قم بترحيل رصيد التحميل الخاص بك من AWS ELB إلى ZEVENET ADC

نُشرت في 27 ديسمبر 2022

نبذة

ال (AWS) موازن التحميل المرن (ELB) يوزع حركة مرور الويب عبر عدة EC2 مثيلات ، خدمة الحاويات المرنة (ECS) ، وعناوين IP. ELB لديه أيضًا القدرة على موازنة حركة المرور عبر مناطق توافر الخدمات المختلفة لضمان التوافر العالي. ومع ذلك ، هناك العديد من القيود على استخدام AWSالصورة ELB، وتشمل هذه:

  1. طرق موازنة التحميل المحدودة. بشكل افتراضي، ELB يستخدم فقط جولة روبن الخوارزمية ، ولها قدرات محدودة على تبديل المحتوى.
  2. منذ ELB تم تصميمه لإدارة حركة المرور من الإنترنت إلى الطبعات الموجودة في Virtual Private Cloud(VPC)، فهو غير مناسب لموازنة الحمل بين الموارد المحلية.

في هذه المقالة ، سنناقش كيف يمكن للمرء أن يحل محل خدمات موازنة التحميل الخاصة به مع بديل أفضل ، ZEVENET ADC. للحصول على مقارنة مفصلة بين AWS ELB و ZEVENET ، يرجى الرجوع إلى هذه المقالة مقارنة بين AWS و ZEVENET.

المتطلبات الأساسية المسبقة

تأكد من استيفاء هذه المتطلبات قبل محاولة نقل التكوينات من AWS ELB إلى ADC المميّزة بالكامل لشركة ZEVENET.

  1. يجب تثبيت عقدة ZEVENET ADC على جهاز الكمبيوتر الخاص بك ، أو بيئة افتراضية معدنية ، أو بيئة افتراضية ، أو يجب أن يكون لدى أحدها ZVNcloud حساب. اطلب تقييمًا للنشر في مكان العمل.
  2. يجب أن يكون لدى المرء حق الوصول إلى واجهة الويب الرسومية. إذا لم تقم بذلك ، فاتبع هذا بسرعة دليل التركيب.
  3. يجب أن يكون المرء مستخدمًا نشطًا لـ AWS ELB وعلى دراية بالمفاهيم التي سنناقشها في القسم أدناه.
  4. يجب أن يكون المرء قادرًا على إنشاء خادم افتراضي في موازن تحميل ZEVENET. هنا دليل سريع: تكوين الخادم الظاهري للطبقة 4 والطبقة 7.

ملاحظة
تمتلك ZEVENET قالبًا بتنسيق سوق AWS. يعتبر نشر ZEVENET على AWS سلسًا ويجب أن يتم ببضع نقرات.

المفاهيم الأساسية

المستمع: يتحقق المستمع من حركة المرور الواردة من الطبقة 7 ويعيد توجيهها إلى المجموعة المستهدفة الضرورية. عادة ، سيتم تكوين مستمع للتحقق من HTTP or HTTPS حركة المرور على الموانئ 80 or 443 على التوالى. المستمعات الرئيسية للطبقة 7 التي تستخدمها ZEVENET ADC هي HTTP و HTTPS.

المجموعة المستهدفة: المجموعة المستهدفة هي مجموعة من مثيلات EC2 تعمل معًا لتقديم خدمة. يجب أن يكون لكل هذه الحالات داخل المجموعة المستهدفة نفس رمز التطبيق الذي يعالج الطلبات الواردة من العملاء. المجموعة المستهدفة هي نفسها الخدمة عند استخدام ZEVENET ADC.

فحوصات طبية: تراقب الفحوصات الصحية عملية واستجابة الخدمة في كل مثيل EC2. عند تعطل الخدمة أو مثيل EC2 ، ستلاحظ الفحوصات الصحية عدم الاستجابة ، وسيعيد موازن التحميل توجيه حركة المرور إلى المثيلات السليمة. تستخدم ZEVENET مجموعة من المكونات الإضافية تسمى Farmguardian لمراقبة الحالة الصحية لخوادم الواجهة الخلفية وخدماتها.

أنواع موازن التحميل: يوفر AWS ELB ثلاثة أنواع من موازنات الأحمال. وتشمل هذه تطبيق, شبكة و كلاسيكي موازين الحمل. يتم إهمال موازن التحميل الكلاسيكي ، ولم يتبق سوى ملف شبكة و تطبيق موازين الحمل للاستخدام. تتميز موازنات تحميل ZEVENET ADC Layer 7 بامتداد HTTP ملف تعريف بينما تحتوي موازين تحميل الشبكة على ملف L4xNAT الملف الشخصي.

مجموعة الأمان: مجموعة الأمان هي مجموعة من قواعد جدار الحماية التي تراقب وتتحكم في حركة المرور الواردة والصادرة. تمتلك ZEVENET ADC ملف IPDS وحدة مع سياسات تم تعيينها لتصفية أي حركة مرور سيئة إلى موازن التحميل ، وكذلك حظر جميع محاولات الوصول غير المصرح به. يمكنك إنشاء قواعد جدار الحماية من خلال الوصول إلى WAF الخيار داخل IPDS وحدة.

ACM: تتيح خدمة ACM للمسؤول نشر وإدارة شهادات SSL / TLS للاستخدام ضمن الموارد المتصلة الداخلية على AWS. لإدارة شهادات SSL الداخلية داخل موازن تحميل ZEVENET ، يمكنك الوصول إليها عبر LSLB >> شهادات SSL. أو يمكنك إنشاء شهادة SSL موقعة ذاتيًا مخصصة من خلال ملف دعونا تشفير برنامج مضمن في موازن تحميل ZEVENET.

مثيلات أو أهداف EC2: هذه هي خوادم Linux الظاهرية التي تستضيف رمز التطبيق الذي يعالج الطلبات الواردة من الويب. تسمى هذه الخوادم الافتراضية الخلفيات عند استخدام ZEVENET ADC.

تكوينات المثال: شهادات SSL

لتشفير البيانات المنقولة بين العملاء وموازن التحميل ، يجب تثبيت شهادة SSL للحفاظ على أمان الاتصال بين الأجهزة المضيفة. المعلومات الحساسة مثل بيانات اعتماد تسجيل الدخول و أرقام بطاقات الائتمان يجب أن تنتقل عبر طبقة نقل آمنة.

في هذا القسم ، سنناقش شهادات SSL الخاصة بالتثبيت على ZEVENET ADC بالإشارة إلى AWS ACM.

تكوين شهادة SSL موقعة ذاتيًا للاستخدام على AWS

قد يتبع المرء هذه الخطوات لتثبيت شهادة SSL على ELB.

  1. لتوليد مهمتنا بالنسبة لمثيلات EC2 ، ستحتاج إلى الوصول إلى وحدة تحكم Linux الخاصة بهذا المثيل.
  2. بعد الاتصال بمثيل EC2 ، انتقل إلى الدليل: / etc / pki / tls / private /
  3. قم بإنشاء مفتاح خاص جديد ، 2048 بت RSA باستخدام الأمر التالي: sudo openssl genrsa -out custom.key
  4. قم بإنشاء شهادة توفر المفتاح السابق الخاص بإنشاء المفتاح الخاص باستخدام الأمر: opensl req-new -x509-nodes -sha1 -days 365 -extensions v3_ca -custom.key -out custom.crt
  5. املأ التفاصيل اللازمة التي تتطلبها شهادة SSL.
    • الدولة: أدخل 2 رموز دول ISO.
    • الدولة / مقاطعة: أدخل المقاطعة التي تقع فيها شركتك.
    • المحافظة: أدخل اسم المدينة حيث تقيم.
    • الاسم الشائع: أدخل اسم مجال مؤهل بالكامل FQDN، على سبيل المثال www.zevenet.com
    • عبارة المرور أو كلمة المرور: يمكنك تجاهل إنشاء كلمة مرور لهذا المثال. وفي الوقت نفسه ، ستكون الشهادة التي تم إنشاؤها في * .pem تنسيق الملف.
  6. جمِّع كلتا الشهادتين في حزمة PKCS12 باستخدام الأمر:opensl pkcs12 -inkey custom.key -in custom.crt -export -out custom.p12
  7. بافتراض أن AWS CLI مثبت بالفعل ، يتعين على المرء عادةً تحميل الشهادة المُنشأة (custom.crt) والمفتاح الخاص (custom.key) إلى AWS Certificate Manager باستخدام الأمر: شهادة استيراد AWS ACM - ملف الشهادة: //custom.crt - ملف المفتاح الخاص: //custom.key - المنطقة الأمريكية الشرقية -2
  8. ستكون هذه الشهادة متاحة الآن في معالج الإنشاء ضمن خيار "اختيار شهادة من ACM (موصى به)".

تكوين شهادة SSL موقعة ذاتيًا للاستخدام على ZEVENET ADC

  1. لإنشاء شهادة SSL مخصصة لمثيل ZEVENET ADC ، حدد موقع الدليل التالي باستخدام سطر أوامر الجهاز.
    2. cd /usr/local/zevenet/config/certificates
  2. قم بإنشاء مفتاح خاص بدون عبارة مرور باستخدام الأمر:
    3. openssl genrsa -out custom.key 2048
  3. إنشاء طلب توقيع الشهادة (مهمتنا) للمفتاح الخاص باستخدام الأمر:
    4. openssl req -new -key custom.key -out custom.csr
  4. املأ التفاصيل اللازمة.
    • الاسم: اسم وصفي لتعريف ممثل خدمة العملاء.
    • الدولة: رمز ISO الخاص بالبلد الذي تقيم فيه.
    • اسم شائع: اسم مجال مؤهل بالكامل. (FQDN) ، على سبيل المثال www.example.com
    • قطاع: قسمك ، ويمكن أن يكون ذلك الصحة أو تكنولوجيا المعلومات أو الأمن.
    • التجمع: المدينة التي توجد بها.
    • حالة: الولاية التي تقع فيها مؤسستك.
    • التنظيم وجدولة المواعيد: الاسم القانوني لمؤسستك ، على سبيل المثال ZEVENET SL.
    • عنوان البريد الإلكتروني: أدخل عنوان بريدك الالكتروني. لا يجب أن يكون واحدًا لاسم المجال.
  5. توليد شهادة موقعة ذاتيا باستخدام كل من المفتاح الخاص وشهادة CSR. في هذا المثال ، سيكون للشهادة الموقعة ذاتيًا عمر عام واحد ، وسيكون تنسيق الإخراج بتنسيق .PEM. استخدم الأمر التالي.
    6. openssl x509 -in custom.csr -outform PEM -out custom.pem -req -signkey custom.key -days 365
  6. ستكون هذه الشهادة متاحة للاستخدام داخل LSLB >> شهادات SSL والقسم الخاص به.

لمعرفة المزيد حول شهادات SSL على ZEVENET ADC ، راجع هذه الموارد:

  1. قم بإنشاء شهادات بتنسيق PEM.
  2. LSLB | دعونا نشفر
  3. LSLB | شهادات SSL

تكوينات المثال: جدار حماية تطبيق الويب

كميزة أمنية ، أ WAF يحمي تطبيق الويب عن طريق تصفية حركة المرور الضارة وحظرها. عادةً ما يتم نشر WAF أمام موازن التحميل وهو مصمم لحماية تطبيقات الويب من الهجمات الضارة المختلفة مثل البرمجة النصية عبر المواقع (XSS), حقن SQL، وغيرها من الهجمات ، بما في ذلك تلك الموجودة في أفضل 10 OWASP.

من خلال فحص حركة مرور HTTP الواردة وتحليلها وفقًا لمجموعة من القواعد أو سياسة الأمان ، فإن WAF ستحظر كل حركة المرور التي تعتبر غير آمنة. تقدم ZEVENET ADC ميزات أمان أكثر تقدمًا مثل القائمة السوداء لعناوين IP وسياسة RBL وحماية DoS وما إلى ذلك.

في هذا القسم ، سوف نصف كيفية الحماية من حقن SQL في AWS ومحاكاة التكوينات المماثلة مع ZEVENET ADC.

تكوينات AWS

للتمكين حقن SQL الحماية ، يجب أن يكون لديك مثيل واحد أو 2 من مثيلات EC2 موضوعة خلف موازن تحميل مرن. يجب أن تحتوي مثيلات EC2 هذه على تطبيق الويب الذي ترغب في حمايته.

  1. داخل وحدة تحكم الويب الخاصة بـ AWS ، ابحث عن WAF والدرع، وانقر على الرابط الذي يظهر.
  2. انقر على الزر Web ACL عنصر القائمة.
  3. حدد المنطقة التي ستأتي منها حركة المرور الخاصة بك ، على سبيل المثال أوروبا (فرانكفورت).
  4. انقر على إنشاء Web ACL .
  5. تحت أضف القواعد ومجموعات القواعد، اضغط على أضف القواعد سهم القائمة المنسدلة.
  6. اختار أضف مجموعات القواعد المُدارة. ستجد المزيد من مجموعات القواعد المُدارة ، بما في ذلك التحكم في الروبوتات, قائمة سمعة Amazon IP, قواعد بيانات SQL، الخ.
  7. اختار قاعدة بيانات SQL من خلال تمكين زر التبديل إضافة إلى Web ACL.
  8. قم بالتمرير لأسفل وانقر فوق إضافة قاعدة .
  9. ضمن الإجراء الافتراضي للقواعد غير المتطابقة، اترك الخيار كـ السماح.
  10. انقر على التالى .
  11. ضمن قم بتعيين أولوية القاعدة القسم ، استخدم هذا القسم لإضافة الأولوية إلى القاعدة ، ثم انقر فوق الزر ، التالى.
  12. ضمن تكوين المقاييس قسم ، لا يوجد شيء لتغييره ، لذلك انقر فوق الزر ، التالى.
  13. ضمن مراجعة وإنشاء Web ACL ، انقر فوق إنشاء Web ACL .
  14. بعد إنشاء Web ACL بنجاح ، انقر فوق ACL الذي أنشأته للتو.
  15. انقر فوق علامة التبويب مع موارد AWS المرتبطة.
  16. أضف موازن تحميل التطبيق الذي تريد حمايته. بعد إضافة الموارد ، سيتم تعيين القاعدة الخاصة بك لمنع أي إدخال إلى قاعدة بيانات sql.

تكوينات ZEVENET

لتمكين حماية حقن SQL ، يلزمك إنشاء ملف مجموعة قواعد WAF لأول مرة.

  1. انتقل إلى (تحديث البرنامج) في MyCAD IPDS في القائمة الجانبية ، وانقر لتوسيعها.
  2. انقر على الزر WAF خيار لتوسيعه.
  3. انقر على الزر القواعد الخيار.
  4. انقر على الزر إنشاء قواعد WAF .
  5. تعيين أ الاسم التي تحدد مجموعة القواعد هذه بسهولة.
  6. اترك نسخ مجموعة القواعد المجال - لا توجد قواعد -.
  7. انقر على تطبيق زر لحفظ التغييرات.
  8. ضمن الاعدادات العامة، قم بالتبديل إلى تحقق من نص الطلب الخيار.

    9. oracle_jd_edwards_load_balancing_farm

  9. قم بتغيير الإجراء الافتراضي إلى رفض: قطع الطلب وعدم تنفيذ القواعد المتبقية
  10. انقر على تطبيق زر لحفظ التغييرات.

وضع القواعد

  1. انقر على الزر قوانيـن علامة التبويب لإضافة قواعد جديدة.
  2. انقر على الزر قانون جديد .
  3. حدد نوع القاعدة باسم اكشن.

    4. oracle_jd_edwards_load_balancing_farm

  4. إختار ال مرحلة as تم استلام نص الطلب.
  5. إختار ال دقة الشاشة as رفض: قطع الطلب وعدم تنفيذ القواعد المتبقية.
  6. أضف وصفًا إلى القاعدة لتتمكن بسهولة من تحديد مضمون القاعدة
  7. انقر على تطبيق زر لحفظ التغييرات.

مضيفا الشروط

  1. انقر فوق القاعدة المنشأة حديثًا لإضافة شروط. ابدأ بالضغط على خلق الشرط .

    2. oracle_jd_edwards_load_balancing_farm

  2. ضمن المتغيرات الحقل، حدد REQUEST_BODY وانقر فوق أضف متغيرًا .
  3. ضمن تحول الحقل ، حدد الخيار ، لا شيء.
  4. ضمن المُشغل القسم، حدد detectSQLi
  5. انقر على تطبيق زر لإنشاء الشرط الجديد.

القواعد التمكينية للمزرعة

  1. انقر على الزر المزارع لإضافة هذه القاعدة إلى خادم افتراضي مستهدف (مزرعة) على موازن التحميل.

    2. oracle_jd_edwards_load_balancing_farm

  2. ضمن إعدادات المزرعة، اسحب وأفلت المزرعة المحددة من المزارع المتاحة إلى المزارع الممكّنة.
  3. في الزاوية اليمنى العليا ، هناك الإجراءات. انقر فوق زر التشغيل الأخضر لبدء القاعدة. في هذه اللحظة ، ستحظر قاعدة WAF أي حقن SQL مضمن في نص الطلب ، في الغالب من خلال نماذج البحث أو تسجيل الدخول.

لمزيد من الموارد حول WAF ، راجع هذه المقالات:

  1. IPDS | WAF
  2. IPDS | WAF | الملفات

مصادر إضافية

استخدام برنامج Let's encrypt لإنشاء شهادة SSL تلقائيًا.
موازنة Datalink / Uplink مع ZEVENET ADC.
موازنة تحميل DNS مع ZEVENET ADC.
الحماية من هجمات DDoS.
التطبيق والصحة ومراقبة الشبكة في ZEVENET ADC.

مشاركة مع :

وثائق بموجب شروط رخصة جنو للوثائق الحرة.

هل كان المقال مساعدا؟!

نعم لا

مقالات ذات صلة