Estou tentando configurar uma infra-estrutura básica usando haproxy
como um servidor proxy.
Aqui está meu ambiente básico
Nome do domínio: example.com
Servidor proxy
- SO: Linux Ubuntu 16.04
- Software: servidor haproxy
- IP: 100.100.100.101
arquivo de configuração do proxy: adicionou / configurou as duas seções
frontend http-frontend
bind 100.100.100.101:80
reqadd X-Forwarded-Proto:\ http
default_backend webserver
backend webserver
server 1-www 100.100.100.102:80 check
#server 2-www private_ip_2:80 check # use for load balance
Servidor da Web
- SO: Debian Jessie 8.7
- Software: Nginx / PHP-FPM / MySQL
- IP: 100.100.100.102
DNS está apontando para o IP do meu proxy: 100.100.100.101
Type A 100.100.100.101
CNAME example.com
Obs .:
O redirecionamento está ocorrendo sem um problema quando o nome de domínio é chamado em um navegador, mas o conteúdo do servidor da Web não é baixado (recebi um erro Não é possível conectar-se).
Eu tinha instalado Vamos criptografar no meu IP do servidor web: 100.100.100.102, talvez esteja causando o problema?
Também no meu arquivo de configuração nginx eu criei uma regra para redirecionar de HTTP para HTTPS apenas no caso de usuários esquecerem de usar https: //.
Minha dúvida aqui é, devo ter instalado o Let's Encrypt no meu proxy ou servidor web (atualmente instalado)?
Obrigado.
[EDITADO]
Afinal, é assim que meu arquivo de configuração haproxy parece, para os interessados, está funcionando no meu ambiente.
global
log /dev/log local0
log /dev/log local1 notice
chroot /var/lib/haproxy
stats socket /run/haproxy/admin.sock mode 660 level admin
stats timeout 30s
user haproxy
group haproxy
daemon
# Default SSL material locations
ca-base /etc/ssl/certs
crt-base /etc/ssl/private
# Default ciphers to use on SSL-enabled listening sockets.
# For more information, see ciphers(1SSL). This list is from:
# https://hynek.me/articles/hardening-your-web-servers-ssl-ciphers/
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
ssl-default-bind-options no-sslv3
maxconn 2048
tune.ssl.default-dh-param 2048
defaults
log global
mode http
option forwardfor
option http-server-close
option httplog
option dontlognull
timeout connect 5000
timeout client 50000
timeout server 50000
errorfile 400 /etc/haproxy/errors/400.http
errorfile 403 /etc/haproxy/errors/403.http
errorfile 408 /etc/haproxy/errors/408.http
errorfile 500 /etc/haproxy/errors/500.http
errorfile 502 /etc/haproxy/errors/502.http
errorfile 503 /etc/haproxy/errors/503.http
errorfile 504 /etc/haproxy/errors/504.http
frontend www-http
bind 100.100.100.101:80
reqadd X-Forwarded-Proto:\ http
default_backend wwwbackend
frontend www-https
bind 100.100.100.101:443 ssl crt /etc/haproxy/certs/mydomain.tld.pem
reqadd X-Forwarded-Proto:\ https
acl letsencrypt-acl path_beg /.well-known/acme-challenge/
use_backend letsencrypt-backend if letsencrypt-acl
default_backend wwwbackend
backend wwwbackend
redirect scheme https if !{ ssl_fc }
server mamba 100.100.100.102:80 check
server taipan 100.100.100.103:80 check
server viper 100.100.100.104:80 check
server cobra 100.100.100.105:80 check
backend letsencrypt-backend
server letsencrypt 127.0.0.1:22222