โพสต์นี้เริ่มต้นด้วยการสนทนาว่าเหตุใดการนำ SSL passthrough ใน HAProxy มาใช้จึงเป็นสิ่งจำเป็น จากนั้นเราจะหารือถึงขั้นตอนที่ต้องปฏิบัติเพื่อนำไปปฏิบัติพร้อมตัวอย่างให้เข้าใจง่าย
SSL Passthrough คืออะไร และเหตุใดจึงจำเป็น?
ในฐานะโหลดบาลานเซอร์ HAProxy จะนำโหลดไปยังเว็บเซิร์ฟเวอร์ของคุณโดยตรง และกระจายโหลดไปยังเซิร์ฟเวอร์ที่กำหนดค่าไว้ โหลดที่กำลังกระจายคือการรับส่งข้อมูลที่แชร์ระหว่างอุปกรณ์ไคลเอนต์และเซิร์ฟเวอร์แบ็กเอนด์ การรักษาความปลอดภัยเป็นสิ่งสำคัญเมื่อทำการปรับสมดุลโหลด และนั่นคือจุดที่การส่งผ่าน SSL เข้ามามีบทบาท
ตามหลักการแล้ว SSL Passthrough เกี่ยวข้องกับการส่งต่อการรับส่งข้อมูล SSL/TLS ไปยังเว็บเซิร์ฟเวอร์ของคุณและกระจายไปยังเซิร์ฟเวอร์ที่กำหนดค่าไว้ โดยไม่ต้องยุติการเชื่อมต่อ SSL/TLS ที่ HAProxy หรือโหลดบาลานเซอร์อื่น ๆ ที่คุณใช้อยู่ ด้วยการส่งผ่าน SSL คุณจะเพลิดเพลินกับการเข้ารหัสตั้งแต่ต้นทางถึงปลายทางที่ดีขึ้น และที่อยู่ IP ดั้งเดิมของลูกค้าจะถูกเก็บรักษาไว้ นอกจากนี้ยังเป็นมาตรการรักษาความปลอดภัยที่แนะนำและสร้างความยืดหยุ่นของเซิร์ฟเวอร์แบ็กเอนด์ที่ดีขึ้น ลดการโอเวอร์โหลดบน HAProxy
คำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการใช้งาน SSL Passthrough ใน HAProxy
เมื่อเข้าใจว่า SSL Passthrough หมายถึงอะไร และเหตุใดคุณจึงจำเป็นต้องใช้ SSL ภารกิจถัดไปคือการจัดเตรียมขั้นตอนที่คุณควรปฏิบัติตามเพื่อนำไปใช้ในโหลดบาลานเซอร์ HAProxy ของคุณ ทำตามขั้นตอนที่กำหนดและปรับใช้การส่งผ่าน SSL บนโหลดบาลานเซอร์ HAProxy ของคุณอย่างรวดเร็ว
ขั้นตอนที่ 1: ติดตั้ง HAProxy
สมมติว่าคุณไม่ได้ติดตั้ง HAProxy ขั้นตอนแรกคือการติดตั้งก่อนที่เราจะกำหนดค่าให้ใช้การส่งผ่าน SSL ดังนั้น ให้เริ่มต้นด้วยการอัปเดตที่เก็บของคุณ
$ ซูโดะ ปรับปรุงให้ดี
ถัดไป ติดตั้ง HAProxy จากพื้นที่เก็บข้อมูลเริ่มต้นด้วยคำสั่งต่อไปนี้ โปรดทราบว่าเราใช้ Ubuntu สำหรับกรณีนี้:
$ ซูโดะ ฉลาด ติดตั้ง haproxy
เมื่อคุณติดตั้ง HAProxy แล้ว คุณก็พร้อมที่จะใช้งานการส่งผ่าน SSL อ่านต่อ!
ขั้นตอนที่ 2: ใช้ SSL Passthrough ใน HAProxy
สำหรับขั้นตอนนี้ เราต้องเข้าถึงไฟล์การกำหนดค่า HAProxy ที่อยู่ใน “/etc/haproxy” และแก้ไขเพื่อระบุวิธีที่เราต้องการใช้การส่งผ่าน SSL คุณสามารถเปิดไฟล์กำหนดค่าด้วยโปรแกรมแก้ไขข้อความใดก็ได้ เราใช้นาโนในการสาธิตนี้
$ ซูโดะ นาโน / ฯลฯ / haproxy / haproxy,cfgเมื่อคุณเข้าถึงไฟล์กำหนดค่า คุณจะต้องสร้างสองส่วน: “ส่วนหน้า” และ “ส่วนหลัง” ใน 'ส่วนหน้า' เป็นที่ที่คุณระบุพอร์ตที่จะผูกสำหรับการเชื่อมต่อ คุณต้องระบุโปรโตคอลที่จะใช้และเซิร์ฟเวอร์แบ็กเอนด์ที่จะใช้เพื่อกระจายการรับส่งข้อมูล
ในกรณีนี้ เนื่องจากเราต้องการรักษาความปลอดภัยการรับส่งข้อมูล เราจะผูกพอร์ต 443 ซึ่งใช้สำหรับการเชื่อมต่อ HTTPS เราระบุอีกครั้งว่าเราต้องการยอมรับโหมด TCP เพื่อให้ HAProxy ทำงานที่เลเยอร์การขนส่ง
นอกจากนี้เรายังเพิ่มบรรทัด “tcp-request” เป็นกฎที่ระบุระยะเวลาในการตรวจสอบข้อความ “hello” SSL เพื่อยืนยันว่าเรายอมรับการรับส่งข้อมูล SSL สุดท้ายนี้ เราระบุเซิร์ฟเวอร์แบ็กเอนด์เพื่อใช้สำหรับการกระจายโหลด ส่วน 'ส่วนหน้า' สุดท้ายของเรามีดังนี้:
สำหรับส่วน 'แบ็กเอนด์' เราตั้งค่าโหมดเป็น TCP จากนั้นเราจะระบุที่อยู่ IP สำหรับเซิร์ฟเวอร์ที่เราใช้สำหรับการทำโหลดบาลานซ์ ตรวจสอบให้แน่ใจว่าคุณเปลี่ยน IP เหล่านี้เพื่อให้ตรงกับเซิร์ฟเวอร์ที่ใช้งานอยู่ของคุณและตั้งค่าพอร์ตการเชื่อมต่อเป็น 443
มีการเพิ่ม “ตัวเลือก tcplog” เพื่ออนุญาตให้บันทึกปัญหาที่เกี่ยวข้องกับ TCP ในไฟล์บันทึกที่รวมอยู่ในส่วน “ทั่วโลก” ของไฟล์กำหนดค่า
ขั้นตอนที่ 3: รีสตาร์ท HAProxy และทดสอบการกำหนดค่า
เมื่อคุณแก้ไขไฟล์กำหนดค่า HAProxy แล้ว ให้บันทึกและออก เริ่มบริการ HAProxy ใหม่เพื่อให้การเปลี่ยนแปลงมีผล
แค่นั้นแหละ! เราใช้การส่งผ่าน SSL ใน HAProxy ลองส่งทราฟฟิกไปยังเว็บเซิร์ฟเวอร์ของคุณโดยใช้คำสั่งเช่น curl แล้วดูว่ามันตอบสนองอย่างไร หากใช้งานการส่งผ่าน SSL ได้สำเร็จ คุณจะได้รับเอาต์พุตแสดงว่ามีการเชื่อมต่อผ่านพอร์ต 443 และคุณจะเชื่อมต่อกับเซิร์ฟเวอร์แบ็คเอนด์ เซิร์ฟเวอร์ของคุณจะตอบกลับพร้อมรายละเอียดที่จำเป็นและให้การตอบกลับ 200 สถานะ
บทสรุป
การใช้การส่งผ่าน SSL จะช่วยในการสร้างการเข้ารหัสจากต้นทางถึงปลายทาง และทำให้มั่นใจว่าการเชื่อมต่อ SSL/TLS ของคุณยังคงอยู่เมื่อมีการปรับสมดุลโหลด หากต้องการใช้ SSL passthrough ใน HAProxy ให้ติดตั้ง HAProxy และแก้ไขไฟล์คอนฟิกูเรชันเพื่อระบุวิธีที่คุณต้องการให้โหลดบาลานซ์เกิดขึ้น อ้างอิงถึงตัวอย่างที่นำเสนอเพื่อทำความเข้าใจกระบวนการให้ดีขึ้น