HAProxy இல் SSL பாஸ்த்ரூவை செயல்படுத்துவது ஏன் அவசியம் என்பதை விவாதிப்பதன் மூலம் இந்த இடுகை தொடங்குகிறது. எளிதாகப் புரிந்துகொள்ள ஒரு உதாரணத்துடன் அதைச் செயல்படுத்த பின்பற்ற வேண்டிய படிகளைப் பற்றி விவாதிக்கிறோம்.
SSL பாஸ்த்ரூ என்றால் என்ன, அது ஏன் அவசியம்?
ஒரு லோட் பேலன்சராக, HAProxy உங்கள் வலை சேவையகத்திற்கு அனுப்பப்பட்ட சுமைகளை எடுத்து, உள்ளமைக்கப்பட்ட சேவையகங்கள் முழுவதும் விநியோகிக்கிறது. விநியோகிக்கப்படும் சுமை என்பது கிளையன்ட் சாதனங்கள் மற்றும் பின்தள சேவையகங்களுக்கு இடையே பகிரப்படும் ட்ராஃபிக் ஆகும். சுமை சமநிலைப்படுத்தும் போது பாதுகாப்பு அவசியம், அங்குதான் SSL பாஸ்த்ரூ செயல்பாட்டுக்கு வருகிறது.
சிறப்பாக, SSL பாஸ்த்ரூ என்பது SSL/TLS போக்குவரத்தை உங்கள் வலை சேவையகத்திற்கு அனுப்புவது மற்றும் அதை உள்ளமைக்கப்பட்ட சேவையகங்களுக்கு HAProxy அல்லது நீங்கள் பயன்படுத்தும் வேறு எந்த லோட் பேலன்சரில் உள்ள SSL/TLS இணைப்பை நிறுத்தாமல் விநியோகிப்பதும் அடங்கும். SSL பாஸ்த்ரூ மூலம், நீங்கள் சிறந்த என்ட்-டு-எண்ட் என்க்ரிப்ஷனை அனுபவிப்பீர்கள், மேலும் கிளையண்டின் அசல் IP முகவரி பாதுகாக்கப்படும். மேலும், இது ஒரு பரிந்துரைக்கப்பட்ட பாதுகாப்பு நடவடிக்கை மற்றும் இது ஒரு சிறந்த பின்தள சர்வர் நெகிழ்வுத்தன்மையை உருவாக்குகிறது, HAProxy இல் அதிக சுமையை குறைக்கிறது.
HAProxy இல் SSL பாஸ்த்ரூவை எவ்வாறு செயல்படுத்துவது என்பது குறித்த படிப்படியான வழிகாட்டி
SSL பாஸ்த்ரூ என்றால் என்ன மற்றும் உங்களுக்கு அது ஏன் தேவை என்பதைப் புரிந்துகொண்ட பிறகு, அடுத்த பணி, அதை உங்கள் HAProxy லோட் பேலன்சரில் செயல்படுத்த நீங்கள் பின்பற்ற வேண்டிய படிகளை வழங்குவதாகும். கொடுக்கப்பட்டுள்ள படிகளைப் பின்பற்றி, உங்கள் HAProxy லோட் பேலன்சரில் SSL பாஸ்த்ரூவை விரைவாகச் செயல்படுத்தவும்.
படி 1: HAProxy ஐ நிறுவவும்
உங்களிடம் HAProxy நிறுவப்படவில்லை என்று வைத்துக்கொள்வோம். SSL பாஸ்த்ரூவைச் செயல்படுத்துவதற்கு அதை உள்ளமைக்கும் முன் அதை நிறுவுவதே முதல் படியாகும். எனவே, உங்கள் களஞ்சியத்தை புதுப்பிப்பதன் மூலம் தொடங்கவும்.
$ சூடோ பொருத்தமான மேம்படுத்தல்
அடுத்து, பின்வரும் கட்டளையுடன் இயல்புநிலை களஞ்சியத்திலிருந்து HAProxy ஐ நிறுவவும். இந்த வழக்கில் உபுண்டுவைப் பயன்படுத்துகிறோம் என்பதை நினைவில் கொள்க:
$ சூடோ பொருத்தமான நிறுவு ஹாப்ராக்ஸி
நீங்கள் HAProxy நிறுவப்பட்டதும், SSL பாஸ்த்ரூவைச் செயல்படுத்த நீங்கள் தயாராக உள்ளீர்கள். படியுங்கள்!
படி 2: HAProxy இல் SSL பாஸ்த்ரூவைச் செயல்படுத்தவும்
இந்த படிநிலைக்கு, '/etc/haproxy' இல் உள்ள HAProxy உள்ளமைவு கோப்பை நாம் அணுக வேண்டும் மற்றும் SSL பாஸ்த்ரூவை எவ்வாறு செயல்படுத்த விரும்புகிறோம் என்பதைக் குறிப்பிட அதைத் திருத்த வேண்டும். எந்த டெக்ஸ்ட் எடிட்டரிலும் config கோப்பைத் திறக்கலாம். இந்த ஆர்ப்பாட்டத்திற்கு நானோவைப் பயன்படுத்தினோம்.
$ சூடோ நானோ / முதலியன / ஹாப்ராக்ஸி / haproxy,cfgநீங்கள் config கோப்பை அணுகியதும், நீங்கள் உருவாக்க வேண்டிய இரண்டு பிரிவுகள் உள்ளன: 'frontend' மற்றும் 'backend'. 'முன்புறத்தில்', இணைப்புகளுக்கு எந்த போர்ட்டை இணைக்க வேண்டும் என்பதை நீங்கள் குறிப்பிடுகிறீர்கள். மீண்டும், எந்த நெறிமுறையைப் பயன்படுத்த வேண்டும் மற்றும் போக்குவரத்தை விநியோகிக்க எந்த பின்தள சேவையகங்களைப் பயன்படுத்த வேண்டும் என்பதை நீங்கள் குறிப்பிட வேண்டும்.
இந்த வழக்கில், நாங்கள் போக்குவரத்தைப் பாதுகாக்க விரும்புவதால், HTTPS இணைப்புகளுக்கான போர்ட் 443 ஐ பிணைப்போம். மீண்டும், போக்குவரத்து அடுக்கில் HAProxy செயல்படுவதற்கு TCP பயன்முறையை ஏற்க விரும்புகிறோம் என்று குறிப்பிடுகிறோம்.
SSL ட்ராஃபிக்கை நாங்கள் ஏற்றுக்கொள்கிறோம் என்பதைச் சரிபார்க்க, SSL “ஹலோ” செய்திகளை ஆய்வு செய்வதற்கான கால அளவைக் குறிப்பிடும் விதியாக “tcp-request” வரியையும் நாங்கள் சேர்க்கிறோம். கடைசியாக, சுமை விநியோகத்திற்குப் பயன்படுத்த பின்தள சேவையகத்தைக் குறிப்பிடுகிறோம். எங்கள் இறுதி 'முன்புறம்' பகுதி பின்வருமாறு:
'பின்னணி' பிரிவிற்கு, நாங்கள் பயன்முறையை TCP க்கு அமைக்கிறோம். சுமை சமநிலைக்கு நாம் பயன்படுத்தும் சேவையகங்களுக்கான ஐபி முகவரிகளை நாங்கள் குறிப்பிடுகிறோம். உங்கள் லைவ் சர்வர்களுடன் பொருந்தக்கூடிய வகையில் இந்த ஐபிகளை மாற்றுவதை உறுதிசெய்து, இணைப்பு போர்ட்டை 443க்கு அமைக்கவும்.
config கோப்பின் 'உலகளாவிய' பிரிவில் சேர்க்கப்பட்டுள்ள பதிவுக் கோப்பில் TCP தொடர்பான சிக்கல்களைப் பதிவுசெய்ய அனுமதிக்க 'option tcplog' சேர்க்கப்பட்டுள்ளது.
படி 3: HAProxy ஐ மறுதொடக்கம் செய்து உள்ளமைவை சோதிக்கவும்
HAProxy config கோப்பைத் திருத்தியவுடன், அதைச் சேமித்து வெளியேறவும். மாற்றங்கள் பொருந்த, HAProxy சேவையை மீண்டும் தொடங்கவும்.
அவ்வளவுதான்! HAProxy இல் SSL பாஸ்த்ரூவை செயல்படுத்தினோம். கர்ல் போன்ற கட்டளையைப் பயன்படுத்தி உங்கள் வலை சேவையகத்திற்கு டிராஃபிக்கை அனுப்ப முயற்சிக்கவும், அது எவ்வாறு பதிலளிக்கிறது என்பதைப் பார்க்கவும். SSL பாஸ்த்ரூ வெற்றிகரமாக செயல்படுத்தப்பட்டால், போர்ட் 443 வழியாக இணைப்பு செய்யப்பட்டுள்ளதைக் காட்டும் வெளியீட்டைப் பெறுவீர்கள், மேலும் நீங்கள் பின்தள சேவையகத்துடன் இணைக்கப்படுவீர்கள். உங்கள் சேவையகம் தேவையான விவரங்களுடன் பதிலளிக்கும் மற்றும் 200-நிலை பதிலை வழங்கும்.
முடிவுரை
SSL பாஸ்த்ரூவைச் செயல்படுத்துவது, இறுதி முதல் இறுதி வரையிலான குறியாக்கத்தை உருவாக்க உதவுகிறது மற்றும் சுமை சமநிலை ஏற்படும் போது உங்கள் SSL/TLS இணைப்பு பராமரிக்கப்படுவதை உறுதி செய்கிறது. HAProxy இல் SSL பாஸ்த்ரூவைச் செயல்படுத்த, HAProxy ஐ நிறுவி, சுமை சமநிலை எவ்வாறு நிகழ வேண்டும் என்பதைக் குறிப்பிட உள்ளமைவு கோப்பைத் திருத்தவும். செயல்முறையை நன்கு புரிந்துகொள்ள, வழங்கப்பட்ட உதாரணத்தைப் பார்க்கவும்.