Discussion :

[overider]

Salut à tous.

Je cherche des personnes qui ont déjà mis en place HaProxy en fail-over et répartition de charge pour des connexions https avec préférence d’utilisation des serveurs grace au mécanisme des acl implémentés dans HaProxy

Mon but est d’héberger mon LB Haproxy en « salle blanche » afin de m’affranchir de probleme de DNS et autre facétie du WEB. Cela me permettrai également de répartir la charge entre nos 3 serveurs web ; car pour l’instant j’utilise des mécanismes de DNS (roundrobin) qui ne me permette pas de gérer au mieux la charge sur mes serveurs ainsi que la persistance des sessions.

Tout d’abord une question, est ce que à un moment ou un autre le client connait l’adresse Ip des serveurs web ?

Un petit schéma :
Solution A

Client  Load balancer (celui-ci cherche un serveur web disponible et la renvoie au client)
(tentative de connexion)
Client  Load Balancer
(renvoie l’adresse Ip du serveur web à utiliser : ex WEB1)
Client  WebA
… ect


OU

Solution B

Client  Load Balancer  WebA
(tentative de connexion)

Et pour le retour
Client  Load Balancer  WebA

Je demande ça car je suis confronté à un cas assez complexe.

D’après ce que j’ai compris de mes lectures, pour pouvoir utiliser haproxy sur des connexions https avec persistance des sessions, il faut installer apache et modssl ainsi qu’implementé le certificat de sécurité sur le load balancer.(comme décrit ici http://haproxy.1wt.eu/download/1.3/doc/architecture.txt chapitre 3. Simple HTTP/HTTPS load-balancing with cookie insertion
) Ensuite les demandes de connexion sont acheminés au serveur web via le port 80. Or, comme je veux héberger mon LB en « salle blanche », il se trouve que les paquets qui transiteront entre le LB et les serveurs web seront non cryptés. Dites moi si je me trompe. Au niveau sécurité et confidentialité ça me plait pas trop. Y’a t’il un moyen de crypter les données entre le LB et les serveurs web.


Merci de m’éclairer.

[dahtah]

Salut,

Tout d’abord une question, est ce que à un moment ou un autre le client connait l’adresse Ip des serveurs web ?

Non, car le proxy est en charge de relayer les requètes dans les deux sens.

D’après ce que j’ai compris de mes lectures, pour pouvoir utiliser haproxy sur des connexions https avec persistance des sessions, il faut installer apache et modssl ainsi qu’implementé le certificat de sécurité sur le load balancer.

Pas forcément, HDAProxy sait conserver les sessions sans autre ajout, et sans décrypter les données.
Il y a un excellent article sur HDA proxy dans le hors série Linux Mag de ce mois ci. Je pense qu'il répondra à toute tes questions (Load balancing, persistance de session, résistance aux attaques...)
Bon courage...

[overider]

salut et merci beaucoup pour la ressource je cour me l'acheter.
Je suis heureux de voir qu'il y a un encore des magazine technique en informatique

Merci encore

[Meskalyn]

Pour le SSL, ils conseillent quand même d'utiliser STunnel.
Perso je m'en sers sans Stunnel et ça fonctionne plutôt correctement.
Le patch sert principalement à conserver les entêtes X ForWard.

Tout d’abord une question, est ce que à un moment ou un autre le client connait l’adresse Ip des serveurs web ?

Si tu n'utilises pas le mode "transparent" non.

Au niveau sécurité et confidentialité ça me plait pas trop. Y’a t’il un moyen de crypter les données entre le LB et les serveurs web.

Non sans utiliser stunnel, mais ces serveurs web ne doivent être accessible QUE par haproxy (ce que tu m'as l'air de vouloir), un simple parefeu correctement configuré pour n'autoriser que tes machines fera largement l'affaire : l'IP de tes serveurs n'étant pas "publiques" ça limite déjà beaucoup les risques.

Personnellement je m'en suis servi pour un tracker bittorrent, les IPs des serveurs web n'ont jamais été trouvées (bon le load balanceur se faisait fermer tous les 6 mois environ )

[slyz0r]

Je déterre ce topic mais j'aurais une petite question concernant HAproxy...

Est il possible de le configurer pour qu'il ne fasse que du failover ? Je ne veux pas de load balancing actuellement... Juste un redirecteur qui vérifie l'état de mes 2 web serveurs... Si le 1er est down, il envoi au deuxième.

Merci d'avance !

[slyz0r]

C'est bon j'ai trouvé !

haproxy.cfg

listen failover 192.168.1.99:8080
mode http
stats enable
stats auth user:pass
cookie JSESSIONIS prefix
option httpclose
option forwardfor
server centos 192.168.1.45:80 cookie CENTOS check
server fedora 192.168.1.246:80 cookie fedora backup check


Sinon possibilité de le faire avec keepalived aussi...

keepalived.cfg

vrrp_instance VI_1 {
interface eth0
state MASTER
virtual_router_id 51
priority 150
virtual_ipaddress {
192.168.1.99
}
}