(6)HAPorxy 进程会重启,从而应用修改了的配置文件 。
理解(5)中的脚本需要的一些背景知识:
- SNI:TLS Server Name Indication (SNI) ,这是 TLS 网络协议的一种扩展,会在 TLS 握手前由客户端(client)告知服务器端(server)它将会连接的域名(hostname),使得服务器端可以根据该hostname 向客户端段返回指定的证书,从而使得服务器端能够支持多个hostname 需要的多个证书 。详情请参阅 https://en.wikipedia.org/wiki/Server_Name_Indication 。
- OpenShift passthrough route:这种 route 的 SSL 连接不会在 router 上被 TLS 终止(termination),而是router 会将 TLS 链接透传到后端 。下文有解释 。
- HAProxy 对 SNI 的支持:HAProxy 会根据 SNI 的信息中的 hostname 去选择特定的 backend 。详情请参阅 https://www.haproxy.com/blog/enhanced-ssl-load-balancing-with-server-name-indication-sni-tls-extension/ 。
- HAProxy ACL:详情请参阅 https://www.haproxy.com/documentation/aloha/10-0/traffic-management/lb-layer7/acls/
从上面的蓝色注释中,我们能看到 HAProxy 进程通过 https 请求中通过 SNI 传入的域名 sitjenkins.com.cn ,在 os_tcp_be.map 文件中获取到了 backend 名称
be_tcp:sit:sitjenkins.com.cn,这样就和(2)步骤中的 backend 对应上了 。
OpenShift 的 router 使用的 HAProxy 采用基于域名的负载均衡路由方式,示例如下,具体说明请参加官方文档 。
2.5 OpenShift edge 和 re-encrypt 类型的 route 与 HAProxy
HAProxy 前端:前端依然是在 443 端口监听外部 HTTPS 请求
frontend public_ssl bind :443..... # if the route is SNI and NOT passthrough enter the termination flow use_backend be_sni if sni
但是,当 TLS 终止类型不是 passthrough (edge 或者 re-encrypt)时,会使用backend be_sni 。
backend be_sni server fe_sni 127.0.0.1:10444 weight 1 send-prox
而这个后端是由本机的 127.0.0.1:10444 提供服务,因此又转到了前端 fe_sni:
frontend fe_sni # terminate ssl on edge bind 127.0.0.1:10444 ssl no-sslv3 crt /var/lib/haproxy/router/certs/default.pem crt-list /var/lib/haproxy/conf/cert_config.map accept-proxy mode http 。。。。。。# map to backend # Search from most specific to general path (host case). # Note: If no match, haproxy uses the default_backend, no other # use_backend directives below this will be processed. use_backend %[base,map_reg(/var/lib/haproxy/conf/os_edge_reencrypt_be.map)] default_backend openshift_default
map 映射文件:
sh-4.2$ cat /var/lib/haproxy/conf/os_edge_reencrypt_be.map^edgejenkins\.com\.cn(:[0-9]+)?(/.*)?$ be_edge_http:sit:jenkins-edge
Edge 类型 route 的 HAProxy 后端:
backend be_edge_http:sit:jenkins-edge mode http option redispatch option forwardfor balance leastconn timeout check 5000ms ..... server pod:jenkins-1-bqhfj:jenkins:10.128.2.15:8080 10.128.2.15:8080 cookie 71c6bd03732fa7da2f1b497b1e4c7993 weight 256 check inter 5000ms server pod:jenkins-1-h2fff:jenkins:10.131.0.10:8080 10.131.0.10:8080 cookie fa8d7fb72a46958a7add1406e6d26cc8 weight 256 check inter 5000ms
Re-encrypt 类型 route 的 HAProxy 后端:
# Plain http backend or backend with TLS terminated at the edge or a# secure backend with re-encryption.backend be_secure:sit:reencryptjenkins.com.cn mode http 。。。。http-request set-header X-Forwarded-Host %[req.hdr(host)] http-request set-header X-Forwarded-Port %[dst_port] http-request set-header X-Forwarded-Proto http if !{ ssl_fc } http-request set-header X-Forwarded-Proto https if { ssl_fc } http-request set-header X-Forwarded-Proto-Version h2 if { ssl_fc_alpn -i h2 } server pod:jenkins-1-bqhfj:jenkins:10.128.2.15:8080 10.128.2.15:8080 cookie ... weight 256 ssl verifyhost jenkins.sit.svc verify required ca-file /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt check inter 5000ms #与后端的链路采用 ssl 加密,并且要检查hostname server pod:jenkins-1-h2fff:jenkins:10.131.0.10:8080 10.131.0.10:8080 cookie ... weight 256 ssl verifyhost jenkins.sit.svc verify required ca-file /var/run/secrets/kubernetes.io/serviceaccount/service-ca.crt check inter 5000ms
推荐阅读
- 卤味配方详解:手把手教你制作美味的卤味料理
- 惠普打印机加墨粉步骤详解 惠普打印机怎么换墨盒
- vivoz1i隐藏照片步骤详解 私密照片从哪里打开VIVO
- OPPO Reno7 测评详解 oppo reno7怎么样值得买吗
- 电脑蓝牙打开图文详解 电脑蓝牙在哪里打开win7
- iPhone 12 Pro系列详解 苹果12pro参数配置详细处理器
- 手机投屏到电视上教程详解 投屏怎么投到电视上没有声音
- 华为P50 Pro测评详解 华为p50pro骁龙888值得买吗
- 怎么使用刷脸支付 刷脸支付流程图详解
- tomcat安装配置详解 将电脑localhost设置为127.0.0.1