Dit bericht begint met het bespreken van waarom het implementeren van de SSL-passthrough in HAProxy essentieel is. Vervolgens bespreken we de stappen die moeten worden gevolgd om het te implementeren, met een voorbeeld voor eenvoudig begrip.
Wat is SSL-passthrough en waarom is het essentieel?
Als load balancer brengt HAProxy de belasting naar uw webserver en verdeelt deze over de geconfigureerde servers. De belasting die wordt verdeeld is het verkeer dat wordt gedeeld tussen de clientapparaten en de backendservers. Beveiliging is essentieel bij taakverdeling, en dat is waar SSL-passthrough een rol speelt.
Idealiter bestaat SSL-passthrough uit het doorsturen van het SSL/TLS-verkeer naar uw webserver en het distribueren ervan naar de geconfigureerde servers zonder de SSL/TLS-verbinding te beëindigen bij de HAProxy of een andere load balancer die u gebruikt. Met SSL-passthrough profiteert u van een betere end-to-end-codering en blijft het oorspronkelijke IP-adres van de klant behouden. Bovendien is het een aanbevolen beveiligingsmaatregel en zorgt het voor een betere backend-serverflexibiliteit, waardoor de overbelasting van HAProxy wordt verminderd.
Stapsgewijze handleiding voor het implementeren van SSL-passthrough in HAProxy
Nadat u heeft begrepen wat SSL-passthrough betekent en waarom u het nodig heeft, is de volgende taak het geven van de stappen die u moet volgen om het in uw HAProxy-load balancer te implementeren. Volg de gegeven stappen en implementeer snel de SSL passthrough op uw HAProxy load balancer.
Stap 1: Installeer HAProxy
Stel dat u HAProxy niet hebt geïnstalleerd. De eerste stap is om het te installeren voordat we het configureren om de SSL-passthrough te implementeren. Begin daarom met het bijwerken van uw repository.
$ sudo passende update
Installeer vervolgens HAProxy vanuit de standaardrepository met de volgende opdracht. Merk op dat we in dit geval Ubuntu gebruiken:
$ sudo geschikt installeren haproxy
Zodra u HAProxy hebt geïnstalleerd, bent u klaar om de SSL-passthrough te implementeren. Lees verder!
Stap 2: Implementeer de SSL Passthrough in HAProxy
Voor deze stap moeten we toegang krijgen tot het HAProxy-configuratiebestand in “/etc/haproxy” en dit bewerken om aan te geven hoe we de SSL-passthrough willen implementeren. U kunt het configuratiebestand met elke teksteditor openen. Voor deze demonstratie hebben we nano gebruikt.
$ sudo nano / enz / haproxy / haproxy, cfgZodra u het configuratiebestand opent, zijn er twee secties die u moet maken: de “frontend” en de “backend”. In de “frontend” specificeer je welke poort je wilt binden voor verbindingen. Ook hier moet u opgeven welk protocol u wilt gebruiken en welke back-endservers u wilt gebruiken om het verkeer te distribueren.
Omdat we in dit geval het verkeer willen beveiligen, zullen we poort 443 binden, die voor HTTPS-verbindingen is. We specificeren opnieuw dat we de TCP-modus willen accepteren zodat HAProxy op de transportlaag kan werken.
We voegen ook de regel ‘tcp-request’ toe als regel die de duur specificeert gedurende welke de SSL ‘hello’-berichten moeten worden geïnspecteerd om te verifiëren dat we het SSL-verkeer accepteren. Ten slotte specificeren we de backend-server die moet worden gebruikt voor de verdeling van de belasting. Onze laatste “frontend”-sectie is als volgt:
Voor het gedeelte “backend” stellen we de modus in op TCP. Vervolgens specificeren we de IP-adressen voor de servers die we gebruiken voor de load-balancing. Zorg ervoor dat u deze IP's vervangt zodat ze overeenkomen met die van uw live servers en stel de verbindingspoort in op 443.
De “optie tcplog” is toegevoegd om het loggen van problemen gerelateerd aan TCP mogelijk te maken in het logbestand dat is opgenomen in de “global” sectie van het configuratiebestand.
Stap 3: Start HAProxy opnieuw en test de configuratie
Nadat u het HAProxy-configuratiebestand hebt bewerkt, slaat u het op en sluit u af. Start de HAProxy-service opnieuw om de wijzigingen toe te passen.
Dat is het! We hebben de SSL-passthrough in HAProxy geïmplementeerd. Probeer verkeer naar uw webserver te sturen met een opdracht als curl en kijk hoe deze reageert. Als de SSL-passthrough succesvol is geïmplementeerd, krijgt u een uitvoer waaruit blijkt dat de verbinding via poort 443 tot stand is gebracht en wordt u verbonden met de backend-server. Uw server zal reageren met de vereiste gegevens en een 200-statusantwoord geven.
Conclusie
Het implementeren van de SSL-passthrough helpt bij het creëren van een end-to-end-codering en zorgt ervoor dat uw SSL/TLS-verbinding behouden blijft terwijl de taakverdeling plaatsvindt. Om de SSL-passthrough in HAProxy te implementeren, installeert u HAProxy en bewerkt u het configuratiebestand om aan te geven hoe u wilt dat de taakverdeling plaatsvindt. Raadpleeg het gepresenteerde voorbeeld om het proces beter te begrijpen.