Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin
On Mon, 04 Apr 2011 09:50:11 +0200 Valentin Surrel valentin@surrel.org wrote:
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Stunnel, avec les patchs qui vont bien, c'est ce qu'il y a de plus performant.
Pour la partie stunnel : http://haproxy.1wt.eu/download/patches/stunnel-4.33-exceliance-aloha-sendpro... http://haproxy.1wt.eu/download/patches/stunnel-4.34-exceliance-aloha-unix-so... Pour améliorer les perfs, si tu es en stunnel <= 4.35 : http://haproxy.1wt.eu/download/patches/stunnel-4.20-listen-queue.diff
et pour la partie HAProxy 1.4 (builtin en 1.5) : https://gist.github.com/901278
Hervé.
Salut,
stunnel si tu veux faire du x-forwarded-for il va te falloir maintenir un patch de ton côté car ils ne veulent pas inclure quoi que ce soit concernant l'applicatif (le patch traine depuis 3 ans...)
ceci dit, HAProxy est en train de recevoir un support pour https me semble-t-il. Rapproche-toi d'eux peut être afin d'avoir une vue sur la dispo ?
2011/4/4 Valentin Surrel valentin@surrel.org
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Et pour rajouter au troll naissant, je ne peux m'empècher :
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-fo...
Hervé.
On Mon, 04 Apr 2011 11:56:08 +0200 Valentin Surrel valentin@surrel.org wrote:
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Bonjour,
Ou bien utiliser Cherokee qui supporte le HTTP 1.1 en direction des backend :)
Le 04/04/11 11:58, Hervé COMMOWICK a écrit :
Et pour rajouter au troll naissant, je ne peux m'empècher :
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-fo...
Hervé.
On Mon, 04 Apr 2011 11:56:08 +0200 Valentin Surrelvalentin@surrel.org wrote:
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Mullerwallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Effectivement le HTTP/1.0 c'est un peu la misère quand même.
Je rajoute aussi une contrainte par ailleurs : il faut l'ipv6 :)
Le 04/04/2011 11:58, Hervé COMMOWICK a écrit :
Et pour rajouter au troll naissant, je ne peux m'empècher :
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-fo...
Hervé.
On Mon, 04 Apr 2011 11:56:08 +0200 Valentin Surrel valentin@surrel.org wrote:
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
IPV6 aussi bien en front qu'en back depuis peu dans HAProxy 1.5.
Hervé.
On Mon, 04 Apr 2011 12:13:11 +0200 Valentin Surrel valentin@surrel.org wrote:
Effectivement le HTTP/1.0 c'est un peu la misère quand même.
Je rajoute aussi une contrainte par ailleurs : il faut l'ipv6 :)
Le 04/04/2011 11:58, Hervé COMMOWICK a écrit :
Et pour rajouter au troll naissant, je ne peux m'empècher :
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-fo...
Hervé.
On Mon, 04 Apr 2011 11:56:08 +0200 Valentin Surrel valentin@surrel.org wrote:
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
> Bonjour, > > Je veux mettre un HAProxy devant des serveurs d'applications > HTTP. Il est paramétré pour rediriger un même client vers le > même serveur d'application (via cookie). > > Comme on est en full HTTPS, et pour que HAProxy puisse faire > son boulot (donc inspecter les headers HTTP pour rediriger > vers le bon serveur), il faut que l'encryptage se fasse en > amont. > > Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ? > > A+ > Valentin > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Liste de diffusion du FRsAG http://www.frsag.org/
Je ne vois pas le rapport avec le fait qu'il va faire du HTTP/1.0 a destination des serveurs, ce qui désactive notamment le Chunked-encoding, donc la compression, les requètes partiels (Range), le pipelining, les méchanismes d'Expect utilisé dans les webservices, les authent Digest, etc... Alors, oui, certaines choses choses peuvent être effectuer par Nginx directement comme la compression, mais c'est pas si optimal que ca :)
Hervé.
On Mon, 4 Apr 2011 11:48:09 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Bonjour,
Nginx en front avec la gestion de la partie SSL en reverse proxy load balancé sur tes serveurs en http. Ca marche très bien.
A+
Le 4 avr. 2011 à 09:50, Valentin Surrel a écrit :
Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-- Hervé COMMOWICK, EXOSEC (http://www.exosec.fr/) ZAC des Metz - 3 Rue du petit robinson - 78350 JOUY EN JOSAS Tel: +33 1 30 67 60 65 - Fax: +33 1 75 43 40 70 mailto:hcommowick@exosec.fr _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
-- Pierre-Henry Muller
Liste de diffusion du FRsAG http://www.frsag.org/
-
Hervé COMMOWICK -
Lilian - Devclic -
Pierre-Henry Muller -
Steven Le Roux -
Valentin Surrel