Gitlab por trás do Haproxy (SSL)

Navegue suas respostas
1

temos um servidor virtualizado (esxi) com a configuração típica:

[Cliente] https - > [pfsense - > haproxy] - http - > [vm]

E agora estou tentando configurar um novo servidor virtual com o gitlab, e não consigo encontrar a configuração correta, dentro da rede privada o gitlab funciona corretamente, mas quando tento acessar de fora o haproxy responde com um erro 503. Depois de ler e tentar várias configurações eu não consigo fazer o trabalho, tenho certeza que é problema nginx (ou assim eu acho), pois se no mesmo servidor eu instalar o apache (só para testar) esse servidor funciona corretamente de fora. / p>

O alvo é algo assim:

[Cliente] https - > [pfsense - > haproxy] - http - > [gitlab]

O Pfsense tem portas ip e 80 e 443 (não tenho certeza se precisamos abrir outra para ssh ou unicórnio)

Algumas configurações: 

gitlab.rc
external_url 'https://mydomain.extension'

Haproxy (funciona bem com os outros vms) 

global
maxconn         10000
stats socket /tmp/haproxy.socket level admin
uid         80
gid         80
nbproc          1
chroot          /tmp/haproxy_chroot
daemon
tune.ssl.default-dh-param   2048
server-state-file /tmp/haproxy_server_state
ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK

frontend http_redirectTo_https
    bind            publicIP:80 name publicIP:80   
    mode            http
    log         global
    option          httpclose
    option          forwardfor
    acl https ssl_fc
    http-request set-header     X-Forwarded-Proto http if !https
    http-request set-header     X-Forwarded-Proto https if https
    timeout client      30000
    redirect scheme https code 301 if !{ ssl_fc }

frontend https_input
    bind            publicIP:443 name publicIP:443 ssl ssl  crt /certs/certific.pem no-sslv3 crt /var/etc/haproxy/https_frontend.pem  
    mode            http
    log         global
    option          http-keep-alive
    timeout client      30000
    acl         aclAdm  hdr(host) -i adm.domain.ext
    acl         aclOne  hdr(host) -i one.domain.ext
    acl         aclTwo  hdr(host) -i two.domain.ext
    acl         aclGit  hdr(host) -i git.domain.ext
    use_backend adm_backend_http_ipvANY  if  aclAdm 
    use_backend one_backend_http_ipvANY  if  aclOne 
    use_backend two_backend_http_ipvANY  if  aclTwo
    use_backend git_backend_http_ipvANY  if  aclGit

Eu removo os outros backends 

backend git_backend_http_ipvANY
    mode            http
    log         global
    balance         leastconn
    timeout connect     30000
    timeout server      30000
    retries         3
    option          httpchk OPTIONS / 
    option forwardfor
    option http-server-close
    http-request set-header X-Forwarded-Port %[dst_port]
    http-request set-header X-Forwarded-Proto https if { ssl_fc }
    server          gitServer private_ip:80 check inter 1000

Eu acho que o problema é com o nginx, obrigado!

    
por Julio 11.12.2016 / 20:53

1 resposta

0

O problema é que o haproxy não detecta o servidor, então suspeitamos que a configuração da verificação de saúde está errada: 

option          httpchk OPTIONS /

Eu apenas mudei para a verificação básica e haproxy detectar corretamente o servidor e, de fato, funciona bem.

    
por 12.12.2016 / 13:02

Tags

SSH se desconecta ao alterar a senha expirada Devo estar executando o fstrim em um contêiner?