Comment puis-je activer le HTTP/2 sur HAProxy?

Nous avons récemment changé de HTTP à HTTPS. Comme nous l'avons déjà déménagé à HTTPS, nous envisageons de déménager à l'adresse HTTP/2 pour obtenir des avantages de performance.

Comment puis-je activer le HTTP/2 sur HAProxy?

Comme expliqué ci-dessus que les demandes entre le navigateur et LB sont sécurisés (HTTPS), tandis que la communication entre la LB et le serveur d'application toujours à l'aide de HTTP

Qu'est-ce que la possibilité de permettre à l'adresse HTTP /2 avec la configuration actuelle? Pouvons-nous nous permettre de HTTP/2 entre le navigateur et le LB, tandis que la communication entre la LB et de l'application des serveurs de rester sur HTTP?

OriginalL'auteur ssharma | 2016-11-17

  1. 32

    HAProxy 1.8 supporte le protocole HTTP/2

    De le 1.8 annonce:

    HAProxy 1.8 prend désormais en charge le protocole HTTP/2 sur le côté client (dans le frontend sections) et peut agir comme une passerelle entre le HTTP/2 clients et votre HTTP/1.1 et HTTP/1.0 applications.

    Vous aurez besoin de la h2 directive dans votre haproxy.conf. De CertSimple de HAProxy HTTP/2 et l'équilibrage de charge dynamique guide:

    frontend myapp
  bind :443 ssl crt /path/to/cert.crt alpn h2,http/1.1
  mode http

    Les anciennes versions de HAProxy

    Les anciennes versions de HAProxy comme 1.6 et 1.7 uniquement compatible avec le pass-through HTTP/2 - c'est à dire, pour diriger la circulation sur un autre serveur d'application qui prend en charge le protocole HTTP/2. C'est beaucoup plus compliqué de voir d'autres réponses sur la façon de le faire. Pour mettre fin à HTTP/2 et lire le trafic sur HAProxy, vous aurez besoin d'HAProxy 1.8.

    Note rapide ici: alpn http/1.1,h2 - l'ordre de alpn options est de "préférence". Donc, si vous souhaitez que les utilisateurs à l'aide de HTTP2 d'abord, puis utiliser: alpn h2,http/1.1
    Fixe, merci @PaulLemke!
    Juste une note rapide. La conversion de HTTP2 à HTTP1.1 a encore quelques questions. Pour notre HTTPS GZip POST, le Codage de Transfert (non inclus dans HTTP2) n'a pas été automatique converti à HTTP1.1 Et par conséquent, le corps ne lisent pas. Si quelqu'un a le même problème, essayez d'utiliser uniquement http 1.1. Il y a le protocole de Transfert-Encoding = bloc (même si c'est par défaut sur HTTP2). Donc si c'est fait manuellement sur HAProxy, cela fonctionne. Laisser le système de convertir automatiquement n'ajoute pas cet en-tête.
    Ajouter un lien vers les HAProxy le bug que vous avez signalé
    Je l'avoue, je n'ai pas déposé un rapport de bug à l'instant. (Pour être honnête je n'ai pas trouvé leur bugtracker page. Le Githup page n'offre pas de problèmes...)

    OriginalL'auteur mikemaccana

  2. 1

    haproxy n'a pas vraiment de support de http/2 encore

    Le seul soutien qu'il a, est de détecter un http/2 la demande, et de passer le https /tcp443 flux tcp vers un serveur qui prend en charge le protocole https et http/2

    ici est de quelqu'un d'autre guide
    http://m12.io/blog/http-2-with-haproxy-and-nginx-guide

    OriginalL'auteur Scott Farrell

  3. 1

    Suivante devrait fonctionner sur votre équilibreur de charge si vous êtes en mesure d'exécuter certains NginX côtés avec HaProxy. NginX est (ab)est utilisé comme un pur terminaison SSL, pas comme un complet serveur web, donc pas de contenu est desservi par cette NginX.

    Avertissement: Ceci a été fait dans la précipitation, donc, rien n'est vérifié que cela fonctionne vraiment. Quelques exemples sont manquantes, donc désolé pour les liens.

    J'appelle cette idée après la célèbre photo de Munchhausen, tirant lui-même et le cheval d'un bourbier:

    La Munchhausen Méthode

    D'abord, faire un H2 de l'installation dans HaProxy comme dans la réponse de la Scott Farrell avec les réglages suivants:

    frontend http-in
    mode http
    bind *:80
    option forwardfor
    default_backend nodes-http

frontend https-in
    mode tcp
    bind *:443 ssl crt /etc/ssl/dummy.pem alpn h2,http/1.1
    use_backend nodes-http2 if { ssl_fc_alpn -i h2 }
    default_backend nodes-http

frontend http-lo
    mode http
    bind 127.0.0.1:82
    #http-request set-header X-Forwarded-For req.hdr_ip([X-Forwarded-For])
    default_backend nodes-http

backend nodes-http
    mode http
    server node1 web.server:80 check

backend nodes-http2
    mode tcp
    server loadbalancer 127.0.0.1:81 check send-proxy

    Cette boucle de la HTTP/2 connexion à votre loadbalancer machine et accepte la décodé demandes pour entrer dans l'équilibrage de la charge via http-lo.

    Maintenant sur la LB en soi, commencer à NginX pour écouter sur le Port 81 comme dans la config
    exemple de résilier le HTTP/2 connexion proxy et de revenir à votre loadbalancer de nouveau.

    Dans NginX assurez-vous de:

    • Utilisation envoyez-proxy-protocole dans NginX

    • Résilier le SSL à l'aide de HTTP/2 dans NginX

    • Proxy tout de manière transparente (aka. muet) retour à HaProxy port 82

      # Sorry, example `NginX`-config is missing here,
# but it includes something like:
proxy_pass http://127.0.0.1:82;

    • N'oubliez pas d'inclure le Client-IP via X-Forwarded-For en-tête de la requête proxy (je ne sais pas comment configurer NginX pour utiliser la fonction "Envoyer Proxy" Protocole sur les sortants des demandes de proxy).

    Noter que cette installation est principalement statique. L'évolution de la partie est sur tous les domaines et leur TLS-certs.

    ASCII image de HTTP/2 demande flux

         Browser
        |  HTTP/2
        V
     Loadbalancer HaProxy *:443
        |  frontend https-in
        |  backend nodes-http2
        |  send-proxy
        |  TCP (transparent, HTTP/2)
        V
     Loadbalancer NginX 127.0.0.1:81 
        |  HTTP/2 termination
        |  proxy_protocol
        |  proxy_pass 127.0.0.1:82
        |  Add header X-Forwarded-For
        |  HTTP
        V
     Loadbalancer HaProxy 127.0.0.1:82
        |  frontend https-lo
        |  Forward Header X-Forwarded-For
        |  backend nodes-http
        |  # DO YOUR LOADBALANCING HERE
        |  HTTP
        V
      web.server:80

    Oui, elle boucle 2 fois par HaProxy, mais grâce à la vitesse de HaProxy fonctionne, cela fonctionne aussi rapide que l'éclair.

    Le réel inefficace quand il s'agit de décompresser le HTTP/2 les en-têtes dans la plaine HTTP en-têtes ..

    OriginalL'auteur Tino