Visão geral

Ao projetar e construir aplicativos altamente disponíveis e escaláveis ​​em massa, um sistema confiável como ZEVENET ADC é uma necessidade absoluta. Com a crescente demanda por entrega em tempo real, gravações e leituras rápidas em bancos de dados, as marcas devem se adaptar às especificações e protocolos mais recentes para se manterem relevantes no mercado. A segurança é um elemento crucial para a segurança dos dados do cliente, e esse elemento dá ao ZEVENET uma enorme vantagem sobre o Haproxy.

Como usuário atual do haproxy, discutiremos os conceitos com os quais você já está familiarizado e os usaremos para fazer configurações semelhantes usando o ZEVENET ADC.

Pré-requisitos

É preciso atender a esses requisitos básicos para transferir configurações do Haproxy para o ZEVENET ADC.

1. Uma instância do ZEVENET ADC deve ser instalada em seu PC, bare-metal, ambiente virtual ou deve ter um ativo ZVNcloud conta. Solicite uma avaliação para implantação no local.
2. Deve-se ter acesso à interface gráfica da Web. Se você não fizer isso, siga este rápido Guia de instalação.
3. Assumimos que você é um usuário ativo do Haproxy e está familiarizado com os conceitos que discutiremos na seção abaixo.
4. Deve-se ser capaz de criar um servidor virtual no balanceador de carga ZEVENET. Aqui está um guia rápido: Configuração do servidor virtual de camada 4 e camada 7

Conceitos Básicos

Nesta seção, vamos discutir alguns conceitos baseados na configuração do HAproxy. Vamos delinear ideias semelhantes no ZEVENET ADC e depois usá-las para descrever Descarregamento de SSL e HTTP para HTTPS redirecionamento usando o balanceador de carga ZEVENET.

modo: O comando mode define se o perfil de balanceamento de carga é camada 4 ou camada 7. ZEVENET usa Perfis para definir se a configuração é Camada 4 ou 7. Esses perfis incluem HTTP e L4xNAT

conexão de tempo limite: Timeout connect define quanto tempo o HAproxy deve esperar antes de se conectar a um servidor back-end. ZEVENET usa tempo limite de conexão de back-end. o valor padrão é 20 segundos.

cliente de tempo limite: Essa configuração define quanto tempo o HAproxy deve esperar por uma resposta do cliente. Se esse tempo expirar sem receber um sinal do cliente, a conexão será encerrada. ZEVENET usa tempo limite de solicitação do cliente. o valor padrão é 30 segundos.

servidor de tempo limite: O servidor de tempo limite define quanto tempo o HAproxy deve esperar por uma resposta de um servidor de back-end. Se esse tempo decorrer sem uma resposta de um servidor de back-end, a conexão será encerrada. ZEVENET usa tempo limite de resposta de back-end. o valor padrão é 45 segundos.

vincular: Bind define um ou vários endereços IP de escuta agrupados com suas portas. Esta(s) porta(s) escuta(m) o tráfego de entrada e, em seguida, os envia para os servidores de back-end. Aqui está um exemplo de expressão:

listen http_https_proxy_www.
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

A seção frontal do ZEVENET ADC é uma Fazenda e possui ouvintes que distribuem o tráfego para vários Serviços.

maxconn: Limita o número de conexões que o HAproxy atenderá. Este comando protege o balanceador de carga de ficar sem memória. O ZEVENET ADC é altamente otimizado para servidor em 140,000 conexões simultâneas na camada 7 e acima 10 milhões conexões na camada 4. No entanto, você pode estabelecer o número máximo de conexões dentro de um L4xNAT perfil usando o Max. Conns campo ao configurar Backends.

ssl-default-bind-cifras: As cifras de ligação definem o TLS/SSL padrão cifras em HAproxy. O balanceador de carga ZEVENET vem com pré-carregado alta seguranca cifras, Descarregamento de SSL, e o usuário final pode personalizar suas cifras por meio do segurança personalizada bandeira.

ssl-default-bind-options: Este recurso desativa ou ativa versões mais antigas de TLS/SSL. Acesse configurações semelhantes através Parâmetros HTTPS dentro das configurações globais de um perfil HTTP no ZEVENET ADC.

Exemplo de configuração: descarregamento de SSL e uso de cifras

Desligamento SSL refere-se a descriptografar o tráfego SSL/TLS de entrada e encaminhá-lo para um ou mais servidores de forma não criptografada. O balanceador de carga/proxy reverso usa um conjunto de algoritmos (Cifras) para criptografar e descriptografar dados.

O uso de cifras em Terminação SSL/TLS é importante porque determina o nível de segurança fornecido para os dados transmitidos. Em geral, cifras mais fortes fornecem comunicação mais segura, mas também podem exigir mais poder de processamento para criptografar e descriptografar os dados. Como resultado, é importante considerar cuidadosamente quais cifras são usadas na terminação SSL/TLS, levando em conta tanto segurança e atuação.

configurações HAproxy

Para configurar o descarregamento SSL com o HAproxy, usamos as configurações abaixo.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/zevenet.com.ssl.pem
    default_backend domainBackends

No trecho acima, o Haproxys escuta o tráfego de entrada em ambas as portas, 80 e 443. No entanto, a porta 443 inclui uma diretiva para o diretório onde o certificado SSL é salvo.

Enquanto isso, você pode especificar as cifras padrão a serem usadas no balanceador de carga pelas configurações: ssl-default-bind-ciphers e a versão SSL usando ssl-default-bind-opção.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

configurações ZEVENET

Para obter um resultado semelhante com o ZEVENET, certifique-se de ter criado um perfil de fazenda HTTP. Se você esqueceu, consulte este artigo: Configuração do servidor virtual de camada 4 e camada 7

1. No menu, vá para LSLB> Fazendas e clique na camada 7 (HTTPS) perfil da fazenda.



2. Nas configurações gerais, altere o número da porta para 443.
3. alterar o Ouvinte de HTTP para HTTPS.
4. Debaixo Parâmetros HTTPS, ative ou desative versões TLS/SSL antigas.
5. Escolha SSL offloading como sua cifra.
6. O balanceador de carga é pré-carregado com um zencert.pem certificado SSL, mas você pode incluir um certificado personalizado se tiver criado um.
7. Atualize as configurações clicando no botão Aplicar botão.

Para saber mais sobre o Perfil HTTP, certificados SSL e configurar um certificado SSL personalizado usando o Let’s Encrypt no ZEVENET ADC, consulte estes guias.

1. Camada 7 (Perfil HTTP) no ZEVENET ADC.
2. Certificados SSL no ZEVENET ADC.
3. Vamos criptografar o programa no ZEVENET ADC.

Exemplo de configurações: Redirecionamento de HTTP para HTTPS

Quando os clientes visitam serviços por meio de uma porta não segura, às vezes você deve redirecioná-los para um servidor seguro. Conseguimos isso respondendo com um redirecionamento permanente estado código 301. O navegador do cliente se conectará automaticamente ao IP seguro e à porta enviada no cabeçalho de localização.

configurações Haproxy

Com haproxy, o código redirecionamento de solicitação http redireciona os usuários se eles visitarem pela porta 80 para portar 443.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/ssl.pem
    http-request redirect scheme https unless { ssl_fc }
    default_backend domainBackends

Redirecionamento HTTP para HTTPS no ZEVENET ADC

Usando as etapas descritas neste artigo: Configuração do servidor virtual de camada 4 e camada 7, crie um HTTP e um HTTPS Fazenda.

Garantindo que você tenha os dois HTTP e HTTPS fazendas;

1. Acesse LSLB> Fazendas e clique no ícone Editar do farm HTTP.
2. Clique na Serviços guia e abra o serviço que deseja editar.



3. Alternar no habilitar redirecionamento botão.
4. Escolha o tipo de redirecionamento Acrescentar.
5. Selecione os código de redirecionamento: 301.
6. Introduzir o URL de redirecionamento anexando https:// ao endereço IP. Se o endereço IP do Farm seguro for 10.0.0.18, o URL de redirecionamento será https://10.0.0.18
7. Atualize as alterações clicando no botão Aplicar botão.
8. Reiniciar farm para que as alterações entrem em vigor.

Veja também:

Recursos adicionais

Usando o programa Let's encrypt para gerar automaticamente um certificado SSL.
Balanceamento de carga Datalink/Uplink Com ZEVENET ADC.
Balanceamento de carga DNS com ZEVENET ADC.
Proteção contra ataques DDoS.
Monitoramento de aplicativos, integridade e rede no ZEVENET ADC.
Configuração do firewall do aplicativo da Web.
Configurando certificados SSL para o balanceador de carga.