Bilancia di carico Nginx con SSL upstream

Question

Tentativo di configurare Nginx come bilanciamento del carico per server https. L'upstream serve sulla porta 443 con i certificati SSL configurati. Come configurare Nginx, in modo che la configurazione del certificato SSL venga gestita solo sui server upstream e non nel server Nginx?

Answer 1

È necessario utilizzare Upstream module e Reverse Proxy module. Per invertire il proxy verso https upstream, utilizzare questo

proxy_pass https://backend; 

dove backend è un blocco upstream.

Tuttavia, se lo facessi, interromperò ssl sul server nginx e renderei i server delle app upstream facendo ciò che sono bravi a servire il contenuto, invece di preoccuparsi del sovraccarico di crittografia/decrittografia di ssl. La configurazione della terminazione ssl su nginx è anche molto semplice usando lo SSL module. Un ottimo caso di studio è anche dato here.

Answer 2

Per quanto ho capito da reading relevant discussion sul forum Nginx, questo non è possibile perché Nginx deve terminare comunque la connessione SSL upstream. Se insisti sull'utilizzo di Nginx, ti viene lasciato solo per replicare la configurazione SSL e rendere i certificati e le chiavi disponibili per Nginx.

La discussione che ho concluso ha concluso che HAProxy è uno strumento molto migliore per il passthrough SSL a monte. Ecco relevant post Ho trovato sulla configurazione di HAProxy per tale scopo. Poiché non ho esperienza HAProxy, non posso riassumere la sua configurazione o la fattibilità generale della soluzione lasciandola al lettore.

Aggiornamento

Dal 1.9.2 Nginx supporta HAProxy di proxy protocol.

Answer 3

sembra ora possibile secondo https://www.nginx.com/resources/admin-guide/nginx-tcp-ssl-upstreams/ (1.9.4+)