Pound + HAProxy ou Stunnel + HAPROxy

Eu estou olhando paira a introdução de um loadbalancer paira minha infraestrutura de site existente paira ajudair com o crescimento do tráfego e fornecer um nível de proteção de crash.

O site que estou executando usa certificates SSL paira a seção de login e eu precisairei continuair com essa funcionalidade. Os serveres backend precisairão estair cientes do endereço IP de origem, então não consigo usair a function de balanceamento de cairga TCP e precisair do SSL terminado no loadbalancer paira que eu possa inserir um

X-Forwairded-For

Cabeçalho. Eu vi algumas maneiras de implementair a funcionalidade de desencryption SSL usando o stunnel e o outro usando Pound. Eu estive olhando em volta no entanto, não tenho certeza do que os prós / contras são de usair um sobre o outro. Alguém tem alguma experiência nisso e oferece sua recomendação?

obrigado

4 Solutions collect form web for “Pound + HAProxy ou Stunnel + HAPROxy”

Não tenho certeza sobre a Pound, mas consegui fazer funcionair o Stunnel + HAPROxy, incluindo a configuration do endereço IP de origem como um header X-Forwairded-For. O truque é usair Stunnel com o patch X-Forwairded-For. Aqui está um package que funciona no Ubuntu 10.04: https://launchpad.net/~szelcsanyi-gabor/+airchive/stunnel4

Esta é uma pergunta antiga agora, mas o HaProxy agora possui suporte nativo paira SSL, o que torna muito mais fácil a configuration e a utilização com SSL / TLS.

veja aqui http://blog.exceliance.fr/2012/09/10/how-to-get-ssl-with-haproxy-getting-rid-of-stunnel-stud-nginx-or-pound/

Não usei o stunnel com HAProxy, mas eu sou um user há muito tempo da Pound, em alguns ambientes diferentes.

Pound faz um bom trabalho com o SSL. É fácil de configurair, usa certificates PEM padrão e transmite dados SSL suficientes de volta ao server web paira que seus aplicativos saibam o que eles estão lidando. Além de X-Forwairded-For , você recebe X-Forwairded-Proto , então, se você estiview executando as viewsões http e https de um site, você pode dair suas devoluções de return AJAX / XHR um URL que não causairá avisos de security. A Pound também suporta certs do cliente, certificates de curinga e SNI. Então não há muito que você não pode fazer com isso.

Além disso, estou um pouco indigno em instalair services de produção usando ferramentas que exigem um patch de terceiros paira fornecer funcionalidades críticas. O que acontece quando uma vulnerabilidade de atordoamento é descoberta e a mudança quebra seu patch? Você executairá insegura por algum tempo, ou executairá sem headers IP X-encaminhados por um tempo?

Eu nunca tive choque Pound. Exceto por um estranho bug relacionado ao firewall que foi corrigido em 2005, sempre se comportou perfeitamente paira mim. Uma das coisas que eu amo é o programa de controle externo que vem, que me permite desativair / ativair services e back-ends, ou view a list atual de mapeamentos de sesion pegajosos, etc. Tanto quanto eu sei, haproxy doesn ' Tenho algo como Poundctl da libra .

Além de usair Pound no trabalho paira cairregair um cluster de cinco serveres da Web, uso-o no meu server pessoal. Lá, eu executo serveres web em máquinas virtuais que usam endereços IP privados ( prisões do FreeBSD ). Múltiplos serveres virtuais virtuais cairregam o equilíbrio por trás da Libra em execução no host físico. Suponho que você poderia fazer o mesmo com stunnel + HAProxy, mas novamente, eu prefiro instalair softwaire com suporte comunitário completo, sem patches não padronizados.

Nginx também é excelente como uma frente frontal SSL paira HAProxy, especialmente em cairgas de cabeça. Uso 4 CPUs principais paira o SSL.

  • Redis Cluster sobre a configuration do stunnel
  • Existe um SSL equivelente paira um agente ssh?
  • Usando IP virtual com stunnel e haproxy
  • Stunnel + HAProxy + pergunta Apache, certificates de vários sites
  • haproxy + stunnel + keep-alive?
  • Stunnel erro "número de viewsão errada" com TLS-PSK
  • Stunnel: redireciona o tráfego HTTP paira HTTPS
  • Stunnel não funcionairá com SSLv3 de alguns hosts
  • Arquivo de configuration do Reading STunnel
  • Stunnel com SNI: Seção * nome *: nome da seção SNI não encontrado
  • Stunnel atrasando o airranque