Тази публикация започва с обсъждане защо прилагането на SSL passthrough в HAProxy е от съществено значение. След това обсъждаме стъпките, които трябва да следвате, за да го приложите с пример за лесно разбиране.
Какво е SSL Passthrough и защо е от съществено значение?
Като балансьор на натоварването, HAProxy поема натоварването, насочено към вашия уеб сървър, и го разпределя между конфигурираните сървъри. Товарът, който се разпределя, е трафикът, който се споделя между клиентските устройства и задните сървъри. Сигурността е от съществено значение при балансирането на натоварването и това е мястото, където SSL преминаването влиза в игра.
В идеалния случай преминаването на SSL включва пренасочване на SSL/TLS трафика към вашия уеб сървър и разпространението му към конфигурираните сървъри, без да се прекъсва SSL/TLS връзката в HAProxy или друг инструмент за балансиране на натоварването, който използвате. С SSL passthrough ще се насладите на по-добро криптиране от край до край и оригиналният IP адрес на клиента ще бъде запазен. Освен това, това е препоръчителна мярка за сигурност и създава по-добра гъвкавост на бекенд сървъра, намалявайки претоварването на HAProxy.
Ръководство стъпка по стъпка за това как да внедрите SSL Passthrough в HAProxy
След като сте разбрали какво означава SSL passthrough и защо имате нужда от него, следващата задача е да предоставите стъпките, които трябва да следвате, за да го внедрите във вашия HAProxy load balancer. Следвайте дадените стъпки и бързо внедрете SSL passthrough на вашия HAProxy load balancer.
Стъпка 1: Инсталирайте HAProxy
Да предположим, че нямате инсталиран HAProxy. Първата стъпка е да го инсталираме, преди да го конфигурираме за прилагане на SSL passthrough. Затова започнете с актуализиране на вашето хранилище.
$ sudo подходяща актуализация
След това инсталирайте HAProxy от хранилището по подразбиране със следната команда. Обърнете внимание, че използваме Ubuntu за този случай:
$ sudo ап Инсталирай хапрокси
След като инсталирате HAProxy, вие сте готови да внедрите SSL passthrough. Прочетете!
Стъпка 2: Внедрете SSL Passthrough в HAProxy
За тази стъпка трябва да получим достъп до конфигурационния файл на HAProxy, намиращ се в „/etc/haproxy“ и да го редактираме, за да уточним как искаме да приложим SSL passthrough. Можете да отворите конфигурационния файл с всеки текстов редактор. Използвахме нано за тази демонстрация.
$ sudo нано / и т.н / хапрокси / haproxy,cfgСлед като получите достъп до конфигурационния файл, има два раздела, които трябва да създадете: „frontend“ и „backend“. В „frontend“ там посочвате кой порт да се свързва за връзки. Отново трябва да посочите кой протокол да използвате и кои бекенд сървъри да използвате за разпределяне на трафика.
В този случай, тъй като искаме да защитим трафика, ще обвържем порт 443, който е за HTTPS връзки. Отново уточняваме, че искаме да приемем TCP режима за HAProxy да работи на транспортния слой.
Ние също така добавяме реда „tcp-request“ като правило, което определя продължителността, за която да се проверяват SSL съобщенията „hello“, за да се провери дали приемаме SSL трафика. И накрая, ние определяме бекенд сървъра, който да се използва за разпределение на натоварването. Нашата последна секция „frontend“ е както следва:
За секцията „backend“ задаваме режим на TCP. След това посочваме IP адресите за сървърите, които използваме за балансиране на натоварването. Уверете се, че сте заменили тези IP адреси, за да съответстват на тези на вашите активни сървъри и задайте порта за връзка на 443.
„Опцията tcplog“ се добавя, за да позволи записването на проблеми, свързани с TCP, в регистрационния файл, който е включен в раздела „глобален“ на конфигурационния файл.
Стъпка 3: Рестартирайте HAProxy и тествайте конфигурацията
След като редактирате конфигурационния файл на HAProxy, запазете го и излезте. Рестартирайте услугата HAProxy, за да се приложат промените.
Това е! Внедрихме SSL passthrough в HAProxy. Опитайте да изпратите трафик към вашия уеб сървър с помощта на команда като curl и вижте как ще реагира. Ако преминаването на SSL е внедрено успешно, ще получите изход, показващ, че връзката е направена през порт 443, и ще се свържете към бекенд сървъра. Вашият сървър ще отговори с необходимите подробности и ще даде отговор със статус 200.
Заключение
Внедряването на SSL passthrough помага за създаването на криптиране от край до край и гарантира, че вашата SSL/TLS връзка се поддържа, докато се извършва балансирането на натоварването. За да внедрите SSL passthrough в HAProxy, инсталирайте HAProxy и редактирайте конфигурационния файл, за да посочите как искате да се извърши балансирането на натоварването. Обърнете се към представения пример, за да разберете по-добре процеса.