Migrering fra Haproxy til ZEVENET ADC

SLAGT DEN 23. november 2022

Oversigt

Når man designer og bygger meget tilgængelige og masseskalerbare applikationer, kan et pålideligt system som f.eks ZEVENET ADC er en absolut nødvendighed. Med den stigende efterspørgsel efter levering i realtid, Fast skriver og læser til databaser, skal brands tilpasse til de nyeste specifikationer og protokoller for at forblive relevante på markedet. Sikkerhed er et afgørende element for sikkerheden af ​​kundedata, og dette element giver ZEVENET en enorm fordel i forhold til Haproxy.

Som en nuværende haproxy-bruger vil vi diskutere koncepter, som du allerede er bekendt med, og bruge dem til at lave lignende konfigurationer ved hjælp af ZEVENET ADC.

Forudsætninger

Man skal opfylde disse grundlæggende krav for at overføre konfigurationer fra Haproxy til ZEVENET ADC.

  1. En forekomst af ZEVENET ADC skal være installeret på din pc, bare-metal, virtuelle miljø, eller man skal have en aktiv ZVNcloud konto. Anmod om en evaluering til on-premise implementering.
  2. Man skal have adgang til den grafiske webgrænseflade. Hvis du ikke gør det, så følg dette hurtigt Installationsvejledning.
  3. Vi antager, at du er en aktiv bruger af Haproxy, og at du er bekendt med de begreber, vi vil diskutere i afsnittet nedenfor.
  4. Man skal kunne oprette en virtuel server i ZEVENET load balancer. Her er en hurtig guide: Layer 4 og Layer 7 Virtual Server Configuration

Basale koncepter

Lad os i dette afsnit diskutere nogle få koncepter baseret på HAproxy-konfigurationen. Vi vil skitsere lignende ideer i ZEVENET ADC og senere bruge dem til at beskrive SSL-aflæsning HTTP til HTTPS omdirigering ved hjælp af ZEVENET load balancer.

mode: Mode-kommandoen definerer, om belastningsbalanceprofilen er lag 4 eller lag 7. ZEVENET bruger Profiler til at definere, om konfigurationen er Layer 4 eller 7. Disse profiler omfatter bl.a. HTTP L4xNAT

timeout forbindelse: Timeout-forbindelse definerer, hvor længe HAproxy skal vente, før der oprettes forbindelse til en backend-server. ZEVENET bruger timeout for backend-forbindelse. Standardværdien er 20 sekunder.

timeout klient: Denne indstilling definerer, hvor længe HAproxy skal vente på et svar fra klienten. Hvis denne tid udløber uden at modtage et signal fra klienten, vil forbindelsen afbrydes. ZEVENET bruger timeout for klientanmodning. Standardværdien er 30 sekunder.

timeout server: Timeout-server definerer, hvor længe HAproxy skal vente på et svar fra en backend-server. Hvis denne tid går uden svar fra en backend-server, afbrydes forbindelsen. ZEVENET bruger timeout for backend-svar. Standardværdien er 45 sekunder.

binde: Bind definerer en eller flere lyttende IP-adresser bundtet med deres porte. Denne(de) port(e) lytte(r) efter indgående trafik og server dem derefter til backend-serverne. Her er et eksempel på udtryk:

listen http_https_proxy_www.
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

Den frontvendte sektion af ZEVENET ADC er en Farm og det har lyttere, der distribuerer trafik til forskellige tjenester.

maxconn: Begrænser antallet af forbindelser, HAproxy vil betjene. Denne kommando beskytter belastningsbalanceren mod at løbe tør for hukommelse. ZEVENET ADC er meget optimeret til serverover 140,000 samtidige forbindelser på lag 7 og derover 10 millioner forbindelser på lag 4. Du kan dog etablere det maksimale antal forbindelser inden for en L4xNAT profil ved hjælp af Maks. Conns felt ved konfiguration underliggende programmer.

ssl-default-bind-cifre: Bindingscifre definerer standard TLS/SSL ciphers på HAproxy. ZEVENET belastningsbalancer leveres med forudindlæst høj sikkerhed cifre, SSL-aflæsning, og slutbrugeren kan tilpasse deres cifre gennem brugerdefineret sikkerhed flag.

ssl-default-bind-options: Denne funktion deaktiverer eller aktiverer ældre versioner af TLS/SSL. Få adgang til en lignende konfiguration gennem HTTPS-parametre i de globale indstillinger for en HTTP-profil på ZEVENET ADC.

Eksempel på konfiguration: SSL-aflæsning og brug af chiffere

SSL-aflæsning henviser til at dekryptere indgående SSL/TLS-trafik og videresende den til en eller flere servere i ukrypteret form. Loadbalanceren/omvendt proxy bruger en række algoritmer (ciphers) for at kryptere og dekryptere data.

Brugen af ​​chiffer i SSL/TLS opsigelse er vigtigt, fordi det bestemmer det sikkerhedsniveau, der stilles til rådighed for de overførte data. Generelt giver stærkere cifre mere sikker kommunikation, men de kan også kræve mere processorkraft til at kryptere og dekryptere dataene. Som følge heraf er det vigtigt nøje at overveje, hvilke cifre der bruges ved SSL/TLS-afslutning, idet der tages hensyn til både sikkerhed ydeevne.

HAproxy-konfigurationer

For at konfigurere ssl-offloading med HAproxy bruger vi indstillingerne nedenfor.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/zevenet.com.ssl.pem
    default_backend domainBackends

Fra uddraget ovenfor lytter Haproxys efter indgående trafik på begge porte, 80 443. Porten 443 indeholder dog et direktiv til mappen, hvor ssl-certifikatet er gemt.

I mellemtiden kan du angive de standardcifre, der skal bruges på belastningsbalanceren ved hjælp af indstillingerne: ssl-default-bind-cifre og ssl-versionen ved hjælp af ssl-default-bind-option.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

ZEVENET konfigurationer

For at opnå et lignende resultat med ZEVENET skal du sikre dig, at du har oprettet en HTTP-farmprofil. Hvis du har glemt det, så se denne artikel: Layer 4 og Layer 7 Virtual Server Configuration

  1. Gå til i menuen LSLB> Gårde og klik på lag 7 (HTTPS) gårdsprofil.

    2. oracle_jd_edwards_load_balancing_farm

  2. Under generelle indstillinger skal du ændre portnummeret til 443.
  3. Skift Lytter fra HTTP til HTTPS.
  4. Under HTTPS-parametre, aktiver eller deaktiver gamle TLS/SSL-versioner.
  5. Vælg SSL losning som din chiffer.
  6. Lastbalanceren er forspændt med en zencert.pem SSL-certifikat, men du kan inkludere et brugerdefineret certifikat, hvis du har oprettet et.
  7. Opdater konfigurationerne ved at klikke på Indløs .

Hvis du vil vide mere om HTTP-profil, SSL-certifikater og konfigurere et brugerdefineret SSL-certifikat ved hjælp af Lad os kryptere på ZEVENET ADC, se disse vejledninger.

  1. Lag 7 (HTTP-profil) i ZEVENET ADC.
  2. SSL-certifikater på ZEVENET ADC.
  3. Lad os kryptere programmet på ZEVENET ADC.

Eksempel på konfigurationer: HTTP til HTTPS-omdirigering

Når klienter besøger tjenester gennem en usikret port, skal du nogle gange omdirigere dem til en sikker server. Det opnår vi ved at svare med en permanent omdirigering status kode 301. Klientens browser vil automatisk oprette forbindelse til den sikre IP og port sendt i lokationsheaderen.

Haproxy-konfigurationer

Med haproxy, koden http-anmodning om omdirigering omdirigerer brugere, hvis de besøger via port 80 til havn 443.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/ssl.pem
    http-request redirect scheme https unless { ssl_fc }
    default_backend domainBackends

HTTP til HTTPS omdirigering i ZEVENET ADC

Brug de trin, der er beskrevet i denne artikel: Layer 4 og Layer 7 Virtual Server Configuration, opret både en HTTP og en HTTPS Gård.

Sikre, at du har både HTTP HTTPS gårde;

  1. Gå til LSLB> Gårde og klik på Rediger-ikonet for HTTP-farmen.
  2. Klik på knappen Services fanen og åbn den tjeneste, du vil redigere.

    3. oracle_jd_edwards_load_balancing_farm

  3. Toggle på aktivere omdirigering .
  4. Vælg omdirigeringstype Tilføj.
  5. Vælg omdirigeringskode: 301.
  6. Indtast omdirigere URL ved at sætte https:// foran IP-adressen. Hvis IP-adressen på den sikre Farm er 10.0.0.18, så bliver omdirigerings-url'en https://10.0.0.18
  7. Opdater ændringerne ved at klikke på Indløs .
  8. Genstart gården for at ændringer træder i kraft.

Se også:

Yderligere ressourcer

Brug af programmet Let's encrypt til at autogenerere et SSL-certifikat.
Datalink/Uplink belastningsbalancering Med ZEVENET ADC.
DNS belastningsbalancering med ZEVENET ADC.
Beskyttelse mod DDoS-angreb.
Applikations-, sundheds- og netværksovervågning i ZEVENET ADC.
Web Application Firewall-konfiguration.
Konfiguration af SSL-certifikater til belastningsbalanceren.

Del på:

Dokumentation i henhold til GNU Free Documentation License.

Var denne artikel til hjælp?

Ja Ingen

Relaterede artikler