Чи повинен Nginx бути в передній частині HAProxy або навпаки?

У мене мало досвіду в розробці інфраструктурної архітектури веб-сайтів. Я знаю, що це може бути конкретним. Передбачається, що веб-сайт:

1) Потрібна підтримка HTTPS для певної сторінки (наприклад, сторінка входу), а інші - лише HTTP-сторінка.

2) Потрібні кілька веб-серверів, щоб було потрібно деяке врівноваження навантаження.

3) Потрібні кешування HTTP та стиснення для підвищення продуктивності.

4) Деякі запити (наприклад, завантаження зображень) повинні бути перенаправлені на спеціальні сервери, що беруть вихід. Отже, потрібне врівноваження на основі URL.

Я знаю, що NginX і HAProxy - це хороший зворотний проксі з відкритим джерелом та / або балансир завантаження. Оскільки HAProxy не підтримує SSL, тоді як балансування навантаження Nginx не так добре, як HAProxy. Я візьму обох.

Отже, чи слід ставити Nginx (як зворотний проксі) перед HAProxy (як балансир навантаження) чи навпаки?

Спасибі

Якщо ви плануєте, щоб кожен веб-сервер був доступний через HTTPS, тоді вам потрібно буде встановити Nginx перед HAProxy. При такій конфігурації ваш Nginx буде обробляти всю роботу SSL та відправлятиме розшифрований трафік HTTP безпосередньо на FAP-інтерфейс HAProxy, який потім завантажить балансові запити на ваші веб-сервери на основі визначених вами правил.

Ідея використання LVS, як згадується Womble, полягає в тому, що вона дещо менш нав'язлива, оскільки вона не підтримує зв'язку між вашим веб-сервером і клієнтом, що отримує доступ до сайту. З іншого боку, LVS надасть вам лише просте збалансування завантаження і не дозволить пересилати запити на основі розширення файлів, запитуваної URL-адреси, заголовків тощо. Тому HAProxy використовується в багатьох ситуаціях.

Якщо вам потрібен лише SSL на одному сервері (не збалансований навантаженням), ви можете безпечно використовувати HAProxy для всього, не використовуючи Nginx. З іншого боку, у вас виникне проблема з тим, що неможливо побачити вихідну IP-адресу клієнта в журналах HTTPS веб-сервера (оскільки HAProxy переписує цю адресу). IP буде в журналах HAProxy, якщо ви ввімкнете його;)

haproxy, починаючи з версії 1.5, випущена в 2014 році , підтримує SSL як шарм, включаючи SNI.

Тому я поставив би haproxy перед nginx.

Вам слід просто використовувати nginx, він робить все необхідне як веб-сервер для інтерфейсів. Якщо вам потрібна фронтальна балансування навантаження, використовуйте балансир навантаження L3, наприклад, віртуальний сервер Linux , оскільки він не відбувається таким чином, як це робить HAproxy. Використовуйте HAproxy, якщо потрібно, щоб виконати балансування навантажень за кадром, як запити на врівноваження до пулу зайнятих працівників.