הגירה מהפרוקסי ל-ZEVENET ADC

פורסם ב-23 בנובמבר, 2022

סקירה כללית

בעת תכנון ובנייה של יישומים זמינים מאוד וניתנים להרחבה, מערכת אמינה כמו ZEVENET ADC הוא הכרח מוחלט. עם הביקוש הגובר לאספקה ​​בזמן אמת, Fast כותב וקורא למאגרי מידע, מותגים חייבים להתאים את המפרטים והפרוטוקולים העדכניים ביותר כדי להישאר רלוונטיים בשוק. אבטחה היא מרכיב מכריע לבטיחות נתוני הלקוחות, ואלמנט זה נותן ל-ZEVENET יתרון עצום על פני Haproxy.

כמשתמש פרוקסי נוכחי, נדון במושגים שאתה כבר מכיר ונשתמש בהם כדי לבצע תצורות דומות באמצעות ZEVENET ADC.

תנאים מוקדמים

יש לעמוד בדרישות הבסיסיות הללו כדי להעביר תצורות מהפרוקסי ל-ZEVENET ADC.

  1. מופע של ZEVENET ADC חייב להיות מותקן במחשב האישי שלך, ב-bare-metal, בסביבה הוירטואלית, או שחייב להיות פעיל ZVNCloud חֶשְׁבּוֹן. בקש הערכה לפריסה מקומית.
  2. חייבת להיות גישה לממשק הגרפי של האינטרנט. אם לא, עקוב אחר זה מהר מדריך התקנה.
  3. אנו מניחים שאתה משתמש פעיל ב-Haproxy ואתה מכיר את המושגים עליהם נדון בסעיף שלהלן.
  4. צריך להיות מסוגל ליצור שרת וירטואלי במאזן העומס של ZEVENET. הנה מדריך מהיר: תצורת שרת וירטואלי של שכבה 4 ושכבה 7

מושגים בסיסיים

בסעיף זה, הבה נדון בכמה מושגים המבוססים על תצורת HAproxy. נתאר רעיונות דומים ב-ZEVENET ADC ובהמשך נשתמש בהם כדי לתאר פריקת SSL ו HTTP ל HTTPS ניתוב מחדש באמצעות מאזן עומסים של ZEVENET.

מצב: הפקודה mode מגדירה אם פרופיל איזון העומס הוא שכבה 4 או שכבה 7. ZEVENET משתמשת בפרופילים כדי להגדיר אם התצורה היא Layer 4 או 7. פרופילים אלה כוללים HTTP ו L4xNAT

חיבור פסק זמן: חיבור פסק זמן מגדיר כמה זמן HAproxy צריך לחכות לפני חיבור לשרת אחורי. ZEVENET משתמש פסק זמן של חיבור אחורי. ערך ברירת המחדל הוא 20 שניות.

לקוח פסק זמן: הגדרה זו מגדירה כמה זמן HAproxy צריך לחכות לתגובה מהלקוח. אם הזמן הזה יפוג ללא קבלת אות מהלקוח, החיבור יסתיים. ZEVENET משתמש פסק זמן לבקשת הלקוח. ערך ברירת המחדל הוא 30 שניות.

שרת פסק זמן: שרת הזמן הקצוב מגדיר כמה זמן HAproxy צריך לחכות לתגובה משרת אחורי. אם הזמן הזה חולף ללא תגובה משרת אחורי, החיבור יסתיים. ZEVENET משתמש זמן קצוב לתגובה עורפית. ערך ברירת המחדל הוא 45 שניות.

לִקְשׁוֹר: Bind מגדיר כתובת IP אחת או מרובות האזנה המצורפות עם היציאות שלהן. יציאות אלו מקשיבות לתעבורה נכנסת ואז משרתות אותן לשרתי הקצה האחורי. הנה ביטוי לדוגמה:

listen http_https_proxy_www.
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

החלק החזיתי של ZEVENET ADC הוא א משק ויש לו מאזינים שמפיצים תעבורה לשירותים שונים.

maxconn: מגביל את מספר החיבורים ש-HAproxy ישרת. פקודה זו מגנה על מאזן העומס מפני חוסר הזיכרון. ZEVENET ADC מותאם מאוד לשרת מעל 140,000 חיבורים במקביל בשכבה 7 ומעלה 10 מיליון חיבורים בשכבה 4. עם זאת, אתה יכול לקבוע את המספר המרבי של חיבורים בתוך L4xNAT פרופיל באמצעות מקסימלי קונדס שדה בעת הגדרת התצורה Backends.

ssl-default-bind-ciphers: צפני כריכה מגדירים את ברירת המחדל של TLS/SSL Ciphers על HAproxy. מאזן עומסים ZEVENET מגיע עם טעון מראש אבטחה גבוהה צפנים, פריקת SSL, ומשתמש הקצה יכול להתאים אישית את הצפנים שלו דרך ה אבטחה מותאמת אישית דגל.

ssl-default-bind-options: תכונה זו משביתה או מפעילה גרסאות ישנות יותר של TLS/SSL. גישה לתצורות דומות דרך פרמטרי HTTPS בתוך ההגדרות הגלובליות של פרופיל HTTP ב-ZEVENET ADC.

דוגמה לתצורה: הורדת SSL ושימוש בצפנים

פריקת SSL מתייחס לפענוח תעבורת SSL/TLS נכנסת והעברתה לשרת אחד או יותר בצורה לא מוצפנת. מאזן העומס/פרוקסי הפוך משתמש בחבילה של אלגוריתמים (צופן) כדי להצפין ולפענח נתונים.

השימוש בצפנים ב סיום SSL/TLS חשוב כי הוא קובע את רמת האבטחה הניתנת עבור הנתונים המועברים. באופן כללי, צפנים חזקים יותר מספקים תקשורת מאובטחת יותר, אך הם עשויים גם לדרוש כוח עיבוד רב יותר כדי להצפין ולפענח את הנתונים. כתוצאה מכך, חשוב לשקול היטב באילו צפנים נעשה שימוש בסיום SSL/TLS, תוך התחשבות בשניהם אבטחה ו ביצועים.

תצורות פרוקסי

כדי להגדיר הורדת ssl עם HAproxy, אנו משתמשים בהגדרות שלהלן.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/zevenet.com.ssl.pem
    default_backend domainBackends

מהקטע שלמעלה, Haproxys מאזין לתנועה נכנסת בשני היציאות, 80 ו 443. עם זאת, היציאה 443 כוללת הנחיה לספרייה שבה נשמר אישור ה-ssl.

בינתיים, אתה יכול לציין את צפני ברירת המחדל לשימוש במאזן העומס על ידי ההגדרות: ssl-default-bind-ciphers וגרסת ssl באמצעות ssl-default-bind-option.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

תצורות ZEVENET

כדי להשיג תוצאה דומה עם ZEVENET, ודא שיצרת פרופיל חוות HTTP. אם שכחת, עיין במאמר זה: תצורת שרת וירטואלי של שכבה 4 ושכבה 7

  1. בתפריט, עבור אל LSLB> חוות ולחץ על שכבה 7 (HTTPS) פרופיל החווה.

    2. אורקל

  2. תחת הגדרות כלליות, שנה את מספר היציאה ל 443.
  3. לשנות את ה מקשיב מ-HTTP ל-HTTPS.
  4. תַחַת פרמטרי HTTPS, הפעל או השבת גרסאות TLS/SSL ישנות.
  5. בחר SSL פריקה בתור הצופן שלך.
  6. מאזן העומס מוטען מראש עם א zencert.pem אישור SSL, אבל אתה יכול לכלול אישור מותאם אישית אם יצרת כזה.
  7. עדכן את התצורות על ידי לחיצה על החל לַחְצָן.

כדי ללמוד עוד על פרופיל HTTP, אישורי SSL והגדרת תעודת SSL מותאמת אישית באמצעות ה בואו להצפין ב-ZEVENET ADC, עיין במדריכים אלה.

  1. שכבה 7 (פרופיל HTTP) ב-ZEVENET ADC.
  2. תעודות SSL על ZEVENET ADC.
  3. בואו להצפין תוכנית ב-ZEVENET ADC.

תצורות לדוגמה: הפניית HTTP ל-HTTPS

כאשר לקוחות מבקרים בשירותים דרך יציאה לא מאובטחת, לפעמים עליך להפנות אותם לשרת מאובטח. אנו משיגים זאת על ידי תגובה עם הפנייה קבועה מצב קוד 301. הדפדפן של הלקוח יתחבר אוטומטית ל-IP המאובטח וליציאה שנשלחו בכותרת המיקום.

תצורות פרוקסי

עם הפרוקסי, הקוד http-request הפניה מחדש מפנה מחדש משתמשים אם הם מבקרים דרך הנמל 80 לנמל 443.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/ssl.pem
    http-request redirect scheme https unless { ssl_fc }
    default_backend domainBackends

הפניית HTTP ל-HTTPS ב-ZEVENET ADC

שימוש בצעדים המתוארים במאמר זה: תצורת שרת וירטואלי של שכבה 4 ושכבה 7, צור גם an HTTP ו HTTPS חווה חקלאית.

להבטיח שיש לך את שניהם HTTP ו HTTPS חוות;

  1. תיכנס לאתר LSLB> חוות ולחץ על סמל העריכה של חוות ה-HTTP.
  2. לחץ על שירותים לשונית ופתח את השירות שברצונך לערוך.

    3. אורקל

  3. החלף על אפשר הפניה מחדש לַחְצָן.
  4. בחר סוג הפניה מחדש צרף.
  5. בחר קוד להפניה מחדש: 301.
  6. הזן כתובת אתר להפניה מחדש על ידי הכנסת https:// לכתובת ה-IP. אם כתובת ה-IP של החווה המאובטחת היא 10.0.0.18, אז כתובת האתר להפניה מחדש תהיה https://10.0.0.18
  7. עדכן את השינויים על ידי לחיצה על החל לַחְצָן.
  8. הפעל מחדש החווה כדי שהשינויים ייכנסו לתוקף.

צפו גם ב:

משאבים נוספים

שימוש בתוכנית Let's encrypt ליצירה אוטומטית של אישור SSL.
איזון עומסים ב-Datalink/Uplink עם ZEVENET ADC.
איזון עומסי DNS עם ZEVENET ADC.
הגנה מפני התקפות DDoS.
ניטור אפליקציות, בריאות ורשת ב-ZEVENET ADC.
תצורת חומת האש של יישומי אינטרנט.
הגדרת תעודות SSL עבור מאזן העומס.

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

יש לא

מאמרים נוספים