Tento príspevok začína diskusiou o tom, prečo je implementácia prechodu SSL v HAProxy nevyhnutná. Potom diskutujeme o krokoch, ktoré je potrebné dodržať pri jeho implementácii, s príkladom pre ľahké pochopenie.
Čo je to SSL Passthrough a prečo je to nevyhnutné?
Ako nástroj na vyrovnávanie záťaže preberá HAProxy záťaž smerovanú na váš webový server a distribuuje ju medzi nakonfigurované servery. Zaťaženie, ktoré sa distribuuje, je prevádzka zdieľaná medzi klientskymi zariadeniami a koncovými servermi. Bezpečnosť je nevyhnutná pri vyrovnávaní záťaže a tu vstupuje do hry priechod SSL.
V ideálnom prípade prechod SSL zahŕňa presmerovanie prevádzky SSL/TLS na váš webový server a jej distribúciu na nakonfigurované servery bez ukončenia pripojenia SSL/TLS na HAProxy alebo akomkoľvek inom nástroji na vyrovnávanie záťaže, ktorý používate. S prechodom SSL si užijete lepšie end-to-end šifrovanie a zachová sa pôvodná IP adresa klienta. Navyše je to odporúčané bezpečnostné opatrenie a vytvára lepšiu flexibilitu backendového servera, čím sa znižuje preťaženie HAProxy.
Podrobná príručka o tom, ako implementovať prechod SSL v HAProxy
Keď pochopíte, čo znamená priechod SSL a prečo ho potrebujete, ďalšou úlohou je poskytnúť kroky, ktoré by ste mali dodržiavať, aby ste ho implementovali do vášho nástroja na vyrovnávanie zaťaženia HAProxy. Postupujte podľa uvedených krokov a rýchlo implementujte prechod SSL do svojho vyrovnávača zaťaženia HAProxy.
Krok 1: Nainštalujte HAProxy
Predpokladajme, že nemáte nainštalovaný HAProxy. Prvým krokom je nainštalovať ho predtým, ako ho nakonfigurujeme na implementáciu prechodu SSL. Začnite preto aktualizáciou svojho úložiska.
$ sudo apt update
Ďalej nainštalujte HAProxy z predvoleného úložiska pomocou nasledujúceho príkazu. Všimnite si, že v tomto prípade používame Ubuntu:
$ sudo apt Inštalácia haproxy
Po nainštalovaní HAProxy ste pripravení implementovať prechod SSL. Pokračuj v čítaní!
Krok 2: Implementujte prechod SSL v HAProxy
Pre tento krok musíme pristúpiť ku konfiguračnému súboru HAProxy, ktorý sa nachádza v „/etc/haproxy“ a upraviť ho, aby sme špecifikovali, ako chceme implementovať prechod SSL. Konfiguračný súbor môžete otvoriť pomocou ľubovoľného textového editora. Na túto demonštráciu sme použili nano.
$ sudo nano / atď / haproxy / haproxy, cfgPo prístupe ku konfiguračnému súboru musíte vytvoriť dve sekcie: „frontend“ a „backend“. V „frontende“ určujete, ktorý port sa má viazať pre pripojenia. Opäť musíte určiť, ktorý protokol sa má použiť a ktoré servery typu backend sa majú použiť na distribúciu prenosu.
V tomto prípade, keďže chceme zabezpečiť prevádzku, naviažeme port 443, ktorý je určený pre pripojenia HTTPS. Opäť špecifikujeme, že chceme akceptovať režim TCP, aby HAProxy fungovala na transportnej vrstve.
Pridávame tiež riadok „tcp-request“ ako pravidlo, ktoré špecifikuje trvanie, počas ktorého sa majú kontrolovať správy „ahoj“ SSL, aby sme si overili, že prijímame prevádzku SSL. Nakoniec špecifikujeme backendový server, ktorý sa má použiť na rozloženie záťaže. Naša posledná „frontendová“ časť je nasledovná:
Pre sekciu „backend“ nastavíme režim na TCP. Potom špecifikujeme IP adresy pre servery, ktoré používame na vyrovnávanie záťaže. Uistite sa, že ste tieto adresy IP nahradili tak, aby sa zhodovali s adresami vašich živých serverov, a nastavte port pripojenia na 443.
„Možnosť tcplog“ je pridaná, aby sa umožnilo zaznamenávanie problémov súvisiacich s TCP do súboru denníka, ktorý je zahrnutý v časti „global“ konfiguračného súboru.
Krok 3: Reštartujte HAProxy a otestujte konfiguráciu
Po úprave konfiguračného súboru HAProxy ho uložte a ukončite. Reštartujte službu HAProxy, aby sa zmeny uplatnili.
To je všetko! Implementovali sme prechod SSL v HAProxy. Skúste odoslať návštevnosť na váš webový server pomocou príkazu ako curl a uvidíte, ako bude reagovať. Ak je prechod SSL úspešne implementovaný, dostanete výstup, ktorý ukazuje, že pripojenie je vytvorené cez port 443, a pripojíte sa k backendovému serveru. Váš server odpovie s požadovanými podrobnosťami a poskytne 200-stavovú odpoveď.
Záver
Implementácia prechodu SSL pomáha pri vytváraní šifrovania typu end-to-end a zabezpečuje, že vaše pripojenie SSL/TLS bude zachované, keď dôjde k vyvažovaniu záťaže. Ak chcete implementovať prechod SSL v HAProxy, nainštalujte HAProxy a upravte konfiguračný súbor, aby ste určili, ako chcete, aby došlo k vyvažovaniu záťaže. Pre lepšie pochopenie procesu si pozrite uvedený príklad.