Haproxy（SSL）の背後にあるGitlab

Question

一般的な構成の仮想化サーバー（esxi）があります。

[クライアント] https-> [pfsense-> haproxy] -http-> [vm]

そして今、私はgitlabで新しい仮想サーバーを構成しようとしていますが、正しい構成が見つかりません。プライベートネットワーク内でgitlabは正しく機能しますが、外部からアクセスしようとすると、haproxyが503エラーで応答します。いくつかの構成を読んで試した後、それを機能させることはできませんが、同じサーバーにApacheをインストールすると（テストのためだけに）、そのサーバーは外部から正しく機能するため、nginxの問題であると確信しています（またはそう思います）。

ターゲットは次のようなものです。

[クライアント] https-> [pfsense-> haproxy] -http-> [gitlab]

Pfsenseにはipenポート80と443があります（sshまたはUnicornに別のポートを開く必要があるかどうかはわかりません）

いくつかの構成：

gitlab.rc external_url 'https://mydomain.extension'

Haproxy（他のvmsには問題なく動作します）

global maxconn 10000 stats socket /tmp/haproxy.socket level admin uid 80 gid 80 nbproc 1 chroot /tmp/haproxy_chroot daemon tune.ssl.default-dh-param 2048 server-state-file /tmp/haproxy_server_state ssl-default-bind-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!3DES:!MD5:!PSK frontend http_redirectTo_https bind publicIP:80 name publicIP:80 mode http log global option httpclose option forwardfor acl https ssl_fc http-request set-header X-Forwarded-Proto http if !https http-request set-header X-Forwarded-Proto https if https timeout client 30000 redirect scheme https code 301 if !{ ssl_fc } frontend https_input bind publicIP:443 name publicIP:443 ssl ssl crt /certs/certific.pem no-sslv3 crt /var/etc/haproxy/https_frontend.pem mode http log global option http-keep-alive timeout client 30000 acl aclAdm hdr(Host) -i adm.domain.ext acl aclOne hdr(Host) -i one.domain.ext acl aclTwo hdr(Host) -i two.domain.ext acl aclGit hdr(Host) -i git.domain.ext use_backend adm_backend_http_ipvANY if aclAdm use_backend one_backend_http_ipvANY if aclOne use_backend two_backend_http_ipvANY if aclTwo use_backend git_backend_http_ipvANY if aclGit

他のバックエンドを削除します

backend git_backend_http_ipvANY mode http log global balance leastconn timeout connect 30000 timeout server 30000 retries 3 option httpchk OPTIONS / option forwardfor option http-server-close http-request set-header X-Forwarded-Port %[dst_port] http-request set-header X-Forwarded-Proto https if { ssl_fc } server gitServer private_ip:80 check inter 1000

問題はnginxにあると思います、ありがとう！

Julio · Accepted Answer

問題は、haproxyがサーバーを検出しないため、ヘルスチェックの構成が間違っていると思われることでした。

option httpchk OPTIONS /

基本チェックに変更するだけで、haproxyがサーバーを正しく検出し、実際には正常に動作します。