上篇中讲述了如何安装haproxy,接下来简单的讲讲它的用法
基本所有的代理配置都是写在haproxy.cfg文件,在global,default后直接添加相关配置即可
- 举个例子:
如果装了haproxy的外网主机ip是120.66.66.666(外),10.66.66.666(内)
而你的mysql服务放在了内网的10.88.88.888的3306端口
listen mysql
bind *:8001 #haproxy代理端口
mode tcp
server mysql-1 10.88.88.888:3306 check
上面的4行配置就会完成了代理,你访问120.66.66.666的8001端口就会自动转发到10.88.88.888的3306
下面来讲讲我入了两次坑的支付相关的HTTPS反向代理,一般来说我们的服务都是放在内网,难免是需要发起https请求和一些服务来交互,而三大支付机构相关的请求有些特殊性
- 访问的域名不能变化,必须是原来的,如api.mch.weixin.qq.com
mapi.alipay.com,gateway.95516.com,否则就不无法通过证书校验,毕竟涉及到钱的都会比较严格. - 银联和微信的请求端口的入口必须是https默认的443端口
- 这里提供一种解决方案(如果有更好的欢迎在下方评论):同时在内外网装两台haproxy
#内网hosts文件配置
127.0.0.1 gateway.95516.com
127.0.0.1 mapi.alipay.com
120.66.66.666 api.mch.weixin.qq.com
#内网cfg文件
listen alipay
bind *:7832
mode tcp
server alipay 120.66.66.666:7832 check
listen unipay
bind *:443
mode tcp
server unipay 10.66.66.666:7842 check #此处为外网主机的内网ip
#外网cfg文件
listen alipay
bind *:7832
mode tcp
server alipay mapi.alipay.com:443 check
listen unipay
bind *:7842
mode tcp
server unipay gateway.95516.com:443 check
listen wechat
mode tcp
bind *:443
balance roundrobin
server wechat api.mch.weixin.qq.com:443 check
- 在内网curl测试
curl https://mapi.alipay.com:7832/gateway.do
curl https://gateway.95516.com/gateway/api/frontTransReq.do
curl https://api.mch.weixin.qq.com/pay/unifiedorder
以上链接如果curl返回的是html页面则表示pass,以下为微信返回的报错页面.
Paste_Image.png
- 访问流程,以银联为例
curl https://gateway.95516.com/gateway/api/frontTransReq.do,
由于内网配了hosts的缘故,gateway.95516.com会识别到本机,本机的443在由haproxy转发到外网的7842端口,外网的7842会被外网的haproxy转发到银联生产的443.
