Já procurei muitos posts, mas ninguém resolveu meu problema ...
Deixe-me explicar o contexto:
3 contêineres em um servidor dedicado:
[10.173.223.10] haproxy
[10.173.223.11] Container_A (contém sites http & https, usando subdomínios hell.com e boom.net)
[10.173.223.12] Container_B (contém apenas um site https: secure1.boom.net)
- Eu não uso o docker, somente o lxd -
Hospedagem de websites:
Todos os subdomínios (mixed hell.com e boom.net) estão hospedados no Container_A, exceto "secure1.boom.net", hospedado no Container_B.
Objetivos:
servidores apache2 em contêineres devem receber solicitações SSL |
servidores apache2 em contêineres devem gerenciar redirecionamentos em hosts virtuais |
(alguns projetos precisam de acesso sem SSL).
Detalhes sobre redirecionamentos:
Atualmente, na configuração haproxy, o "frontend http" usa todos os nomes de host (incluindo o site https), porque eu quero que os servidores apache2 gerenciem os redirecionamentos https.
Problema:
- No contêiner "Container_B": o site https (secure1.boom.net) funciona bem.
Ele está sozinho neste contêiner.
- Em "Container_B", o redirecionamento "http-para-https" funciona bem (gerenciado pelo apache2).
- Todos os sites http em "Container_A" também funcionam bem.
Mas:
Todos os outros URLs https em "Container_A" estão falhando com o erro 503 (gerado pelo haproxy).
Isso é o que eu encontrei no haproxy.log (503 + SC):
May 3 09:59:14 haproxy haproxy[5091]: 81.137.48.107:49722 [03/May/2018:09:59:11.303] HTTPS~ CONTAINER_A_SSL/ContA 68/0/-1/-1/3082 503 224 - - SC-- 0/0/0/0/3 0/0 "GET / HTTP/1.1"
Eu colo aqui a configuração do haproxy:
# Default SSL material locations
#ca-base /SHARED/SSL_certs
#crt-base /SHARED/SSL_certs
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS
ssl-default-bind-options no-sslv3
tune.ssl.default-dh-param 2048
ssl-server-verify none
defaults
log global
mode http
option httplog
option dontlognull
option forwardfor
option http-server-close
timeout connect 5000
timeout client 50000
timeout server 50000
errorfile 400 /etc/haproxy/errors/400.http
...
errorfile 504 /etc/haproxy/errors/504.http
#--- FRONTENDS --------------
frontend HTTP
bind *:80 v4v6
http-request set-header X-client-IP %[src]
# CATCH 80 port websites
acl CASE_A hdr(host) -i site1.hell.com www.site1.hell.com
acl CASE_B hdr(host) -i site1.boom.net www.site1.boom.net
acl CASE_C hdr(host) -i site2.boom.net www.site2.boom.net
# CATCH 443 port website (redirected by apache)
acl CASE_D hdr(host) -i secure1.hell.com www.secure1.hell.com
acl CASE_E hdr(host) -i secure2.hell.com www.secure2.hell.com
acl CASE_F hdr(host) -i secure1.boom.net www.secure1.boom.net
# PROPERTIES
reqadd X-Forwarded-Proto:\ http
# BACKENDS (80 targets)
use_backend CONTAINER_A if CASE_A
use_backend CONTAINER_A if CASE_B
use_backend CONTAINER_A if CASE_C
# BACKENDS (443 targets)
use_backend CONTAINER_A if CASE_D
use_backend CONTAINER_A if CASE_E
use_backend CONTAINER_B if CASE_F
frontend HTTPS
bind *:443 v4v6 ssl crt /SHARED/SSL_certs/ no-sslv3
http-request set-header X-client-IP %[src]
# CATCH 443 targets
acl CASE_SSL_D hdr(host) -i secure1.hell.com www.secure1.hell.com
acl CASE_SSL_E hdr(host) -i secure2.hell.com www.secure2.hell.com
acl CASE_SSL_F hdr(host) -i secure1.boom.net www.secure1.boom.net
# SSL PROPERTIES
reqadd X-Forwarded-Proto:\ https
acl secure dst_port eq 443
rsprep ^Set-Cookie:\ (.*) Set-Cookie:\ ;\ Secure if secure
rspadd Strict-Transport-Security:\ max-age=31536000 if secure
# BACKENDS (443 targets)
use_backend CONTAINER_A_SSL if CASE_SSL_D
use_backend CONTAINER_A_SSL if CASE_SSL_E
use_backend CONTAINER_B_SSL if CASE_SSL_F
#--- BACKENDS --------------------
backend CONTAINER_A
balance uri
#server ContA ContA.lxd (disabled: resolving dont works since IP are static in container's interface files)
server ContA 10.173.223.11
backend CONTAINER_A_SSL
balance uri
server ContA 10.173.223.11 ssl
backend CONTAINER_B
balance uri
server ContB 10.173.223.12
backend CONTAINER_B_SSL
balance uri
server ContB 10.173.223.12 ssl
E há as regras do iptable do host:
*nat
### WEB
-A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 10.173.223.10:80
-A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 10.173.223.10:443
### LXD-BRIDGE-AUTO-CONF
-A POSTROUTING -s 10.173.223.0/24 ! -d 10.173.223.0/24 -m comment --comment "managed by lxd-bridge" -j MASQUERADE
COMMIT
*mangle
### LXD-BRIDGE-AUTO-CONF (DHCP:68)
-A POSTROUTING -o lxdbr0 -p udp -m udp --dport 68 -m comment --comment "managed by lxd-bridge" -j CHECKSUM --checksum-fill
COMMIT
*filter
### DEFAULT
-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
### LOOPBACK
-I INPUT 1 -i lo -j ACCEPT
### ALREADY ACCEPTED CONNECTIONS
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
### LXC: FORWARD
-A FORWARD -o lxdbr0 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A FORWARD -i lxdbr0 -m comment --comment "managed by lxd-bridge" -j ACCEPT
### LXD: DNS (53) + DHCP (67)
-A INPUT -i lxdbr0 -p tcp -m tcp --dport 53 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A INPUT -i lxdbr0 -p udp -m udp --dport 53 -m comment --comment "managed by lxd-bridge" -j ACCEPT
-A INPUT -i lxdbr0 -p udp -m udp --dport 67 -m comment --comment "managed by lxd-bridge" -j ACCEPT
### ICMP (ping)
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
### WEB
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p udp -m multiport --dports 80,443 -j ACCEPT
### FINALLY, DROP ALL the fallbacks
-A INPUT -j DROP
COMMIT
Alguém pode me ajudar? : /
Tags https lxd haproxy containers 503-error