【发布时间】:2021-03-15 23:21:14
【问题描述】:
我认为答案是否定的,但不明白为什么此功能不可用,我想为每个后端配置一个密码列表,即能够使用 ssl-default-server -每个后端部分中的密码,而不必在每个服务器行上使用密码。我不想在全局部分使用 ssl-default-server-ciphers,因为每个后端都可以有一组不同的密码。
我似乎无法在评论回复中添加格式化文本,因此我将通过在此处澄清问题来解决以下回复。后端确实可以选择指定密码,这是我的一个配置中的一个经过编辑的示例:
backend https_be
server 10.255.2.5 10.255.2.5:443 ssl ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
server 10.255.2.6 10.255.2.6:443 ssl ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
我希望能够做的,并且会更干净的是:
backend https_be
option ssl-default-server-ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256
server 10.255.2.5 10.255.2.5:443 ssl
server 10.255.2.6 10.255.2.6:443 ssl
但是 haproxy 似乎不支持这一点,我不知道为什么,这样做并使配置文件更易于阅读是一个有用的想法。至于对前端参考的评论,我没有提到前端,所以对那个评论有点困惑。确实,同样的问题也适用于前端绑定,但我尽量保持简单,并通过后端示例说明这一点。
【问题讨论】: