In diesem Beitrag wird zunächst erläutert, warum die Implementierung des SSL-Passthrough in HAProxy unerlässlich ist. Anschließend besprechen wir die Schritte zur Umsetzung anhand eines Beispiels, um das Verständnis zu erleichtern.
Was ist SSL-Passthrough und warum ist es wichtig?
Als Load Balancer übernimmt HAProxy die an Ihren Webserver geleitete Last und verteilt sie auf die konfigurierten Server. Die verteilte Last ist der Datenverkehr, der zwischen den Clientgeräten und den Backend-Servern geteilt wird. Sicherheit ist beim Lastausgleich von entscheidender Bedeutung, und hier kommt SSL-Passthrough ins Spiel.
Im Idealfall umfasst SSL-Passthrough die Weiterleitung des SSL/TLS-Verkehrs an Ihren Webserver und dessen Verteilung auf die konfigurierten Server, ohne dass die SSL/TLS-Verbindung am HAProxy oder einem anderen von Ihnen verwendeten Load Balancer beendet wird. Mit SSL-Passthrough profitieren Sie von einer besseren Ende-zu-Ende-Verschlüsselung und die ursprüngliche IP-Adresse des Clients bleibt erhalten. Darüber hinaus handelt es sich um eine empfohlene Sicherheitsmaßnahme, die eine bessere Flexibilität des Backend-Servers schafft und die Überlastung von HAProxy verringert.
Schritt-für-Schritt-Anleitung zur Implementierung des SSL-Passthrough in HAProxy
Nachdem Sie verstanden haben, was SSL-Passthrough bedeutet und warum Sie es benötigen, besteht die nächste Aufgabe darin, die Schritte bereitzustellen, die Sie befolgen sollten, um es in Ihrem HAProxy-Load-Balancer zu implementieren. Befolgen Sie die angegebenen Schritte und implementieren Sie schnell den SSL-Passthrough auf Ihrem HAProxy-Load-Balancer.
Schritt 1: Installieren Sie HAProxy
Angenommen, Sie haben HAProxy nicht installiert. Der erste Schritt besteht darin, es zu installieren, bevor wir es für die Implementierung des SSL-Passthroughs konfigurieren. Beginnen Sie daher mit der Aktualisierung Ihres Repositorys.
$ Sudo passendes Update
Als nächstes installieren Sie HAProxy aus dem Standard-Repository mit dem folgenden Befehl. Beachten Sie, dass wir in diesem Fall Ubuntu verwenden:
$ Sudo geeignet Installieren haproxy
Sobald Sie HAProxy installiert haben, können Sie den SSL-Passthrough implementieren. Weiter lesen!
Schritt 2: Implementieren Sie den SSL-Passthrough in HAProxy
Für diesen Schritt müssen wir auf die HAProxy-Konfigurationsdatei in „/etc/haproxy“ zugreifen und sie bearbeiten, um anzugeben, wie wir den SSL-Passthrough implementieren möchten. Sie können die Konfigurationsdatei mit einem beliebigen Texteditor öffnen. Für diese Demonstration haben wir Nano verwendet.
$ Sudo Nano / usw / haproxy / haproxy,cfgSobald Sie auf die Konfigurationsdatei zugreifen, müssen Sie zwei Abschnitte erstellen: das „Frontend“ und das „Backend“. Im „Frontend“ legen Sie fest, welcher Port für Verbindungen gebunden werden soll. Auch hier müssen Sie angeben, welches Protokoll verwendet werden soll und welche Backend-Server zur Verteilung des Datenverkehrs verwendet werden sollen.
Da wir in diesem Fall den Datenverkehr sichern möchten, binden wir Port 443, der für HTTPS-Verbindungen vorgesehen ist. Auch hier geben wir an, dass wir den TCP-Modus für den Betrieb von HAProxy auf der Transportschicht akzeptieren möchten.
Wir fügen außerdem die Zeile „tcp-request“ als Regel hinzu, die angibt, wie lange die SSL-„Hallo“-Nachrichten überprüft werden sollen, um sicherzustellen, dass wir den SSL-Verkehr akzeptieren. Zuletzt geben wir den Backend-Server an, der für die Lastverteilung verwendet werden soll. Unser letzter „Frontend“-Abschnitt lautet wie folgt:
Für den Abschnitt „Backend“ stellen wir den Modus auf TCP ein. Anschließend geben wir die IP-Adressen der Server an, die wir für den Lastausgleich nutzen. Stellen Sie sicher, dass Sie diese IPs so ersetzen, dass sie mit denen Ihrer Live-Server übereinstimmen, und stellen Sie den Verbindungsport auf 443 ein.
Die „Option tcplog“ wurde hinzugefügt, um die Protokollierung von Problemen im Zusammenhang mit TCP in der Protokolldatei zu ermöglichen, die im Abschnitt „global“ der Konfigurationsdatei enthalten ist.
Schritt 3: Starten Sie HAProxy neu und testen Sie die Konfiguration
Nachdem Sie die HAProxy-Konfigurationsdatei bearbeitet haben, speichern Sie sie und beenden Sie den Vorgang. Starten Sie den HAProxy-Dienst neu, damit die Änderungen wirksam werden.
Das ist es! Wir haben den SSL-Passthrough in HAProxy implementiert. Versuchen Sie, mit einem Befehl wie „curl“ Datenverkehr an Ihren Webserver zu senden, und sehen Sie, wie dieser darauf reagiert. Wenn der SSL-Passthrough erfolgreich implementiert wurde, erhalten Sie eine Ausgabe, die zeigt, dass die Verbindung über Port 443 hergestellt wird, und Sie werden mit dem Backend-Server verbunden. Ihr Server antwortet mit den erforderlichen Details und gibt eine 200-Status-Antwort.
Abschluss
Die Implementierung des SSL-Passthrough hilft bei der Erstellung einer Ende-zu-Ende-Verschlüsselung und stellt sicher, dass Ihre SSL/TLS-Verbindung während des Lastausgleichs aufrechterhalten bleibt. Um den SSL-Passthrough in HAProxy zu implementieren, installieren Sie HAProxy und bearbeiten Sie die Konfigurationsdatei, um anzugeben, wie der Lastausgleich erfolgen soll. Sehen Sie sich das dargestellte Beispiel an, um den Prozess besser zu verstehen.