Migration de HAproxy vers RELIANOID ADC

  • Blog
  • Migration de HAproxy vers RELIANOID ADC

Expérience en matière de fiabilité du site

Voir les catégories

Migration de HAproxy vers RELIANOID ADC

5 min de lecture

Table des Matières

Vue d'ensemble #

Lors de la conception et de la construction d'applications hautement disponibles et évolutives en masse, un système fiable comme RELIANOID ADC est une nécessité absolue. Avec la demande croissante de livraison en temps réel, d'écritures et de lectures rapides dans les bases de données, les marques doivent s'adapter aux dernières spécifications et protocoles afin de rester pertinentes sur le marché. La sécurité est un élément crucial pour la sécurité des données clients, et cet élément donne RELIANOID un énorme avantage sur HAproxy.

En tant qu'utilisateur actuel de haproxy, nous discuterons des concepts que vous connaissez déjà et les utiliserons pour créer des configurations similaires à l'aide de RELIANOID ADC.

Pré-requis : #

Il faut répondre à ces exigences de base pour transférer des configurations de HAproxy vers RELIANOID ADC.

  1. Une instance de RELIANOID ADC doit être installé sur votre PC, sur système nu, dans un environnement virtuel, ou il doit disposer d'un ZVNcloud compte. Demander une évaluation pour un déploiement sur site.
  2. Il faut avoir accès à l'interface graphique Web. Si vous ne le faites pas, suivez ce rapide Guide d'installation.
  3. Nous supposons que vous êtes un utilisateur actif de Haproxy et que vous connaissez les concepts dont nous parlerons dans la section ci-dessous.
  4. Il faut être capable de créer un serveur virtuel dans le RELIANOID équilibreur de charge. Voici un guide rapide : Configuration du serveur virtuel de couche 4 et de couche 7

Concepts de base #

Dans cette section, abordons quelques concepts basés sur la configuration HAproxy. Nous exposerons des idées similaires dans RELIANOID ADC et les utiliser plus tard pour décrire Déchargement SSL HTTP à HTTPS redirection à l'aide RELIANOID équilibreur de charge.

mode: La commande mode définit si le profil d'équilibrage de charge est la couche 4 ou la couche 7. RELIANOID utilise des profils pour définir si la configuration est de couche 4 ou 7. Ces profils incluent HTTP L4xNAT

délai d'expiration de la connexion : Le délai d'attente de connexion définit la durée pendant laquelle HAproxy doit attendre avant de se connecter à un serveur backend. RELIANOID Usages délai d'expiration de la connexion dorsale. La valeur par défaut est 20 secondes.

délai d'expiration du client : Ce paramètre définit la durée pendant laquelle HAproxy doit attendre une réponse du client. Si ce délai expire sans recevoir de signal du client, la connexion prendra fin. RELIANOID Usages délai d'expiration de la demande client. La valeur par défaut est 30 secondes.

serveur de délai d'attente : Le serveur de délai d'attente définit la durée pendant laquelle HAproxy doit attendre une réponse d'un serveur backend. Si ce temps s'écoule sans réponse d'un serveur backend, la connexion prendra fin. RELIANOID Usages délai de réponse backend. La valeur par défaut est 45 secondes.

lier: Bind définit une ou plusieurs adresses IP d'écoute regroupées avec leurs ports. Ce ou ces ports écoutent le trafic entrant, puis les acheminent vers les serveurs principaux. Voici un exemple d'expression :

écoutez http_https_proxy_www. lier ipv6@:80 lier ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

La section orientée vers l'avant de RELIANOID L'ADC est un Ferme et il a des écouteurs qui distribuent le trafic vers divers services.

maxconn : Limite le nombre de connexions que HAproxy servira. Cette commande protège l'équilibreur de charge contre le manque de mémoire. RELIANOID ADC est hautement optimisé pour le serveur 140,000 connexions simultanées à la couche 7 et au-dessus 10 millions connexions au niveau 4. Cependant, vous pouvez établir le nombre maximum de connexions dans un L4xNAT profil à l'aide de Max. Conns champ lors de la configuration Backends.

ssl-default-bind-ciphers : Les chiffrements de liaison définissent le TLS/SSL par défaut Ciphers sur HAproxy. RELIANOID l'équilibreur de charge est livré avec préchargé haute sécurité chiffres, Déchargement SSL, et l'utilisateur final peut personnaliser ses chiffrements via le sécurité personnalisée drapeau.

options de liaison ssl par défaut : Cette fonctionnalité désactive ou active les anciennes versions de TLS/SSL. Accédez à des configurations similaires via Paramètres HTTPS dans les paramètres globaux d'un profil HTTP sur RELIANOID ADC.

Exemple de configuration : déchargement SSL et utilisation de chiffrements #

Déchargement SSL fait référence au décryptage du trafic SSL/TLS entrant et à son transfert vers un ou plusieurs serveurs sous une forme non cryptée. L'équilibreur de charge/reverse-proxy utilise une suite d'algorithmes (chiffrements) pour chiffrer et déchiffrer les données.

L'utilisation des chiffres dans Terminaison SSL/TLS est important car il détermine le niveau de sécurité qui est fourni pour les données transmises. En général, des chiffrements plus forts offrent une communication plus sécurisée, mais ils peuvent également nécessiter plus de puissance de traitement pour chiffrer et déchiffrer les données. Par conséquent, il est important d'examiner attentivement les chiffrements utilisés dans la terminaison SSL/TLS, en tenant compte à la fois Sécurité performance.

Configurations HAproxy #

Pour configurer le déchargement SSL avec HAproxy, nous utilisons les paramètres ci-dessous.

mode frontend myDomain http bind :80 bind :443 ssl crt /etc/ssl/certs/relianoid.com.ssl.pem default_backend domainBackends

À partir de l'extrait ci-dessus, Haproxys écoute le trafic entrant sur les deux ports, 80 443. Cependant, le port 443 inclut une directive vers le répertoire où le certificat ssl est enregistré.

Pendant ce temps, vous pouvez spécifier les chiffrements par défaut à utiliser sur l'équilibreur de charge par les paramètres : chiffrements-de-liaison-par-ssl-par-défaut et la version SSL en utilisant option de liaison par défaut SSL.

       Chiffrements de liaison par défaut SSL ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM -SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 ssl-default-bind- options ssl-min-ver TLSv1.2 no-tls-tickets

RELIANOID les configurations #

Pour obtenir un résultat similaire avec RELIANOID, assurez-vous d'avoir créé un profil de batterie de serveurs HTTP. Si vous avez oublié, référez-vous à cet article : Configuration du serveur virtuel de couche 4 et de couche 7

  1. Dans le menu, allez à LSLB> Fermes et cliquez sur le calque 7 (HTTPS) profil de la ferme.

    2. oracle_jd_edwards_load_balancing_farm

  2. Dans les paramètres généraux, remplacez le numéro de port par 443.
  3. Changez le Auditeur de HTTP à HTTPS.
  4. Sous Paramètres HTTPS, activez ou désactivez les anciennes versions TLS/SSL.
  5. Choisissez SSL déchargement comme votre chiffre.
  6. L'équilibreur de charge est préchargé avec un zencert.pem Certificat SSL, mais vous pouvez inclure un certificat personnalisé si vous en avez créé un.
  7. Mettez à jour les configurations en cliquant sur le Appliquer .

Pour en savoir plus sur la Profil HTTP, Les certificats SSL et la configuration d'un certificat SSL personnalisé à l'aide du Chiffrons on RELIANOID ADC, reportez-vous à ces guides.

  1. Couche 7 (profil HTTP) dans RELIANOID ADC.
  2. Certificats SSL sur RELIANOID ADC.
  3. Programme Let's Encrypt sur RELIANOID ADC.

Exemples de configurations : redirection HTTP vers HTTPS #

Lorsque les clients visitent les services via un port non sécurisé, vous devez parfois les rediriger vers un serveur sécurisé. Nous y parvenons en répondant par une redirection permanente statuts code 301. Le navigateur du client se connectera automatiquement à l'adresse IP et au port sécurisés envoyés dans l'en-tête d'emplacement.

Configurations haproxy #

Avec haproxy, le code redirection de requête http redirige les utilisateurs s'ils visitent via le port 80 au port 443.

mode frontend myDomain http bind :80 bind :443 ssl crt /etc/ssl/certs/ssl.pem schéma de redirection de requête http https sauf si { ssl_fc } default_backend domainBackends

Redirection HTTP vers HTTPS dans RELIANOID ADC #

En suivant les étapes décrites dans cet article : Configuration du serveur virtuel de couche 4 et de couche 7, créez à la fois un HTTP et le HTTPS Ferme.

Assurez-vous que vous avez à la fois le HTTP HTTPS fermes;

  1. Allez dans LSLB> Fermes et cliquez sur l'icône Modifier de la ferme HTTP.
  2. Cliquez sur Services et ouvrez le service que vous souhaitez modifier.

    3. oracle_jd_edwards_load_balancing_farm

  3. Basculer sur le activer la redirection .
  4. Choisissez le type de redirection Ajouter.
  5. Sélectionnez le code de redirection: 301.
  6. Entrer le URL de redirection en ajoutant https:// à l'adresse IP. Si l'adresse IP de la ferme sécurisée est 10.0.0.18, alors l'url de redirection sera https://10.0.0.18
  7. Mettez à jour les modifications en cliquant sur le Appliquer .
  8. Recommencer la ferme pour que les modifications prennent effet.

XNUMX. Ressources supplémentaires #

Utilisation du programme Let's encrypt pour générer automatiquement un certificat SSL.
Équilibrage de charge Datalink/Uplink Avec RELIANOID ADC.
Équilibrage de charge DNS avec RELIANOID ADC.
Protection contre les attaques DDoS.
Surveillance des applications, de la santé et du réseau dans RELIANOID ADC.
Configuration du pare-feu applicatif Web.
Configuration des certificats SSL pour l'équilibreur de charge.

📄 Téléchargez ce document au format PDF #

    E-MAIL: *

    Sécurité accrue. Efforts réduits. Succès durable. Meilleurs Docs