Šis įrašas prasideda aptariant, kodėl HAProxy įdiegti SSL perėjimą yra būtina. Tada aptariame veiksmus, kurių reikia imtis norint jį įgyvendinti, pateikdami pavyzdį, kad būtų lengviau suprasti.
Kas yra SSL perėjimas ir kodėl jis būtinas?
Kaip apkrovos balansavimo priemonė, HAProxy priima apkrovą, nukreiptą į jūsų žiniatinklio serverį, ir paskirsto ją sukonfigūruotuose serveriuose. Paskirstoma apkrova yra srautas, kuris dalijamas tarp kliento įrenginių ir galinių serverių. Saugumas yra būtinas balansuojant apkrovą, todėl čia atsiranda SSL perdavimas.
Idealiu atveju SSL perdavimas apima SSL/TLS srauto persiuntimą į jūsų žiniatinklio serverį ir jo paskirstymą sukonfigūruotiems serveriams nenutraukiant SSL/TLS ryšio per HAProxy ar bet kurį kitą jūsų naudojamą apkrovos balansavimo priemonę. Naudodami SSL perdavimą galėsite mėgautis geresniu šifravimu nuo galo iki galo ir bus išsaugotas originalus kliento IP adresas. Be to, tai yra rekomenduojama saugos priemonė ir sukuria geresnį užpakalinio serverio lankstumą, sumažindama HAProxy perkrovą.
Žingsnis po žingsnio vadovas, kaip įdiegti SSL perėjimą HAProxy
Supratę, ką reiškia SSL perdavimas ir kodėl jums jo reikia, kita užduotis yra pateikti veiksmus, kuriuos turėtumėte atlikti, kad jį įdiegtumėte savo HAProxy apkrovos balansavimo priemonėje. Atlikite nurodytus veiksmus ir greitai įdiekite SSL perdavimą savo HAProxy apkrovos balansavimo priemonėje.
1 veiksmas: įdiekite HAProxy
Tarkime, kad neįdiegėte HAProxy. Pirmas žingsnis yra jį įdiegti prieš sukonfigūruojant, kad įdiegtų SSL perdavimą. Todėl pradėkite nuo saugyklos atnaujinimo.
$ sudo tinkamas atnaujinimas
Tada įdiekite HAProxy iš numatytosios saugyklos naudodami šią komandą. Atminkite, kad šiuo atveju naudojame Ubuntu:
$ sudo apt diegti haproxy
Įdiegę HAProxy, būsite pasirengę įdiegti SSL perdavimą. Skaityk!
2 veiksmas: įdiekite SSL perėjimą HAProxy
Norėdami atlikti šį veiksmą, turime pasiekti HAProxy konfigūracijos failą, esantį „/etc/haproxy“, ir jį redaguoti, kad nurodytume, kaip norime įdiegti SSL perdavimą. Konfigūracijos failą galite atidaryti naudodami bet kurį teksto rengyklę. Šiam demonstravimui naudojome nano.
$ sudo nano / ir tt / haproxy / haproxy, žrKai pasieksite konfigūracijos failą, turite sukurti du skyrius: „frontend“ ir „backend“. „Priekinėje dalyje“ nurodote, kurį prievadą susieti ryšiams. Vėlgi, turite nurodyti, kurį protokolą naudoti ir kokius pagrindinius serverius naudoti srautui paskirstyti.
Šiuo atveju, kadangi norime apsaugoti srautą, susiesime 443 prievadą, skirtą HTTPS ryšiams. Vėlgi nurodome, kad norime priimti TCP režimą, kad HAProxy veiktų transportavimo lygmenyje.
Taip pat pridedame eilutę „tcp-request“ kaip taisyklę, kuri nurodo trukmę, per kurią reikia tikrinti SSL „hello“ pranešimus, kad patikrintume, ar priimame SSL srautą. Galiausiai nurodome vidinį serverį, kurį naudosime apkrovai paskirstyti. Mūsų paskutinė „frontend“ dalis yra tokia:
Skilties „backend“ režimą nustatėme į TCP. Tada nurodome serverių, kuriuos naudojame apkrovos balansavimui, IP adresus. Įsitikinkite, kad pakeisite šiuos IP, kad jie atitiktų jūsų tiesioginių serverių IP, ir nustatykite ryšio prievadą į 443.
„Parinktis tcplog“ pridedama, kad būtų galima registruoti su TCP susijusias problemas žurnalo faile, kuris yra įtrauktas į konfigūracijos failo skyrių „globalus“.
3 veiksmas: iš naujo paleiskite HAProxy ir patikrinkite konfigūraciją
Redaguodami HAProxy konfigūracijos failą, išsaugokite jį ir išeikite. Iš naujo paleiskite HAProxy paslaugą, kad pakeitimai būtų taikomi.
Viskas! Įdiegėme SSL perdavimą HAProxy. Pabandykite siųsti srautą į savo žiniatinklio serverį naudodami komandą, pvz., curl, ir pažiūrėkite, kaip ji reaguoja. Jei SSL perdavimas sėkmingai įdiegtas, gausite išvestį, rodančią, kad ryšys užmegztas per 443 prievadą, ir prisijungsite prie užpakalinio serverio. Jūsų serveris atsakys pateikdamas reikiamą informaciją ir pateiks 200 būsenų atsakymą.
Išvada
SSL perdavimo įdiegimas padeda sukurti visišką šifravimą ir užtikrinti, kad jūsų SSL/TLS ryšys būtų palaikomas vykstant apkrovos balansavimui. Norėdami įdiegti SSL perdavimą HAProxy, įdiekite HAProxy ir redaguokite konfigūracijos failą, kad nurodytumėte, kaip norite, kad apkrovos balansavimas būtų atliktas. Norėdami geriau suprasti procesą, žr. pateiktą pavyzdį.