Hi Tobias … ja, es hängt sehr vom Szenario ab. Wir haben ja bereits gehört, dass u.U. auch sophos die bessere Wahl sein kann, wenn man das nötige Kleingeld investieren möchte.
Bei mir ist regelt der HAProxy nun alle Zugriffe auf die DMZ: alle Zugriffe auf Port 80/443, die von außen kommen, werden (so wie in der o.g. Anleitung beschrieben) auf zwei virt. IP-Adressen umgeleitet, die dann an VMs/Services verteilen, die sich in der DMZ befinden. Alles, was unverschlüsselt auf Port 80 reinkommt, wird zudem auf 443 umgeleitet.
Was zusätzlich noch hinzukommt: Alle Zugriffe von innen gehen auch direkt auf den HAProxy – also ohne erst nach draußen geroutet werden zu müssen. Das funktioniert hier seit ein paar Tagen problemlos — und ich fand das Konzept durchdacht 
.
Zudem wird HAProxy bei diversen Vergleichen häufig als „der Mercedes unter den LoadBalancern/RevProxies“ bezeichnet, so dass ich mir gut vorstellen kann, dass der die „paar“ Zugriffe auf die DMZ schon wird verteilen können?!
Letztes Argument: Wenn du docker verwendest, musst du den docker-Container auch mit ordentlich Dampf unter der Haube ausstatten – kann man dann nicht auch gleich der FW selbst mehr Ressourcen spendieren?
Und noch ein Wort in Sachen Let’sEncrypt: Gerade da finde ich das Zusammenspiel von HAProxy mit LE sehr gut: Man muss überhaupt nichts mehr auf irgendwelche Server in der DMZ kopieren, da die Anfragen zunächst an die FW gehen und sie dann das Zertifikat ausliefert. Ist doch top!?
Schöne Grüße,
Michael