Bu yazı, HAProxy'de SSL geçişini uygulamanın neden gerekli olduğunu tartışarak başlıyor. Daha sonra kolay anlaşılması için bir örnekle bunu uygulamak için izlenecek adımları tartışıyoruz.
SSL Geçişi Nedir ve Neden Önemlidir?
Bir yük dengeleyici olarak HAProxy, web sunucunuza yönlendirilen yükü alır ve yapılandırılmış sunuculara dağıtır. Dağıtılan yük, istemci cihazlar ile arka uç sunucular arasında paylaşılan trafiktir. Yük dengelemede güvenlik çok önemlidir ve SSL geçişinin devreye girdiği yer burasıdır.
İdeal olarak, SSL geçişi, SSL/TLS trafiğinin web sunucunuza iletilmesini ve HAProxy'de veya kullandığınız diğer herhangi bir yük dengeleyicide SSL/TLS bağlantısını sonlandırmadan yapılandırılmış sunuculara dağıtılmasını içerir. SSL geçişi ile daha iyi bir uçtan uca şifrelemenin keyfine varacaksınız ve müşterinin orijinal IP adresi korunacaktır. Üstelik bu, önerilen bir güvenlik önlemidir ve daha iyi bir arka uç sunucu esnekliği yaratarak HAProxy üzerindeki aşırı yükü azaltır.
HAProxy'de SSL Geçişinin Nasıl Uygulanacağına İlişkin Adım Adım Kılavuz
SSL geçişinin ne anlama geldiğini ve buna neden ihtiyaç duyduğunuzu anladıktan sonraki görev, bunu HAProxy yük dengeleyicinizde uygulamak için izlemeniz gereken adımları sağlamaktır. Verilen adımları izleyin ve SSL geçişini HAProxy yük dengeleyicinize hızla uygulayın.
Adım 1: HAProxy'yi yükleyin
HAProxy'nin kurulu olmadığını varsayalım. İlk adım, SSL geçişini uygulayacak şekilde yapılandırmadan önce onu yüklemektir. Bu nedenle, deponuzu güncelleyerek başlayın.
$ sudo uygun güncelleme
Daha sonra, aşağıdaki komutla varsayılan depodan HAProxy'yi yükleyin. Bu durumda Ubuntu kullandığımızı unutmayın:
$ sudo uygun düzenlemek haproksi
HAProxy'yi yükledikten sonra SSL geçişini uygulamaya hazırsınız. Okumaya devam etmek!
Adım 2: HAProxy'de SSL Geçişini Uygulayın
Bu adım için “/etc/haproxy” içerisinde bulunan HAProxy yapılandırma dosyasına erişmeli ve onu SSL geçişini nasıl uygulamak istediğimizi belirtecek şekilde düzenlemeliyiz. Yapılandırma dosyasını herhangi bir metin düzenleyiciyle açabilirsiniz. Bu gösteri için nano'yu kullandık.
$ sudo nano / vesaire / haproksi / haproksi,cfgYapılandırma dosyasına eriştiğinizde oluşturmanız gereken iki bölüm vardır: 'ön uç' ve 'arka uç'. 'Ön uç'ta, bağlantılar için hangi bağlantı noktasının bağlanacağını belirttiğiniz yer burasıdır. Yine, trafiği dağıtmak için hangi protokolün kullanılacağını ve hangi arka uç sunucularının kullanılacağını belirtmeniz gerekir.
Bu durumda trafiğin güvenliğini sağlamak istediğimiz için HTTPS bağlantıları için olan 443 numaralı bağlantı noktasını bağlayacağız. Yine HAProxy'nin taşıma katmanında çalışması için TCP modunu kabul etmek istediğimizi belirtiyoruz.
Ayrıca SSL trafiğini kabul ettiğimizi doğrulamak için SSL “merhaba” mesajlarının inceleneceği süreyi belirten “tcp-request” satırını da kural olarak ekliyoruz. Son olarak yük dağıtımı için kullanılacak arka uç sunucusunu belirliyoruz. Son “ön uç” bölümümüz aşağıdaki gibidir:
“Arka uç” bölümü için modu TCP olarak ayarladık. Daha sonra yük dengeleme için kullandığımız sunucuların IP adreslerini belirliyoruz. Bu IP'leri canlı sunucularınızın IP'leriyle eşleşecek şekilde değiştirdiğinizden ve bağlantı bağlantı noktasını 443 olarak ayarladığınızdan emin olun.
TCP ile ilgili sorunların, yapılandırma dosyasının “global” bölümünde yer alan günlük dosyasına kaydedilmesine olanak sağlamak için “tcplog seçeneği” eklenmiştir.
Adım 3: HAProxy'yi yeniden başlatın ve Yapılandırmayı Test Edin
HAProxy yapılandırma dosyasını düzenledikten sonra kaydedin ve çıkın. Değişikliklerin geçerli olması için HAProxy hizmetini yeniden başlatın.
Bu kadar! HAProxy'de SSL geçişini uyguladık. Curl gibi bir komut kullanarak web sunucunuza trafik göndermeyi deneyin ve nasıl yanıt verdiğini görün. SSL geçişi başarılı bir şekilde uygulanırsa bağlantının 443 numaralı port üzerinden yapıldığını gösteren bir çıktı alacak ve arka uç sunucuya bağlanacaksınız. Sunucunuz gerekli ayrıntılarla yanıt verecek ve 200 durumlu bir yanıt verecektir.
Çözüm
SSL geçişini uygulamak, uçtan uca şifreleme oluşturmanıza ve yük dengeleme gerçekleşirken SSL/TLS bağlantınızın korunmasını sağlamanıza yardımcı olur. HAProxy'de SSL geçişini uygulamak için, HAProxy'yi yükleyin ve yük dengelemenin nasıl gerçekleşmesini istediğinizi belirtmek için yapılandırma dosyasını düzenleyin. Süreci daha iyi anlamak için sunulan örneğe bakın.