本文由ilanniweb提供友情贊助，首發(fā)于爛泥行天下

想要獲得更多的文章，可以關注我的微信ilanniweb。

在前一段時間，我寫了幾篇有關學習haPRoxy的文章。今天我們再來介紹下haproxy的https配置，https協(xié)議的好處在此，我們就不就作介紹了。

我們只介紹如何配置https，以及https在實際生產環(huán)境中的應用。

PS：本實驗全部在haproxy1.5.4版本進行測試通過。haproxy1.3版本以下haproxy配置參數(shù)可能不能使用，需要注意版本號。

以下haproxy配置是線上生產環(huán)境直接使用的。

一、業(yè)務要求

現(xiàn)在根據(jù)業(yè)務的實際需要，有以下幾種不同的需求。如下：

1.1 http跳轉https

把所有請求http://http.ilanni.com的地址全部跳轉為https//:http.ilanni.com這個地址。

1.2 http與https并存

服務器同時開放http://http.ilanni.com和https://http.ilanni.com的訪問形式。

1.3 同臺服務器不同域名之間的https與http

同一臺服務器對http.ilanni.com域名訪問的全部跳轉為https://http.ilanni.com，而對haproxy.ilanni.com訪問走http協(xié)議，也就是跳轉到http://haproxy.ilanni.com這個地址。

1.4 同臺服務器多域名均使用https

同一臺服務器對http.ilanni.com和haproxy.ilanni.com訪問走http是協(xié)議。

二、配置haproxy并測試業(yè)務需求

現(xiàn)在我們根據(jù)業(yè)務的需求，我們來配置haproxy一一達到其需求。

2.1 http跳轉https配置

說實話haproxy的https配置要比nginx配置簡單的多了，我們只需要加入幾行代碼即可實現(xiàn)https的功能。

http跳轉https的haproxy配置文件內容，如下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 188

gid 188

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

option redispatch

maxconn 2000

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

use_backend httpserver if is_http

backend httpserver

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

在以上配置文件中，需要注意的選項如下：

tune.ssl.default-dh-param 2048因為我們的SSL密鑰使用的是2048bit加密，所以在此進行聲明。

acl is_http hdr_beg(host) http.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

這三行表示把所有訪問http.ilanni.com這個域名的請求，全部轉發(fā)到https://http.ilanni.com這個連接。

2.2 測試http跳轉https

http跳轉https配置完畢后，我們選擇來測試其跳轉。如下：

你會發(fā)現(xiàn)在瀏覽器中，無論你輸入的是http.ilanni.com，還是http://http.ilanni.com亦或是https://http.ilanni.com，都會自動跳轉到https://http.ilanni.com。

這樣就達到了，把所有的http請求跳轉到https的目的。

2.3 http與https并存配置

haproxy要實現(xiàn)http和https并存的話，配置也很簡單，只需要把haproxy分別監(jiān)控不同的端口就行，配置文件如下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

user haproxy

group haproxy

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

retries 3

option redispatch

maxconn 2000

timeout connect 5000ms

timeout client 50000ms

timeout server 50000ms

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

use_backend httpserver if is_http

backend httpserver

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

frontend weblb443

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

acl is_443 hdr_beg(host) http.ilanni.com

use_backend httpserver443 if is_443

backend httpserver443

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

在以上配置文件中，我們定義了兩個前端，一個前端用于監(jiān)聽80端口，也就是http協(xié)議。另外一個前端監(jiān)聽443端口，也就是https協(xié)議。

此時haproxy會根據(jù)客戶端請求的協(xié)議進行分發(fā)，如果發(fā)現(xiàn)客戶端請求的是http協(xié)議，則把該請求分發(fā)到監(jiān)聽80端口的前端。如果發(fā)現(xiàn)客戶端請求的是https協(xié)議，則把該請求分發(fā)到監(jiān)聽443端口的前端。如此就達到了haproxy讓http和https并存的要求。

2.4 測試http與https并存

http與https并存配置完畢后，我們選擇來測試其跳轉。如下：

通過測試你會發(fā)現(xiàn)，在瀏覽器中如果你輸入的是http://http.ilanni.com或者是http.ilanni.com都會直接跳轉到http://http.ilanni.com，而輸入的是https://http.ilanni.com，則只會跳轉到https://http.ilanni.com。

如此就到達了，我們業(yè)務的要求實現(xiàn)http和https并存。

2.5 同臺服務器不同域名之間的https與http配置

同臺服務器不同域名之間的http和https配置比較復雜，第一需要監(jiān)聽兩個端口，第二還要根據(jù)不同的域名進行分發(fā)。

haproxy配置文件如下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 188

gid 188

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

option redispatch

maxconn 2000

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend weblb

bind *:80

acl is_haproxy hdr_beg(host) haproxy.ilanni.com

acl is_http hdr_beg(host) http.ilanni.com

redirect prefix https://http.ilanni.com if is_http

use_backend haproxyserver if is_haproxy

backend haproxyserver

balance source

server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

frontend weblb443

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

acl is_443 hdr_beg(host) http.ilanni.com

use_backend httpserver443 if is_443

backend httpserver443

balance source

server web1 127.0.0.1:7070 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

同臺服務器不同域名之間的https與http配置，我們配置了兩個前端一個用于監(jiān)聽80端口，并且根據(jù)不同的域名進行跳轉。在80端口的規(guī)則中，如果客戶端請求的是http.ilanni.com，這個域名的話，則haproxy會把該請求直接跳轉到https://http.ilanni.com。如果是haproxy.ilanni.com，這個域名的話，則分發(fā)到后端的服務器。

另外一個前端用于監(jiān)聽443端口，用于分發(fā)客戶端https://http.ilanni.com的請求。

2.6 測試同臺服務器不同域名之間的https與http配置

同臺服務器不同域名之間的https與http配置配置完畢后，我們現(xiàn)在來進行測試。如下：

通過上圖，我們可以發(fā)現(xiàn)在瀏覽器中輸入haproxy.ilanni.com會跳轉到http://haproxy.ilanni.com這個地址，而如果輸入的是http.ilanni.com或者是http://http.ilanni.com，亦或是https://http.ilanni.com的話，都會跳轉到https://http.ilanni.com。

如此就達到了我們的業(yè)務要求，同臺服務器上訪問haproxy.ilanni.com直接跳轉到80端口，如果訪問的是http.ilanni.com域名的話則跳轉到https://http.ilanni.com這個地址。

2.7 同臺服務器多域名均使用https配置

要使同臺服務器的兩個設置多個域名都使用https協(xié)議的話，配置很簡單。只需要在haproxy中啟用各自的https配置即可。

haproxy配置文件，如下：

global

log 127.0.0.1 local0

log 127.0.0.1 local1 notice

maxconn 4096

uid 108

gid 116

daemon

tune.ssl.default-dh-param 2048

defaults

log global

mode http

option httplog

option dontlognull

option http-server-close

option forwardfor except 127.0.0.1

option redispatch

retries 3

option redispatch

timeout http-request 10s

timeout queue 1m

timeout connect 10s

timeout client 1m

timeout server 1m

timeout http-keep-alive 10s

timeout check 10s

maxconn 3000

listen admin_stats

bind 0.0.0.0:1080

mode http

option httplog

maxconn 10

stats refresh 30s

stats uri /stats

stats auth admin:admin

stats hide-version

frontend web80

bind *:80

acl is_http hdr_beg(host) http.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

acl is_haproxy hdr_beg(host) haproxy.ilanni.com

redirect scheme https if !{ ssl_fc }

bind *:443 ssl crt /etc/haproxy/ilanni.com.pem

use_backend httpserver if is_http

use_backend haproxyserver if is_haproxy

backend httpserver

balance source

server web1 127.0.0.1:6060 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

backend haproxyserver

balance source

server web1 127.0.0.1:9090 maxconn 1024 weight 3 check inter 2000 rise 2 fall 3

配置文件比較簡單，在此就不做進一步的講解了。

2.8 測試同臺服務器多域名均使用https

同臺服務器多域名均使用https，配置完畢后，現(xiàn)在我們來測試下。

通過上圖，我們可以看到在瀏覽中無論是輸入http.ilanni.com、http://http.ilanni.com，還是haproxy.ilanni.com、http://haproxy.ilanni.com，都會跳轉到相應的https地址。

這也達到了我們業(yè)務的要求。