haproxy - passa l'ip originale / remoto in modalità tcp

Ho haproxy configurato con keepalived per il bilanciamento del carico e il failover ip di un cluster percona, e poiché funziona benissimo mi piacerebbe usare lo stesso lb / failover per un altro servizio / demone.

Ho configurato haproxy in questo modo:

listen my_service 0.0.0.0:4567
    mode tcp
    balance leastconn
    option tcpka
    contimeout      500000
    clitimeout      500000
    srvtimeout      500000

    server host1 xxx.xxx.xxx.xx1:4567 check port 4567 inter 5000 rise 3 fall 3
    server host2 xxx.xxx.xxx.xx2:4567 check port 4567 inter 5000 rise 3 fall 3

Il bilanciamento del carico funziona correttamente, ma il servizio vede l'IP del bilanciamento del carico anziché gli IP effettivi dei client. In modalità http è abbastanza facile avere il passaggio haproxy lungo l'IP remoto, ma come posso fare in modalità tcp? Ciò è fondamentale a causa della natura del servizio di cui ho bisogno per bilanciare il carico.

Grazie! vito

Solo per riferimenti futuri, keepalived è una soluzione per il failover non per il bilanciamento del carico (forse intendi LVS?). la modalità proxy trasparente per HAProxy non ha nulla a che fare con alcun modo speciale di invio dell'IP originale, che sarebbe la normale modalità HTTP non trasparente in cui è possibile utilizzare un'intestazione HTTP standardizzata per questo.

A mio avviso, la risposta corretta alla domanda originale è: è possibile compilare il supporto proxy trasparente in HAProxy su un kernel Linux abilitato TPROXY. Questo, insieme alla corretta versione supportata da TPROXY + alla configurazione di iptables sulla stessa macchina, consente un supporto proxy tcp completamente trasparente. Ciò significa che i server back-end NON richiedono alcuna configurazione speciale.

Si noti che questa non è in realtà la configurazione consigliata per HAProxy e dovrebbe essere utilizzata solo se assolutamente necessaria.

Apparentemente esiste una sorta di modalità "trasparente" per haproxy che non ho mai visto o che non voglio avere a che fare, che potresti provare. Altrimenti, dovrai insegnare qualunque sia il servizio di backend sul modo speciale di haproxy di inviare l'IP originale ("PROXY blahblah") e far sì che il servizio estragga l'IP originale da quello.

Perché ti preoccupi per l'Halxy? Ti sei già mantenuto in vita, e fa anche un corretto bilanciamento del carico trasparente.

L'utilizzo send-proxynella configurazione (per server) ti darà l'origine-ip originale sul lato server ricevente, anche in modalità TCP. Ciò richiede HAProxy 1.5+.

È possibile trovare ulteriori informazioni sul protocollo proxy nella documentazione HAProxy .

listen my_service 0.0.0.0:4567
mode tcp
balance leastconn
option tcpka
contimeout      500000
clitimeout      500000
srvtimeout      500000

server host1 xxx.xxx.xxx.xx1:4567 send-proxy check port 4567 inter 5000 rise 3 fall 3
server host2 xxx.xxx.xxx.xx2:4567 send-proxy check port 4567 inter 5000 rise 3 fall 3

È possibile impostare HAProxy come modalità NAT, che utilizza ancora la modalità TCP nel livello 4 ma rende l'IP trasparente.

Modalità NAT con bilanciamento del carico HAProxy Layer 4

D'altra parte, la modalità HAPorxy Transparent utilizza la modalità HTTP in Layer 7, che non colpisce il tuo punto perché ci sono già forwardforopzioni in modalità HTTP.

Modalità proxy trasparente di bilanciamento del carico HAProxy layer 7

Questa configurazione ha funzionato per me. L'IP di origine può essere recuperato in $ _SERVER ['HTTP_X_FORWARDED_FOR']:

globale
        [..... roba normale ....]   
        ssl-server-confirm nessuno

frontend principale *: 5000
        bind *: 443 ssl crt /etc/ssl/mycert_with_private_key.pem
        modalità http
        opzione forwardfor
        reqadd X-Forwarded-Proto: \ https
        default_backend https_server

backend https_server
        modalità http
        balance minimumconn
        opzione tcpka
        il tipo di stick-table dimensioni ip 200k scade 30m
        server srv04 192.168.1.10:443 controllo ssl
        server srv05 192.168.1.11:443 controllo ssl