Haproxy から ZEVENET ADC への移行

投稿日: 23 年 2022 月 XNUMX 日

概要

可用性が高く大規模に拡張可能なアプリケーションを設計および構築する場合、次のような信頼性の高いシステム ゼブネット ADC は絶対に必要です。 リアルタイムの配信、データベースへの高速な書き込みと読み取りに対する需要が高まる中、ブランドは市場での関連性を維持するために、最新の仕様とプロトコルに適応する必要があります。 セキュリティは顧客データの安全性にとって重要な要素であり、この要素により、ZEVENET は Haproxy よりも大きな優位性を獲得します。

現在のhaproxyユーザーとして、すでによく知っている概念について説明し、それらを使用してZEVENET ADCを使用して同様の構成を作成します.

必須条件

HaproxyからZEVENET ADCに構成を転送するには、これらの基本的な要件を満たす必要があります。

  1. ZEVENET ADCのインスタンスをPC、ベアメタル、仮想環境にインストールするか、アクティブな ZVNクラウド アカウント。 評価をリクエストする オンプレミス展開用。
  2. Web グラフィカル インターフェイスにアクセスできる必要があります。 そうでない場合は、このクイックに従ってください インストールガイド。
  3. あなたが Haproxy のアクティブなユーザーであり、以下のセクションで説明する概念に精通していることを前提としています。
  4. ZEVENETロードバランサーで仮想サーバーを作成できる必要があります。 クイックガイドは次のとおりです。 レイヤー 4 およびレイヤー 7 の仮想サーバー構成

基本概念

このセクションでは、HAproxy 構成に基づくいくつかの概念について説明します。 ZEVENET ADCで同様のアイデアを概説し、後でそれらを使用して説明します SSLオフロード and HTTP 〜へ HTTPS ZEVENET ロードバランサーを使用したリダイレクト。

モード: モード コマンドは、負荷分散プロファイルがレイヤー 4 かレイヤー 7 かを定義します。ZEVENET は、構成がレイヤー 4 かレイヤー 7 かを定義するためにプロファイルを使用します。これらのプロファイルには、次のものが含まれます。 HTTP and L4xNAT

タイムアウト接続: タイムアウト接続は、バックエンド サーバーに接続する前に HAproxy が待機する時間を定義します。 ZEVENETの使用 バックエンド接続タイムアウト。 デフォルト値は 20 秒です。

タイムアウト クライアント: この設定は、HAproxy がクライアントからの応答を待機する時間を定義します。 クライアントから信号を受信せずにこの時間が経過すると、接続は終了します。 ZEVENETの使用 クライアント要求タイムアウト。 デフォルト値は 30 秒です。

タイムアウト サーバー: タイムアウト サーバーは、HAproxy がバックエンド サーバーからの応答を待機する時間を定義します。 バックエンド サーバーからの応答がないままこの時間が経過すると、接続は終了します。 ZEVENETの使用 バックエンド応答タイムアウト。 デフォルト値は 45 秒です。

練る: Bind は、ポートにバンドルされた XNUMX つまたは複数のリッスン IP アドレスを定義します。 このポートは着信トラフィックをリッスンし、バックエンド サーバーに送信します。 式の例を次に示します。

listen http_https_proxy_www.
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

ZEVENET ADCの正面セクションは 牧場 また、さまざまなサービスにトラフィックを分散するリスナーがあります。

マックスコン: HAproxy が提供する接続数を制限します。 このコマンドは、ロード バランサーがメモリ不足になるのを防ぎます。 ZEVENET ADCはサーバーオーバーに高度に最適化されています 140,000 レイヤ 7 以上での同時接続 10万人 レイヤ 4 で接続します。ただし、レイヤ XNUMX 内で最大数の接続を確立できます。 L4xNAT を使用したプロファイル 最大 Conns 構成時のフィールド バックエンド.

ssl-default-bind-ciphers: バインド暗号はデフォルトの TLS/SSL を定義します 暗号 HAproxy上。 ZEVENETロードバランサーにはプリロードが付属しています 高い安全性 暗号、 SSLオフロード、およびエンドユーザーは、 カスタムセキュリティ フラグ。

ssl-default-bind-options: この機能は、古いバージョンの TLS/SSL を無効または有効にします。 を通じて同様の構成にアクセスします。 HTTPSパラメータ ZEVENET ADCのHTTPプロファイルのグローバル設定内。

構成例: SSL オフロードと暗号の使用

SSLオフロード 着信 SSL/TLS トラフィックを復号化し、暗号化されていない形式で XNUMX ​​つ以上のサーバーに転送することを指します。 ロード バランサー/リバース プロキシは一連のアルゴリズムを使用します (暗号) データを暗号化および復号化します。

での暗号の使用 SSL/TLS ターミネーション これは、送信されるデータに提供されるセキュリティのレベルを決定するため、重要です。 一般に、強力な暗号はより安全な通信を提供しますが、データを暗号化および復号化するためにより多くの処理能力が必要になる場合もあります。 そのため、SSL/TLS ターミネーションでどの暗号を使用するかを慎重に検討することが重要です。 セキュリティ and パフォーマンス.

HAproxy 構成

HAproxy で ssl オフロードをセットアップするには、以下の設定を使用します。

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/zevenet.com.ssl.pem
    default_backend domainBackends

上記のスニペットから、Haproxys は両方のポートで着信トラフィックをリッスンします。 80 and 443. ただし、ポート 443 には、ssl 証明書が保存されているディレクトリへのディレクティブが含まれています。

一方、設定によって、ロード バランサーで使用するデフォルトの暗号を指定できます。 ssl-デフォルトバインド暗号 および使用するsslバージョン ssl-デフォルトバインドオプション.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

ZEVENET構成

ZEVENET で同様の結果を得るには、HTTP ファーム プロファイルを作成したことを確認してください。 忘れた場合は、次の記事を参照してください。 レイヤー 4 およびレイヤー 7 の仮想サーバー構成

  1. メニューで、 LSLB>農場 レイヤー7をクリックします(HTTPS) ファーム プロファイル。

    2. oracle_jd_edwards_load_balancing_farm

  2. 一般設定で、ポート番号を 443.
  3. 変更 リスナー HTTP から HTTPS へ。
  4. HTTPSパラメータ、古い TLS/SSL バージョンを有効または無効にします。
  5. SSLを選択 オフロード あなたの暗号として。
  6. ロードバランサーは、 zencert.pem SSL 証明書ですが、作成したカスタム証明書を含めることができます。
  7. をクリックして構成を更新します。 お申し込み ボタン。

の詳細については HTTPプロファイル, SSL証明書 を使用してカスタム SSL 証明書を構成します。 暗号化しよう ZEVENET ADCについては、これらのガイドを参照してください。

  1. ZEVENET ADC のレイヤー 7 (HTTP プロファイル)。
  2. ZEVENET ADC の SSL 証明書。
  3. ZEVENET ADCでプログラムを暗号化しましょう。

構成例: HTTP から HTTPS へのリダイレクト

クライアントがセキュリティで保護されていないポートを介してサービスにアクセスする場合、クライアントをセキュリティで保護されたサーバーにリダイレクトする必要がある場合があります。 恒久的なリダイレクトで応答することでこれを実現します status code 301. クライアントのブラウザは、ロケーション ヘッダーで送信されたセキュアな IP とポートに自動的に接続します。

ハプロキシ構成

haproxy を使用すると、コード http リクエストのリダイレクト ポート経由でアクセスした場合、ユーザーをリダイレクトします 80 港へ 443.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/ssl.pem
    http-request redirect scheme https unless { ssl_fc }
    default_backend domainBackends

ZEVENET ADCでのHTTPからHTTPSへのリダイレクト

この記事で概説されている手順を使用します。 レイヤー 4 およびレイヤー 7 の仮想サーバー構成、両方を作成します HTTPHTTPS ファーム。

両方を持っていることを確認する HTTP and HTTPS 農場;

  1.   LSLB>農場 HTTP ファームの編集アイコンをクリックします。
  2. ストリーミングを停止する場合は上部の サービス タブをクリックして、編集するサービスを開きます。

    3. oracle_jd_edwards_load_balancing_farm

  3. をオンにする リダイレクトを有効にする ボタン。
  4. リダイレクトの種類を選択 追加.
  5. 現在地に最も近い リダイレクト コード: 301.
  6. 入力する リダイレクトURL https:// を IP アドレスの先頭に追加します。 セキュア ファームの IP アドレスが 10.0.0.18の場合、リダイレクト URL は次のようになります。 https://10.0.0.18
  7. をクリックして変更を更新します。 お申し込み ボタン。
  8. 再起動 変更を有効にするためのファーム。

こちらもご覧ください:

その他のリソース

Let's encrypt プログラムを使用して、SSL 証明書を自動生成します。
ZEVENET ADCによるデータリンク/アップリンク負荷分散。
ZEVENET ADCによるDNS負荷分散。
DDoS 攻撃からの保護。
ZEVENET ADC でのアプリケーション、ヘルス、およびネットワークの監視。
ウェブ アプリケーション ファイアウォールの構成。
ロード バランサーの SSL 証明書を構成します。

上の共有:

GNU Free Documentation Licenseの条項に基づくドキュメンテーション。

この記事は役に立ちましたか?

はい いいえ

関連記事