Bonjour,
Je veux mettre un HAProxy devant des serveurs d'applications HTTP. Il est paramétré pour rediriger un même client vers le même serveur d'application (via cookie).
Comme on est en full HTTPS, et pour que HAProxy puisse faire son boulot (donc inspecter les headers HTTP pour rediriger vers le bon serveur), il faut que l'encryptage se fasse en amont.
Avez vous une préco à ce sujet ? stunnel vs nginx ? autre ?
A+ Valentin
On Mon, 04 Apr 2011 09:50:11 +0200 Valentin Surrel valentin@surrel.org wrote:
Stunnel, avec les patchs qui vont bien, c'est ce qu'il y a de plus performant.
Pour la partie stunnel : http://haproxy.1wt.eu/download/patches/stunnel-4.33-exceliance-aloha-sendpro... http://haproxy.1wt.eu/download/patches/stunnel-4.34-exceliance-aloha-unix-so... Pour améliorer les perfs, si tu es en stunnel <= 4.35 : http://haproxy.1wt.eu/download/patches/stunnel-4.20-listen-queue.diff
et pour la partie HAProxy 1.4 (builtin en 1.5) : https://gist.github.com/901278
Hervé.
Salut,
stunnel si tu veux faire du x-forwarded-for il va te falloir maintenir un patch de ton côté car ils ne veulent pas inclure quoi que ce soit concernant l'applicatif (le patch traine depuis 3 ans...)
ceci dit, HAProxy est en train de recevoir un support pour https me semble-t-il. Rapproche-toi d'eux peut être afin d'avoir une vue sur la dispo ?
2011/4/4 Valentin Surrel valentin@surrel.org
Et ca implique du bon vieux HTTP/1.0 vers HAProxy. Pas très optimal amha
Hervé.
On Mon, 4 Apr 2011 11:28:00 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
Nginx peut remplacer HA proxy puisqu'on peut lui déclarer un pool avec plusieurs machines et différents paramètres pour la répartition. Dans mon idée, une ligne de nginx en frontaux, une ligne de serveur http. Si les serveurs http se partagent les sessions (memcache, sharedance, FS distribué, BDD, ...) il n'y a même plus besoin de se préoccuper de savoir si le visiteur ira toujours sur le même serveur.
Le 4 avr. 2011 à 11:35, Hervé COMMOWICK a écrit :
-- Pierre-Henry Muller
Ce que j'aime bien chez HAProxy c'est le mécanisme de check des serveurs HTTP sur un port différent : avec iptables on peut fermer le port de monitoring et laisser les sessions en cours se finir tranquillement. Si HAProxy supporte le SSL prochainement je vais p-e mettre nginx sans HAProxy en attendant...
Merci en tout cas pour ces premiers retours :)
Le 04/04/2011 11:48, Pierre-Henry Muller a écrit :
Et pour rajouter au troll naissant, je ne peux m'empècher :
http://affectioncode.wordpress.com/2008/06/11/comparing-nginx-and-haproxy-fo...
Hervé.
On Mon, 04 Apr 2011 11:56:08 +0200 Valentin Surrel valentin@surrel.org wrote:
Bonjour,
Ou bien utiliser Cherokee qui supporte le HTTP 1.1 en direction des backend :)
Le 04/04/11 11:58, Hervé COMMOWICK a écrit :
IPV6 aussi bien en front qu'en back depuis peu dans HAProxy 1.5.
Hervé.
On Mon, 04 Apr 2011 12:13:11 +0200 Valentin Surrel valentin@surrel.org wrote:
Je ne vois pas le rapport avec le fait qu'il va faire du HTTP/1.0 a destination des serveurs, ce qui désactive notamment le Chunked-encoding, donc la compression, les requètes partiels (Range), le pipelining, les méchanismes d'Expect utilisé dans les webservices, les authent Digest, etc... Alors, oui, certaines choses choses peuvent être effectuer par Nginx directement comme la compression, mais c'est pas si optimal que ca :)
Hervé.
On Mon, 4 Apr 2011 11:48:09 +0200 Pierre-Henry Muller wallace@morkitu.org wrote:
-
Hervé COMMOWICK -
Lilian - Devclic -
Pierre-Henry Muller -
Steven Le Roux -
Valentin Surrel