Nagsisimula ang post na ito sa pamamagitan ng pagtalakay kung bakit mahalaga ang pagpapatupad ng SSL passthrough sa HAProxy. Pagkatapos ay tinatalakay namin ang mga hakbang na dapat sundin upang maipatupad ito na may isang halimbawa para sa madaling pag-unawa.
Ano ang SSL Passthrough at Bakit Ito Mahalaga?
Bilang isang load balancer, kinukuha ng HAProxy ang load na nakadirekta sa iyong web server at ipinamamahagi ito sa mga naka-configure na server. Ang load na ibinabahagi ay ang trapiko na ibinabahagi sa pagitan ng mga client device at ng mga backend server. Mahalaga ang seguridad kapag nag-load ng pagbabalanse, at diyan gumaganap ang SSL passthrough.
Sa isip, ang SSL passthrough ay kinabibilangan ng pagpapasa ng SSL/TLS na trapiko sa iyong web server at pamamahagi nito sa mga naka-configure na server nang hindi tinatapos ang SSL/TLS na koneksyon sa HAProxy o anumang iba pang load balancer na iyong ginagamit. Sa SSL passthrough, masisiyahan ka sa isang mas mahusay na end-to-end na pag-encrypt, at ang orihinal na IP address ng kliyente ay mapapanatili. Bukod dito, ito ay isang inirerekomendang hakbang sa seguridad at lumilikha ito ng mas mahusay na backend server flexibility, na binabawasan ang labis na karga sa HAProxy.
Step-by-Step na Gabay sa Paano Ipatupad ang SSL Passthrough sa HAProxy
Kapag naunawaan mo na ang ibig sabihin ng SSL passthrough at kung bakit mo ito kailangan, ang susunod na gawain ay ibigay ang mga hakbang na dapat mong sundin upang maipatupad ito sa iyong HAProxy load balancer. Sundin ang mga ibinigay na hakbang at mabilis na ipatupad ang SSL passthrough sa iyong HAProxy load balancer.
Hakbang 1: I-install ang HAProxy
Ipagpalagay na wala kang naka-install na HAProxy. Ang unang hakbang ay i-install ito bago namin i-configure ito para ipatupad ang SSL passthrough. Samakatuwid, magsimula sa pamamagitan ng pag-update ng iyong repositoryo.
$ sudo angkop na pag-update
Susunod, i-install ang HAProxy mula sa default na repository na may sumusunod na command. Tandaan na gumagamit kami ng Ubuntu para sa kasong ito:
$ sudo apt i-install haproxy
Kapag na-install mo na ang HAProxy, handa ka nang ipatupad ang SSL passthrough. Basahin mo pa!
Hakbang 2: Ipatupad ang SSL Passthrough sa HAProxy
Para sa hakbang na ito, dapat naming i-access ang HAProxy configuration file na matatagpuan sa “/etc/haproxy” at i-edit ito upang tukuyin kung paano namin gustong ipatupad ang SSL passthrough. Maaari mong buksan ang config file gamit ang anumang text editor. Ginamit namin ang nano para sa pagpapakitang ito.
$ sudo nano / atbp / haproxy / haproxy,cfgSa sandaling ma-access mo ang config file, mayroong dalawang seksyon na dapat mong gawin: ang 'frontend' at ang 'backend'. Sa 'frontend', doon mo tutukuyin kung aling port ang ibi-bind para sa mga koneksyon. Muli, dapat mong tukuyin kung aling protocol ang gagamitin at kung aling mga backend server ang gagamitin upang ipamahagi ang trapiko.
Para sa kasong ito, dahil gusto naming i-secure ang trapiko, ibubuklod namin ang port 443 na para sa mga koneksyon sa HTTPS. Muli, tinukoy namin na gusto naming tanggapin ang TCP mode para gumana ang HAProxy sa layer ng transportasyon.
Idinaragdag din namin ang linyang 'tcp-request' bilang panuntunan na tumutukoy sa tagal kung kailan dapat suriin ang mga mensaheng 'hello' ng SSL upang ma-verify na tinatanggap namin ang trapiko ng SSL. Panghuli, tinutukoy namin ang backend server na gagamitin para sa pamamahagi ng load. Ang aming huling seksyong 'frontend' ay ang mga sumusunod:
Para sa seksyong 'backend', itinakda namin ang mode sa TCP. Pagkatapos ay tinukoy namin ang mga IP address para sa mga server na ginagamit namin para sa pagbabalanse ng pag-load. Tiyaking palitan mo ang mga IP na ito upang tumugma sa iyong mga live na server at itakda ang port ng koneksyon sa 443.
Ang 'option tcplog' ay idinagdag upang payagan ang pag-log ng mga isyu na nauugnay sa TCP sa log file na kasama sa seksyong 'global' ng config file.
Hakbang 3: I-restart ang HAProxy at Subukan ang Configuration
Kapag na-edit mo ang HAProxy config file, i-save ito at lumabas. I-restart ang serbisyo ng HAProxy para mailapat ang mga pagbabago.
Ayan yun! Ipinatupad namin ang SSL passthrough sa HAProxy. Subukang magpadala ng trapiko sa iyong web server gamit ang isang command tulad ng curl at tingnan kung paano ito tumutugon. Kung matagumpay na naipatupad ang SSL passthrough, makakakuha ka ng output na nagpapakita na ang koneksyon ay ginawa sa pamamagitan ng port 443, at ikaw ay makakonekta sa backend server. Sasagot ang iyong server sa mga kinakailangang detalye at magbibigay ng 200-status na tugon.
Konklusyon
Ang pagpapatupad ng SSL passthrough ay nakakatulong sa paggawa ng end-to-end na pag-encrypt at pagtiyak na ang iyong SSL/TLS na koneksyon ay pinananatili habang nangyayari ang load balancing. Para ipatupad ang SSL passthrough sa HAProxy, i-install ang HAProxy at i-edit ang configuration file para tukuyin kung paano mo gustong mangyari ang load balancing. Sumangguni sa ipinakitang halimbawa upang mas maunawaan ang proseso.