Aquesta publicació comença discutint per què és essencial implementar el pas SSL a HAProxy. A continuació, comentem els passos a seguir per implementar-lo amb un exemple per facilitar-ne la comprensió.
Què és SSL Passthrough i per què és essencial?
Com a equilibrador de càrrega, HAProxy agafa la càrrega dirigida al vostre servidor web i la distribueix entre els servidors configurats. La càrrega que es distribueix és el trànsit que es comparteix entre els dispositius client i els servidors de fons. La seguretat és essencial quan s'equilibra la càrrega, i aquí és on entra en joc el pas de SSL.
Idealment, la transmissió SSL implica reenviar el trànsit SSL/TLS al vostre servidor web i distribuir-lo als servidors configurats sense finalitzar la connexió SSL/TLS a l'HAProxy o a qualsevol altre equilibrador de càrrega que utilitzeu. Amb SSL passthrough, gaudireu d'un millor xifratge d'extrem a extrem i es conservarà l'adreça IP original del client. A més, és una mesura de seguretat recomanada i crea una millor flexibilitat del servidor backend, reduint la sobrecàrrega a HAProxy.
Guia pas a pas sobre com implementar el SSL Passthrough a HAProxy
Després d'haver entès què significa el pas SSL i per què el necessiteu, la següent tasca és proporcionar els passos que heu de seguir per implementar-lo al vostre equilibrador de càrrega HAProxy. Seguiu els passos indicats i implementeu ràpidament el pas SSL al vostre equilibrador de càrrega HAProxy.
Pas 1: instal·leu HAProxy
Suposem que no teniu instal·lat HAProxy. El primer pas és instal·lar-lo abans de configurar-lo per implementar el passthrough SSL. Per tant, comenceu per actualitzar el vostre repositori.
$ sudo actualització apta
A continuació, instal·leu HAProxy des del dipòsit predeterminat amb l'ordre següent. Tingueu en compte que estem utilitzant Ubuntu per a aquest cas:
$ sudo apt instal·lar haproxy
Un cop hàgiu instal·lat HAProxy, esteu preparat per implementar el pas SSL. Segueix llegint!
Pas 2: implementeu el SSL Passthrough a HAProxy
Per a aquest pas, hem d'accedir al fitxer de configuració HAProxy situat a '/etc/haproxy' i editar-lo per especificar com volem implementar el passthrough SSL. Podeu obrir el fitxer de configuració amb qualsevol editor de text. Hem utilitzat nano per a aquesta demostració.
$ sudo nano / etc / haproxy / haproxy, cfgUn cop accediu al fitxer de configuració, hi ha dues seccions que heu de crear: el 'frontend' i el 'backend'. A la 'interfície', aquí és on especifiqueu quin port voleu vincular per a les connexions. De nou, heu d'especificar quin protocol utilitzar i quins servidors backend utilitzar per distribuir el trànsit.
En aquest cas, com que volem assegurar el trànsit, vincularem el port 443 que és per a connexions HTTPS. De nou, especifiquem que volem acceptar el mode TCP perquè HAProxy funcioni a la capa de transport.
També afegim la línia 'tcp-request' com a regla que especifica la durada durant la qual inspeccionar els missatges SSL 'hola' per verificar que acceptem el trànsit SSL. Finalment, especifiquem el servidor de fons que s'utilitzarà per a la distribució de càrrega. La nostra secció final 'frontend' és la següent:
Per a la secció 'backend', establim el mode a TCP. A continuació, especifiquem les adreces IP dels servidors que fem servir per a l'equilibri de càrrega. Assegureu-vos que substituïu aquestes IP perquè coincideixin amb les dels vostres servidors en directe i configureu el port de connexió a 443.
S'afegeix l''opció tcplog' per permetre el registre de problemes relacionats amb TCP al fitxer de registre que s'inclou a la secció 'global' del fitxer de configuració.
Pas 3: reinicieu HAProxy i proveu la configuració
Un cop hàgiu editat el fitxer de configuració HAProxy, deseu-lo i sortiu. Reinicieu el servei HAProxy perquè s'apliquin els canvis.
Això és! Hem implementat el pas SSL a HAProxy. Proveu d'enviar trànsit al vostre servidor web mitjançant una ordre com curl i comproveu com respon. Si el pas SSL s'implementa correctament, obtindreu una sortida que mostra que la connexió es fa a través del port 443 i us connectareu al servidor de fons. El vostre servidor respondrà amb els detalls requerits i donarà una resposta de 200 estats.
Conclusió
La implementació del passthrough SSL ajuda a crear un xifratge d'extrem a extrem i a garantir que la vostra connexió SSL/TLS es mantingui mentre es produeix l'equilibri de càrrega. Per implementar la transmissió SSL a HAProxy, instal·leu HAProxy i editeu el fitxer de configuració per especificar com voleu que es produeixi l'equilibri de càrrega. Consulteu l'exemple presentat per entendre millor el procés.