Como encaminhar o endereço IP do cliente para o Nginx do Haproxy no modo tcp

Navegue suas respostas
1

Eu quero encaminhar o endereço IP do cliente real do haproxy para meus servidores de back-end no modo tcp. A configuração do Haproxy é a seguinte: 

frontend main
    bind *:80
    mode http
    option forwardfor
    option http-server-close    
    default_backend app-main

frontend https_main
    bind *:443
    mode tcp
    option tcplog
    option tcpka
    default_backend app-ssl

backend app-main
    balance roundrobin
    server web1 192.168.1.22:8080 check fall 3 rise 2
    server web2 192.168.1.33:8080 check fall 3 rise 2

backend app-ssl
    balance roundrobin
    mode tcp
    option ssl-hello-chk
    server web3 192.168.1.44:443

servidores backend para pedidos http são apache e eu substituí a seguinte linha em httpd.conf com log lines, então agora posso obter corretamente o endereço IP do cliente: 

LogFormat "%h %l %u %t \"%r\" %>s %b %{X-Forwarded-For}i" common

Meu servidor de back-end para https usa o Nginx como um reverse_proxy para a terminação ssl e envia as solicitações para os back-ends do apache. Meu problema é que eu não sei como posso obter o endereço IP do cliente real em logs nginx? Eu pesquisei muito e encontrei algumas soluções em serverfault e stackoverflow, mas nenhuma delas resolveu meu problema no encaminhamento do endereço IP do cliente no modo tcp em haproxy. Qualquer ajuda é apreciada.

    
por Sinai 10.08.2017 / 07:39

2 respostas

2

Você deve usar listen 443 ssl proxy_protocol; no lado nginx e send_proxy no lado Haproxy.

Usando o protocolo de proxy com o Nginx

Documentação do Haproxy

Enviar cabeçalho do protocolo PROXY do HAProxy

    
por 10.08.2017 / 08:52
0

Meu lado de HA da configuração de trabalho: 

# USED FOR some_service
frontend  some_service_https
  mode tcp
  bind *:443
  option tcplog
  option forwardfor
  default_backend some_service_https

backend some_service_https
  balance roundrobin
  stick-table type ip size 1m expire 1h
  stick on src
  server some_service 192.168.1.2:443 send-proxy check

E lado NGINX: 

set_real_ip_from 192.168.1.1; # HAproxy local IP
set_real_ip_from 183.55.111.30; # HAproxy external IP
real_ip_header proxy_protocol; # proxy_protocol needed
real_ip_recursive on;

upstream some_service {
  server unix:/tmp/unicorn.some_service.sock fail_timeout=0;
}

server {
  server_name some_service.myserver.com some_service_1.myserver.com;
  listen 443 proxy_protocol; # proxy_protocol needed
  root /opt/apps/some_service/current/public;
  add_header X-Whom some_service_1.myserver.com;

Não se esqueça de adicionar "send-proxy" no backend de HA e no proxy_protocol de real_ip_header e ouvir proxy_protocol no NGINX. Funciona mesmo você usa porta 80 ou 443 ou ambos.

    
por 26.10.2017 / 15:41

Tags

Armazenamento definido por software: o fuso conta a matéria, geralmente falando? Um domínio autônomo precisa executar a perseguição de referências LDAP?