haproxy 로 한 포트에서 ssh 와 https 사용하기

요약

• haproxy.cfg 파일

global
  <설정>

defaults
  <설정>


frontend https-front
  mode tcp
  option tcplog
  bind *:443

  tcp-request inspect-delay 5s
  tcp-request content accept if HTTP

  acl client_attempts_ssh payload(0,7) -m bin 5353482d322e30

  use_backend ssh if client_attempts_ssh
  default_backend https

backend ssh
  mode tcp
  server ssh <ssh 서버 아이피>:<ssh 서버 포트>
  timeout server 2h

backend https
  mode tcp
  server https <아이피>:<포트>

이슈

해결

global
  # log 설정
  log stdout format raw local0
  # 백그라운드 모드
  daemon
  # 스레드 수 (nbproc 는 deprecated)
  nbthread 8
  # 스레드 당 최대 연결 수
  maxconn 3000

defaults
  log  	global # global 로그 설정을 따름
  mode 	tcp # tcp | http ...
  option       	tcplog # httplog
  option       	dontlognull # 로그 비대화 방지
  timeout queue 1m # maxconn 도달 시, 503 응답을 보내기 까지의 시간
  timeout connect 10s # backend(real-server) 연결 최대 지연시간
  timeout client 60m # 외부 클라이언트 요청이나 데이터 연결 최대시간
  timeout server 60m # 서버가 데이터를 전송할 떄 연결 최대 시간


frontend https-front
  mode tcp
  option tcplog
  bind *:443

  tcp-request inspect-delay 5s
  tcp-request content accept if HTTP

  # access control list (액세스 제어 규칙 리스트)
  # https://www.haproxy.com/blog/introduction-to-haproxy-acls/
  acl client_attempts_ssh payload(0,7) -m bin 5353482d322e30

  use_backend ssh if client_attempts_ssh
  default_backend https

backend ssh
  mode tcp
  server ssh <ssh 서버 아이피>:<ssh 서버 포트>
  timeout server 2h

backend https
  mode tcp
  server https <아이피>:<포트>

• payload(0,7) : 페이로드 첫 7바이트를

• -m bin : 16진수 문자열로 취급했을 때

• 5353482d322e30 : 이 16진수 값과 일치하는지 확인

참고

• https://www.haproxy.com/blog/introduction-to-haproxy-acls/

• https://www.haproxy.com/documentation/hapee/1-8r1/onepage/#7.1

• https://www.rfc-editor.org/rfc/rfc4253

• https://gist.github.com/zukka77/a5ddb8d81ef9a82e2ff797e3a578c97e