Estou usando o HAProxy para balanceamento de carga e só quero que meu site ofereça suporte a https. Portanto, gostaria de redirecionar todas as solicitações na porta 80 para a porta 443.
Como eu faria isso?
Edit: Gostaríamos de redirecionar para o mesmo url em https, preservando os parâmetros de consulta. Assim, http://foo.com/bar redirecionaria para https://foo.com/bar
Respostas:
Eu descobri que esta é a maior ajuda :
Use o HAProxy 1.5 ou mais recente e simplesmente adicione a seguinte linha à configuração do front-end:
redirect scheme https code 301 if !{ ssl_fc }
http-request redirect scheme https code 301 if !{ ssl_fc }. A documentação para redirecionamento de http no ALOHA HAProxy 7.0 chega a mencionar que " a sintaxe de ambas as diretivas é a mesma, isto é, o redirecionamento agora é considerado legado e as configurações devem passar para o formulário de redirecionamento de solicitação http ". Eu deduzo, sem ter certeza absoluta, que a mesma explicação se aplica aos lançamentos mais recentes da versão de código aberto do HAProxy.
Não tenho reputação suficiente para comentar uma resposta anterior, então estou postando uma nova resposta para complementar a resposta de Jay Taylor. Basicamente, sua resposta fará o redirecionamento, porém um redirecionamento implícito, o que significa que emitirá um 302 (redirecionamento temporário), mas como a pergunta informa que todo o site será servido como https, então o redirecionamento apropriado deve ser 301 (redirecionamento permanente )
redirect scheme https code 301 if !{ ssl_fc }
Parece uma pequena mudança, mas o impacto pode ser enorme dependendo do site, com um redirecionamento permanente estamos informando ao navegador que ele não deve mais procurar a versão http desde o início (evitando redirecionamentos futuros) - uma economia de tempo para https sites. Também ajuda com SEO, mas não divide o suco de seus links.
Para redirecionar todo o tráfego:
redirect scheme https if !{ ssl_fc }
Para redirecionar um único url (no caso de vários frontend / backend)
redirect scheme https if { hdr(Host) -i www.mydomain.com } !{ ssl_fc }
De acordo com http://parsnips.net/haproxy-http-to-https-redirect/ , deve ser tão fácil quanto configurar seu haproxy.cfg para conter o seguinte.
#---------------------------------------------------------------------
# Redirect to secured
#---------------------------------------------------------------------
frontend unsecured *:80
redirect location https://foo.bar.com
#---------------------------------------------------------------------
# frontend secured
#---------------------------------------------------------------------
frontend secured *:443
mode tcp
default_backend app
#---------------------------------------------------------------------
# round robin balancing between the various backends
#---------------------------------------------------------------------
backend app
mode tcp
balance roundrobin
server app1 127.0.0.1:5001 check
server app2 127.0.0.1:5002 check
server app3 127.0.0.1:5003 check
server app4 127.0.0.1:5004 check
A melhor maneira garantida de redirecionar tudo de http para https é:
frontend http-in
bind *:80
mode http
redirect scheme https code 301
Isso é um pouco mais elaborado usando o 'código 301 ′, mas pode muito bem deixar o cliente saber que é permanente. A parte 'modo http' não é essencial com a configuração padrão, mas não faz mal. Se você tiver mode tcpna seção de padrões (como eu fiz), então é necessário.
Uma ligeira variação da solução do user2966600 ...
Para redirecionar todos, exceto um único URL (no caso de vários front-end / back-end):
redirect scheme https if !{ hdr(Host) -i www.mydomain.com } !{ ssl_fc }
Como disse Jay Taylor, o HAProxy 1.5-dev tem a redirect schemediretiva de configuração, que realiza exatamente o que você precisa.
No entanto, se você não puder usar o 1.5, e se estiver pronto para compilar o HAProxy a partir do código-fonte, fiz backport da redirect schemefuncionalidade para que funcione no 1.4. Você pode obter o patch aqui: http://marc.info/?l=haproxy&m=138456233430692&w=2
Em versões mais recentes do HAProxy, é recomendado o uso
http-request redirect scheme https if !{ ssl_fc }
para redirecionar o tráfego http para https.
Se você deseja reescrever o url, você deve alterar o host virtual do seu site adicionando estas linhas:
### Enabling mod_rewrite
Options FollowSymLinks
RewriteEngine on
### Rewrite http:// => https://
RewriteCond %{SERVER_PORT} 80$
RewriteRule ^(.*)$ https://%{HTTP_HOST}$1 [R=301,NC,L]
Mas, se você deseja redirecionar todas as suas solicitações na porta 80 para a porta 443 dos servidores da web atrás do proxy, você pode tentar este exemplo de configuração em seu haproxy.cfg:
##########
# Global #
##########
global
maxconn 100
spread-checks 50
daemon
nbproc 4
############
# Defaults #
############
defaults
maxconn 100
log global
mode http
option dontlognull
retries 3
contimeout 60000
clitimeout 60000
srvtimeout 60000
#####################
# Frontend: HTTP-IN #
#####################
frontend http-in
bind *:80
option logasap
option httplog
option httpclose
log global
default_backend sslwebserver
#########################
# Backend: SSLWEBSERVER #
#########################
backend sslwebserver
option httplog
option forwardfor
option abortonclose
log global
balance roundrobin
# Server List
server sslws01 webserver01:443 check
server sslws02 webserver02:443 check
server sslws03 webserver03:443 check
Espero que isso lhe ajude
Por que você não usa ACLs para distinguir o tráfego? no topo da minha cabeça:
acl go_sslwebserver path bar
use_backend sslwebserver if go_sslwebserver
Isso vai além do que Matthew Brown respondeu.
Veja os documentos ha , pesquise coisas como hdr_dom e abaixo para encontrar mais opções de ACL. Existem muitas opções.
Adicione isso à configuração do frontend do HAProxy:
acl http ssl_fc,not
http-request redirect scheme https if http
declaração de redirecionamento é legada
use redirecionamento de solicitação http em vez disso
acl http ssl_fc,not
http-request redirect scheme https if http
Simplesmente:
frontend incoming_requsts
bind *:80
bind *:443 ssl crt *path_to_cert*.**pem**
**http-request redirect scheme https unless { ssl_fc }**
default_backend k8s_nodes
redirect scheme https code 301 if { hdr(Host) -i www.mydomain.com } !{ ssl_fc }