Этот пост начинается с обсуждения того, почему так важна реализация сквозной передачи SSL в HAProxy. Затем мы обсудим шаги, которые необходимо выполнить для его реализации, на примере для простоты понимания.
Что такое сквозная передача SSL и почему она необходима?
В качестве балансировщика нагрузки HAProxy принимает нагрузку, направленную на ваш веб-сервер, и распределяет ее между настроенными серверами. Распределяемая нагрузка — это трафик, который распределяется между клиентскими устройствами и внутренними серверами. Безопасность важна при балансировке нагрузки, и именно здесь в игру вступает сквозная передача SSL.
В идеале сквозная передача SSL предполагает пересылку трафика SSL/TLS на ваш веб-сервер и распределение его по настроенным серверам без разрыва соединения SSL/TLS на HAProxy или любом другом используемом вами балансировщике нагрузки. Благодаря сквозной передаче SSL вы получите лучшее сквозное шифрование, а исходный IP-адрес клиента будет сохранен. Более того, это рекомендуемая мера безопасности, которая повышает гибкость внутреннего сервера, уменьшая перегрузку HAProxy.
Пошаговое руководство по реализации SSL Passthrough в HAProxy
Поняв, что означает сквозная передача SSL и зачем она вам нужна, следующая задача — предоставить шаги, которые вам следует выполнить, чтобы реализовать ее в балансировщике нагрузки HAProxy. Следуйте указанным шагам и быстро реализуйте сквозную передачу SSL на балансировщике нагрузки HAProxy.
Шаг 1. Установите HAProxy
Предположим, у вас не установлен HAProxy. Первым шагом является его установка, прежде чем мы настроим его для реализации сквозной передачи SSL. Поэтому начните с обновления вашего репозитория.
$ судо подходящее обновление
Затем установите HAProxy из репозитория по умолчанию с помощью следующей команды. Обратите внимание, что в этом случае мы используем Ubuntu:
$ судо подходящий установить гапрокси
После установки HAProxy вы готовы реализовать сквозную передачу SSL. Читай дальше!
Шаг 2. Внедрите сквозную передачу SSL в HAProxy
На этом этапе мы должны получить доступ к файлу конфигурации HAProxy, расположенному в «/etc/haproxy», и отредактировать его, чтобы указать, как мы хотим реализовать сквозную передачу SSL. Открыть файл конфигурации можно в любом текстовом редакторе. Для этой демонстрации мы использовали nano.
$ судо нано / и т. д. / гапрокси / хапрокси, cfgПолучив доступ к файлу конфигурации, вам необходимо создать два раздела: «интерфейс» и «бэкэнд». Во «интерфейсе» вы указываете, какой порт привязать для подключений. Опять же, вы должны указать, какой протокол использовать и какие внутренние серверы использовать для распределения трафика.
В этом случае, поскольку мы хотим защитить трафик, мы свяжем порт 443, который предназначен для соединений HTTPS. Опять же, мы указываем, что хотим принять режим TCP для работы HAProxy на транспортном уровне.
Мы также добавляем строку «tcp-request», как правило, которая определяет продолжительность проверки сообщений «hello» SSL, чтобы убедиться, что мы принимаем трафик SSL. Наконец, мы указываем внутренний сервер, который будет использоваться для распределения нагрузки. Наш последний раздел «интерфейс» выглядит следующим образом:
Для раздела «backend» мы установили режим TCP. Затем мы указываем IP-адреса серверов, которые мы используем для балансировки нагрузки. Обязательно замените эти IP-адреса на те, которые используются на ваших действующих серверах, и установите порт подключения на 443.
Добавлен параметр «tcplog», позволяющий регистрировать проблемы, связанные с TCP, в файле журнала, который включен в «глобальный» раздел файла конфигурации.
Шаг 3. Перезапустите HAProxy и проверьте конфигурацию.
После редактирования файла конфигурации HAProxy сохраните его и выйдите. Перезапустите службу HAProxy, чтобы изменения вступили в силу.
Вот и все! Мы реализовали сквозную передачу SSL в HAProxy. Попробуйте отправить трафик на ваш веб-сервер с помощью команды типа Curl и посмотрите, как он отреагирует. Если сквозная передача SSL реализована успешно, вы получите выходные данные, показывающие, что соединение установлено через порт 443, и вы подключитесь к внутреннему серверу. Ваш сервер ответит необходимой информацией и выдаст ответ со статусом 200.
Заключение
Реализация сквозной передачи SSL помогает создать сквозное шифрование и гарантировать сохранение соединения SSL/TLS при балансировке нагрузки. Чтобы реализовать сквозную передачу SSL в HAProxy, установите HAProxy и отредактируйте файл конфигурации, чтобы указать, как должна происходить балансировка нагрузки. Обратитесь к представленному примеру, чтобы лучше понять процесс.