Αυτή η ανάρτηση ξεκινά συζητώντας γιατί είναι απαραίτητη η εφαρμογή της διέλευσης SSL στο HAProxy. Στη συνέχεια συζητάμε τα βήματα που πρέπει να ακολουθήσουμε για την εφαρμογή του με ένα παράδειγμα για εύκολη κατανόηση.
Τι είναι το SSL Passthrough και γιατί είναι απαραίτητο;
Ως εξισορρόπηση φορτίου, το HAProxy παίρνει το φορτίο που κατευθύνεται στον διακομιστή ιστού σας και το διανέμει στους διαμορφωμένους διακομιστές. Το φορτίο που διανέμεται είναι η κίνηση που μοιράζεται μεταξύ των συσκευών-πελάτη και των διακομιστών υποστήριξης. Η ασφάλεια είναι απαραίτητη κατά την εξισορρόπηση φορτίου, και εκεί παίζει ρόλο η διέλευση SSL.
Στην ιδανική περίπτωση, η διέλευση SSL περιλαμβάνει την προώθηση της κίνησης SSL/TLS στον διακομιστή ιστού σας και τη διανομή της στους διαμορφωμένους διακομιστές χωρίς τερματισμό της σύνδεσης SSL/TLS στο HAProxy ή σε οποιοδήποτε άλλο πρόγραμμα εξισορρόπησης φορτίου που χρησιμοποιείτε. Με τη διέλευση SSL, θα απολαύσετε καλύτερη κρυπτογράφηση από άκρο σε άκρο και η αρχική διεύθυνση IP του πελάτη θα διατηρηθεί. Επιπλέον, είναι ένα συνιστώμενο μέτρο ασφαλείας και δημιουργεί μια καλύτερη ευελιξία διακομιστή υποστήριξης, μειώνοντας την υπερφόρτωση στο HAProxy.
Οδηγός βήμα προς βήμα για τον τρόπο υλοποίησης του SSL Passthrough στο HAProxy
Έχοντας κατανοήσει τι σημαίνει διέλευση SSL και γιατί το χρειάζεστε, η επόμενη εργασία είναι να παρέχετε τα βήματα που πρέπει να ακολουθήσετε για να το εφαρμόσετε στον εξισορροπητή φορτίου HAProxy. Ακολουθήστε τα βήματα που δίνονται και εφαρμόστε γρήγορα τη διέλευση SSL στον εξισορροπητή φορτίου HAProxy.
Βήμα 1: Εγκαταστήστε το HAProxy
Ας υποθέσουμε ότι δεν έχετε εγκατεστημένο το HAProxy. Το πρώτο βήμα είναι να το εγκαταστήσετε πριν το ρυθμίσουμε ώστε να υλοποιεί τη διέλευση SSL. Επομένως, ξεκινήστε με την ενημέρωση του αποθετηρίου σας.
$ sudo εύστοχη ενημέρωση
Στη συνέχεια, εγκαταστήστε το HAProxy από το προεπιλεγμένο αποθετήριο με την ακόλουθη εντολή. Σημειώστε ότι χρησιμοποιούμε το Ubuntu για αυτήν την περίπτωση:
$ sudo κατάλληλος εγκαθιστώ απροξία
Μόλις εγκαταστήσετε το HAProxy, είστε έτοιμοι να εφαρμόσετε τη διέλευση SSL. Συνέχισε να διαβάζεις!
Βήμα 2: Εφαρμόστε το SSL Passthrough στο HAProxy
Για αυτό το βήμα, πρέπει να αποκτήσουμε πρόσβαση στο αρχείο διαμόρφωσης HAProxy που βρίσκεται στο '/etc/haproxy' και να το επεξεργαστούμε για να καθορίσουμε πώς θέλουμε να εφαρμόσουμε τη διέλευση SSL. Μπορείτε να ανοίξετε το αρχείο διαμόρφωσης με οποιοδήποτε πρόγραμμα επεξεργασίας κειμένου. Χρησιμοποιήσαμε nano για αυτήν την επίδειξη.
$ sudo νανο / και τα λοιπά / απροξία / αφροξία, cfgΜόλις αποκτήσετε πρόσβαση στο αρχείο διαμόρφωσης, υπάρχουν δύο ενότητες που πρέπει να δημιουργήσετε: το 'frontend' και το 'backend'. Στο 'frontend', εκεί καθορίζετε ποια θύρα θα δεσμευτεί για συνδέσεις. Και πάλι, πρέπει να καθορίσετε ποιο πρωτόκολλο να χρησιμοποιήσετε και ποιους διακομιστές υποστήριξης να χρησιμοποιήσετε για τη διανομή της κυκλοφορίας.
Για αυτήν την περίπτωση, αφού θέλουμε να εξασφαλίσουμε την κίνηση, θα δεσμεύσουμε τη θύρα 443 που είναι για συνδέσεις HTTPS. Και πάλι, διευκρινίζουμε ότι θέλουμε να αποδεχθούμε τη λειτουργία TCP για να λειτουργεί το HAProxy στο επίπεδο μεταφοράς.
Προσθέτουμε επίσης τη γραμμή 'tcp-request' ως κανόνα που καθορίζει τη διάρκεια για την οποία θα επιθεωρούνται τα μηνύματα SSL 'hello' για να επαληθεύσουμε ότι αποδεχόμαστε την κίνηση SSL. Τέλος, καθορίζουμε τον διακομιστή υποστήριξης που θα χρησιμοποιηθεί για τη διανομή φορτίου. Η τελευταία μας ενότητα 'frontend' είναι η εξής:
Για την ενότητα 'backend', ορίσαμε τη λειτουργία σε TCP. Στη συνέχεια καθορίζουμε τις διευθύνσεις IP για τους διακομιστές που χρησιμοποιούμε για την εξισορρόπηση φορτίου. Βεβαιωθείτε ότι έχετε αντικαταστήσει αυτές τις IP για να ταιριάζουν με αυτές των ζωντανών διακομιστών σας και ορίστε τη θύρα σύνδεσης σε 443.
Η 'επιλογή tcplog' προστίθεται για να επιτρέπεται η καταγραφή ζητημάτων που σχετίζονται με το TCP στο αρχείο καταγραφής που περιλαμβάνεται στην ενότητα 'καθολική' του αρχείου διαμόρφωσης.
Βήμα 3: Επανεκκινήστε το HAProxy και δοκιμάστε τη διαμόρφωση
Μόλις επεξεργαστείτε το αρχείο διαμόρφωσης HAProxy, αποθηκεύστε το και βγείτε. Επανεκκινήστε την υπηρεσία HAProxy για να εφαρμοστούν οι αλλαγές.
Αυτό είναι! Υλοποιήσαμε τη διέλευση SSL στο HAProxy. Δοκιμάστε να στείλετε μια επισκεψιμότητα στον διακομιστή ιστού σας χρησιμοποιώντας μια εντολή όπως το curl και δείτε πώς ανταποκρίνεται. Εάν η διέλευση SSL υλοποιηθεί με επιτυχία, θα λάβετε μια έξοδο που θα δείχνει ότι η σύνδεση πραγματοποιείται μέσω της θύρας 443 και θα συνδεθείτε στον διακομιστή υποστήριξης. Ο διακομιστής σας θα απαντήσει με τις απαιτούμενες λεπτομέρειες και θα δώσει μια απάντηση κατάστασης 200.
συμπέρασμα
Η εφαρμογή της διέλευσης SSL βοηθά στη δημιουργία μιας κρυπτογράφησης από άκρο σε άκρο και στη διασφάλιση ότι η σύνδεσή σας SSL/TLS διατηρείται καθώς πραγματοποιείται η εξισορρόπηση φορτίου. Για να εφαρμόσετε τη διέλευση SSL στο HAProxy, εγκαταστήστε το HAProxy και επεξεργαστείτε το αρχείο διαμόρφωσης για να καθορίσετε πώς θέλετε να πραγματοποιηθεί η εξισορρόπηση φορτίου. Ανατρέξτε στο παρουσιαζόμενο παράδειγμα για να κατανοήσετε καλύτερα τη διαδικασία.