Det här inlägget börjar med att diskutera varför det är viktigt att implementera SSL-passthrough i HAProxy. Vi diskuterar sedan stegen att följa för att implementera det med ett exempel för enkel förståelse.
Vad är SSL-genomföring och varför är det viktigt?
Som en lastbalanserare tar HAProxy lasten som riktas till din webbserver och distribuerar den över de konfigurerade servrarna. Belastningen som distribueras är trafiken som delas mellan klientenheterna och backendservrarna. Säkerhet är viktigt vid lastbalansering, och det är där SSL-genomföring kommer in i bilden.
Idealiskt innebär SSL-genomföring att vidarebefordra SSL/TLS-trafiken till din webbserver och distribuera den till de konfigurerade servrarna utan att avsluta SSL/TLS-anslutningen på HAProxy eller någon annan lastbalanserare som du använder. Med SSL-genomföring får du en bättre end-to-end-kryptering, och klientens ursprungliga IP-adress kommer att bevaras. Dessutom är det en rekommenderad säkerhetsåtgärd och den skapar en bättre backend-serverflexibilitet, vilket minskar överbelastningen på HAProxy.
Steg-för-steg-guide om hur du implementerar SSL-genomföringen i HAProxy
Efter att ha förstått vad SSL-passthrough betyder och varför du behöver det, är nästa uppgift att tillhandahålla stegen som du bör följa för att implementera det i din HAProxy load balancer. Följ de givna stegen och implementera snabbt SSL-passthrough på din HAProxy load balancer.
Steg 1: Installera HAProxy
Anta att du inte har HAProxy installerat. Det första steget är att installera det innan vi konfigurerar det för att implementera SSL-passthrough. Börja därför med att uppdatera ditt förråd.
$ sudo passande uppdatering
Installera sedan HAProxy från standardförvaret med följande kommando. Observera att vi använder Ubuntu för det här fallet:
$ sudo benägen Installera haproxi
När du har installerat HAProxy är du redo att implementera SSL-passthrough. Läs vidare!
Steg 2: Implementera SSL Passthrough i HAProxy
För detta steg måste vi komma åt HAProxy-konfigurationsfilen som finns i '/etc/haproxy' och redigera den för att specificera hur vi vill implementera SSL-passthrough. Du kan öppna konfigurationsfilen med vilken textredigerare som helst. Vi använde nano för denna demonstration.
$ sudo nano / etc / haproxi / haproxi, jfrNär du väl kommer åt konfigurationsfilen finns det två sektioner som du måste skapa: 'frontend' och 'backend'. I 'gränssnittet' är det där du anger vilken port som ska bindas för anslutningar. Återigen måste du ange vilket protokoll som ska användas och vilka backend-servrar som ska användas för att distribuera trafiken.
I det här fallet, eftersom vi vill säkra trafiken, kommer vi att binda port 443 som är för HTTPS-anslutningar. Återigen anger vi att vi vill acceptera TCP-läget för att HAProxy ska fungera i transportlagret.
Vi lägger också till raden 'tcp-request' som en regel som anger varaktigheten för att inspektera SSL 'hej'-meddelandena för att verifiera att vi accepterar SSL-trafiken. Slutligen anger vi backend-servern som ska användas för lastdistribution. Vår sista 'frontend'-sektion är följande:
För avsnittet 'backend' ställer vi in läget till TCP. Vi anger sedan IP-adresserna för de servrar som vi använder för lastbalanseringen. Se till att du byter ut dessa IP-adresser så att de matchar dina liveservrar och ställ in anslutningsporten till 443.
'Alternativ tcplog' läggs till för att tillåta loggning av problem relaterade till TCP i loggfilen som ingår i den 'globala' delen av konfigurationsfilen.
Steg 3: Starta om HAProxy och testa konfigurationen
När du har redigerat HAProxy-konfigurationsfilen, spara den och avsluta. Starta om HAProxy-tjänsten för att ändringarna ska gälla.
Det är allt! Vi implementerade SSL-passthrough i HAProxy. Prova att skicka en trafik till din webbserver med ett kommando som curl och se hur den svarar. Om SSL-passthrough implementeras framgångsrikt får du en utdata som visar att anslutningen görs via port 443, och du kommer att ansluta till backend-servern. Din server kommer att svara med de nödvändiga uppgifterna och ge ett 200-statussvar.
Slutsats
Genom att implementera SSL-passthrough kan du skapa en end-to-end-kryptering och säkerställa att din SSL/TLS-anslutning bibehålls när lastbalanseringen sker. För att implementera SSL-passthrough i HAProxy, installera HAProxy och redigera konfigurationsfilen för att ange hur du vill att lastbalanseringen ska ske. Se det presenterade exemplet för att förstå processen bättre.