Migrerer fra HAproxy til RELIANOID ADC

  • Blog
  • Migrerer fra HAproxy til RELIANOID ADC

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Migrerer fra HAproxy til RELIANOID ADC

5 min læses

Indholdsfortegnelse

Oversigt #

Når man designer og bygger meget tilgængelige og masseskalerbare applikationer, kan et pålideligt system som f.eks RELIANOID ADC er en absolut nødvendighed. Med den stigende efterspørgsel efter levering i realtid, Fast skriver og læser til databaser, skal brands tilpasse til de nyeste specifikationer og protokoller for at forblive relevante på markedet. Sikkerhed er et afgørende element for sikkerheden af ​​kundedata, og dette element giver RELIANOID en kæmpe fordel i forhold til HAproxy.

Som en nuværende haproxy-bruger vil vi diskutere koncepter, som du allerede er bekendt med, og bruge dem til at lave lignende konfigurationer vha. RELIANOID ADC.

Forudsætninger #

Man skal opfylde disse grundlæggende krav for at overføre konfigurationer fra HAproxy til RELIANOID ADC.

  1. Et eksempel på RELIANOID ADC skal være installeret på din pc, bare-metal, virtuelt miljø, eller man skal have en aktiv ZVNcloud konto. Anmod om en evaluering til on-premise implementering.
  2. Man skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt Installationsvejledning.
  3. Vi antager, at du er en aktiv bruger af Haproxy, og at du er bekendt med de koncepter, vi vil diskutere i afsnittet nedenfor.
  4. Man skal kunne oprette en virtuel server i RELIANOID belastningsbalancer. Her er en hurtig guide: Layer 4 og Layer 7 Virtual Server Configuration

Basale koncepter #

I dette afsnit vil vi diskutere et par koncepter baseret på HAproxy-konfigurationen. Vi vil skitsere lignende ideer i RELIANOID ADC og senere bruge dem til at beskrive SSL-aflæsning og HTTP til HTTPS omdirigering ved hjælp af RELIANOID belastningsbalancer.

mode: Mode-kommandoen definerer, om belastningsbalanceprofilen er lag 4 eller lag 7. RELIANOID bruger Profiler til at definere, om konfigurationen er Lag 4 eller 7. Disse profiler inkluderer HTTP og L4xNAT

timeout-forbindelse: Timeout connect definerer, hvor længe HAproxy skal vente, før der oprettes forbindelse til en backend-server. RELIANOID bruger Timeout for backend-forbindelse. Standardværdien er 20 sekunder.

timeout-klient: Denne indstilling definerer, hvor længe HAproxy skal vente på et svar fra klienten. Hvis denne tid udløber uden at modtage et signal fra klienten, afbrydes forbindelsen. RELIANOID bruger Timeout for klientanmodning. Standardværdien er 30 sekunder.

timeout-server: Timeout-server definerer, hvor længe HAproxy skal vente på et svar fra en backend-server. Hvis denne tid går uden et svar fra en backend-server, vil forbindelsen afbrydes. RELIANOID bruger backend-svartimeout. Standardværdien er 45 sekunder.

binde: Bind definerer en eller flere lyttende IP-adresser bundtet med deres porte. Denne port(e) lytter efter indgående trafik og sender den derefter til backend-serverne. Her er et eksempeludtryk:

lyt http_https_proxy_www. bind ipv6@:80 bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

Den forreste del af RELIANOID ADC er en Farm og den har lyttere, der distribuerer trafik til forskellige tjenester.

maxconn: Begrænser antallet af forbindelser, som HAproxy betjener. Denne kommando beskytter load balancer mod at løbe tør for hukommelse. RELIANOID ADC er stærkt optimeret til serveroverførsel 140,000 samtidige forbindelser på lag 7 og derover 10 millioner forbindelser på lag 4. Du kan dog fastsætte det maksimale antal forbindelser inden for en L4xNAT profil ved hjælp af Maks. Conns felt ved konfiguration underliggende programmer.

ssl-standard-bind-cifre: Bindingschiffere definerer standard TLS/SSL ciphers på HAproxy. RELIANOID Load Balancer leveres med forudindlæst høj sikkerhed cifre, SSL-aflæsning, og slutbrugeren kan tilpasse deres cifre via brugerdefineret sikkerhed flag.

ssl-standard-bindingsindstillinger: Denne funktion deaktiverer eller aktiverer ældre versioner af TLS/SSL. Få adgang til lignende konfigurationer via HTTPS-parametre inden for de globale indstillinger for en HTTP-profil på RELIANOID ADC.

Eksempelkonfiguration: SSL-offloading og brug af kryptering #

SSL-aflastning refererer til dekryptering af indgående SSL/TLS-trafik og videresendelse af den til en eller flere servere i ukrypteret form. Load balancer/Reverse-proxy bruger en række algoritmer (ciphers) til at kryptere og dekryptere data.

Brugen af ​​​​chiffer i SSL/TLS-afslutning er vigtigt, fordi det bestemmer sikkerhedsniveauet for de overførte data. Generelt giver stærkere krypteringer mere sikker kommunikation, men de kan også kræve mere processorkraft for at kryptere og dekryptere dataene. Som følge heraf er det vigtigt nøje at overveje, hvilke krypteringer der bruges i SSL/TLS-terminering, under hensyntagen til både sikkerhed og ydeevne.

HAproxy-konfigurationer #

For at opsætte ssl-offloading med HAproxy bruger vi indstillingerne nedenfor.

frontend myDomain-tilstand http bind :80 bind :443 ssl crt /etc/ssl/certs/relianoid.com.ssl.pem default_backend domæneBackends

Fra ovenstående uddrag lytter Haproxys efter indgående trafik på begge porte, 80 og 443Port 443 indeholder dog en direktiv til den mappe, hvor SSL-certifikatet er gemt.

I mellemtiden kan du angive standardchiffere, der skal bruges på load balancer, via indstillingerne: ssl-standard-bind-chiffere og ssl-versionen ved hjælp af ssl-standard-bindingsmulighed.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

RELIANOID konfigurationer #

For at opnå et lignende resultat med RELIANOIDSørg for at du har oprettet en HTTP-farmprofil. Hvis du har glemt det, kan du læse denne artikel: Layer 4 og Layer 7 Virtual Server Configuration

  1. På menuen skal du gå til LSLB > Gårde og klik på lag 7 (HTTPS) gårdprofil.

    2. oracle_jd_edwards_load_balancing_farm

  2. Under generelle indstillinger skal du ændre portnummeret til 443.
  3. Skift Lytter fra HTTP til HTTPS.
  4. Under HTTPS-parametre, aktiver eller deaktiver gamle TLS/SSL-versioner.
  5. Vælg SSL losning som din kryptering.
  6. Load balancer er forudindlæst med en zencert.pem SSL-certifikat, men du kan inkludere et brugerdefineret certifikat, hvis du har oprettet et.
  7. Opdater konfigurationerne ved at klikke på Ansøg .

Hvis du vil vide mere om HTTP-profil, SSL-certifikater og konfigurere et brugerdefineret SSL-certifikat ved hjælp af Lad os kryptere on RELIANOID ADC, se disse vejledninger.

  1. Lag 7 (HTTP-profil) i RELIANOID ADC.
  2. SSL-certifikater aktiveret RELIANOID ADC.
  3. Lad os kryptere programmet RELIANOID ADC.

Eksempelkonfigurationer: Omdirigering fra HTTP til HTTPS #

Når klienter besøger tjenester via en usikker port, er du nogle gange nødt til at omdirigere dem til en sikker server. Vi opnår dette ved at svare med en permanent omdirigering. status kode 301. Klientens browser vil automatisk oprette forbindelse til den sikre IP-adresse og port, der er sendt i lokationsheaderen.

Haproxy-konfigurationer #

Med haproxy, koden http-anmodningsomdirigering omdirigerer brugere, hvis de besøger via port 80 til havn 443.

frontend myDomain mode http bind :80 bind :443 ssl crt /etc/ssl/certs/ssl.pem http-request omdirigeringsskema https unless { ssl_fc } default_backend domainBackends

Omdirigering fra HTTP til HTTPS i RELIANOID ADC #

Brug trinene beskrevet i denne artikel: Layer 4 og Layer 7 Virtual Server Configuration, opret både en HTTP og en HTTPS Gård.

Sørg for at du har begge dele HTTP og HTTPS gårde;

  1. Gå til LSLB > Gårde og klik på Rediger-ikonet for HTTP-farmen.
  2. Klik på knappen Det vi er gode til og åbn den tjeneste, du vil redigere.

    3. oracle_jd_edwards_load_balancing_farm

  3. Toggle på aktiver omdirigering .
  4. Vælg omdirigeringstype Tilføj.
  5. Vælg omdirigeringskode: 301.
  6. Indtast omdirigerings-URL ved at tilføje https:// til IP-adressen. Hvis IP-adressen på den sikre gård er 10.0.0.18, så vil omdirigerings-URL'en være https://10.0.0.18
  7. Opdater ændringerne ved at klikke på Ansøg .
  8. Genstart gården for at ændringerne kan træde i kraft.

Yderligere ressourcer #

Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med RELIANOID ADC.
DNS belastningsbalancering med RELIANOID ADC.
Beskyttelse mod DDoS-angreb.
Applikations-, sundheds- og netværksovervågning i RELIANOID ADC.
Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs