J'essaye depuis plusieurs de mettre en place un haproxy pour sécuriser et faire du load balancing sur mes serveurs. Avec le http j'ai aucun problème tout se passe très bien, par contre je n'arrive pas a faire un backend en 443
 
Quand je fais des recherches sur le net beaucoup font un frontend en 443 avec un backend en 80, même avec stunnel. Ma problématique c'est que je veux que les connexions arrivent sur mon haproxy en 443 et soit délivré en 443 a mon serveur cible. C'est une bêtise ? Personne n'a l'aire de faire ca sur le web
 
Alors après avoir parcouru la plupart des sites web parlant de haproxy j'ai essayé ça (ce qui a l'aire de marcher pour eux mais pas pour moi) :
 

 
J'imagine que mon serveur demande un certificat et qu'haproxy ne l'ignore pas comme on pourrait le faire avec un navigateur.
 
Qu'est ce qu'il faut que je fasse pour avoir un backend fonctionnel en 443 ? Parce que j'aimerais mettre haproxy devant la webmail exchange mais celle ci répond uniquement en https. Peut être qu'il faudrait que j'importe le certificat de l'exchange sur le haproxy et que je le spécifie au niveau du backend ?

haproxy ne gère le SSL qu'en version 1.5, cf http://cbonte.github.io/haproxy-dc [...] n-1.5.html

Je suis maintenant en 1.5 et je suis confronté au même problème J'ai donc les mêmes questions

tu as lu la doc ?

Oui... bref je venais ici surtout pour voir si des personnes avaient monté la même chose pour échanger. Je viens de trouver comment faire ! J'avais pas mal de problème dans ma config, au niveau des tcp-request et mes acl ne pouvaient fonctionner tel quel.
 
J'aurais bien voulu avoir des retours d'expérience sur des personnes ayant monté des Haproxy devant un exchange, devant un tse, devant un cluster apache. Comprendre un peu la limite d'utilisation de ce produit, les choses a éviter pour éviter de charger le système, les optimisations, ... Parce que sur le net j'ai fais beaucoup de recherche et niveau expérience on trouve des briques d'info un peu partout mais ca reste flou et beaucoup se limite a des choses simples.

pour les trucs sales comme exchange ou TSE je l'utilise pas donc je peux pas te répondre
 
techniquement : la gestion du HTTP est quasi parfaite, reste surement des détails en IPv6 mais rien de méchant. Avant de le faire charger comme un porc il va falloir y aller, je connais des sites (dont un pour lequel je bosse) à très fort traffic qui utilisent haproxy et ça tient clairement la route.

Ben c'est à dire qu'en général, le HTTPS sert à chiffrer la connexion pour éviter l'interception de données sur des réseaux peu sûr, et en général, entre ton frontend haproxy et tes backends tu passes par un réseau privé et sûr, donc on évite de chiffrer à 2 reprises, question de perfs, on délègue le codage/encodage au haproxy, les backends sont ainsi déchargés de ce travail.
Et c'est valable même avec d'autres softs que haproxy (frontend HTTPS avec nginx, apache, lighttpd, etc...).

 
Et une recherche sur google amène à.....
 
http://blog.exceliance.fr/2012/12/ [...] h-haproxy/

 
 
Comme tu as pu le constater toi même c'est une référence dans les docs sur haproxy... Ca doit être le premier site que j'ai visité depuis que je suis en 1.5 En gros faut juste faire passer le 443 et ca marche, j'aurais bientôt un exchange de test a ma disposition pour tester tout ca (demain normalement). Maintenant quand je ferais la migration sur le prod ca sera différent vu qu'on a un certificat valide, je ne sais pas encore si je vais faire du 443 de bout en bout ou si l'admin de l'exchange va bien vouloir passer en 80.

exchange 2013 RTM avait du mal sur l'offloading j'ai pas eu l'occase de retester.
Sinon sur 2010 il y a un collègue qui a fait ce guide http://unifiees.blogspot.fr/2012/1 [...] me-un.html je te le conseille

Trop bien cette doc C'est exactement ce que je recherche, une doc fait par une personne qui a bien retourné le sujet Elle serait en français ca serait parfait mais faut pas trop en demander
 
Quelle est la problématique que tu as eu avec 2013 ? Tout mes Exchanges sont en RPC, tout passe uniquement sur le 443 si j'ai bien compris (je ne suis pas expert exchange ^^) donc normalement ma config va pas bien être compliqué. Ca gène le client Outlook si sur deux connexions il est envoyé sur deux frontaux différent ?

C'est ça en 2013 tout passe en HTTPS pour les flux clients.
 
Non ça gène pas d'envoyer sur 2 frontaux différents en 2013 (enfin de tête), en 2010 par contre oui.

J'essaye en ce moment de faire passer du rdp dans mon haproxy, j'y arrive mais pas moyen de mettre en place des ACL afin de rediriger vers plusieurs backend en fonction du domaine d'arrivé.
 
exemple :
 

 
J'ai l'impression que le client rdp ne véhicule pas le domaine Cette règle marche très bien pour rediriger vers mes apaches par exemple

rdp en https ?

 
J'ai le même problème sur mes connexions RDP. Impossible de mettre des acl sur le nom de domaine.
As-tu trouvé une solution ?

detérage pointéé ,
 
haproxy serai "l'egale" a connectify ????
je viens de passé a linux (debian) et cherche a cumulé plusieur connection internet.
ce que fait correctement "connectify" sous win.
 
j'ai trouvé "load balancer" que je n'arrive pas à installé
et zenload balancer qui serai une distro payante.
 
si il y a une âme charitable pour me guidé.
 
merci à vous.
 

non rien à voir

merci et désolé du hs

 
Malheureusement non J'ai pas refait des tests depuis que je suis en 1.5.1, au pire faudrait contacter le dev pour lui demander de l'aide. Vu que j'ai pour l'instant qu'une seule ferme de serveur TSE j'ai pas de soucis mais dans 3 mois j'aurais deux fermes et il faudra que je trouve une solution. Au pire je ferais un autre Frontend avec une autre IP publique mais c'est pas super propre
 
Je serais intéressé par des conseils d'optimisation sur Haproxy. Qu'avez vous fait comme tunning dans vos fichiers de conf pour l'adapter a votre usage ?