Migrer din Load Balancer fra AWS ELB til RELIANOID ADC

  • Blog
  • Migrer din Load Balancer fra AWS ELB til RELIANOID ADC

Vidensdatabase

Erfaring med webstedets pålidelighed

Se kategorier

Migrer din Load Balancer fra AWS ELB til RELIANOID ADC

10 min læses

Indholdsfortegnelse

Oversigt #

Det (AWS) Elastisk belastningsbalancer (ELB) distribuerer webtrafik på tværs af flere EC2 instanser, Elastic Container Service (ECS), og IP-adresser. ELB har også evnen til at balancere trafik på tværs af forskellige tilgængelighedszoner for at sikre høj tilgængelighed. Der er dog flere begrænsninger for at bruge AWS's ELB, og disse omfatter:

  1. Begrænsede metoder til belastningsbalancering. Som standard, ELB bruger kun Runde Robin algoritme, og den har begrænsede muligheder for indholdsskift.
  2. Eftersom ELB er designet til at administrere trafik fra internettet til instanserne i en virtuel privat sky(VPC), den er ikke egnet til belastningsbalancering mellem lokale ressourcer.

I denne artikel vil vi diskutere, hvordan man kan erstatte sine belastningsbalanceringstjenester med et bedre alternativ, RELIANOID ADC. For at få en detaljeret sammenligning mellem AWS ELB og RELIANOID, se denne artikel AWS og RELIANOID sammenligning.

Forudsætninger #

Sørg for at opfylde disse krav, før du forsøger at overføre konfigurationer fra AWS ELB til RELIANOID's fuldt udstyret ADC.

  1. A RELIANOID ADC-noden skal være installeret på din pc, bare-metal, virtuelle miljø, eller en skal have en aktiv ZVNcloud konto. Anmod om en evaluering til on-premise implementering.
  2. Man skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt Installationsvejledning.
  3. Man skal være en aktiv bruger af AWS ELB og være bekendt med de koncepter, vi vil diskutere i afsnittet nedenfor.
  4. Man skal kunne oprette en virtuel server i RELIANOID belastningsbalancer. Her er en hurtig guide: Layer 4 og Layer 7 Virtual Server Configuration.

Bemærk
RELIANOID har en skabelon i AWS markedspladsUdrulningen af RELIANOID på AWS er ​​problemfri og burde ske med et par klik.

Basale koncepter #

Lytter: En lytter tjekker for indgående trafik på lag 7 og videresender den til den nødvendige målgruppe. Normalt vil en lytter være konfigureret til at tjekke for HTTP or HTTPS trafik på havne 80 or 443 henholdsvis. De primære Layer 7-lyttere, der bruges af RELIANOID ADC er HTTP og HTTPS.

Målgruppe: En målgruppe er en klynge af EC2-instanser, der arbejder sammen om at levere en service. Alle disse instanser inden for en målgruppe skal have den samme applikationskode, der behandler anmodninger fra klienterne. En målgruppe er det samme som en Service ved anvendelse af RELIANOID ADC.

Sundhedstjek: Sundhedstjek overvåger driften og responstiden for en tjeneste på hver EC2-instans. Når tjenesten eller en EC2-instans går ned, vil sundhedstjek registrere manglende responstid, og load balancer omdirigerer trafikken til sunde instanser. RELIANOID bruger et sæt plugins kaldet Gårdværge at overvåge backend-servernes og deres tjenesters sundhedsstatus.

Typer af belastningsbalancerer: AWS ELB tilbyder tre typer load balancers. Disse inkluderer Anvendelse, Netværk og klassisk load balancers. Den klassiske load balancer bliver udfaset, og kun den Netværk og Anvendelse load balancers til brug. RELIANOID ADC Layer 7 load balancers har en HTTP profil, mens netværksbelastningsbalanceringerne har en L4xNAT profil.

Sikkerhedsgruppe: En sikkerhedsgruppe er et sæt firewallregler, der overvåger og styrer indgående og udgående trafik. RELIANOID ADC har en indbygget IPDS modul med politikker indstillet til at filtrere al dårlig trafik til load balancer og også blokere alle forsøg på uautoriseret adgang. Du kan oprette firewallregler ved at tilgå WAF mulighed inden for IPDS modul.

ACM: ACM-tjenesten gør det muligt for en administrator at implementere og administrere SSL/TLS-certifikater til brug i interne forbundne ressourcer på AWS. Sådan administrerer du interne SSL-certifikater inden for RELIANOID load balancer, få adgang til dem via LSLB >> SSL-certifikaterEller du kan oprette et brugerdefineret selvsigneret SSL-certifikat via Lad os kryptere program indlejret på RELIANOID belastningsbalancer.

EC2-instanser eller -mål: Disse er downstream Linux virtuelle servere, der er vært for den applikationskode, der behandler anmodninger modtaget fra internettet. Disse virtuelle servere kaldes underliggende programmer ved anvendelse af RELIANOID ADC.

Eksempelkonfigurationer: SSL-certifikater #

For at kryptere data, der transmitteres mellem klienter og load balancer, skal der installeres et SSL-certifikat for at holde kommunikationen mellem værter sikker. Følsomme oplysninger som f.eks. login credentials og kreditkortnumre skal transmitteres over et sikkert transportlag.

I dette afsnit vil vi diskutere installation af SSL-certifikater på RELIANOID ADC med reference til AWS ACM.

Konfiguration af et selvsigneret SSL-certifikat til brug på AWS #

Man ville følge disse trin for at installere et SSL-certifikat på ELB'en.

  1. At generere en CSR For dine EC2-instanser skal du have adgang til Linux-konsollen for den pågældende instans.
  2. Når du har oprettet forbindelse til EC2-instansen, skal du navigere til mappen: /etc/pki/tls/privat/
  3. Generer en ny privat nøgle, 2048-bit RSA, ved hjælp af følgende kommando: sudo openssl genrsa -out brugerdefineret.nøgle
  4. Generer et certifikat, der angiver den forrige generate private key, ved hjælp af kommandoen: openssl req -new -x509 -nodes -sha1 -days 365 -extensions v3_ca -custom.key -out custom.crt
  5. Udfyld de nødvendige oplysninger, der kræves af SSL-certifikatet.
    • Land: Indtast 2 ISO-landekoder.
    • Stat / provins: Indtast den provins, hvor din virksomhed er placeret.
    • By: Indtast navnet på den by, hvor du befinder dig.
    • Almindeligt navn: Indtast et fuldt kvalificeret domænenavn FQDN, for eksempel www.relianoid.com
    • adgangskode eller adgangskode: Du kan ignorere oprettelsen af ​​en adgangskode i dette eksempel. I mellemtiden vil det genererede certifikat være i *.pem filformat.
  6. Kompilér begge certifikater til en PKCS12-bundt ved hjælp af kommandoen:openssl pkcs12 -inkey custom.key -in custom.crt -export -out custom.p12
  7. Hvis man antager, at AWS CLI allerede er installeret, skal man normalt uploade det genererede certifikat (custom.crt) og den private nøgle (custom.key) til AWS Certificate Manager ved hjælp af kommandoen: aws acm import-certificate — certifikat file://custom.crt — privatnøgle file://custom.key — region us-east-2
  8. Dette certifikat vil nu være tilgængeligt i oprettelsesguiden under valgmuligheden "Vælg et certifikat fra ACM (anbefales)".

Konfiguration af et selvsigneret SSL-certifikat til brug på RELIANOID ADC #

  1. Sådan genererer du et brugerdefineret SSL-certifikat til din RELIANOID ADC-instansen skal du finde følgende mappe ved hjælp af apparatets kommandolinje.
    2. cd /usr/local/zevenet/config/certificates
  2. Generer en privat nøgle uden en adgangskode ved hjælp af kommandoen:
    3. openssl genrsa -out brugerdefineret.nøgle 2048
  3. Generer en anmodning om certifikatsignering (CSR) for den private nøgle ved hjælp af kommandoen:
    4. openssl req -new -key custom.key -out custom.csr
  4. Udfyld de nødvendige oplysninger.
    • Navn: Et beskrivende navn til identifikation af CSR'en.
    • Land: ISO-koden for det land, hvor du befinder dig.
    • Almindeligt navn: Et fuldt kvalificeret domænenavn. (FQDN), f.eks. www.eksempel.com
    • Division: Din afdeling, og det kunne være sundhed, IT eller sikkerhed.
    • lokalitet: Byen hvor du befinder dig.
    • Tilstand: Den stat, hvor din organisation er placeret.
    • Organisation: Det juridiske navn på din organisation, f.eks. RELIANOID SL.
    • Email adresse: Indtast din e-mailadresse. Det er ikke et krav, at det skal være en for domænenavnet.
  5. Generer en Selvsigneret certifikat ved hjælp af både den private nøgle og CSR-certifikatet. I dette eksempel vil det selvsignerede certifikat have en levetid på 1 år, og outputformatet vil være i .PEMBrug følgende kommando.
    6. openssl x509 -in custom.csr -outform PEM -out custom.pem -req -signkey custom.key -days 365
  6. Dette certifikat vil være tilgængeligt til brug inden for LSLB >> SSL-certifikater sektion.

For at lære mere om SSL-certifikater på RELIANOID ADC, se disse ressourcer:

  1. Opret certifikater i PEM-format.
  2. LSLB | Lad os kryptere
  3. LSLB | SSL-certifikater

Eksempelkonfigurationer: Webapplikationsfirewall #

Som en sikkerhedsfunktion, A WAF beskytter en webapplikation ved at filtrere og blokere ondsindet trafik. En WAF implementeres typisk foran en load balancer og er designet til at beskytte webapplikationer mod forskellige ondsindede angreb, f.eks. cross site scripting (XSS), SQL-indsprøjtningog andre angreb, herunder dem i OWASPs top 10.

Ved at inspicere indgående HTTP-trafik og analysere den i forhold til et sæt regler eller en sikkerhedspolitik, vil WAF blokere al trafik, der anses for usikker. RELIANOID ADC tilbyder mere avancerede sikkerhedsfunktioner som IP-sortlistning, en RBL-politik, DoS-beskyttelse osv.

I dette afsnit vil vi beskrive, hvordan man beskytter sig mod SQL-indsprøjtning i AWS og simulere lignende konfigurationer med RELIANOID ADC.

AWS-konfigurationer #

At muliggøre SQL-indsprøjtning beskyttelse, skal du have mindst én eller to EC2-instanser placeret bag en Elastic load balancer. Disse EC2-instanser skal have den webapplikation, du vil beskytte.

  1. I AWS' webkonsol skal du søge efter WAF og skjold, og klik på det link, der vises.
  2. Klik på Web-ACL menupunkt.
  3. Vælg den region, din trafik skal komme fra, for eksempel Europa (Frankfurt).
  4. Klik på knappen Opret web-ACL .
  5. Under Tilføj regler og regelgrupper, klik på Tilføj regler rullepil ned.
  6. Type Tilføj administrerede regelgrupperDu finder flere administrerede regelgrupper, herunder Botkontrol, Amazon IP-omdømmeliste, SQL databaserOsv
  7. Type SQL-database ved at aktivere til/fra-knappen Føj til web-ACL.
  8. Rul ned, og klik på Tilføj regel .
  9. Inden for Standardhandling for regler, der ikke stemmer overens, lad indstillingen være som Tillad.
  10. Klik på knappen Næste .
  11. Inden for Angiv regelprioritet afsnit, brug dette afsnit til at tilføje prioritet til en regel, og klik derefter på knappen, Næste.
  12. Inden for Konfigurer metrikker afsnit, der er intet at ændre, så klik på knappen, Næste.
  13. Inden for Gennemgå og opret web-ACL afsnit, klik på Opret web-ACL .
  14. Når du har oprettet en web-ACL, skal du klikke på den ACL, du lige har oprettet.
  15. Klik på fanen med Tilknyttede AWS-ressourcer.
  16. Tilføj den applikations load balancer, du vil beskytte. Når du har tilføjet ressourcerne, vil din regel blive indstillet til at blokere enhver injektion i SQL-databasen.

RELIANOID konfigurationer #

For at aktivere SQL-injektionsbeskyttelse skal du oprette en WAF-regelsæt først.

  1. Gå til IPDS i sidemenuen, og klik for at udvide den.
  2. Klik på WAF mulighed for at udvide den.
  3. Klik på Regelsæt valgmulighed.
  4. Klik på Opret WAF-regelsæt .
  5. Tildel en Navn der nemt identificerer dette regelsæt.
  6. Forlad Kopiér regelsæt felt som –Ingen regler–.
  7. Klik på knappen Ansøg knappen for at gemme ændringerne.
  8. Inden for globale indstillinger, slå på Tjek anmodningens brødtekst valgmulighed.

    9. oracle_jd_edwards_load_balancing_farm

  9. Skift standardhandlingen til Afvis: Klip anmodningen og udfør ikke regler tilbage
  10. Klik på knappen Ansøg knappen for at gemme ændringerne.

Indstilling af regler #

  1. Klik på Regler fanen for at tilføje nye regler.
  2. Klik på Ny regel .
  3. Vælg regeltypen som Handling.

    4. oracle_jd_edwards_load_balancing_farm

  4. Vælg Fase as Anmodningstekst modtaget.
  5. Vælg Løsning as Afvis: Klip anmodningen og udfør ikke regler tilbage.
  6. Tilføj en beskrivelse af reglen for nemt at identificere, hvad reglen handler om
  7. Klik på knappen Ansøg knappen for at gemme ændringerne.

Tilføjelse af betingelser #

  1. Klik på den nyoprettede regel for at tilføje betingelser. Start med at klikke på Opret betingelse .

    2. oracle_jd_edwards_load_balancing_farm

  2. Inden for Variabler felt, vælg REQUEST_BODY og klik på Tilføj variabel .
  3. Inden for Transformation feltet, vælg indstillingen, ingen.
  4. Inden for Operatør sektion, vælg opdageSQLi
  5. Klik på knappen Ansøg knappen for at oprette den nye betingelse.

Aktivering af regler for en gård #

  1. Klik på Gårde Tryk på fanen for at tilføje denne regel til en virtuel målserver (Farm) på load balancer.

    2. oracle_jd_edwards_load_balancing_farm

  2. Inden for Gårdindstillinger, træk og slip den valgte gård fra Tilgængelige gårde til Aktiverede gårde.
  3. I øverste højre hjørne er der handlingerKlik på den grønne afspilningsknap for at starte reglen. I dette øjeblik vil WAF-reglen blokere enhver SQL-injektion, der er integreret i anmodningsteksten, primært via søge- eller loginformularer.

For flere ressourcer om WAF, se disse artikler:

  1. IPDS | WAF
  2. IPDS | WAF | Filer

Yderligere ressourcer #

Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med RELIANOID ADC.
DNS belastningsbalancering med RELIANOID ADC.
Beskyttelse mod DDoS-angreb.
Applikations-, sundheds- og netværksovervågning i RELIANOID ADC.

📄 Download dette dokument i PDF-format #

    EMAIL: *

    drevet af BetterDocs