ ssl_fc }

    bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

    acl is_haproxy hdr_beg(host) haproxy.ilanni.com

    use_backend httpserver if is_http

    use_backend haproxyserver if is_haproxy

    balance source

    server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

配置文件比较简单，在此就不做进一步的讲解了。

同台服务器多域名均使用https，配置完毕后，现在我们来测试下。

通过上图，我们可以看到在浏览中无论是输入http.ilanni.com、http://http.ilanni.com，还是haproxy.ilanni.com、http://haproxy.ilanni.com，都会跳转到相应的https地址。

这也达到了我们业务的要求。