यह पोस्ट इस चर्चा से शुरू होती है कि HAProxy में SSL पासथ्रू को लागू करना क्यों आवश्यक है। फिर हम आसान समझ के लिए एक उदाहरण के साथ इसे लागू करने के लिए अनुसरण किए जाने वाले चरणों पर चर्चा करते हैं।
एसएसएल पासथ्रू क्या है और यह आवश्यक क्यों है?
लोड बैलेंसर के रूप में, HAProxy आपके वेब सर्वर पर निर्देशित लोड लेता है और इसे कॉन्फ़िगर किए गए सर्वर पर वितरित करता है। जो लोड वितरित किया जा रहा है वह वह ट्रैफ़िक है जो क्लाइंट डिवाइस और बैकएंड सर्वर के बीच साझा किया जाता है। लोड संतुलन करते समय सुरक्षा आवश्यक है, और यहीं पर एसएसएल पासथ्रू काम में आता है।
आदर्श रूप से, एसएसएल पासथ्रू में आपके वेब सर्वर पर एसएसएल/टीएलएस ट्रैफिक को अग्रेषित करना और एचएप्रोक्सी या आपके द्वारा उपयोग किए जा रहे किसी अन्य लोड बैलेंसर पर एसएसएल/टीएलएस कनेक्शन को समाप्त किए बिना इसे कॉन्फ़िगर किए गए सर्वर पर वितरित करना शामिल है। एसएसएल पासथ्रू के साथ, आप बेहतर एंड-टू-एंड एन्क्रिप्शन का आनंद लेंगे, और क्लाइंट का मूल आईपी पता संरक्षित रहेगा। इसके अलावा, यह एक अनुशंसित सुरक्षा उपाय है और यह HAProxy पर अधिभार को कम करते हुए बेहतर बैकएंड सर्वर लचीलापन बनाता है।
HAProxy में SSL पासथ्रू कैसे लागू करें, इस पर चरण-दर-चरण मार्गदर्शिका
यह समझने के बाद कि एसएसएल पासथ्रू का क्या मतलब है और आपको इसकी आवश्यकता क्यों है, अगला कार्य उन चरणों को प्रदान करना है जिनका आपको अपने HAProxy लोड बैलेंसर में इसे लागू करने के लिए पालन करना चाहिए। दिए गए चरणों का पालन करें और अपने HAProxy लोड बैलेंसर पर SSL पासथ्रू को तुरंत लागू करें।
चरण 1: HAProxy स्थापित करें
मान लीजिए कि आपके पास HAProxy स्थापित नहीं है। एसएसएल पासथ्रू को लागू करने के लिए इसे कॉन्फ़िगर करने से पहले पहला कदम इसे स्थापित करना है। इसलिए, अपनी रिपॉजिटरी को अपडेट करके शुरुआत करें।
$ सूडो उपयुक्त अद्यतन
इसके बाद, निम्न आदेश के साथ डिफ़ॉल्ट रिपॉजिटरी से HAProxy स्थापित करें। ध्यान दें कि हम इस मामले के लिए उबंटू का उपयोग कर रहे हैं:
$ सूडो अपार्ट स्थापित करना haproxy
एक बार जब आप HAProxy स्थापित कर लेते हैं, तो आप SSL पासथ्रू लागू करने के लिए तैयार हैं। पढ़ते रहिये!
चरण 2: HAProxy में SSL पासथ्रू लागू करें
इस चरण के लिए, हमें '/etc/haproxy' में स्थित HAProxy कॉन्फ़िगरेशन फ़ाइल तक पहुंचना होगा और इसे यह निर्दिष्ट करने के लिए संपादित करना होगा कि हम SSL पासथ्रू को कैसे कार्यान्वित करना चाहते हैं। आप कॉन्फिग फ़ाइल को किसी भी टेक्स्ट एडिटर के साथ खोल सकते हैं। हमने इस प्रदर्शन के लिए नैनो का उपयोग किया।
$ सूडो नैनो / वगैरह / haproxy / हैप्रोक्सी, सीएफजीएक बार जब आप कॉन्फ़िगरेशन फ़ाइल तक पहुंच जाते हैं, तो दो खंड होते हैं जिन्हें आपको बनाना होगा: 'फ्रंटएंड' और 'बैकएंड'। 'फ़्रंटएंड' में, आप यह निर्दिष्ट करते हैं कि कनेक्शन के लिए किस पोर्ट को बाइंड करना है। फिर, आपको यह निर्दिष्ट करना होगा कि ट्रैफ़िक वितरित करने के लिए किस प्रोटोकॉल का उपयोग करना है और किस बैकएंड सर्वर का उपयोग करना है।
इस मामले में, चूँकि हम ट्रैफ़िक को सुरक्षित करना चाहते हैं, हम पोर्ट 443 को बाइंड करेंगे जो HTTPS कनेक्शन के लिए है। फिर से, हम निर्दिष्ट करते हैं कि हम ट्रांसपोर्ट लेयर पर काम करने के लिए HAProxy के लिए टीसीपी मोड को स्वीकार करना चाहते हैं।
हम एक नियम के रूप में 'टीसीपी-अनुरोध' लाइन भी जोड़ते हैं जो यह सत्यापित करने के लिए एसएसएल 'हैलो' संदेशों का निरीक्षण करने की अवधि निर्दिष्ट करती है कि हम एसएसएल ट्रैफ़िक स्वीकार कर रहे हैं। अंत में, हम लोड वितरण के लिए उपयोग करने के लिए बैकएंड सर्वर निर्दिष्ट करते हैं। हमारा अंतिम 'फ्रंटएंड' अनुभाग इस प्रकार है:
'बैकएंड' अनुभाग के लिए, हम मोड को टीसीपी पर सेट करते हैं। फिर हम उन सर्वरों के लिए आईपी पते निर्दिष्ट करते हैं जिनका उपयोग हम लोड संतुलन के लिए करते हैं। सुनिश्चित करें कि आप इन आईपी को अपने लाइव सर्वर से मेल करने के लिए बदल दें और कनेक्शन पोर्ट को 443 पर सेट करें।
कॉन्फ़िगरेशन फ़ाइल के 'वैश्विक' अनुभाग में शामिल लॉग फ़ाइल में टीसीपी से संबंधित मुद्दों को लॉग करने की अनुमति देने के लिए 'विकल्प tcplog' जोड़ा गया है।
चरण 3: HAProxy को पुनरारंभ करें और कॉन्फ़िगरेशन का परीक्षण करें
एक बार जब आप HAProxy कॉन्फिग फ़ाइल को संपादित कर लें, तो इसे सहेजें और बाहर निकलें। परिवर्तनों को लागू करने के लिए HAProxy सेवा को पुनरारंभ करें।
इतना ही! हमने HAProxy में SSL पासथ्रू लागू किया। कर्ल जैसे कमांड का उपयोग करके अपने वेब सर्वर पर ट्रैफ़िक भेजने का प्रयास करें और देखें कि यह कैसे प्रतिक्रिया देता है। यदि एसएसएल पासथ्रू सफलतापूर्वक कार्यान्वित किया जाता है, तो आपको एक आउटपुट मिलेगा जिसमें दिखाया जाएगा कि कनेक्शन पोर्ट 443 के माध्यम से बनाया गया है, और आप बैकएंड सर्वर से कनेक्ट हो जाएंगे। आपका सर्वर आवश्यक विवरण के साथ प्रतिक्रिया देगा और 200-स्थिति प्रतिक्रिया देगा।
निष्कर्ष
एसएसएल पासथ्रू को लागू करने से एंड-टू-एंड एन्क्रिप्शन बनाने में मदद मिलती है और यह सुनिश्चित होता है कि लोड संतुलन होने पर आपका एसएसएल/टीएलएस कनेक्शन बना रहता है। HAProxy में SSL पासथ्रू लागू करने के लिए, HAProxy स्थापित करें और यह निर्दिष्ट करने के लिए कॉन्फ़िगरेशन फ़ाइल को संपादित करें कि आप लोड संतुलन कैसे चाहते हैं। प्रक्रिया को बेहतर ढंग से समझने के लिए प्रस्तुत उदाहरण देखें।