Tämä viesti alkaa keskustelemalla siitä, miksi SSL-läpiviennin käyttöönotto HAProxyssa on välttämätöntä. Keskustelemme sitten vaiheista, joita on noudatettava sen toteuttamiseksi, esimerkin avulla, jotta se on helppo ymmärtää.
Mikä on SSL-läpivienti ja miksi se on välttämätöntä?
Kuormituksen tasapainottajana HAProxy ottaa verkkopalvelimellesi ohjatun kuorman ja jakaa sen määritettyjen palvelimien kesken. Jaettava kuorma on liikennettä, joka jaetaan asiakaslaitteiden ja taustapalvelinten välillä. Turvallisuus on välttämätöntä kuormituksen tasapainottamisessa, ja siellä SSL-läpivienti tulee esiin.
Ihannetapauksessa SSL-läpivienti sisältää SSL/TLS-liikenteen välittämisen verkkopalvelimellesi ja sen jakamisen määritetyille palvelimille katkaisematta SSL/TLS-yhteyttä HAProxyssa tai muussa käyttämässäsi kuormituksen tasapainottimessa. SSL-läpiviennin avulla voit nauttia paremmasta päästä päähän -salauksesta ja asiakkaan alkuperäinen IP-osoite säilyy. Lisäksi se on suositeltu turvatoimenpide ja se luo paremman taustapalvelimen joustavuuden vähentäen HAProxyn ylikuormitusta.
Vaiheittainen opas SSL-läpiviennin käyttöönottoon HAProxyssa
Kun olet ymmärtänyt, mitä SSL-läpivienti tarkoittaa ja miksi tarvitset sitä, seuraava tehtävä on tarjota vaiheet, joita sinun tulee noudattaa ottaaksesi sen käyttöön HAProxy-kuormituksen tasapainottimessasi. Noudata annettuja vaiheita ja ota nopeasti käyttöön SSL-läpivienti HAProxy-kuormituksen tasapainottimessasi.
Vaihe 1: Asenna HAProxy
Oletetaan, että sinulla ei ole HAProxya asennettuna. Ensimmäinen askel on asentaa se ennen kuin määritämme sen toteuttamaan SSL-läpiviennin. Aloita siksi päivittämällä arkistosi.
$ sudo osuva päivitys
Asenna seuraavaksi HAProxy oletusvarastosta seuraavalla komennolla. Huomaa, että käytämme Ubuntua tähän tapaukseen:
$ sudo apt Asentaa haproxy
Kun olet asentanut HAProxyn, olet valmis ottamaan käyttöön SSL-läpiviennin. Jatka lukemista!
Vaihe 2: Ota SSL-läpivienti käyttöön HAProxyssa
Tätä vaihetta varten meidän on käytettävä HAProxy-määritystiedostoa, joka sijaitsee kohdassa /etc/haproxy, ja muokata sitä määrittääksemme, kuinka haluamme toteuttaa SSL-läpiviennin. Voit avata asetustiedoston millä tahansa tekstieditorilla. Käytimme nanoa tässä esittelyssä.
$ sudo nano / jne / haproxy / haproxy, cfgKun käytät asetustiedostoa, sinun on luotava kaksi osaa: 'etuosa' ja 'taustaosa'. 'Etuliittymässä' voit määrittää, mikä portti yhteyksiä varten sidotaan. Jälleen sinun on määritettävä, mitä protokollaa käytetään ja mitä taustapalvelimia käytetään liikenteen jakamiseen.
Tässä tapauksessa, koska haluamme suojata liikenteen, sitomme portin 443, joka on HTTPS-yhteyksiä varten. Jälleen määritämme, että haluamme hyväksyä TCP-tilan, jotta HAProxy toimii siirtokerroksessa.
Lisäämme myös 'tcp-request' -rivin sääntönä, joka määrittää, kuinka kauan SSL-'hello'-viestejä tarkastetaan varmistaaksemme, että hyväksymme SSL-liikenteen. Lopuksi määritämme kuorman jakamiseen käytettävän taustapalvelimen. Viimeinen 'etuosa' on seuraava:
'Taustaosa' -osion tilaksi asetimme TCP. Määritämme sitten IP-osoitteet palvelimille, joita käytämme kuormituksen tasapainottamiseen. Varmista, että vaihdat nämä IP-osoitteet vastaamaan reaaliaikaisten palvelimiesi IP-osoitteita ja aseta yhteysportiksi 443.
'Vaihtoehto tcplog' on lisätty mahdollistamaan TCP:hen liittyvien ongelmien kirjaaminen lokitiedostoon, joka sisältyy asetustiedoston 'global' -osioon.
Vaihe 3: Käynnistä HAProxy uudelleen ja testaa kokoonpano
Kun olet muokannut HAProxy-määritystiedostoa, tallenna se ja poistu. Käynnistä HAProxy-palvelu uudelleen, jotta muutokset tulevat voimaan.
Se siitä! Otimme käyttöön SSL-läpiviennin HAProxyssa. Yritä lähettää liikennettä verkkopalvelimellesi komennolla, kuten curl, ja katso, miten se reagoi. Jos SSL-läpivienti on toteutettu onnistuneesti, saat lähdön, joka osoittaa, että yhteys on muodostettu portin 443 kautta, ja saat yhteyden taustapalvelimeen. Palvelimesi vastaa vaadituilla tiedoilla ja antaa 200-tilan vastauksen.
Johtopäätös
SSL-läpiviennin käyttöönotto auttaa luomaan päästä päähän -salauksen ja varmistamaan, että SSL/TLS-yhteytesi säilyy kuormituksen tasapainotuksen aikana. Jos haluat ottaa SSL-läpiviennin käyttöön HAProxyssa, asenna HAProxy ja muokkaa määritystiedostoa määrittääksesi, miten haluat kuormituksen tasauksen tapahtuvan. Katso esitetty esimerkki ymmärtääksesi prosessin paremmin.