Šī ziņa sākas, apspriežot, kāpēc SSL transmisijas ieviešana HAProxy ir būtiska. Pēc tam mēs apspriežam darbības, kas jāveic, lai to ieviestu, izmantojot piemēru, lai to būtu vieglāk saprast.
Kas ir SSL caurlaide un kāpēc tas ir nepieciešams?
Kā slodzes līdzsvarotājs HAProxy uzņem slodzi, kas tiek novirzīta uz jūsu tīmekļa serveri, un sadala to pa konfigurētajiem serveriem. Sadalītā slodze ir trafika, kas tiek koplietota starp klienta ierīcēm un aizmugursistēmas serveriem. Drošība ir būtiska slodzes līdzsvarošanā, un šeit tiek izmantota SSL caurlaide.
Ideālā gadījumā SSL transmisija ietver SSL/TLS trafika pārsūtīšanu uz jūsu tīmekļa serveri un izplatīšanu konfigurētajiem serveriem, nepārtraucot SSL/TLS savienojumu ar HAProxy vai jebkuru citu jūsu izmantoto slodzes balansētāju. Izmantojot SSL caurlaidi, jūs izbaudīsit labāku pilnīgu šifrēšanu un tiks saglabāta klienta sākotnējā IP adrese. Turklāt tas ir ieteicams drošības pasākums, un tas rada labāku aizmugursistēmas servera elastību, samazinot HAProxy pārslodzi.
Detalizēti norādījumi par SSL caurlaides ieviešanu HAProxy
Kad esat sapratis, ko nozīmē SSL caurlaide un kāpēc tas jums ir nepieciešams, nākamais uzdevums ir nodrošināt darbības, kas jums jāveic, lai to ieviestu savā HAProxy slodzes balansētājā. Izpildiet norādītās darbības un ātri ieviesiet SSL transmisiju savā HAProxy slodzes balansētājā.
1. darbība. Instalējiet HAProxy
Pieņemsim, ka jums nav instalēts HAProxy. Pirmais solis ir to instalēt, pirms mēs to konfigurējam, lai ieviestu SSL caurlaidi. Tāpēc sāciet ar repozitorija atjaunināšanu.
$ sudo piemērots atjauninājums
Pēc tam instalējiet HAProxy no noklusējuma repozitorija ar šādu komandu. Ņemiet vērā, ka šajā gadījumā mēs izmantojam Ubuntu:
$ sudo apt uzstādīt haproxy
Kad esat instalējis HAProxy, esat gatavs ieviest SSL caurlaidi. Turpini lasīt!
2. darbība. Ieviesiet SSL caurlaidi HAProxy
Lai veiktu šo darbību, mums ir jāpiekļūst HAProxy konfigurācijas failam, kas atrodas mapē “/etc/haproxy”, un jārediģē tas, lai norādītu, kā mēs vēlamies ieviest SSL caurlaidi. Konfigurācijas failu var atvērt ar jebkuru teksta redaktoru. Šai demonstrācijai izmantojām nano.
$ sudo nano / utt / haproxy / haproxy, skKad piekļūstat konfigurācijas failam, jums ir jāizveido divas sadaļas: 'priekšprogramma' un 'aizmugurējā daļa'. “Priekšgalā” jūs norādāt, kurš ports ir jāsaista savienojumiem. Atkal ir jānorāda, kurš protokols jāizmanto un kuri aizmugursistēmas serveri jāizmanto, lai izplatītu trafiku.
Šajā gadījumā, tā kā mēs vēlamies nodrošināt trafiku, mēs saistīsim portu 443, kas ir paredzēts HTTPS savienojumiem. Atkal mēs norādām, ka vēlamies pieņemt TCP režīmu, lai HAProxy darbotos transporta slānī.
Mēs arī pievienojam rindu “tcp-request” kā noteikumu, kas norāda SSL “sveiki” ziņojumu pārbaudes ilgumu, lai pārbaudītu, vai mēs pieņemam SSL trafiku. Visbeidzot, mēs norādām aizmugursistēmas serveri, kas jāizmanto slodzes sadalei. Mūsu pēdējā “priekšgala” sadaļa ir šāda:
Sadaļā “aizmugursistēma” mēs iestatījām režīmu uz TCP. Pēc tam mēs norādām IP adreses serveriem, kurus izmantojam slodzes līdzsvarošanai. Noteikti nomainiet šos IP, lai tie atbilstu jūsu tiešraides serveru IP, un iestatiet savienojuma portu uz 443.
“Opcija tcplog” ir pievienota, lai ļautu reģistrēt ar TCP saistītas problēmas žurnāla failā, kas ir iekļauts konfigurācijas faila sadaļā “globālā”.
3. darbība: restartējiet HAProxy un pārbaudiet konfigurāciju
Kad esat rediģējis HAProxy konfigurācijas failu, saglabājiet to un izejiet. Restartējiet HAProxy pakalpojumu, lai izmaiņas stātos spēkā.
Tieši tā! Mēs ieviesām SSL caurlaidi HAProxy. Mēģiniet nosūtīt trafiku uz savu tīmekļa serveri, izmantojot komandu, piemēram, curl, un skatiet, kā tas reaģē. Ja SSL caurlaide ir veiksmīgi ieviesta, jūs saņemsit izvadi, kas parāda, ka savienojums ir izveidots, izmantojot portu 443, un tiks izveidots savienojums ar aizmugursistēmas serveri. Jūsu serveris atbildēs ar nepieciešamo informāciju un sniegs 200 statusa atbildi.
Secinājums
SSL transmisijas ieviešana palīdz izveidot pilnīgu šifrēšanu un nodrošināt, ka jūsu SSL/TLS savienojums tiek uzturēts slodzes līdzsvarošanas laikā. Lai ieviestu SSL transmisiju HAProxy, instalējiet HAProxy un rediģējiet konfigurācijas failu, lai norādītu, kā vēlaties slodzes līdzsvarošanu. Lai labāk izprastu procesu, skatiet parādīto piemēru.