Ten post rozpoczyna się od omówienia, dlaczego wdrożenie protokołu SSL w HAProxy jest tak istotne. Następnie omówimy kroki, które należy wykonać, aby je wdrożyć, podając przykład ułatwiający zrozumienie.
Co to jest przekazywanie SSL i dlaczego jest niezbędne?
Jako moduł równoważenia obciążenia, HAProxy przejmuje obciążenie skierowane do Twojego serwera WWW i rozdziela je na skonfigurowane serwery. Rozdzielane obciążenie to ruch współdzielony pomiędzy urządzeniami klienckimi i serwerami zaplecza. Bezpieczeństwo jest niezbędne podczas równoważenia obciążenia i wtedy w grę wchodzi przekazywanie SSL.
W idealnym przypadku przekazywanie SSL obejmuje przekazywanie ruchu SSL/TLS do serwera WWW i dystrybucję go do skonfigurowanych serwerów bez przerywania połączenia SSL/TLS w HAProxy lub innym używanym systemie równoważenia obciążenia. Dzięki przejściu SSL będziesz cieszyć się lepszym szyfrowaniem typu end-to-end, a oryginalny adres IP klienta zostanie zachowany. Co więcej, jest to zalecany środek bezpieczeństwa, który zapewnia większą elastyczność serwera zaplecza, zmniejszając obciążenie HAProxy.
Przewodnik krok po kroku dotyczący implementacji przekazywania protokołu SSL w HAProxy
Po zrozumieniu, co oznacza przekazywanie SSL i dlaczego jest ono potrzebne, następnym zadaniem jest podanie kroków, które należy wykonać, aby zaimplementować je w systemie równoważenia obciążenia HAProxy. Postępuj zgodnie z podanymi krokami i szybko zaimplementuj przekazywanie SSL w systemie równoważenia obciążenia HAProxy.
Krok 1: Zainstaluj HAProxy
Załóżmy, że nie masz zainstalowanego HAProxy. Pierwszym krokiem jest jego zainstalowanie, zanim skonfigurujemy go do implementacji przejścia SSL. Dlatego zacznij od aktualizacji repozytorium.
$ sudo trafna aktualizacja
Następnie zainstaluj HAProxy z domyślnego repozytorium za pomocą następującego polecenia. Pamiętaj, że w tym przypadku używamy Ubuntu:
$ sudo trafny zainstalować haproksy
Po zainstalowaniu HAProxy możesz przystąpić do wdrożenia protokołu SSL. Czytaj!
Krok 2: Zaimplementuj przekazywanie SSL w HAProxy
Na tym etapie musimy uzyskać dostęp do pliku konfiguracyjnego HAProxy znajdującego się w „/etc/haproxy” i edytować go, aby określić, w jaki sposób chcemy zaimplementować przekazywanie SSL. Możesz otworzyć plik konfiguracyjny za pomocą dowolnego edytora tekstu. Do tej demonstracji użyliśmy nano.
$ sudo nano / itp / haproksy / haproxy, porPo uzyskaniu dostępu do pliku konfiguracyjnego należy utworzyć dwie sekcje: „frontend” i „backend”. W „frontendzie” określasz, który port ma być powiązany dla połączeń. Ponownie musisz określić, jakiego protokołu użyć i jakich serwerów zaplecza użyć do dystrybucji ruchu.
W tym przypadku, ponieważ chcemy zabezpieczyć ruch, powiążemy port 443, który będzie przeznaczony dla połączeń HTTPS. Ponownie określamy, że chcemy zaakceptować tryb TCP, aby HAProxy działał w warstwie transportowej.
Dodajemy także linię „tcp-request” jako regułę określającą czas, przez jaki należy sprawdzać wiadomości „hello” SSL, aby sprawdzić, czy akceptujemy ruch SSL. Na koniec określamy serwer zaplecza, który będzie używany do dystrybucji obciążenia. Nasza ostatnia sekcja „frontend” wygląda następująco:
W sekcji „backend” ustawiamy tryb na TCP. Następnie określamy adresy IP serwerów, których używamy do równoważenia obciążenia. Upewnij się, że zastąpiłeś te adresy IP, aby odpowiadały adresom serwerów działających na żywo i ustaw port połączenia na 443.
Dodano „opcję tcplog”, aby umożliwić rejestrowanie problemów związanych z protokołem TCP w pliku dziennika zawartym w sekcji „globalnej” pliku konfiguracyjnego.
Krok 3: Uruchom ponownie HAProxy i przetestuj konfigurację
Po edycji pliku konfiguracyjnego HAProxy zapisz go i wyjdź. Uruchom ponownie usługę HAProxy, aby zmiany zostały zastosowane.
Otóż to! Wdrożyliśmy przejście SSL w HAProxy. Spróbuj wysłać ruch do swojego serwera internetowego za pomocą polecenia takiego jak curl i zobacz, jak zareaguje. Jeśli przejście SSL zostanie pomyślnie zaimplementowane, otrzymasz dane wyjściowe pokazujące, że połączenie zostało nawiązane przez port 443 i zostaniesz połączony z serwerem zaplecza. Twój serwer odpowie, podając wymagane szczegóły i przekaże odpowiedź o statusie 200.
Wniosek
Wdrożenie przejścia SSL pomaga w utworzeniu kompleksowego szyfrowania i zapewnieniu utrzymania połączenia SSL/TLS podczas równoważenia obciążenia. Aby zaimplementować przekazywanie SSL w HAProxy, zainstaluj HAProxy i edytuj plik konfiguracyjny, aby określić, w jaki sposób chcesz, aby odbywało się równoważenie obciążenia. Aby lepiej zrozumieć proces, zapoznaj się z przedstawionym przykładem.