harumaki.net

インフラ屋の覚書や、ラーメン食べある記とか。

infra Load Balancing network web

haproxyを試す 3.SSLリバースプロキシを設定してみる

投稿日:2015年5月14日

HAProxyにてSSLリバースプロキシを設定してみるテスト。
設定環境はAWS EC2にてRightImageのCentOS6を使用しました。
HTTP/80については設定済みとなっている前提でメモってます。

参考:お世話になっております。

Ver1.5 マニュアル
SSLに関するパラメータが多数あり、かつ分散しているので要熟読!
Using SSL Certificates with HAProxy

テスト用SSL証明書

動作確認だけできればオッケーなので、opensslのテスト用証明書を。

	/etc/pki/tls/test-certs.crt

テスト設定

1.globalセクションにSSLプロキシ全体の動作の設定を。

global
    maxsslconn  256                     SSLコネクションの接続最大数を指定。   
    tune.ssl.default-dh-param   2048  公開鍵の鍵長の指定。2048bitで。

2.フロントエンドにssl-proxyのエントリを追加

frontend ssl-proxy
    bind    *:443 ssl crt   /etc/pki/tls/test-certs.crt  ポート、および証明書の指定
    mode    http                                         バックエンド側のプロトコルの指定、httpでOK
    default_backend         static                       デフォルトのバックエンド、こちらはhttpで指定しているエントリと同じでOK

設定適用

– haproxyプロセスの再起動

 
	# /etc/init.d/haproxy restart

– AWS セキュリティグループの設定追加

今回はAWS EC2を使用しているので、該当するセキュリティグループで443を開放しておきます。

動作確認

ポートの確認、およびhaproxy.logの確認

– netstatでの確認

 
	# netstat -ln | grep 443
	tcp        0      0 0.0.0.0:443                 0.0.0.0:*                   LISTEN

– ログ確認(haproxy.log)

1.SSLプロキシ有効時のプロセス起動ログ

Jun 10 11:14:06 ip-172-16-3-216 haproxy[1543]: Proxy main started.
Jun 10 11:14:06 ip-172-16-3-216 haproxy[1543]: Proxy ssl-proxy started.
Jun 10 11:14:06 ip-172-16-3-216 haproxy[1543]: Proxy static started.

2.ログ確認(haproxy.log)アクセスログ

実はアクセスログではソースのポートがhttpかhttpsかを判別する材料がなかった(詳しくログ設定のパラメータを調べればあるのかも?)。
しかしながら、frontendセクションで指定したエントリ名がログに反映されており、このエントリ名でhttpsでのアクセスを確認することができた…

通常のhttpでのアクセスログ

May 14 11:16:31 localhost haproxy[1544]: 198.51.100.216:50831 [14/May/2015:11:16:30.208] main static/dev-web01 77/0/2/1301/1552 200 37258 - - ---- 5/5/1/1/0 0/0 "GET / HTTP/1.1"
May 14 11:16:32 localhost haproxy[1544]: 198.51.100.216:50831 [14/May/2015:11:16:31.761] main static/dev-web01 821/0/3/7/831 200 191 - - ---- 5/5/0/0/0 0/0 "GET /favicon.ico HTTP/1.1"

httpsでのアクセスログ

May 14 11:19:12 localhost haproxy[1544]: 198.51.100.216:50880 [14/May/2015:11:19:11.038] ssl-proxy~ static/dev-web01 25/0/3/1286/1476 200 37258 - - ---- 2/1/0/1/0 0/0 "GET / HTTP/1.1"
May 14 11:19:12 localhost haproxy[1544]: 198.51.100.216:50880 [14/May/2015:11:19:12.514] ssl-proxy~ static/dev-web01 399/0/3/8/410 200 191 - - ---- 2/1/0/1/0 0/0 "GET /favicon.ico HTTP/1.1"

ということで、課題をいくつか。

  • フロントエンド側で接続プロトコルによる判別ができるよう、ログ設定のパラメータを調べてみる。
  • しょうもないエラーとして、デフォルト証明書のためブラウザ側で制限がでたためセキュリティ保護されていない画像やファイルにリクエストされない、という初歩的なミスをやらかしてしまったorz
    →制限解除を行い、動作確認OK(汗 あたりまえだけど正規の証明書が要りますね。

動かすだけなら割と簡単ながら、SSLに関連したパラメータも多数あるので、機能の詳細についてボチボチやっていこうかなと。

-infra, Load Balancing, network, web
-, ,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


関連記事

nagios​/plugin​/SNMP​/インストール(perl版)

&topicpath; nagiosプラグイン[snmp]インストール・設定(perl版) 1)混合パッケージ 上記サイトで配布されているプラグイン 2)check_snmp_cpu.pl イ …

YAMAHA RTX1200 設定のリストア(復元)についてメモ

この機種はUSBメモリ、SDカードの両方が使えるのでちょっとした拡張性があり、これらのオプションをしっかり活用するのが、安定・安心運用のコツといえるところ。 コンフィグのコピーについてならローカル内の …

[AWS]s3fsの最新版を試してみた(s3fs-1.70)

以前バックアップテストにCentOS6.3のAMIを使用したが、s3fsをインストールする際、RPM版fuseのバージョンが2.8.3と古く、これに合わせてs3fsのバージョンも1.19と古いバージョ …

no image

postfix + pop before SMTP

▼dracインストールとローカルでの動作確認 2004/10/20 dracはpop before SMTPを実装するためのアプリです。 といっても、この後SMTP-authへ変更してしまいましたが… …

no image

[Juniper]SRX アカウント設定いろいろ

SRXシリーズでのアカウントの各種設定をメモ書き。 コマンドラインから操作する場合は、原則configureモードで行う。 参考:お世話になっております! SRX Getting Started &# …