Баланс нагрузки Nginx с восходящим потоком SSL

Question

Пытается установить Nginx в качестве балансировщика нагрузки для серверов https. Верхний канал обслуживает порт 443 с настроенными сертификатами SSL. Как настроить Nginx, чтобы конфигурация SSL-сертификата обрабатывалась только на восходящих серверах, а не на сервере Nginx?

Answer 1

Вам необходимо использовать Upstream module и Reverse Proxy module. Чтобы перевести прокси-сервер в верхний поток https, используйте это значение

proxy_pass https://backend; 

где бэкэнд представляет собой блок uptream.

Однако, если бы я делал это, я бы прекратил действие ssl на сервере nginx и сделал серверы приложений upstream, делающие то, что им хорошо: обслуживая контент, вместо того, чтобы беспокоиться о чрезмерных нагрузках на шифрование/дешифрование ssl. Настройка ssl-завершения на nginx также очень проста, используя SSL module. Также дается очень хорошее тематическое исследование here.

Answer 2

Насколько я понял из reading relevant discussion на форуме Nginx, это невозможно, потому что Nginx в любом случае должно прекратить восходящее SSL-соединение. Если вы настаиваете на использовании Nginx, вы остаетесь только для репликации конфигурации SSL и предоставления сертификатов и ключей для Nginx.

В обсуждении, которое я сделал, сделан вывод о том, что HAProxy - намного лучший инструмент для пересылки SSL вверх. Вот relevant post Я нашел о настройке HAProxy для этой цели. Поскольку у меня есть нулевой опыт HAProxy, я не могу суммировать его конфигурацию или общую жизнеспособность решения, оставляя его читателю.

Update

С 1.9.2 Nginx поддерживает HAProxy-х proxy protocol.

Answer 3

теперь кажется возможным в соответствии с https://www.nginx.com/resources/admin-guide/nginx-tcp-ssl-upstreams/ (1.9.4+)