Comment implémenter le relais SSL dans HAProxy

Maintenir l'équilibre de la charge de votre serveur Web est l'une des mesures clés pour éviter les temps d'arrêt. L'utilisation d'un équilibreur de charge est une approche fiable, HAProxy étant un choix très apprécié. À l'aide de HAProxy, vous pouvez configurer avec précision la méthode d'équilibrage de charge et prendre en charge le relais SSL pour garantir la sécurité de la communication entre le client et le serveur.

Commencez par discuter de l'importance de la mise en œuvre du relais SSL dans HAProxy, suivi d'une discussion détaillée des étapes requises pour implémenter cette fonctionnalité et en fournissant un exemple pour une meilleure compréhension.

Qu'est-ce que le relais SSL ? Pourquoi c'est important?

En tant qu'équilibreur de charge, HAProxy accepte et distribue la charge circulant vers vos serveurs Web, en la répartissant sur les serveurs configurés. La charge est répartie sur le trafic partagé entre les appareils clients et les serveurs backend. Dans le processus d'équilibrage de charge, la sécurité est cruciale et SSL est la clé pour garantir la sécurité.

Idéalement, le relais SSL implique de transférer le trafic SSL/TLS vers votre serveur Web et de le distribuer aux serveurs configurés sans mettre fin à la connexion SSL/TLS sur HAProxy ou tout autre équilibreur de charge que vous utilisez. Avec SSL Passthrough, vous bénéficierez d'un meilleur cryptage de bout en bout et l'adresse IP d'origine du client sera préservée. De plus, il s'agit d'une mesure de sécurité recommandée qui crée une meilleure flexibilité du serveur back-end et réduit la surcharge HAProxy.

Guide étape par étape sur la façon de mettre en œuvre le tunneling SSL dans HAProxy

Après avoir compris le concept de passthrough SSL et sa nécessité, l'étape suivante consiste à l'implémenter sur l'équilibreur de charge HAProxy en suivant les étapes prescrites. Suivez les instructions pour activer rapidement le relais SSL sur votre équilibreur de charge HAProxy.

Étape 1 : Installez HAProxy

En supposant que HAProxy n'est pas installé. La première étape consiste à l'installer avant de le configurer pour le relais SSL. Commencez donc par mettre à jour le référentiel.

$sudo apt mise à jour

Ensuite, installez HAProxy à partir du référentiel par défaut à l'aide de la commande suivante. Notez que nous utilisons Ubuntu pour gérer cette situation :

$sudo apt installer haproxy

Une fois HAProxy installé, vous pouvez réaliser le relais SSL. Continuer à lire!

Étape 2 : Implémenter SSL Passthrough dans HAProxy

Pour cette étape, nous devons accéder au fichier de configuration HAProxy situé dans "/etc/haproxy" et le modifier pour spécifier comment nous voulons réaliser le passthrough SSL. Vous pouvez ouvrir le fichier de configuration à l'aide de n'importe quel éditeur de texte. Nous avons utilisé Nano dans cette démo.

$sudo nano/etc/haproxy/haproxy,cfg

Une fois que vous accédez au fichier de configuration, vous devez créer deux sections : "Frontend" et "Backend". Dans le "Front End", vous pouvez spécifier le port auquel vous souhaitez vous connecter. De même, vous devez spécifier quel protocole utiliser et quel serveur backend utiliser pour distribuer le trafic.

Dans ce cas, puisque nous voulons protéger le trafic, nous lierons le port 443 pour les connexions HTTPS. De même, nous spécifions les modes TCP dans lesquels nous souhaitons accepter HAProxy fonctionnant au niveau de la couche transport.

Nous avons également ajouté la ligne "tcp_request" comme règle spécifiant la durée de vérification des messages SSL "hello" pour vérifier que nous acceptons le trafic SSL. Enfin, nous spécifions les serveurs backend pour la répartition de la charge. Notre dernière partie "frontend" ressemble à ceci :

Pour la partie "Backend", nous définissons le mode sur TCP. Nous précisons ensuite l'adresse IP du serveur utilisé pour l'équilibrage de charge. Assurez-vous de remplacer ces adresses IP pour qu'elles correspondent à l'adresse IP de votre serveur en direct et définissez le port de connexion sur 443.

Ajoutez "l'option tcplog" pour permettre la journalisation des problèmes liés à TCP dans un fichier journal inclus dans la section "global" du fichier de configuration.

Étape 3 : Redémarrez HAProxy et testez la configuration

Après avoir modifié le fichier de configuration HAProxy, enregistrez-le et quittez. Redémarrez le service HAProxy pour appliquer les modifications.

C'est tout ! Nous avons implémenté le relais SSL dans HAProxy. Essayez d'envoyer un flux de trafic à votre serveur Web à l'aide d'une commande telle que curl et voyez comment il répond. Si le relais SSL est implémenté avec succès, vous obtiendrez une sortie indiquant que la connexion a été établie via le port 443 et vous serez connecté au serveur backend. Votre serveur répondra avec les détails requis et donnera une réponse de statut 200.

Conclusion

La mise en œuvre du relais SSL permet de créer un cryptage de bout en bout et garantit que les connexions SSL/TLS sont maintenues lors de l'équilibrage de charge. Pour implémenter le relais SSL dans HAProxy, installez HAProxy et modifiez le fichier de configuration pour spécifier comment l'équilibrage de charge se produit. Veuillez vous référer à cet exemple pour mieux comprendre le processus.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!