Kuidas rakendada SSL-i läbipääsu HAProxys

See postitus algab aruteluga, miks on SSL-i läbipääsu rakendamine HAProxys hädavajalik. Seejärel arutame lihtsamaks mõistmiseks näite abil selle rakendamiseks järgitavaid samme.

Mis on SSL-i läbipääs ja miks see on oluline?

Koormuse tasakaalustajana võtab HAProxy teie veebiserverile suunatud koormuse ja jaotab selle konfigureeritud serverite vahel. Jaotatav koormus on liiklus, mida jagatakse kliendiseadmete ja taustaserverite vahel. Turvalisus on koormuse tasakaalustamisel oluline ja siin tuleb mängu SSL-i läbimine.

Ideaalis hõlmab SSL-i läbimine SSL/TLS-liikluse edastamist teie veebiserverisse ja selle levitamist konfigureeritud serveritesse ilma SSL/TLS-ühendust katkestamata HAProxy või mõne muu teie kasutatava koormuse tasakaalustaja juures. SSL-i läbipääsuga saate nautida paremat täielikku krüptimist ja kliendi algne IP-aadress säilib. Lisaks on see soovitatav turvameede ja see loob parema taustaserveri paindlikkuse, vähendades HAProxy ülekoormust.

Üksikasjalik juhend SSL-i läbipääsu rakendamiseks HAProxys

Olles aru saanud, mida SSL-i läbimine tähendab ja miks te seda vajate, on järgmiseks ülesandeks esitada sammud, mida peaksite järgima selle rakendamiseks oma HAProxy koormuse tasakaalustajas. Järgige antud samme ja rakendage kiiresti SSL-i läbilaskevõime oma HAProxy koormuse tasakaalustajas.

1. samm: installige HAProxy

Oletame, et teil pole HAProxy installitud. Esimene samm on selle installimine, enne kui konfigureerime selle SSL-i läbipääsu juurutamiseks. Seetõttu alustage hoidla värskendamisest.

Järgmisena installige HAProxy vaikehoidlast järgmise käsuga. Pange tähele, et me kasutame sel juhul Ubuntut:

Kui olete HAProxy installinud, olete valmis SSL-i läbipääsu juurutama. Loe edasi!

2. samm: rakendage HAProxys SSL-i läbipääsu

Selle sammu jaoks peame pääsema juurde HAProxy konfiguratsioonifailile, mis asub kaustas „/etc/haproxy”, ja muutma seda, et täpsustada, kuidas soovime SSL-i läbipääsu rakendada. Konfiguratsioonifaili saate avada mis tahes tekstiredaktoriga. Selle demonstratsiooni jaoks kasutasime nano-t.

Kui avate konfiguratsioonifaili, peate looma kaks jaotist: 'frontend' ja 'backend'. Seal saate määrata, milline port ühenduste jaoks siduda. Jällegi peate määrama, millist protokolli kasutada ja milliseid taustaservereid liikluse jaotamiseks kasutada.

Sel juhul, kuna tahame liiklust turvata, seome pordi 443, mis on mõeldud HTTPS-ühenduste jaoks. Jällegi täpsustame, et tahame aktsepteerida TCP-režiimi, et HAProxy saaks transpordikihis töötada.

Samuti lisame reeglina rea ​​„tcp-request”, mis määrab SSL-i „tere” sõnumite kontrollimise kestuse, et kontrollida, kas me aktsepteerime SSL-liiklust. Lõpuks määrame koormuse jaotamiseks kasutatava taustaserveri. Meie viimane 'esiosa' jaotis on järgmine:

Sektsiooni 'Tagaprogramm' jaoks määrasime režiimiks TCP. Seejärel määrame koormuse tasakaalustamiseks kasutatavate serverite IP-aadressid. Veenduge, et asendate need IP-d, et need vastaksid teie reaalajas serverite omadele, ja määrake ühenduspordiks 443.

„Valik tcplog” lisatakse, et võimaldada TCP-ga seotud probleemide logimist logifailis, mis sisaldub konfiguratsioonifaili jaotises „globaalne”.

3. samm: taaskäivitage HAProxy ja testige konfiguratsiooni

Kui olete HAProxy konfiguratsioonifaili redigeerinud, salvestage see ja väljuge. Muudatuste rakendumiseks taaskäivitage teenus HAProxy.

See on kõik! Rakendasime HAProxys SSL-i läbipääsu. Proovige saata liiklust oma veebiserverisse käsuga curl ja vaadake, kuidas see reageerib. Kui SSL-i läbimine on edukalt rakendatud, saate väljundi, mis näitab, et ühendus on loodud pordi 443 kaudu, ja saate ühenduse taustaserveriga. Teie server vastab nõutud üksikasjadega ja annab 200 oleku vastuse.

Järeldus

SSL-i läbipääsu rakendamine aitab luua täielikku krüptimist ja tagada, et teie SSL/TLS-ühendus säilib koormuse tasakaalustamise ajal. SSL-i läbipääsu juurutamiseks HAProxys installige HAProxy ja redigeerige konfiguratsioonifaili, et määrata, kuidas soovite koormuse tasakaalustamist. Protsessi paremaks mõistmiseks vaadake esitatud näidet.