Ez a bejegyzés azzal kezdődik, hogy megvitatjuk, miért elengedhetetlen az SSL áthárítás megvalósítása a HAProxyban. Ezután a könnyebb érthetőség érdekében egy példán keresztül megbeszéljük a megvalósításhoz követendő lépéseket.
Mi az SSL Passthrough és miért elengedhetetlen?
Terheléselosztóként a HAProxy átveszi a webszerverre irányított terhelést, és szétosztja a konfigurált szerverek között. Az elosztott terhelés az ügyféleszközök és a háttérkiszolgálók között megosztott forgalom. A biztonság elengedhetetlen a terheléselosztás során, és itt jön szóba az SSL áthárítás.
Ideális esetben az SSL áthárítás magában foglalja az SSL/TLS forgalom továbbítását a webszerverre, majd elosztását a konfigurált szerverekre anélkül, hogy megszakítaná az SSL/TLS kapcsolatot a HAProxyban vagy bármely más terheléselosztóban, amelyet használ. Az SSL átjárással jobb végpontok közötti titkosítást élvezhet, és az ügyfél eredeti IP-címe megmarad. Ezenkívül ez egy ajánlott biztonsági intézkedés, és jobb háttérkiszolgálói rugalmasságot biztosít, csökkentve a HAProxy túlterhelését.
Lépésről lépésre útmutató az SSL áthárítás megvalósításához a HAProxyban
Miután megértette, mit jelent az SSL áthárítás, és miért van rá szüksége, a következő feladat az, hogy megadja azokat a lépéseket, amelyeket követnie kell a HAProxy terheléselosztójában való megvalósításához. Kövesse a megadott lépéseket, és gyorsan alkalmazza az SSL áthárítást a HAProxy terheléselosztón.
1. lépés: Telepítse a HAProxyt
Tegyük fel, hogy nincs telepítve a HAProxy. Az első lépés a telepítés, mielőtt konfigurálnánk az SSL áthárítás megvalósítására. Ezért kezdje a tárhely frissítésével.
$ sudo találó frissítés
Ezután telepítse a HAProxyt az alapértelmezett lerakatból a következő paranccsal. Vegye figyelembe, hogy erre az esetre Ubuntut használunk:
$ sudo alkalmas telepítés haproxy
A HAProxy telepítése után készen áll az SSL áthárítás megvalósítására. Olvass tovább!
2. lépés: Valósítsa meg az SSL Passthrough-t a HAProxyban
Ehhez a lépéshez el kell érnünk az „/etc/haproxy” fájlban található HAProxy konfigurációs fájlt, és szerkesztenünk kell, hogy megadjuk, hogyan kívánjuk megvalósítani az SSL áthárítást. A konfigurációs fájlt bármelyik szövegszerkesztővel megnyithatja. A bemutatóhoz nano-t használtunk.
$ sudo nano / stb / haproxy / haproxy, vöA konfigurációs fájl elérése után két részt kell létrehoznia: a „frontendet” és a „backendet”. A „frontend”-ben itt adja meg, hogy melyik portot köti össze a kapcsolatokhoz. Ismét meg kell adnia, hogy melyik protokollt használja, és mely háttérkiszolgálókat használja a forgalom elosztására.
Ebben az esetben, mivel biztosítani akarjuk a forgalmat, a 443-as portot kötjük, amely a HTTPS-kapcsolatokhoz való. Ismét megadjuk, hogy el akarjuk fogadni a TCP-módot, hogy a HAProxy működjön a szállítási rétegen.
Szabályként hozzáadjuk a „tcp-request” sort is, amely meghatározza az SSL „hello” üzenetek ellenőrzésének időtartamát, hogy megbizonyosodjunk arról, hogy elfogadjuk-e az SSL forgalmat. Végül megadjuk a terheléselosztáshoz használandó háttérkiszolgálót. Az utolsó „frontend” szakaszunk a következő:
A „háttér” résznél a módot TCP-re állítottuk. Ezután megadjuk a terheléselosztáshoz használt szerverek IP-címeit. Győződjön meg arról, hogy ezeket az IP-címeket úgy cseréli ki, hogy azok megfeleljenek az élő szerverekéinek, és állítsa a csatlakozási portot 443-ra.
A „tcplog opció” hozzáadásra kerül, hogy lehetővé tegye a TCP-vel kapcsolatos problémák naplózását a konfigurációs fájl „global” szakaszában található naplófájlban.
3. lépés: Indítsa újra a HAProxyt, és tesztelje a konfigurációt
Miután szerkesztette a HAProxy konfigurációs fájlt, mentse el, és lépjen ki. Indítsa újra a HAProxy szolgáltatást a módosítások érvénybe lépéséhez.
Ez az! Az SSL áthárítást a HAProxyban implementáltuk. Próbáljon forgalmat küldeni a webszervernek olyan paranccsal, mint a curl, és nézze meg, hogyan reagál. Ha az SSL áthárítás sikeresen megtörtént, akkor kap egy kimenetet, amely megmutatja, hogy a kapcsolat a 443-as porton keresztül jön létre, és csatlakozni fog a háttérkiszolgálóhoz. A szerver válaszol a szükséges adatokkal, és 200-as állapotú választ ad.
Következtetés
Az SSL áthárítás megvalósítása segít a végpontok közötti titkosítás létrehozásában és annak biztosításában, hogy az SSL/TLS kapcsolat megmaradjon a terheléselosztás során. Az SSL áthárításának HAProxyban való megvalósításához telepítse a HAProxy-t, és szerkessze a konfigurációs fájlt a terheléselosztás módjának megadásához. A folyamat jobb megértéséhez tekintse meg a bemutatott példát.