Làm thế nào bạn có thể khởi động lại Apache một cách duyên dáng mà không ngắt kết nối SSL?


11

Chúng tôi đang cố gắng tải lại Apache một cách duyên dáng bằng cách sử dụng một lệnh như:

apache2ctl -k graceful

Điều này hoạt động như mong đợi cho người dùng HTTP và cấu hình Apache được tải lại mà không ảnh hưởng đến người dùng của trang web.

Tuy nhiên, chúng tôi đã phát hiện ra rằng người dùng truy cập máy chủ qua HTTPS bị ngắt kết nối trong quá trình tải lại duyên dáng.

Làm thế nào Apache có thể được tải lại một cách duyên dáng mà không ảnh hưởng đến các kết nối SSL?

Trong trường hợp có ích, chúng tôi đang sử dụng HTTP 2 trên Apache 2.4.20.


5
Chà, bạn có thể "tải lại" thay vì khởi động lại apache. Giả sử bạn chạy các công cụ như trao đổi khóa Diffie-Hellman, sau khi khởi động lại, khóa được sử dụng trong "phiên" trước đó sẽ không tồn tại nữa, vì vậy những cái mới được tạo ra. Một lựa chọn khác là đặt một số loại cân bằng tải cũng xử lý ssl trước các máy chủ apache của bạn.
Harrys Kavan

Có, chúng tôi đang tải lại (duyên dáng) thay vì khởi động lại.
jones

5
Chấm dứt SSL tại HAProxy là một lựa chọn cho chúng tôi, nếu ai đó có thể xác nhận đó là một giải pháp khả thi?
jones

2
Ngày nay khá phổ biến khi có proxy hoặc loadbalancer chấm dứt ssl của người dùng cuối. Sau đó, để bảo mật tối đa, bạn sẽ thêm mã hóa ssl "trong nhà" giữa apache và proxy / loadbalancer.
Harrys Kavan

5
Hiện tại chúng tôi đã xác nhận lỗi là một vấn đề với mô-đun HTTP2 trong Apache 2.4.10, hy vọng rằng nó có thể được sửa chữa ngược dòng. Khi chúng tôi tắt HTTP2, Apache có thể được tải lại mà không ngắt kết nối người dùng SSL.
jones

Câu trả lời:


1

Để đảm bảo rằng các phiên HTTP dựa trên H2 được để riêng (và không bị chấm dứt) khi thực hiện apachectl -k graceful, hãy nâng cấp phần mềm Apache của bạn lên 2.4.24 và gói mod_h2 của bạn lên 1.4.7.


Khi chúng tôi đã nâng cấp và thử điều này, tôi sẽ báo cáo lại. Cảm ơn
jones
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.