העבר את מאזן העומס שלך מ-AWS ELB ל-ZEVENET ADC

פורסם ב-27 בדצמבר, 2022

סקירה כללית

ה (AWS) מאזן עומסים אלסטי (ELB) מחלק תעבורת אינטרנט על פני מספר EC2 מופעים, שירות מיכל אלסטי (ECS), וכתובות IP. ELB יש גם את היכולת לאזן תנועה בין אזורי זמינות שונים כדי להבטיח זמינות גבוהה. עם זאת, ישנן מספר מגבלות לשימוש AWS's ELB, ואלה כוללים:

  1. שיטות איזון עומס מוגבל. כברירת מחדל, ELB משתמש רק ב- רובין העגול אלגוריתם, ויש לו יכולות החלפת תוכן מוגבלות.
  2. מאז ELB נועד לנהל תעבורה מהאינטרנט למופעים בענן פרטי וירטואלי(VPC), הוא אינו מתאים לאיזון עומסים בין משאבים מקומיים.

במאמר זה, נדון כיצד ניתן להחליף את שירותי איזון העומס שלו בחלופה טובה יותר, ZEVENET ADC. כדי לקבל השוואה מפורטת בין AWS ELB ל-ZEVENET, עיין במאמר זה השוואת AWS ו-ZEVENET.

תנאים מוקדמים

ודא שאתה עומד בדרישות אלה לפני שתנסה להעביר תצורות מ AWS ELB ל-ADC המלא של ZEVENET.

  1. צומת ZEVENET ADC חייב להיות מותקן במחשב האישי שלך, בסביבה רק מטאל, בסביבה וירטואלית, או שחייב להיות פעיל ZVNCloud חֶשְׁבּוֹן. בקש הערכה לפריסה מקומית.
  2. חייבת להיות גישה לממשק הגרפי של האינטרנט. אם לא, עקוב אחר זה מהר מדריך התקנה.
  3. יש להיות משתמש פעיל ב-AWS ELB ולהכיר את המושגים עליהם נדון בסעיף שלהלן.
  4. צריך להיות מסוגל ליצור שרת וירטואלי במאזן העומס של ZEVENET. הנה מדריך מהיר: תצורת שרת וירטואלי של שכבה 4 ושכבה 7.

הערות
ל-ZEVENET יש תבנית ב- שוק AWS. הפריסה של ZEVENET ב-AWS היא חלקה ואמורה להתרחש בכמה קליקים.

מושגים בסיסיים

מַאֲזִין: מאזין בודק תנועה נכנסת בשכבה 7 ומעביר אותה לקבוצת היעד הדרושה. בדרך כלל, מאזין יוגדר לבדוק HTTP or HTTPS תנועה בנמלים 80 or 443 בהתאמה. מאזיני Layer 7 העיקריים המשמשים את ZEVENET ADC הם HTTP ו HTTPS.

קבוצת היעד: קבוצת יעד היא אשכול של מופעי EC2 הפועלים יחד כדי לספק שירות. כל המופעים הללו בתוך קבוצת יעד חייבים להיות בעלי אותו קוד אפליקציה שמעבד בקשות מהלקוחות. קבוצת יעד זהה לא שֵׁרוּת בעת שימוש בZEVENET ADC.

בדיקות בריאות: בדיקות תקינות עוקבות אחר הפעולה וההיענות של שירות בכל מופע EC2. כאשר השירות או מופע EC2 נופל, בדיקות תקינות יבחינו בחוסר ההיענות, ומאזן העומס יפנה את התעבורה למקרים בריאים. ZEVENET משתמש בסט של תוספים הנקראים חקלאי כדי לפקח על מצב הבריאות של שרתי Backend והשירותים שלהם.

סוגי מאזני עומסים: AWS ELB מספקת שלושה סוגים של מאזני עומסים. אלו כוללים בקשה, רשת ו קלַאסִי מאזני עומסים. מאזן העומס הקלאסי יוצא משימוש, ומשאיר רק את רשת ו בקשה מאזני עומסים לשימוש. למאזני עומסים של ZEVENET ADC Layer 7 יש HTTP פרופיל בעוד למאזני העומס ברשת יש L4xNAT פּרוֹפִיל.

קבוצת אבטחה: קבוצת אבטחה היא קבוצה של חוקי חומת אש המנטרת ושולטת בתעבורה נכנסת ויוצאת. ל-ZEVENET ADC יש מובנה IPDS מודול עם מדיניות מוגדרת לסנן כל תעבורה גרועה למאזן העומס, וגם לחסום את כל הניסיונות לגישה לא מורשית. אתה יכול ליצור חוקי חומת אש על ידי גישה ל- WAF אפשרות בתוך IPDS מודול.

ACM: שירות ACM מאפשר למנהל מערכת לפרוס ולנהל אישורי SSL/TLS לשימוש בתוך משאבים פנימיים מחוברים ב-AWS. כדי לנהל אישורי SSL פנימיים בתוך מאזן העומס של ZEVENET, גש אליהם באמצעות LSLB >> תעודות SSL. או שאתה יכול ליצור אישור SSL מותאם אישית בחתימה עצמית דרך ה בואו להצפין תוכנית המוטמעת במאזן העומס ZEVENET.

מופעים או יעדים של EC2: אלו הם שרתים וירטואליים של לינוקס במורד הזרם המארחים את קוד האפליקציה שמעבד בקשות המתקבלות מהאינטרנט. שרתים וירטואליים אלה נקראים Backends בעת שימוש בZEVENET ADC.

תצורות לדוגמה: תעודות SSL

כדי להצפין נתונים המועברים בין לקוחות לבין מאזן העומס, יש להתקין אישור SSL כדי לשמור על התקשורת בין המארחים מאובטחת. מידע רגיש כגון אישורי כניסה ו מספרי כרטיסי אשראי חייב להיות מועבר על גבי שכבת הובלה מאובטחת.

בחלק זה, נדון בתעודות ההתקנה של SSL ב-ZEVENET ADC בהתייחס ל-AWS ACM.

הגדרת אישור SSL בחתימה עצמית לשימוש ב-AWS

יש לבצע את השלבים הבאים כדי להתקין אישור SSL ב-ELB.

  1. כדי ליצור CSR עבור מופעי EC2 שלך, תצטרך גישה למסוף הלינוקס של אותו מופע.
  2. לאחר שהתחברת למופע EC2, נווט אל הספרייה: /etc/pki/tls/private/
  3. צור מפתח פרטי חדש, 2048 סיביות RSA באמצעות הפקודה הבאה: sudo openssl genrsa -out custom.key
  4. צור אישור המספק את המפתח הפרטי להפקה הקודם באמצעות הפקודה: openssl req -new -x509 -nodes -sha1 -ימים 365 -הרחבות v3_ca -custom.key -out custom.crt
  5. מלא את הפרטים הדרושים הנדרשים בתעודת SSL.
    • מדינה: הזן 2 קודי מדינות ISO.
    • מדינה / מחוז: הזן את המחוז שבו החברה שלך ממוקמת.
    • עִיר: הזן את שם העיר שבה אתה נמצא.
    • שם נפוץ: הזן שם דומיין מוסמך מלא FQDN, למשל www.zevenet.com
    • ביטוי סיסמה או סיסמה: אתה יכול להתעלם מיצירת סיסמה עבור דוגמה זו. בינתיים, האישור שנוצר יהיה ב- *.pem פורמט קובץ.
  6. קומפל את שני האישורים לתוך חבילת PKCS12 באמצעות הפקודה:openssl pkcs12 -inkey custom.key -in custom.crt -export -out custom.p12
  7. בהנחה ש-AWS CLI כבר מותקן, בדרך כלל צריך להעלות את האישור שנוצר (custom.crt) ואת המפתח הפרטי (custom.key) למנהל האישורים של AWS באמצעות הפקודה: aws acm import-certificate — Certificate file://custom.crt — Private-key file://custom.key — region us-east-2
  8. אישור זה יהיה זמין כעת באשף היצירה תחת האפשרות "בחר אישור מ-ACM (מומלץ)".

הגדרת תעודת SSL בחתימה עצמית לשימוש ב-ZEVENET ADC

  1. כדי ליצור אישור SSL מותאם אישית עבור מופע ZEVENET ADC שלך, אתר את הספרייה הבאה באמצעות שורת הפקודה של המכשיר.
    2. cd /usr/local/zevenet/config/certificates
  2. צור מפתח פרטי ללא ביטוי סיסמה באמצעות הפקודה:
    3. openssl genrsa -out custom.key 2048
  3. צור בקשת סימן אישור (CSR) עבור המפתח הפרטי באמצעות הפקודה:
    4. openssl req -new -key custom.key -out custom.csr
  4. מלא את הפרטים הדרושים.
    • שֵׁם: שם תיאורי לזיהוי ה-CSR.
    • מדינה: קוד ה-ISO של המדינה שבה אתה נמצא.
    • שם נפוץ: שם דומיין מוסמך לחלוטין. (FQDN), למשל www.example.com
    • חֲלוּקָה: המחלקה שלך, וזה יכול להיות בריאות, IT או אבטחה.
    • מָקוֹם: העיר שבה אתה נמצא.
    • שכונה: המדינה שבה נמצא הארגון שלך.
    • ארגון: השם החוקי של הארגון שלך, למשל ZEVENET SL.
    • כתובת דואר אלקטרוני: הזן את כתובת הדוא"ל שלך. לא חובה שזה יהיה אחד עבור שם הדומיין.
  5. צור א תעודה בחתימה עצמית תוך שימוש הן במפתח הפרטי והן בתעודת CSR. עבור דוגמה זו, לאישור החתום בעצמו יהיה אורך חיים של שנה אחת, ופורמט הפלט יהיה ב .PEM. השתמש בפקודה הבאה.
    6. openssl x509 -in custom.csr -outform PEM -out custom.pem -req -signkey custom.key -days 365
  6. אישור זה יהיה זמין לשימוש בתוך LSLB >> תעודות SSL סָעִיף.

למידע נוסף על אישורי SSL ב-ZEVENET ADC, עיין במשאבים הבאים:

  1. צור אישורים בפורמט PEM.
  2. LSLB | בואו להצפין
  3. LSLB | תעודות SSL

תצורות לדוגמה: חומת אש של אפליקציות אינטרנט

כמאפיין אבטחה, א WAF מגן על יישום אינטרנט על ידי סינון וחסימת תעבורה זדונית. WAF נפרס בדרך כלל מול מאזן עומסים ונועד להגן על יישומי אינטרנט מפני התקפות זדוניות שונות כגון סקריפטים בין אתרים (XSS), הזרקת SQL, והתקפות אחרות, כולל אלו שב הטופ 10 של OWASP.

על ידי בדיקת תעבורת HTTP נכנסת וניתוחה מול מערכת כללים או מדיניות אבטחה, ה-WAF יחסום את כל התעבורה שנחשבת לא בטוחה. ZEVENET ADC מציעה תכונות אבטחה מתקדמות יותר כמו רישום שחור של IP, מדיניות RBL, הגנת DoS וכו'.

בחלק זה נתאר כיצד להגן מפני הזרקת SQL ב-AWS ולדמות תצורות דומות עם ZEVENET ADC.

תצורות AWS

כדי לאפשר הזרקת SQL הגנה, עליך להציב לפחות מופע אחד או 2 EC2 מאחורי מאזן עומסים אלסטי. מופעי EC2 אלה חייבים לכלול את יישום האינטרנט שאתה רוצה להגן עליו.

  1. בתוך קונסולת האינטרנט של AWS, חפש WAF ומגן, ולחץ על הקישור שמופיע.
  2. לחץ על אינטרנט ACL פריט בתפריט.
  3. בחר את האזור שממנו תגיע התנועה שלך, למשל אירופה (פרנקפורט).
  4. לחץ על צור ACL אינטרנט לַחְצָן.
  5. תַחַת הוסף כללים וקבוצות כללים, הקלק על ה הוסף כללים חץ נפתח.
  6. בחר הוסף קבוצות כללים מנוהלות. תמצאו עוד קבוצות כללים מנוהלות, כולל שליטה בבוטים, רשימת מוניטין IP של אמזון, מסדי נתונים של SQL, וכו '
  7. בחר מסד נתונים SQL על ידי הפעלת לחצן החלפת המצב הוסף ל-ACL אינטרנט.
  8. גלול למטה ולחץ על הוסף כלל לַחְצָן.
  9. בתוך פעולת ברירת מחדל עבור כללים שאינם תואמים, השאר את האפשרות בתור להתיר.
  10. לחץ על הַבָּא לַחְצָן.
  11. בתוך הגדר עדיפות כלל קטע, השתמש בקטע זה כדי להוסיף עדיפות לכלל, ולאחר מכן לחץ על הלחצן, הַבָּא.
  12. בתוך הגדר מדדים סעיף, אין מה לשנות, אז לחץ על הכפתור, הַבָּא.
  13. בתוך סקור וצור ACL אינטרנט לחץ על הלחצן צור ACL אינטרנט לַחְצָן.
  14. לאחר יצירת ACL אינטרנט בהצלחה, לחץ על ה-ACL שיצרת זה עתה.
  15. לחץ על הכרטיסייה עם משאבי AWS משויכים.
  16. הוסף את מאזן העומס של האפליקציה שברצונך להגן עליו. לאחר הוספת המשאבים, הכלל שלך יוגדר לחסום כל הזרקה למסד הנתונים sql.

תצורות ZEVENET

כדי לאפשר הגנת הזרקת SQL, עליך ליצור א ערכת חוקים של WAF ראשון.

  1. תיכנס לאתר IPDS בתפריט הצד, ולחץ כדי להרחיב אותו.
  2. לחץ על WAF אפשרות להרחיב אותו.
  3. לחץ על ערכות כללים אוֹפְּצִיָה.
  4. לחץ על צור ערכת כללים של WAF לַחְצָן.
  5. הקצה א שם שמזהה בקלות את מערכת הכללים הזו.
  6. עזוב את ה העתק את קבוצת החוקים שדה כמו -ללא סט חוקים-.
  7. לחץ על החל כדי לשמור את השינויים.
  8. בתוך הגדרות כלליות, הפעל את בדוק את גוף הבקשה אוֹפְּצִיָה.

    9. אורקל

  9. שנה את פעולת ברירת המחדל ל דחה: חתוך את הבקשה ואל תבצע כללים שנשארו
  10. לחץ על החל כדי לשמור את השינויים.

הגדרת כללים

  1. לחץ על חוקי לשונית כדי להוסיף כללים חדשים.
  2. לחץ על חוק חדש לַחְצָן.
  3. בחר את סוג הכלל כ פעולה.

    4. אורקל

  4. בחר שלב as גוף הבקשה התקבל.
  5. בחר החלטה as דחה: חתוך את הבקשה ואל תבצע כללים שנשארו.
  6. הוסף תיאור לכלל כדי לזהות בקלות על מה הכלל
  7. לחץ על החל כדי לשמור את השינויים.

הוספת תנאים

  1. לחץ על הכלל החדש שנוצר כדי להוסיף תנאים. התחל בלחיצה על צור תנאי לַחְצָן.

    2. אורקל

  2. בתוך משתנים שדה, בחר REQUEST_BODY ולאחר מכן לחץ על הוסף משתנה לַחְצָן.
  3. בתוך טרנספורמציה שדה, בחר באפשרות, אף לא אחד.
  4. בתוך מַפעִיל בחר, בחר -
  5. לחץ על החל לחצן כדי ליצור את התנאי החדש.

הפעלת כללים לחווה

  1. לחץ על חוות לשונית כדי להוסיף כלל זה לשרת יעד וירטואלי (חווה) במאזן העומס.

    2. אורקל

  2. בתוך הגדרות החווה, גרור ושחרר את החווה שנבחרה ממנה חוות זמינות ל חוות מופעלות.
  3. בפינה הימנית העליונה, יש פעולות. לחץ על כפתור ההפעלה הירוק כדי להתחיל את הכלל. ברגע זה, כלל ה-WAF יחסום כל הזרקת sql המוטמעת בגוף הבקשה, בעיקר באמצעות טפסי חיפוש או התחברות.

למשאבים נוספים על WAF, עיין במאמרים הבאים:

  1. IPDS | WAF
  2. IPDS | WAF | קבצים

משאבים נוספים

שימוש בתוכנית Let's encrypt ליצירה אוטומטית של אישור SSL.
איזון עומסים ב-Datalink/Uplink עם ZEVENET ADC.
איזון עומסי DNS עם ZEVENET ADC.
הגנה מפני התקפות DDoS.
ניטור אפליקציות, בריאות ורשת ב-ZEVENET ADC.

תשתף:

תיעוד על פי תנאי הרישיון לשימוש חופשי במסמכים של גנו.

האם המאמר הזה היה מועיל?

יש לא

מאמרים נוספים