Ta objava se začne z razpravo o tem, zakaj je implementacija prehoda SSL v HAProxy bistvena. Nato razpravljamo o korakih, ki jih je treba upoštevati pri izvajanju, s primerom za lažje razumevanje.
Kaj je SSL Passthrough in zakaj je bistvenega pomena?
Kot izravnalnik obremenitve HAProxy prevzame obremenitev, usmerjeno na vaš spletni strežnik, in jo porazdeli med konfigurirane strežnike. Obremenitev, ki se porazdeli, je promet, ki se deli med odjemalskimi napravami in zalednimi strežniki. Varnost je bistvenega pomena pri uravnoteženju obremenitve in tu pride v poštev prehod SSL.
V idealnem primeru prehod SSL vključuje posredovanje prometa SSL/TLS na vaš spletni strežnik in njegovo distribucijo na konfigurirane strežnike brez prekinitve povezave SSL/TLS na HAProxy ali katerem koli drugem uravnavalniku obremenitve, ki ga uporabljate. S prehodom SSL boste uživali v boljšem šifriranju od konca do konca, originalni IP naslov odjemalca pa bo ohranjen. Poleg tega je priporočen varnostni ukrep in ustvarja boljšo prilagodljivost zalednega strežnika, kar zmanjšuje preobremenitev HAProxy.
Vodnik po korakih o tem, kako implementirati prehod SSL v HAProxy
Ko ste razumeli, kaj pomeni prehod SSL in zakaj ga potrebujete, je naslednja naloga zagotoviti korake, ki jih morate upoštevati, da ga implementirate v svoj izravnalnik obremenitve HAProxy. Sledite podanim korakom in hitro implementirajte prehod SSL na vaš izravnalnik obremenitve HAProxy.
1. korak: Namestite HAProxy
Recimo, da nimate nameščenega HAProxy. Prvi korak je, da ga namestite, preden ga konfiguriramo za izvajanje prehoda SSL. Zato začnite s posodobitvijo svojega skladišča.
$ sudo primerna posodobitev
Nato namestite HAProxy iz privzetega repozitorija z naslednjim ukazom. Upoštevajte, da v tem primeru uporabljamo Ubuntu:
$ sudo apt namestite haproxy
Ko imate nameščen HAProxy, ste pripravljeni na implementacijo prehoda SSL. Beri naprej!
2. korak: Implementirajte prehod SSL v HAProxy
Za ta korak moramo dostopati do konfiguracijske datoteke HAProxy, ki se nahaja v »/etc/haproxy«, in jo urediti, da določimo, kako želimo implementirati prehod SSL. Konfiguracijsko datoteko lahko odprete s katerim koli urejevalnikom besedil. Za to predstavitev smo uporabili nano.
$ sudo nano / itd / haproxy / haproxy, cfgKo dostopate do konfiguracijske datoteke, morate ustvariti dva razdelka: »frontend« in »backend«. V »frontendu« tam določite, katera vrata želite povezati za povezave. Spet morate določiti, kateri protokol uporabiti in katere zaledne strežnike uporabiti za distribucijo prometa.
V tem primeru, ker želimo zavarovati promet, bomo povezali vrata 443, ki so za povezave HTTPS. Ponovno določimo, da želimo sprejeti način TCP za delovanje HAProxy na transportni ravni.
Kot pravilo dodamo tudi vrstico »tcp-request«, ki določa trajanje pregleda sporočil SSL »hello«, da preverimo, ali sprejemamo promet SSL. Nazadnje določimo zaledni strežnik, ki bo uporabljen za porazdelitev obremenitve. Naš zadnji razdelek »frontend« je naslednji:
Za razdelek »backend« smo način nastavili na TCP. Nato določimo naslove IP za strežnike, ki jih uporabljamo za uravnoteženje obremenitve. Prepričajte se, da ste te naslove IP zamenjali tako, da se ujemajo z naslovi vaših strežnikov v živo, in nastavite vrata za povezavo na 443.
Dodana je »možnost tcplog«, ki omogoča beleženje težav, povezanih s TCP, v datoteko dnevnika, ki je vključena v razdelek »globalno« konfiguracijske datoteke.
3. korak: Znova zaženite HAProxy in preizkusite konfiguracijo
Ko uredite konfiguracijsko datoteko HAProxy, jo shranite in zaprite. Znova zaženite storitev HAProxy, da bodo spremembe uveljavljene.
To je to! V HAProxy smo implementirali prehod SSL. Poskusite poslati promet na vaš spletni strežnik z ukazom, kot je curl, in poglejte, kako se odzove. Če je prehod SSL uspešno implementiran, boste dobili izhod, ki prikazuje, da je povezava vzpostavljena prek vrat 443, in vzpostavili boste povezavo z zalednim strežnikom. Vaš strežnik bo odgovoril z zahtevanimi podrobnostmi in dal odgovor s statusom 200.
Zaključek
Implementacija prehoda SSL pomaga pri ustvarjanju šifriranja od konca do konca in zagotavlja, da se vaša povezava SSL/TLS ohrani, ko pride do uravnoteženja obremenitve. Če želite implementirati prehod SSL v HAProxy, namestite HAProxy in uredite konfiguracijsko datoteko, da podate, kako želite, da se izvede uravnoteženje obremenitve. Za boljše razumevanje postopka si oglejte predstavljeni primer.