我们有一个场景,我有两个在虚拟机中运行的应用程序。它们都将在端口 80/443 上提供流量,但使用不同的主机名。其中一个容器是供应商提供的,它们将解密容器内的 HTTPS 流量。
我是否可以配置 NGINX(或其他工具)以根据目标主机名(可能通过 SNI)将流量路由到某个 VM,而无需解密代理中的数据包?
例如:
myapp1.example.com:443 -> NGINX -> 10.0.0.1:8443(在 VM 上终止 HTTPS) vendor1.example.com:443 -> NGINX -> 10.0.0.1:9443(在 VM 上终止 HTTPS)
这可以通过使用nginx ngx_stream_ssl_preread_module来实现。这是一个示例配置:
user nginx;
worker_processes auto;
error_log /var/log/nginx/error.log warn;
pid /var/run/nginx.pid;
events {
worker_connections 1024;
}
stream {
upstream server1 {
server 192.0.2.125:443;
}
upstream server2 {
server 192.0.2.126:443;
}
map $ssl_preread_server_name $upstream {
hostnames;
.server1.example.com server1;
.server2.example.com server2;
}
server {
listen 443;
listen [::]:443;
ssl_preread on;
proxy_pass $upstream;
}
}
该upstream指令用于定义要向其发送流量的服务器。然后map $ssl_preread_server_name允许nginx从客户端读取请求的 SNI 值以将流量正确引导到正确的upstream框。
这将只工作,如果客户端发送一个有效的SNI值。这也允许使用客户端证书进行身份验证,因为 TLS 连接直到 AFTERnginx将流量发送到远程端点后才完成。
| 归档时间: |
|
| 查看次数: |
2295 次 |
| 最近记录: |