我想在部署应用程序期间远程控制我的HAproxy。 例如,在“app-server1”上停止应用之前,我想指示HA代理禁用后端服务器“app-server1”。 当应用程序再次运行时,我想发出enable命令。
用“统计套接字…”我创build一个UNIX套接字或TCP套接字。 对于远程访问,它必须是一个TCP套接字。 但是,这显然会打开一个我想减轻的漏洞。
我可以限制访问pipe理套接字,例如通过客户端IP列表,SSL或其他?
由于我在search时发现有关这个主题的信息量有限,我不知道是否还有另外一种推荐的远程操作方式用于我的用例?
我确实使用脚本来执行此操作,但是允许脚本访问运行HA代理的服务器的SSH访问不是一个选项。
定义一个指向localhost上的统计套接字的后端服务器。 然后将统计套接字设置为仅在127.0.0.1上绑定。 最后,将所需的ACL添加到前端定义中。
现在,统计套接字只能接受来自本地主机的连接,而您的前端代理负责远程客户端。
global daemon stats socket 127.0.0.1:1999 ... frontend stats-frontend bind *:2000 default_backend stats-backend acl ... acl ... backend stats-backend mode tcp server stats-localhost localhost:1999