Dette indlæg begynder med at diskutere, hvorfor implementering af SSL-passthrough i HAProxy er afgørende. Vi diskuterer derefter de trin, der skal følges for at implementere det med et eksempel for nem forståelse.
Hvad er SSL Passthrough, og hvorfor er det vigtigt?
Som en load balancer tager HAProxy belastningen dirigeret til din webserver og distribuerer den på tværs af de konfigurerede servere. Den belastning, der distribueres, er den trafik, der deles mellem klientenhederne og backend-serverne. Sikkerhed er afgørende ved belastningsbalancering, og det er her, SSL-passthrough kommer i spil.
Ideelt set involverer SSL-passthrough at videresende SSL/TLS-trafikken til din webserver og distribuere den til de konfigurerede servere uden at afbryde SSL/TLS-forbindelsen på HAProxy eller enhver anden load balancer, som du bruger. Med SSL-passthrough vil du nyde en bedre end-to-end-kryptering, og klientens originale IP-adresse vil blive bevaret. Desuden er det en anbefalet sikkerhedsforanstaltning, og det skaber en bedre backend-serverfleksibilitet, hvilket reducerer overbelastningen på HAProxy.
Trin-for-trin guide til, hvordan man implementerer SSL Passthrough i HAProxy
Efter at have forstået, hvad SSL-passthrough betyder, og hvorfor du har brug for det, er den næste opgave at give de trin, du skal følge for at implementere det i din HAProxy load balancer. Følg de givne trin og implementer hurtigt SSL-passthrough på din HAProxy load balancer.
Trin 1: Installer HAProxy
Antag, at du ikke har HAProxy installeret. Det første trin er at installere det, før vi konfigurerer det til at implementere SSL-passthrough. Start derfor med at opdatere dit depot.
$ sudo passende opdatering
Installer derefter HAProxy fra standardlageret med følgende kommando. Bemærk, at vi bruger Ubuntu til dette tilfælde:
$ sudo passende installere haproxy
Når du har installeret HAProxy, er du klar til at implementere SSL passthrough. Læs videre!
Trin 2: Implementer SSL Passthrough i HAProxy
Til dette trin skal vi få adgang til HAProxy-konfigurationsfilen, der er placeret i '/etc/haproxy' og redigere den for at angive, hvordan vi vil implementere SSL-passthrough. Du kan åbne konfigurationsfilen med en hvilken som helst teksteditor. Vi brugte nano til denne demonstration.
$ sudo nano / etc / haproxy / haproxy, jfNår du først har adgang til konfigurationsfilen, er der to sektioner, du skal oprette: 'frontend' og 'backend'. I 'frontenden' er det her du angiver, hvilken port der skal bindes til forbindelser. Igen skal du angive, hvilken protokol der skal bruges, og hvilke backend-servere der skal bruges til at distribuere trafikken.
I dette tilfælde, da vi ønsker at sikre trafikken, binder vi port 443, som er til HTTPS-forbindelser. Igen specificerer vi, at vi ønsker at acceptere TCP-tilstanden for HAProxy til at fungere på transportlaget.
Vi tilføjer også linjen 'tcp-request' som en regel, der specificerer varigheden af, hvor længe SSL 'hej'-meddelelserne skal inspiceres for at bekræfte, at vi accepterer SSL-trafikken. Til sidst angiver vi den backend-server, der skal bruges til belastningsfordeling. Vores sidste 'frontend'-sektion er som følger:
For afsnittet 'backend' indstiller vi tilstanden til TCP. Vi angiver derefter IP-adresserne for de servere, som vi bruger til belastningsbalanceringen. Sørg for, at du udskifter disse IP'er, så de matcher dem på dine live-servere, og sæt forbindelsesporten til 443.
'Optionen tcplog' tilføjes for at tillade logning af problemer relateret til TCP i logfilen, der er inkluderet i den 'globale' sektion af konfigurationsfilen.
Trin 3: Genstart HAProxy og test konfigurationen
Når du har redigeret HAProxy-konfigurationsfilen, skal du gemme den og afslutte. Genstart HAProxy-tjenesten, for at ændringerne skal gælde.
Det er det! Vi implementerede SSL-passthrough i HAProxy. Prøv at sende en trafik til din webserver ved hjælp af en kommando som curl og se, hvordan den reagerer. Hvis SSL-passthroughen implementeres med succes, vil du få et output, der viser, at forbindelsen er lavet via port 443, og du får forbindelse til backend-serveren. Din server vil svare med de nødvendige detaljer og give et 200-statussvar.
Konklusion
Implementering af SSL-passthrough hjælper med at skabe en ende-til-ende-kryptering og sikre, at din SSL/TLS-forbindelse opretholdes, mens belastningsbalanceringen finder sted. For at implementere SSL-passthrough i HAProxy skal du installere HAProxy og redigere konfigurationsfilen for at angive, hvordan du ønsker, at belastningsbalanceringen skal ske. Se det præsenterede eksempel for at forstå processen bedre.