Bài đăng này bắt đầu bằng cách thảo luận lý do tại sao việc triển khai chuyển tiếp SSL trong HAProxy là điều cần thiết. Sau đó chúng tôi thảo luận về các bước cần thực hiện để triển khai nó bằng một ví dụ để bạn dễ hiểu.
Truyền qua SSL là gì và tại sao nó lại cần thiết?
Với vai trò là bộ cân bằng tải, HAProxy nhận tải trực tiếp đến máy chủ web của bạn và phân phối tải đó trên các máy chủ đã được định cấu hình. Tải đang được phân phối là lưu lượng được chia sẻ giữa các thiết bị khách và máy chủ phụ trợ. Bảo mật là điều cần thiết khi cân bằng tải và đó là lúc tính năng chuyển qua SSL phát huy tác dụng.
Lý tưởng nhất là chuyển tiếp SSL bao gồm việc chuyển tiếp lưu lượng SSL/TLS đến máy chủ web của bạn và phân phối nó đến các máy chủ đã định cấu hình mà không chấm dứt kết nối SSL/TLS tại HAProxy hoặc bất kỳ bộ cân bằng tải nào khác mà bạn đang sử dụng. Với tính năng chuyển qua SSL, bạn sẽ được hưởng mã hóa đầu cuối tốt hơn và địa chỉ IP gốc của khách hàng sẽ được giữ nguyên. Hơn nữa, đây là một biện pháp bảo mật được khuyến nghị và nó tạo ra sự linh hoạt tốt hơn cho máy chủ phụ trợ, giảm tình trạng quá tải trên HAProxy.
Hướng dẫn từng bước về cách triển khai Truyền qua SSL trong HAProxy
Khi đã hiểu ý nghĩa của việc chuyển qua SSL và lý do bạn cần nó, nhiệm vụ tiếp theo là cung cấp các bước bạn nên làm theo để triển khai nó trong bộ cân bằng tải HAProxy của mình. Hãy làm theo các bước đã cho và nhanh chóng triển khai quá trình chuyển tiếp SSL trên bộ cân bằng tải HAProxy của bạn.
Bước 1: Cài đặt HAProxy
Giả sử bạn chưa cài đặt HAProxy. Bước đầu tiên là cài đặt nó trước khi chúng ta định cấu hình nó để triển khai chuyển tiếp SSL. Do đó, hãy bắt đầu bằng cách cập nhật kho lưu trữ của bạn.
$ sudo cập nhật thích hợp
Tiếp theo, cài đặt HAProxy từ kho lưu trữ mặc định bằng lệnh sau. Lưu ý rằng chúng tôi đang sử dụng Ubuntu cho trường hợp này:
$ sudo đúng cách cài đặt haproxy
Sau khi cài đặt HAProxy, bạn đã sẵn sàng triển khai chuyển tiếp SSL. Đọc tiếp!
Bước 2: Triển khai SSL Passthrough trong HAProxy
Đối với bước này, chúng tôi phải truy cập tệp cấu hình HAProxy nằm trong “/etc/haproxy” và chỉnh sửa tệp đó để chỉ định cách chúng tôi muốn triển khai chuyển qua SSL. Bạn có thể mở tệp cấu hình bằng bất kỳ trình soạn thảo văn bản nào. Chúng tôi đã sử dụng nano cho phần trình diễn này.
$ sudo nano / vân vân / haproxy / haproxy,cfgKhi truy cập vào tệp cấu hình, có hai phần bạn phải tạo: “frontend” và “backend”. Trong “giao diện người dùng”, đó là nơi bạn chỉ định cổng nào sẽ liên kết cho các kết nối. Một lần nữa, bạn phải chỉ định giao thức nào sẽ sử dụng và máy chủ phụ trợ nào sẽ sử dụng để phân phối lưu lượng.
Trong trường hợp này, vì chúng tôi muốn bảo mật lưu lượng truy cập, chúng tôi sẽ liên kết cổng 443 dành cho kết nối HTTPS. Một lần nữa, chúng tôi xác định rằng chúng tôi muốn chấp nhận chế độ TCP để HAProxy hoạt động ở lớp vận chuyển.
Chúng tôi cũng thêm dòng “tcp-request” làm quy tắc chỉ định khoảng thời gian kiểm tra các thông báo “xin chào” SSL để xác minh rằng chúng tôi đang chấp nhận lưu lượng SSL. Cuối cùng, chúng tôi chỉ định máy chủ phụ trợ sẽ sử dụng để phân phối tải. Phần “frontend” cuối cùng của chúng ta như sau:
Đối với phần “phụ trợ”, chúng tôi đặt chế độ thành TCP. Sau đó, chúng tôi chỉ định địa chỉ IP cho máy chủ mà chúng tôi sử dụng để cân bằng tải. Đảm bảo rằng bạn thay thế các IP này để khớp với IP của máy chủ trực tiếp của bạn và đặt cổng kết nối thành 443.
“Tùy chọn tcplog” được thêm vào để cho phép ghi nhật ký các vấn đề liên quan đến TCP trong tệp nhật ký được bao gồm trong phần “toàn cầu” của tệp cấu hình.
Bước 3: Khởi động lại HAProxy và kiểm tra cấu hình
Sau khi bạn chỉnh sửa tệp cấu hình HAProxy, hãy lưu nó và thoát. Khởi động lại dịch vụ HAProxy để áp dụng các thay đổi.
Đó là nó! Chúng tôi đã triển khai tính năng chuyển tiếp SSL trong HAProxy. Hãy thử gửi lưu lượng truy cập đến máy chủ web của bạn bằng lệnh như cuộn tròn và xem nó phản hồi như thế nào. Nếu quá trình chuyển qua SSL được triển khai thành công, bạn sẽ nhận được kết quả đầu ra cho biết kết nối được thực hiện qua cổng 443 và bạn sẽ được kết nối với máy chủ phụ trợ. Máy chủ của bạn sẽ phản hồi với các chi tiết được yêu cầu và đưa ra phản hồi 200 trạng thái.
Phần kết luận
Việc triển khai chuyển tiếp SSL sẽ giúp tạo mã hóa hai đầu và đảm bảo rằng kết nối SSL/TLS của bạn được duy trì khi quá trình cân bằng tải diễn ra. Để triển khai chuyển tiếp SSL trong HAProxy, hãy cài đặt HAProxy và chỉnh sửa tệp cấu hình để chỉ định cách bạn muốn cân bằng tải diễn ra. Tham khảo ví dụ được trình bày để hiểu rõ hơn về quy trình.