概要 #

可用性が高く大規模に拡張可能なアプリケーションを設計および構築する場合、次のような信頼性の高いシステムが重要です。 RELIANOID ADC は絶対的な必要性です。リアルタイム配信、データベースへの高速な書き込みと読み取りの需要が高まる中、ブランドは市場で存在感を維持するために、最新の仕様とプロトコルに適応する必要があります。セキュリティは顧客データの安全性にとって重要な要素であり、この要素が RELIANOID HAproxy に対して大きな優位性があります。

現在haproxyをご利用の方には、既にご存知の概念について説明し、それを使って同様の設定を行います。 RELIANOID ADC。

前提条件 #

HAproxyから設定を転送するには、これらの基本要件を満たす必要があります。 RELIANOID ADC。

1. のインスタンス RELIANOID ADCはPC、ベアメタル、仮想環境にインストールするか、アクティブな ZVNクラウド アカウント。 評価をリクエストする オンプレミス展開用。
2. Webグラフィカルインターフェースにアクセスする必要があります。アクセスできない場合は、次の手順に従ってください。 インストールガイド。
3. ここでは、あなたが Haproxy のアクティブ ユーザーであり、以下のセクションで説明する概念を理解していることを前提としています。
4. 仮想サーバーを作成できる必要があります RELIANOID ロードバランサー。簡単なガイドは次のとおりです。 レイヤー4およびレイヤー7仮想サーバー構成

基本概念 #

このセクションでは、HAproxyの設定に基づいたいくつかの概念について説明します。同様の考え方については、 RELIANOID ADCと後でそれらを使用して記述します SSL オフロード の三脚と HTTP 〜へ HTTPS リダイレクトを使用して RELIANOID ロードバランサー。

モード： mode コマンドは、負荷分散プロファイルがレイヤー 4 かレイヤー 7 かを定義します。 RELIANOID 構成がレイヤー4かレイヤー7かを定義するためにプロファイルを使用します。これらのプロファイルには以下が含まれます。 HTTP の三脚と L4xNAT

タイムアウト接続: タイムアウト接続は、バックエンド サーバーに接続する前に HAproxy が待機する時間を定義します。 RELIANOID 使用されます バックエンド接続タイムアウト。 デフォルト値は 20 秒です。

タイムアウトクライアント: この設定は、HAproxy がクライアントからの応答を待機する時間を定義します。クライアントからの応答を受信せずにこの時間が経過した場合、接続は終了します。 RELIANOID 使用されます クライアント要求タイムアウト。 デフォルト値は 30 秒です。

タイムアウトサーバー: タイムアウトサーバーは、HAproxyがバックエンドサーバーからの応答を待機する時間を定義します。バックエンドサーバーからの応答がないままこの時間が経過した場合、接続は切断されます。 RELIANOID 使用されます バックエンド応答タイムアウト。 デフォルト値は 45 秒です。

バインド： Bindは、1つまたは複数のリスニングIPアドレスとそのポートを定義します。これらのポートは、着信トラフィックをリッスンし、バックエンドサーバーに配信します。サンプル式を以下に示します。

listen http_https_proxy_www.bind ipv6@:80 bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

フロントフェイシングセクション RELIANOID ADCは 農場 さまざまなサービスにトラフィックを分散するリスナーがあります。

マックスコン： HAproxy が処理する接続数を制限します。このコマンドは、ロードバランサーのメモリ不足を防ぎます。 RELIANOID ADCはサーバーに高度に最適化されており、 140,000 レイヤー7以上の同時接続 10億円 レイヤー4での接続。ただし、XNUMXつのレイヤー内で最大接続数を確立できます。 L4xNAT プロフィールを使用して マックス・コンズ 設定時のフィールド バックエンド.

ssl-default-bind-ciphers: バインド暗号はデフォルトのTLS/SSLを定義します 暗号 HAproxy で。 RELIANOID ロードバランサにはプリロード済みの 高い安全性 暗号、 SSL オフロード、エンドユーザーは、 カスタムセキュリティ フラグ。

ssl-default-bind-options: この機能は、古いバージョンのTLS/SSLを無効化または有効化します。同様の設定にアクセスするには、 HTTPSパラメータ HTTPプロファイルのグローバル設定内で RELIANOID ADC。

設定例: SSL オフロードと暗号の使用 #

SSL オフロード 受信SSL/TLSトラフィックを復号化し、暗号化されていない形式で1つ以上のサーバーに転送することを指します。ロードバランサ/リバースプロキシは、一連のアルゴリズム（暗号) を使用してデータを暗号化および復号化します。

暗号の使用 SSL/TLS 終了 送信データのセキュリティレベルを決定するため、これは重要です。一般的に、強力な暗号はより安全な通信を提供しますが、データの暗号化と復号化により多くの処理能力を必要とする場合があります。そのため、SSL/TLS終端に使用する暗号を慎重に検討し、以下の点を考慮することが重要です。 セキュリティ の三脚と パフォーマンス.

HAproxy 構成 #

HAproxy で SSL オフロードを設定するには、以下の設定を使用します。

フロントエンド myDomain モード http バインド:80 バインド:443 ssl crt /etc/ssl/certs/relianoid.com.ssl.pem default_backend domainBackends

上記のスニペットから、Haproxysは両方のポートで着信トラフィックをリッスンし、 80 の三脚と 443ただし、ポート 443 には、SSL 証明書が保存されるディレクトリへのディレクティブが含まれています。

一方、ロードバランサーで使用するデフォルトの暗号は、次の設定で指定できます。 SSLデフォルトバインド暗号 SSLバージョンを使用するには ssl-default-bind-option.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256 ssl-default-bind-options ssl-min-ver TLSv1.2 TLSなしチケット

RELIANOID 構成 #

同様の結果を得るには RELIANOIDHTTPファームプロファイルを作成済みであることを確認してください。作成を忘れた場合は、こちらの記事をご覧ください。 レイヤー4およびレイヤー7仮想サーバー構成

1. メニューで、 LSLB > 農場 レイヤー7（HTTPS）農場のプロフィール。



2. 一般設定でポート番号を次のように変更します。 443.
3. 以下のスクリーンショットに示すように、ジョブタイプを リスナー HTTP から HTTPS へ。
4. HTTPSパラメータ、古い TLS/SSL バージョンを有効または無効にします。
5. SSLを選択 オフロード 暗号として。
6. ロードバランサには、 zencert.pem SSL 証明書ですが、カスタム証明書を作成した場合はそれを含めることができます。
7. をクリックして設定を更新します Apply

の詳細については HTTP プロファイル, SSL証明書 カスタムSSL証明書を構成するには、 暗号化しよう on RELIANOID ADC の場合は、これらのガイドを参照してください。

1. レイヤー7（HTTPプロファイル） RELIANOID ADC。
2. SSL証明書オン RELIANOID ADC。
3. Let's Encryptプログラム RELIANOID ADC。

設定例: HTTPからHTTPSへのリダイレクト #

クライアントが安全でないポート経由でサービスにアクセスする場合、安全なサーバーにリダイレクトする必要があることがあります。私たちは永続的なリダイレクトでこれを実現します。 status コード 301。クライアントのブラウザは、ロケーション ヘッダーで送信された安全な IP とポートに自動的に接続します。

Haproxy 構成 #

haproxyを使用すると、コード httpリクエストリダイレクト ポート経由でアクセスした場合、ユーザーをリダイレクトします 80 港へ 443.

フロントエンド myDomain モード http バインド:80 バインド:443 ssl crt /etc/ssl/certs/ssl.pem http-request リダイレクトスキーム https except { ssl_fc } default_backend domainBackends

HTTPからHTTPSへのリダイレクト RELIANOID ADC #

この記事で概説されている手順を使用します。 レイヤー4およびレイヤー7仮想サーバー構成、両方を作成します HTTP と HTTPS ファーム。

両方を確実に HTTP の三脚と HTTPS 農場;

1. に行く LSLB > 農場 HTTP ファームの編集アイコンをクリックします。
2. クリック サービス タブをクリックして、編集するサービスを開きます。



3. をオンにする リダイレクトを有効にする
4. リダイレクトタイプを選択 追加.
5. まず リダイレクトコード: 301.
6. 入力する リダイレクトURL IPアドレスの先頭にhttps://を付ける。セキュアファームのIPアドレスが 10.0.0.18リダイレクトURLは次のようになります https://10.0.0.18
7. 変更を更新するには、 Apply
8. 再起動 変更を有効にするには、ファームを更新する必要があります。

その他のリソース #

Let's Encrypt プログラムを使用して SSL 証明書を自動生成します。
データリンク/アップリンク負荷分散 RELIANOID ADC。
DNS負荷分散 RELIANOID ADC。
DDoS 攻撃からの保護。
アプリケーション、ヘルス、ネットワーク監視 RELIANOID ADC。
Web アプリケーション ファイアウォールの構成。
ロード バランサーの SSL 証明書を構成します。