compose: использовать только 2 сервиса вместо 3-х

[bam80]

У меня сложилось впечатление, что HAproxy и Caddy могут выполнять функции друг друга, по крайней мере на самом примитивном уровне.
Но здесь нам большего и не требуется.

Могли бы мы использовать это, чтобы отказаться от одного из этих двух сервисов, в пользу упрощения?

@dolonet

[dolonet]

SNI-роутер и Caddy не взаимозаменяемы: HAProxy — не веб-сервер, контент он не отдаёт, так что Caddy не выкинуть, настоящий сайт с валидным сертом и есть весь смысл.

А вот без HAProxy обойтись можно — за счёт самого mtg. На неудачном MTProto-хендшейке он не рвёт соединение, а прозрачно проксирует его на реальный бэкенд (domain fronting), причём решает по секрету в ClientHello, а не по SNI. То есть mtg сам разрулит «телеграм → проксируем, остальное → на сайт». Выходит 2 сервиса: mtg на :443 + веб-сервер, fronting пинится прямо на него (loop из #478 ломается так же).

Отдельный роутер реально нужен, когда на одном :443 надо разводить несколько доменов по разным бэкендам — у mtg одна fronting-цель. Для одного сайта он дублирует то, что mtg уже делает.

[bam80]

Ну так может упростить тогда конфигурацию здесь?

[bam80]

HAProxy — не веб-сервер, контент он не отдаёт

Судя по этому примеру, мне всё-таки сдаётся что контент он отдавать может. Не знаю правда что там с сертификатом:

frontend https
  acl matrix-well-known-client-path path /.well-known/matrix/client
  acl matrix-well-known-server-path path /.well-known/matrix/server
  use_backend matrix-well-known-client if matrix-well-known-client-path
  use_backend matrix-well-known-server if matrix-well-known-server-path
 
backend matrix-well-known-client
  http-after-response set-header Access-Control-Allow-Origin "*"
  http-after-response set-header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
  http-after-response set-header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization"
  http-request return status 200 content-type application/json string '{"m.homeserver":{"base_url":"https://matrix.example.com"},"m.identity_server":{"base_url":"https://identity.example.com"}}'

backend matrix-well-known-server
  http-after-response set-header Access-Control-Allow-Origin "*"
  http-after-response set-header Access-Control-Allow-Methods "GET, POST, PUT, DELETE, OPTIONS"
  http-after-response set-header Access-Control-Allow-Headers "Origin, X-Requested-With, Content-Type, Accept, Authorization"
  http-request return status 200 content-type application/json string '{"m.server":"matrix.example.com:443"}'

[bam80]

@dolonet Ping на случай если забылось/затерялось.

[dolonet]

Не забылось, спасибо за пинг. По пунктам:

Про HAProxy как веб-сервер — справедливое уточнение, был слишком категоричен: http-request return контент отдавать может. Но из памяти и в пределах buffer size (~16 КБ по умолчанию), то есть одна страничка без ассетов. И главное — для этого HAProxy должен терминировать TLS, а в нашей схеме он работает в SNI-passthrough (TLS терминирует Caddy). Пришлось бы добавлять второй внутренний frontend и решать вопрос сертификата (нативный ACME в HAProxy появился только в 3.2 и пока experimental). То есть упрощение «выкинуть Caddy» на деле усложняет конфиг и делает сайт менее правдоподобным.

В обратную сторону — «выкинуть HAProxy» — рабочий вариант для одного домена, но тоже не бесплатный:

• чтобы mtg видел реальные IP клиентов, его придётся запустить в network_mode: host — ровно тот же трейд-офф, что сейчас описан в README для HAProxy;
• сайт начинает жить «за» mtg: упал mtg — упал и сайт; с HAProxy сайт переживает рестарт mtg;
• несколько доменов/бэкендов на одном :443 так не развести — у mtg одна fronting-цель.

Поэтому contrib/sni-router оставляем как есть (он именно про SNI-роутер и его свойства), а 2-сервисный вариант оформил отдельно:

• wiki: Setup Without SNI Router — готовый compose (mtg на :443 + Caddy), таблица «какой вариант выбрать», нюанс с ключом host/ip между версиями;
• sni-router: point single-domain users at the two-service setup #571 — секция «Do you need HAProxy at all?» в README contrib-а со ссылкой туда.