带SSL后端的AWS ELB在SSLstream内添加代理协议

请注意，这也已发布在http://thread.gmane.org/gmane.comp.web.haproxy/27737

我们正在尝试configuration这个架构：

• ELB使用预先configuration的证书终止SSL。 （这是一个要求，因为只有受限制的人才能访问最终用户证书）
• ELB使用SSL连接到HAproxy后端（也是要求）

• ELB按照http://amzn.to/1YajEG3中的说明发送代理标头

• HAproxy在443中侦听SSL

  • 在Amazon提供的ECS CloudFormation模板中，自动调节运行状况运行状况检查失败。
  • Ubuntu上的vsftpd被动模式问题（EC2）
  • 如何估算用于AWS ECR中泊坞窗图像的存储和stream量？
  • 在Amazon EC2实例上扩展Linux文件系统空间
  • 将QuickSight连接到私有的Redshift群集
• HAProxy用于做一些HTTP转换（修改标题等）。

一旦ELBconfiguration为SSL +代理协议，我们尝试通过在HTTPS前端的绑定中添加accept-proxy来configurationHAProxy：

frontend https-in mode http # Note, I truncated this line because the maillist 80 chars limitations bind :443 accept-proxy ssl crt \ /var/vcap/jobs/haproxy/config/cert.pem \ no-sslv3 ciphers ... ... 

但它失败了： Received something which does not look like a PROXY protocol header 。

疑难解答我发现ELB发送SSLstream的PROXY头INSIDE。 例如，我运行openssl作为服务器：

 $ openssl s_server -accept 443 -cert cert.pem ... ACCEPT bad gethostbyaddr -----BEGIN SSL SESSION PARAMETERS----- MFUCAQECAgMDBAIAnwQABDBsAWD78V/tz9KhYw4R/kpL5YPBxfF1qcmzxlclNDuz 0KWw9aGojVogjtBkH/zZOLWhBgIEVyoquqIEAgIBLKQGBAQBAAAA -----END SSL SESSION PARAMETERS----- Shared ciphers:... CIPHER is DHE-RSA-AES256-GCM-SHA384 Secure Renegotiation IS supported PROXY TCP4 80.194.77.90 192.168.6.14 39220 443 GET / HTTP/1.1 User-Agent: curl/7.35.0 Host: something.com Accept: */* 

所以我在haproxy中做了一个“chained”configuration，一个用纯TCP完成SSLterminal，另一个用来“提取”代理协议并执行HTTP转换：

 listen https-in mode tcp bind :443 ssl crt /var/vcap/jobs/haproxy/config/cert.pem no-sslv3 ciphers ... server http 127.0.0.1:8081 frontend http-in-from-ssl mode http bind :8081 accept-proxy option httplog option forwardfor reqadd X-Forwarded-Proto:\ https default_backend http-routers 

那可行！

所以我的问题是：

• 这是正常的和预期的？ 我找不到任何有关的信息。
• 是否可以更改ELB行为以将SSLstream的代理协议标头放在外面？ 我没有find任何有关的信息。
• 如果不。 是否可以将HAProxy的行为更改为使用一个前端，但从SSLstream中读取代理协议头？
• 如果没有，是否有更好的方式来“链”configuration，如上所述。

谢谢！

 #nginx.conf user nginx; worker_processes 1; error_log /dev/stderr debug; pid /var/run/nginx.pid; events { worker_connections 1024; } stream { upstream stream_backend { server 127.0.0.1:500; } server{ listen 443 ssl; proxy_pass stream_backend; ssl_certificate /certs/local/public.crt; ssl_certificate_key /certs/local/private.key; ssl_protocols TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; } } http { include /etc/nginx/mime.types; default_type application/octet-stream; log_format main '[$host] $remote_addr - $remote_user [$time_local] "$request" ' '$status $body_bytes_sent "$http_referer" ' '"$http_user_agent" "$http_x_forwarded_for"'; access_log /dev/stdout main; sendfile on; #tcp_nopush on; keepalive_timeout 60; #gzip on; server { listen 8000; location /elb-status { keepalive_timeout 0; # Disable HTTP keepalive access_log off; return 200; } } map $http_upgrade $connection_upgrade { default upgrade; '' close; } server { listen 80 proxy_protocol; server_name test-nginx.corp.com; location / { keepalive_timeout 0; # Disable HTTP keepalive return 301 https://$host$request_uri; } } upstream nginx-test-stack { server 10.42.111.6:80; } server { listen 127.0.0.1:500 proxy_protocol; server_name test-nginx.corp.com; real_ip_header proxy_protocol; location / { proxy_pass http://nginx-test-stack; } } }