الهجرة من Haproxy إلى ZEVENET ADC

نُشرت في 23 نوفمبر 2022

نبذة

عند تصميم وبناء تطبيقات عالية التوفر وقابلة للتطوير الشامل ، فإن نظامًا موثوقًا به مثل ZEVENET ADC ضرورة مطلقة. مع تزايد الطلب على التسليم في الوقت الفعلي ، والكتابة والقراءة السريعة لقواعد البيانات ، يجب على العلامات التجارية أن تتكيف مع أحدث المواصفات والبروتوكولات حتى تظل ملائمة في السوق. يعد الأمان عنصرًا حاسمًا في أمان بيانات العملاء ، ويمنح هذا العنصر ZEVENET ميزة كبيرة على Haproxy.

بصفتك مستخدم haproxy حاليًا ، سنناقش المفاهيم التي تعرفها بالفعل ونستخدمها لعمل تكوينات مماثلة باستخدام ZEVENET ADC.

المتطلبات الأساسية المسبقة

يجب على المرء تلبية هذه المتطلبات الأساسية لنقل التكوينات من Haproxy إلى ZEVENET ADC.

  1. يجب تثبيت مثيل ZEVENET ADC على جهاز الكمبيوتر الخاص بك ، أو بيئة افتراضية ، أو نظام تشغيل عادي ، أو يجب أن يكون أحدهما نشطًا ZVNcloud حساب. اطلب تقييمًا للنشر في مكان العمل.
  2. يجب أن يكون لدى المرء حق الوصول إلى واجهة الويب الرسومية. إذا لم تقم بذلك ، فاتبع هذا بسرعة دليل التثبيت.
  3. نفترض أنك مستخدم نشط لـ Haproxy وأنت على دراية بالمفاهيم التي سنناقشها في القسم أدناه.
  4. يجب أن يكون المرء قادرًا على إنشاء خادم افتراضي في موازن تحميل ZEVENET. هنا دليل سريع: تكوين الخادم الظاهري للطبقة 4 والطبقة 7

المفاهيم الأساسية

في هذا القسم ، دعنا نناقش بعض المفاهيم بناءً على تكوين HAproxy. سنحدد أفكارًا مماثلة في ZEVENET ADC ونستخدمها لاحقًا لوصفها تفريغ SSL و HTTP إلى HTTPS إعادة التوجيه باستخدام موازن تحميل ZEVENET.

الوضع: يحدد أمر الوضع ما إذا كان ملف تعريف موازنة التحميل هو الطبقة 4 أو الطبقة 7. تستخدم ZEVENET ملفات التعريف لتحديد ما إذا كان التكوين هو الطبقة 4 أو 7. تتضمن ملفات التعريف هذه HTTP و L4xNAT

مهلة الاتصال: يحدد Timeout connect المدة التي يجب أن ينتظرها HAproxy قبل الاتصال بخادم الواجهة الخلفية. يستخدم ZEVENET مهلة الاتصال الخلفية. النظام الأساسي 20 ثواني.

عميل المهلة: تحدد هذه المحددات المدة التي يجب أن ينتظرها HAproxy للحصول على استجابة من العميل. إذا انتهت هذه المدة دون تلقي إشارة من العميل ، فسيتم إنهاء الاتصال. يستخدم ZEVENET مهلة طلب العميل. النظام الأساسي 30 ثواني.

خادم المهلة: يحدد خادم المهلة المدة التي يجب أن ينتظرها HAproxy للحصول على استجابة من خادم خلفية. إذا انقضت هذه المرة دون استجابة من خادم خلفي ، فسيتم إنهاء الاتصال. يستخدم ZEVENET مهلة استجابة الخلفية. النظام الأساسي 45 ثواني.

ربط: يحدد Bind عنوان IP واحدًا أو عدة عناوين IP للاستماع مجمعة مع منافذها. يستمع هذا المنفذ (المنافذ) لحركة المرور الواردة ثم يرسلها إلى خوادم الواجهة الخلفية. فيما يلي نموذج للتعبير:

listen http_https_proxy_www.
    bind ipv6@:80
    bind ipv4@public_ssl:443 ssl crt /etc/haproxy/site.pem

القسم الأمامي المواجه لشركة ZEVENET ADC هو ملف مزرعة ولها مستمعون يقومون بتوزيع حركة المرور على الخدمات المختلفة.

ماكسكون: يحد من عدد الاتصالات التي سيخدمها HAproxy. يحمي هذا الأمر موازن التحميل من نفاد الذاكرة. تم تحسين ZEVENET ADC بدرجة كبيرة لتوصيل الخادم 140,000 التوصيلات المتزامنة في الطبقة 7 وما فوق 10 مليون اتصالات في طبقة 4. ومع ذلك ، يمكنك إنشاء الحد الأقصى لعدد الاتصالات داخل نطاق L4xNAT الملف الشخصي باستخدام ماكس. Conns المجال عند التكوين الخلفيات.

ssl-default-bind-ciphers: تحدد الأصفار المربوطة الافتراضي TLS / SSL الأصفار على HAproxy. يأتي موازن تحميل ZEVENET مع التحميل المسبق حماية عالية الأصفار تفريغ SSL، ويمكن للمستخدم النهائي تخصيص شفراته من خلال الأمن المخصص العلم.

ssl-default-bind options: تعمل هذه الميزة على تعطيل أو تمكين الإصدارات القديمة من TLS / SSL. الوصول إلى تكوينات مماثلة من خلال معلمات HTTPS ضمن الإعدادات العامة لملف تعريف HTTP على ZEVENET ADC.

مثال على التكوين: تفريغ SSL واستخدام الأصفار

SSL Offloading يشير إلى فك تشفير حركة مرور SSL / TLS الواردة وإعادة توجيهها إلى خادم واحد أو أكثر في شكل غير مشفر. يستخدم موازن التحميل / الوكيل العكسي مجموعة من الخوارزميات (الأصفار) لتشفير وفك تشفير البيانات.

استخدام الأصفار في إنهاء SSL / TLS مهم لأنه يحدد مستوى الأمان الذي يتم توفيره للبيانات المرسلة. بشكل عام ، توفر الشفرات الأقوى اتصالًا أكثر أمانًا ، ولكنها قد تتطلب أيضًا مزيدًا من قوة المعالجة لتشفير البيانات وفك تشفيرها. نتيجة لذلك ، من المهم التفكير بعناية في أي الأصفار يتم استخدامها في إنهاء SSL / TLS ، مع مراعاة كل من أمن و أداء.

تكوينات HAproxy

لإعداد إلغاء تحميل ssl مع HAproxy ، نستخدم الإعدادات أدناه.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/zevenet.com.ssl.pem
    default_backend domainBackends

من المقتطف أعلاه ، يستمع Haproxys لحركة المرور الواردة على كلا المنفذين ، 80 و 443. ومع ذلك ، يتضمن المنفذ 443 توجيهاً إلى الدليل حيث يتم حفظ شهادة ssl.

وفي الوقت نفسه ، يمكنك تحديد الأصفار الافتراضية لاستخدامها في موازن التحميل من خلال الإعدادات: ssl-default-bind-ciphers وإصدار ssl باستخدام ssl الافتراضي ربط الخيار.

       ssl-default-bind-ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
        ssl-default-bind-options ssl-min-ver TLSv1.2 no-tls-tickets

تكوينات ZEVENET

لتحقيق نتيجة مماثلة مع ZEVENET ، تأكد من إنشاء ملف تعريف مزرعة HTTP. إذا نسيت ، ارجع إلى هذا المقال: تكوين الخادم الظاهري للطبقة 4 والطبقة 7

  1. في القائمة ، انتقل إلى LSLB> مزارع وانقر على الطبقة 7 (HTTPS) ملف المزرعة.

    2. oracle_jd_edwards_load_balancing_farm

  2. ضمن الإعدادات العامة ، قم بتغيير رقم المنفذ إلى 443.
  3. تغيير مستمع من HTTP إلى HTTPS.
  4. تحت معلمات HTTPSأو تمكين أو تعطيل إصدارات TLS / SSL القديمة.
  5. اختر SSL التفريغ كشفراتك.
  6. يتم تحميل موازن التحميل مسبقًا بامتداد zencert.pem شهادة SSL ، ولكن يمكنك تضمين شهادة مخصصة إذا قمت بإنشاء واحدة.
  7. قم بتحديث التكوينات بالنقر فوق تطبيق .

لمعرفة المزيد حول ملف HTTP, شهادات SSL وتكوين شهادة SSL مخصصة باستخدام امتداد دعونا تشفير على ZEVENET ADC ، ارجع إلى هذه الأدلة.

  1. الطبقة 7 (ملف تعريف HTTP) في ZEVENET ADC.
  2. شهادات SSL على ZEVENET ADC.
  3. دعونا نشفر البرنامج على ZEVENET ADC.

تكوينات مثال: إعادة توجيه HTTP إلى HTTPS

عندما يزور العملاء الخدمات عبر منفذ غير آمن ، يجب عليك أحيانًا إعادة توجيههم إلى خادم آمن. نحقق ذلك من خلال الرد بإعادة توجيه دائمة الحالة الرمز 301. سيقوم مستعرض العميل تلقائيًا بالاتصال بـ IP الآمن والمنفذ المرسل في رأس الموقع.

تكوينات Haproxy

مع هبروكسي ، الكود إعادة توجيه طلب http يعيد توجيه المستخدمين إذا قاموا بزيارة عبر المنفذ 80 الى المرفئ 443.

frontend myDomain
    mode http
    bind :80
    bind :443 ssl crt /etc/ssl/certs/ssl.pem
    http-request redirect scheme https unless { ssl_fc }
    default_backend domainBackends

إعادة توجيه HTTP إلى HTTPS في ZEVENET ADC

باستخدام الخطوات الموضحة في هذه المقالة: تكوين الخادم الظاهري للطبقة 4 والطبقة 7، قم بإنشاء كلا من HTTP و HTTPS مزرعة.

التأكد من أن لديك كلا من HTTP و HTTPS المزارع.

  1. انتقل إلى (تحديث البرنامج) في MyCAD LSLB> مزارع وانقر فوق رمز التحرير الخاص بمزرعة HTTP.
  2. انقر على الخدمات علامة التبويب وافتح الخدمة التي تريد تحريرها.

    3. oracle_jd_edwards_load_balancing_farm

  3. تبديل على تمكين إعادة التوجيه .
  4. اختر نوع إعادة التوجيه ألحق.
  5. إختار ال رمز إعادة التوجيه: 301.
  6. أدخل إعادة توجيه URL عن طريق إضافة https: // إلى عنوان IP. إذا كان عنوان IP للمزرعة الآمنة هو 10.0.0.18، فسيكون عنوان URL لإعادة التوجيه https://10.0.0.18
  7. قم بتحديث التغييرات عن طريق النقر فوق تطبيق .
  8. إعادة تشغيل المزرعة لتصبح التغييرات سارية المفعول.

شاهد أيضًا:

مصادر إضافية

استخدام برنامج Let's encrypt لإنشاء شهادة SSL تلقائيًا.
موازنة Datalink / Uplink مع ZEVENET ADC.
موازنة تحميل DNS مع ZEVENET ADC.
الحماية من هجمات DDoS.
التطبيق والصحة ومراقبة الشبكة في ZEVENET ADC.
تكوين جدار حماية تطبيق الويب.
تكوين شهادات SSL لموازن التحميل.

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

نعم لا

مقالات ذات صلة