а как я его в проксирование переключу?

?????

ну, явно не так

http://nginx.org/ru/docs/http/ngx_http_realip_module.html

убираем proxy_protocol и клиент, подключающийс к прокси получает 400 мгновенно

еще раз. У меня задача - сделать именно прокси. Клиент использует прокси, чтобы подключится к удаленному хосту. К прокси он подключается по HTTPS

а к бэкенду по http? это стандартная задача

у меня миллион бэкендов. Ну конкретно сейчас из три тысячи

а вот вы, похоже, не знаете что такое proxy_protocol: http://www.haproxy.org/download/1.5/doc/proxy-protocol.txt

nginx нужен как терминатор https

вопрос в том, как настроить в данной ситуации nginx

nginx нужен как терминатор https

это абсолютно стандартная задача для него

https://www.digitalocean.com/community/tutorials/how-to-set-up-nginx-load-balancing-with-ssl-termination

server { listen 443 ssl; server_name example.com www.example.com; ssl on; ssl_certificate /etc/nginx/ssl/example.com/server.crt; ssl_certificate_key /etc/nginx/ssl/example.com/server.key; ssl_trusted_certificate /etc/nginx/ssl/example.com/ca-certs.pem; location / { proxy_pass http://mywebapp1; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

оттуда

и, кстати - именно это и называется "реверс-прокси"

мы для такого использовали ha_proxy

нет

для этого хапрокси использовать нельзя

мы для такого использовали ha_proxy

они оба для такой задачи настраиваются мину за 10

почему?

для этого хапрокси использовать нельзя

почему?

что у вас такое специфичное, что он не умеет?

для этого хапрокси использовать нельзя

Почему?

ааа всем интересно)

более того, haproxy отлично балансирует трафик, есть чек доступности

ограничение на количество коннектов накаждый апстрим

ограничение на количество коннектов накаждый апстрим

еще +10 минут к настройке :)

))) ну расскажите, почему нельзя? Я же теперь работать не могу

и мне и мне success story

https://www.digitalocean.com/community/tutorials/how-to-set-up-nginx-load-balancing-with-ssl-termination

великолепный док, жаль - не работает: [05/Sep/2016:12:01:29 +0000] "CONNECT my.test.domain:443 HTTP/1.1" 400 166 "-" "-"

proxy_pass тоже на https, кстати. Но оно ни так, ни так - не работает

))) ну расскажите, почему нельзя? Я же теперь работать не могу

haproxy не умеет https. то есть - лет 5 назад не умел, и мне сказали, что не научился и сегодня соответственно - не умеет на https sticky sessions

и вся лубофф

в смысле не умеет? А как же оно у нас работает? Может у вас какой-то нестандартный кейс? https://www.digitalocean.com/community/tutorials/how-to-implement-ssl-termination-with-haproxy-on-ubuntu-14-04

ааа понял

нестандартный кейс

просто я имел ввиду как SSL терминатор у нас работает и мы вполне довольны

изначально в задаче был описан именно ssl-терминатор

по этому гайду я вижу, что мне наврали, и haproxy таки научился терминировать ssl

тогда противопоказаний нет

по этому гайду я вижу, что мне наврали, и haproxy таки научился терминировать ssl

у нас haproxy в продуктиве отлично ssl приземляет тоже

ну году так в 2014 научился вроде

ну вот да

с версии 1.5

изначально в задаче был описан именно ssl-терминатор

изначально в задаче был описан прокси для терминации SSL. Я специально написал, что это НЕ реверс

после настройки DO получаю вот такое: Proxy tunneling failed: Bad RequestUnable to establish SSL connection

простите, но ни тогда ни сейчас так и не понял, почему это не реверс

потому, что это директ-прокси

директ-прокси, это сквид в конторе

условно, его клиент в настройках подключения браузера вписывает

гениально!

вот мне и нужен сквид. Только маленький и тупой

а то тащить сквида для тупого терминирования трафика мне как-то не хочется.

отсюда и вопрос - что посоветуете на замену сквида. Маленькое, шустрое, тупое и с поддержкой https

можно вкорячить nginx

можно haproxy, как выяснилось

вот я уже три часа на доку нджинкса медитирую. И не выходит что-то каменный цветок. Если кто-то посоветует - буду рад

таки мы и советуем

вот, посоветовали выключить proxy_protocol

сейчас и до ошибки 400 доберемся

покажите конфиг

таки мы и советуем

присланные вами примеры не работают, ошибку я показал выше. могу показать конфиг целиком. прокси-протокол убрал

момент

server { listen 443 ssl; ssl on; ssl_certificate /etc/nginx/ssl/ss.crt; ssl_certificate_key /etc/nginx/ssl/ss.key; access_log /var/log/nginx/test.access.log; error_log /var/log/nginx/test.error.log; server_name my.test.domain.ru; location / { proxy_pass https://my.test.domain.ru; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

ERROR: S client not available

вот тебе и приземление на Nginx

если что, nginx я не первый день использую :)

я еще 0.6 помню

отсюда и вопрос - что посоветуете на замену сквида. Маленькое, шустрое, тупое и с поддержкой https

tinyproxy

Подскажите, а чем можно реализовать прокси tcp трафика по разным бакэндам в зависимости от того от куда идут запросы. Попробовал как то так: https://github.com/yaoweibin/nginx_tcp_proxy_module/issues/55 оно таки не работает(

Подскажите, а чем можно реализовать прокси tcp трафика по разным бакэндам в зависимости от того от куда идут запросы. Попробовал как то так: https://github.com/yaoweibin/nginx_tcp_proxy_module/issues/55 оно таки не работает(

haproxy самое оно для такого

если в hapoxy использовать acl, поведение такое же - все идет только в один бакэнд, второму ни чего не достается

То есть Дима ты хочешь чтобы я это попробовал)

да

я бы сам попробовал, но я месяц всосывал везде бареос

и вот вообще не стоит совать чтото новое

server { listen 443 ssl; ssl on; ssl_certificate /etc/nginx/ssl/ss.crt; ssl_certificate_key /etc/nginx/ssl/ss.key; access_log /var/log/nginx/test.access.log; error_log /var/log/nginx/test.error.log; server_name my.test.domain.ru; location / { proxy_pass https://my.test.domain.ru; proxy_set_header Host $host; proxy_set_header X-Real-IP $remote_addr; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; proxy_set_header X-Forwarded-Proto $scheme; } }

а со стороны backend'a ч то приходит? чем он свою ошибку 400 аргументирует?

если в hapoxy использовать acl, поведение такое же - все идет только в один бакэнд, второму ни чего не достается

https?

frontend app mode tcp bind 1.2.3.4:443 acl host_foo hdr(host) -i tcp.foo.com acl host_bar hdr(host) -i tcp.bar.com use_backend foo if host_foo use_backend bar if host_bar backend foo mode tcp server app-1 1.1.1.1:1234 check backend bar mode tcp server app-2 1.1.1.2:1234 check

frontend app mode tcp bind 1.2.3.4:443 acl host_foo hdr(host) -i tcp.foo.com acl host_bar hdr(host) -i tcp.bar.com use_backend foo if host_foo use_backend bar if host_bar backend foo mode tcp server app-1 1.1.1.1:1234 check backend bar mode tcp server app-2 1.1.1.2:1234 check

вам надо вместо hdr(host) использовать req_ssl_sni

и все получится :)

http://blog.haproxy.com/2012/04/13/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/

#whois ▫️Интересно все что связано с разработкой. ▫️Я из СПБ, студент ЛЭТИ каф. Компьютерной Безопасности. ▫️Узнал из pro.cxx

вам надо вместо hdr(host) использовать req_ssl_sni

Спасибо

а со стороны backend'a ч то приходит? чем он свою ошибку 400 аргументирует?

ничем, коннект к клиенту не уходит

tcpdump?

Мне прям почему-то кажется, что через хапрокси там вебсокеты пустили

Мне прям почему-то кажется, что через хапрокси там вебсокеты пустили

А чем это принципиально от http отличается?

А чем это принципиально от http отличается?

оно через хапрокси херово работает

ребятушки кто нить юзал ElastAlert?

https://github.com/Yelp/elastalert

оно через хапрокси херово работает

а в чем заключается?

оно через хапрокси херово работает

http то ?!

http то ?!

http://blog.haproxy.com/2012/11/07/websockets-load-balancing-with-haproxy/

ребятушки кто нить юзал ElastAlert?

+

юзал?