פוסט זה מתחיל בדיון מדוע יישום מעבר SSL ב-HAProxy הוא חיוני. לאחר מכן נדון בשלבים שיש לבצע כדי ליישם אותו עם דוגמה להבנה קלה.
מהי SSL Passthrough ומדוע זה חיוני?
כמאזן עומסים, HAProxy לוקחת את העומס המופנה לשרת האינטרנט שלך ומפיצה אותו על פני השרתים המוגדרים. העומס שמופץ הוא התעבורה שמתחלקת בין מכשירי הלקוח לבין שרתי הקצה האחורי. אבטחה חיונית בעת איזון עומסים, וכאן נכנסת לתמונה העברת SSL.
באופן אידיאלי, מעבר SSL כרוך בהעברת תעבורת SSL/TLS לשרת האינטרנט שלך והפצתה לשרתים המוגדרים מבלי לסיים את חיבור ה-SSL/TLS ב-HAProxy או בכל מאזן עומס אחר שבו אתה משתמש. עם מעבר SSL, תוכלו ליהנות מהצפנה טובה יותר מקצה לקצה, וכתובת ה-IP המקורית של הלקוח תישמר. יתר על כן, זהו אמצעי אבטחה מומלץ והוא יוצר גמישות טובה יותר של שרת אחורי, ומפחית את עומס היתר על HAProxy.
מדריך שלב אחר שלב כיצד ליישם את מעבר SSL ב-HAProxy
לאחר שהבנת מה המשמעות של מעבר SSL ומדוע אתה צריך את זה, המשימה הבאה היא לספק את השלבים שעליך לבצע כדי ליישם אותו במאזן העומס של HAProxy. בצע את השלבים המפורטים והטמיע במהירות את מעבר SSL במאזן העומס של HAProxy שלך.
שלב 1: התקן את HAProxy
נניח שאין לך HAProxy מותקן. הצעד הראשון הוא להתקין אותו לפני שאנו מגדירים אותו ליישם את מעבר SSL. לכן, התחל בעדכון המאגר שלך.
$ סודו עדכון מתאים
לאחר מכן, התקן את HAProxy ממאגר ברירת המחדל עם הפקודה הבאה. שימו לב שאנו משתמשים באובונטו למקרה זה:
$ סודו מַתְאִים להתקין האפרוקסי
לאחר שתתקין את HAProxy, אתה מוכן ליישם את מעבר SSL. תמשיך לקרוא!
שלב 2: הטמע את ה-SSL Passthrough ב-HAProxy
עבור שלב זה, עלינו לגשת לקובץ התצורה של HAProxy שנמצא ב-'/etc/haproxy' ולערוך אותו כדי לציין כיצד ברצוננו ליישם את מעבר SSL. אתה יכול לפתוח את קובץ התצורה עם כל עורך טקסט. השתמשנו בננו להדגמה הזו.
$ סודו ננו / וכו / האפרוקסי / הפרוקסי, cfgברגע שאתה ניגש לקובץ התצורה, יש שני קטעים שעליך ליצור: ה-'frontend' ו-'backend'. ב'חזית', זה המקום שבו אתה מציין איזו יציאה לאגד עבור חיבורים. שוב, עליך לציין באיזה פרוטוקול להשתמש ובאילו שרתי אחורי להשתמש כדי להפיץ את התעבורה.
במקרה זה, מכיוון שאנו רוצים לאבטח את התעבורה, נאגד את פורט 443 אשר מיועד לחיבורי HTTPS. שוב, אנו מציינים שאנו רוצים לקבל את מצב ה-TCP עבור HAProxy לפעול בשכבת התחבורה.
אנו גם מוסיפים את שורת 'tcp-request' ככלל המציינת את משך הזמן שבו יש לבדוק את הודעות ה-SSL 'שלום' כדי לוודא שאנו מקבלים את תעבורת ה-SSL. לבסוף, אנו מציינים את השרת האחורי שישמש עבור הפצת עומסים. סעיף ה'חזית' האחרון שלנו הוא כדלקמן:
עבור הקטע 'גבי', הגדרנו את המצב ל-TCP. לאחר מכן אנו מציינים את כתובות ה-IP עבור השרתים שבהם אנו משתמשים עבור איזון העומס. ודא שאתה מחליף כתובות IP אלה כך שיתאימו לאלו של השרתים החיים שלך והגדר את יציאת החיבור ל-443.
'אפשרות tcplog' מתווספת כדי לאפשר רישום של בעיות הקשורות ל-TCP בקובץ היומן שנכלל בקטע 'גלובלי' של קובץ התצורה.
שלב 3: הפעל מחדש את HAProxy ובדוק את התצורה
לאחר עריכת קובץ התצורה של HAProxy, שמור אותו וצא. הפעל מחדש את שירות HAProxy כדי שהשינויים יחולו.
זהו זה! הטמענו את מעבר SSL ב-HAProxy. נסה לשלוח תנועה לשרת האינטרנט שלך באמצעות פקודה כמו curl וראה כיצד היא מגיבה. אם מעבר ה-SSL מיושם בהצלחה, תקבל פלט שמראה שהחיבור מתבצע דרך יציאה 443, ותתחבר לשרת הקצה האחורי. השרת שלך יגיב עם הפרטים הנדרשים ויתן תגובה של 200 סטטוסים.
סיכום
הטמעת מעבר SSL מסייעת ביצירת הצפנה מקצה לקצה ובהבטחה שחיבור ה-SSL/TLS שלך נשמר בזמן שמתרחש איזון העומס. כדי ליישם את מעבר SSL ב-HAProxy, התקן את HAProxy וערוך את קובץ התצורה כדי לציין כיצד ברצונך שאיזון העומס יתרחש. עיין בדוגמה המוצגת כדי להבין את התהליך טוב יותר.