我有一个HAproxy 1.5的设置,它在几个Web服务器的前面卸载SSL(这样,他们只处理HTTP)
我的SSL证书是通配符,我们根据FQDN平衡到不同的后端。
我的前端配置如下:
...
frontend my-frontend
bind ip:443 ssl crt /var/etc/haproxy/wildcard_cert.pem
mode http
log global
option httplog
option forwardfor
use_backend my-backend if { ssl_fc_sni my.domain.org }
use_backend my-backend2 if { ssl_fc_sni my2.domain.org }
acl is-domain hdr(host) -i my.domain.org
acl is-domain2 hdr(host) -i my2.domain.org
use_backend my-backend if is-domain
use_backend my-backend2 if is-domain2
...
特殊选项ssl_fc_sni可用于SSL卸载,以访问SNI值(在SSL直通的情况下使用其他选项req_ssl_sni)。 http://cbonte.github.io/haproxy-dconv/configuration-1.5.html#ssl_fc_sni 我想知道ssl_fc_sni是否比HTTP头提取ACL更快? HAProxy有没有提取SNI值并在读取HTTP内容之前使用它,提取Host:Header并计算我的第二个ACL的机会?
还是性能完全相同?
谢谢,