庞德+ HAProxy或Stunnel + HAProxy

Question

我想介绍一个负载平衡器到我现有的网站基础设施，以帮助流量增长，并提供一定程度的故障保护。

我正在运行的站点在登录部分使用SSL证书，我需要继续使用这个功能。后端服务器需要知道原始IP地址，所以我不能使用TCP负载平衡功能，并且需要在负载平衡器上终止SSL，这样我就可以插入一个

-转发-为

头球。我已经看到了几种实现SSL解密功能的方法，一种是使用替身，另一种是使用磅。我一直在环顾四周，但是我不知道使用其中一种的利弊是什么。有没有人有这方面的经验，并提出他们的建议？

谢谢

Answer 1

我不确定庞德，但我设法使Stunnel + HAProxy工作，包括将原始IP地址设置为X转发-For报头。诀窍是使用Stunnel与X转发-For补丁。下面是一个在Ubuntu10.04上工作的包：https://launchpad.net/~szelcsanyi-gabor/+archive/stunnel4

Answer 2

现在这是一个老问题，但是HaProxy现在有了对SSL的本机支持，这使得在SSL/TLS中设置和使用变得容易得多。

见这里http://blog.exceliance.fr/2012/09/10/how-to-get-ssl-with-haproxy-getting-rid-of-stunnel-stud-nginx-or-pound/

Answer 3

我还没有在HAProxy上使用过特技，但在几个不同的环境中，我是庞德的长期用户。

庞德在SSL方面做得很好。它非常容易设置，使用标准的PEM证书，并将足够的SSL数据传回web服务器，以便您的应用程序知道它们所处理的是什么。除了X-Forwarded-For之外，您还可以获得X-Forwarded-Proto，因此如果您同时运行站点的http和https版本，您可以为AJAX/XHR回调提供一个不会引起安全警告的URL。庞德还支持客户端证书、通配符证书和SNI。所以没有什么是你不能做的。

另外，我对使用需要第三方修补程序才能提供关键功能的工具来提供生产服务持怀疑态度。如果发现了特技漏洞，而更改破坏了修补程序，会发生什么情况？您是运行不安全的一段时间，还是运行没有X转发-IP报头一段时间？

我从没出过撞车。除了2005年修复的一个与防火墙相关的奇怪错误外，它一直表现得完美无缺。我喜欢它的一个地方是它附带的外部控制程序，它允许我禁用/启用服务和后端，或者查看当前的粘滞映射列表等等。据我所知，haproxy没有庞德的英镑。

除了在工作中使用磅来负载平衡五个web服务器的集群之外，我还在我的个人服务器上使用它。在那里，我在使用私有IP地址(FreeBSD监狱)的虚拟机上运行web服务器。在物理主机上运行磅之后，多个虚拟web服务器负载平衡。我想您也可以对stunnel+HAProxy做同样的事情，但同样，我更喜欢安装具有完全社区支持的软件，而不需要非标准的补丁。