NginxロードバランスとアップストリームSSL

Question

httpsサーバ用のロードバランサとしてNginxを設定しようとしています。アップストリームは、SSL証明書が設定されたポート443で処理されます。 SSL証明書の設定がNginxサーバーではなく上流のサーバーでのみ処理されるように、Nginxを構成する方法は？

Answer 1

Upstream moduleとReverse Proxy moduleを使用する必要があります。 HTTPS上流へのプロキシをリバースするには、

proxy_pass https://backend; 

ここで、バックエンドはアップストリームブロックです。

しかし、私がこれをやっていたら、nginxサーバでsslを終了し、ssl暗号化/復号化のオーバーヘッドを気にする代わりに、コンテンツを提供している上流のアプリケーションサーバを作ります。 nginxでsslターミネーションを設定することも、SSL moduleを使用すると非常に簡単です。非常に良いケーススタディもhereです。

Answer 2

Nginxフォーラムでreading relevant discussionから理解していれば、NginxはアップストリームSSL接続をとにかく終了する必要があるため、これは不可能です。 Nginxの使用を主張するなら、SSL設定を複製し、証明書と鍵をNginxが利用できるようにするだけです。

私が結論した議論では、HAProxyはSSL上流パススルーの方がずっと優れていると結論づけました。ここにはrelevant postがあります。このような目的でHAProxyを設定する方法について知りました。私はHAProxyの経験がないので、ソリューションの構成や一般的な実行可能性を要約することはできません。

更新

1.9.2以来nginxのはHAProxyのproxy protocolをサポートしています。

Answer 3

となりましたhttps://www.nginx.com/resources/admin-guide/nginx-tcp-ssl-upstreams/（1.9.4+）