问题描述
我正在尝试使用 Haproxy(特别是 Haproxy Ingress)为我的 S3 存储桶(我使用的是 DigitalOcean Spaces)设置反向代理。
经过反复试验,我找到了代理,但还不能正常工作。
GET 请求工作正常,但是,PUT 请求(如 putObject)不起作用,因为我收到错误“403 - SignatureDoesNotMatch”。不幸的是,我似乎无法找到为什么会这样,而且我已经进行了广泛的搜索。
我目前的后台如下:
backend s3-reverse-proxy_443
mode http
balance roundrobin
acl https-request ssl_fc
http-request redirect scheme https if !https-request
http-request set-header Host <bucket>.ams3.digitaloceanspaces.com
http-request set-header X-Original-Forwarded-For %[hdr(x-forwarded-for)] if { hdr(x-forwarded-for) -m found }
http-request del-header x-forwarded-for
option forwardfor
http-response set-header Strict-Transport-Security "max-age=15768000"
server srv001 5.101.110.225:443 weight 1 proto h2 alpn h2 ssl no-sslv3 no-tlsv10 no-tlsv11 no-tls-tickets verify none check inter 2s
尝试仅使用“.ams3.digitaloceanspaces.com”来否决服务器,但没有奏效。
我认为这与标题有关,但我尝试添加“授权”和“连接”标题,但它们似乎都不起作用。
我也在使用后端协议“h2-ssl”,因为没有它,它没有代理。
提前致谢!
取得了一些进展,签名版本 v4 不起作用,但 v2 可以。
但是,如果我是对的,docker 注册中心使用的是 v4,我希望它与最新的标准兼容。
我对 S3 了解不多,我目前正在阅读有关身份验证差异的文档,但欢迎提供任何帮助!
所以,经过更多的调查,签名版本 v4 使用请求 URI 来计算签名。当存储桶本身计算相同的签名时,请求 URI 是不同的,因为它侦听另一个 URI。
我看到有些人在 Nginx 处理请求时使用 Nginx 重新计算签名,但在 Haproxy 中还没有找到方法。
现在最好的方法是使用签名版本 v2,但是,对于大多数 S3 存储桶提供商而言,该版本可能已被弃用。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)