Această postare începe prin a discuta de ce implementarea SSL passthrough în HAProxy este esențială. Discutăm apoi pașii de urmat pentru a-l implementa cu un exemplu pentru o înțelegere ușoară.
Ce este SSL Passthrough și de ce este esențial?
Ca echilibrator de încărcare, HAProxy preia sarcina direcționată către serverul dvs. web și o distribuie pe serverele configurate. Sarcina care este distribuită este traficul care este partajat între dispozitivele client și serverele backend. Securitatea este esențială la echilibrarea încărcăturii și aici intervine SSL passthrough.
În mod ideal, trecerea SSL implică redirecționarea traficului SSL/TLS către serverul dvs. web și distribuirea acestuia către serverele configurate fără a termina conexiunea SSL/TLS la HAProxy sau la orice alt echilibrator de încărcare pe care îl utilizați. Cu SSL passthrough, vă veți bucura de o criptare end-to-end mai bună, iar adresa IP originală a clientului va fi păstrată. În plus, este o măsură de securitate recomandată și creează o mai bună flexibilitate a serverului backend, reducând supraîncărcarea pe HAProxy.
Ghid pas cu pas despre cum să implementați SSL Passthrough în HAProxy
După ce ați înțeles ce înseamnă trecerea SSL și de ce aveți nevoie de el, următoarea sarcină este să furnizați pașii pe care ar trebui să-i urmați pentru a-l implementa în echilibrul de încărcare HAProxy. Urmați pașii indicați și implementați rapid trecerea SSL pe echilibrantul de încărcare HAProxy.
Pasul 1: Instalați HAProxy
Să presupunem că nu aveți instalat HAProxy. Primul pas este să-l instalăm înainte de a-l configura să implementeze SSL passthrough. Prin urmare, începeți prin a vă actualiza depozitul.
$ sudo actualizare apt
Apoi, instalați HAProxy din depozitul implicit cu următoarea comandă. Rețineți că folosim Ubuntu pentru acest caz:
$ sudo apt instalare haproxy
Odată ce ați instalat HAProxy, sunteți gata să implementați SSL passthrough. Citește mai departe!
Pasul 2: implementați SSL Passthrough în HAProxy
Pentru acest pas, trebuie să accesăm fișierul de configurare HAProxy aflat în „/etc/haproxy” și să-l edităm pentru a specifica modul în care dorim să implementăm SSL passthrough. Puteți deschide fișierul de configurare cu orice editor de text. Am folosit nano pentru această demonstrație.
$ sudo nano / etc / haproxy / haproxy, cfgOdată ce accesați fișierul de configurare, există două secțiuni pe care trebuie să le creați: „frontend” și „backend”. În „frontend”, acolo specificați ce port să legați pentru conexiuni. Din nou, trebuie să specificați ce protocol să utilizați și ce servere backend să utilizați pentru a distribui traficul.
În acest caz, deoarece dorim să securizăm traficul, vom lega portul 443, care este pentru conexiunile HTTPS. Din nou, precizăm că vrem să acceptăm modul TCP pentru ca HAProxy să funcționeze la nivelul de transport.
Adăugăm, de asemenea, linia „tcp-request” ca regulă care specifică durata pentru care să inspectăm mesajele SSL „hello” pentru a verifica dacă acceptăm traficul SSL. În cele din urmă, specificăm serverul backend de utilizat pentru distribuirea încărcării. Secțiunea noastră finală „frontend” este următoarea:
Pentru secțiunea „backend”, am setat modul la TCP. Specificăm apoi adresele IP pentru serverele pe care le folosim pentru echilibrarea încărcăturii. Asigurați-vă că înlocuiți aceste IP-uri pentru a se potrivi cu cele ale serverelor dvs. live și setați portul de conectare la 443.
„Opțiunea tcplog” este adăugată pentru a permite înregistrarea problemelor legate de TCP în fișierul jurnal care este inclus în secțiunea „global” a fișierului de configurare.
Pasul 3: Reporniți HAProxy și testați configurația
După ce ați editat fișierul de configurare HAProxy, salvați-l și ieșiți. Reporniți serviciul HAProxy pentru ca modificările să se aplice.
Asta este! Am implementat trecerea SSL în HAProxy. Încercați să trimiteți un trafic către serverul dvs. web folosind o comandă precum curl și vedeți cum răspunde. Dacă trecerea SSL este implementată cu succes, veți obține o ieșire care arată că conexiunea se realizează prin portul 443 și veți fi conectat la serverul backend. Serverul dvs. va răspunde cu detaliile necesare și va oferi un răspuns cu 200 de statusuri.
Concluzie
Implementarea SSL passthrough ajută la crearea unei criptări end-to-end și la asigurarea menținerii conexiunii SSL/TLS pe măsură ce are loc echilibrarea sarcinii. Pentru a implementa transferul SSL în HAProxy, instalați HAProxy și editați fișierul de configurare pentru a specifica modul în care doriți să aibă loc echilibrarea sarcinii. Consultați exemplul prezentat pentru a înțelege mai bine procesul.