Обзор #

(AWS) Эластичный балансировщик нагрузки (ЭЛБ) распределяет веб-трафик по нескольким EC2 экземпляры, служба эластичных контейнеров (ECS) и IP-адреса. ЭЛБ также имеет возможность балансировать трафик между различными зонами доступности для обеспечения высокой доступности. Однако есть несколько ограничений на использование AWS«s ЭЛБ, и к ним относятся:

1. Ограниченные методы балансировки нагрузки. По умолчанию, ЭЛБ использует только По-круговой алгоритм, и он имеет ограниченные возможности переключения контента.
2. Учитывая, что ЭЛБ предназначен для управления трафиком из Интернета к экземплярам в виртуальном частном облаке.(ВКК), он не подходит для балансировки нагрузки между локальными ресурсами.

В этой статье мы обсудим, как можно заменить службы балансировки нагрузки на лучшую альтернативу. RELIANOID АЦП. Чтобы провести детальное сравнение между AWS ELB и RELIANOID, обратитесь к этой статье AWS и RELIANOID сравнение.

Предпосылки #

Убедитесь, что вы соответствуете этим требованиям, прежде чем пытаться перенести конфигурации из АМС ЭЛБ в RELIANOIDПолнофункциональный АЦП.

1. A RELIANOID Узел ADC должен быть установлен на вашем ПК, в виртуальной среде или в виртуальной среде или должен иметь активный ZVNcloud счет. Запросить оценку для локального развертывания.
2. Необходимо иметь доступ к графическому веб-интерфейсу. Если вы этого не сделаете, следуйте этому быстрому Инструкция по установке.
3. Необходимо быть активным пользователем AWS ELB и быть знакомым с концепциями, которые мы обсудим в разделе ниже.
4. Необходимо иметь возможность создать виртуальный сервер в RELIANOID балансировщик нагрузки. Вот краткое руководство: Конфигурация виртуального сервера уровня 4 и уровня 7.

Внимание
RELIANOID есть шаблон в Торговая площадка AWS. Развертывание RELIANOID на AWS выполняется без проблем и выполняется в несколько кликов.

Основные понятия #

Слушатель: Прослушиватель проверяет входящий трафик уровня 7 и перенаправляет его в необходимую целевую группу. Обычно слушатель настроен на проверку HTTP or HTTPS трафик в портах 80 or 443 соответственно. Основные прослушиватели уровня 7, используемые RELIANOID АЦП HTTP и HTTPS.

Целевая группа: Целевая группа — это кластер экземпляров EC2, совместно работающих для предоставления услуги. Все эти экземпляры в целевой группе должны иметь один и тот же код приложения, обрабатывающий запросы от клиентов. Целевая группа — это то же самое, что Cервис При использовании RELIANOID АЦП.

Проверка здоровья: Проверки работоспособности отслеживают работу и скорость реагирования службы на каждом экземпляре EC2. Когда служба или экземпляр EC2 выйдет из строя, проверки работоспособности заметят зависание, и балансировщик нагрузки перенаправит трафик на исправные экземпляры. RELIANOID использует набор плагинов под названием Farmguardian для мониторинга состояния работоспособности Backend-серверов и их служб.

Типы балансировщика нагрузки: AWS ELB предоставляет три типа балансировщиков нагрузки. Это включает Область применения, Cеть и Classic балансировщики нагрузки. Классический балансировщик нагрузки устаревает, оставляя только Cеть и Область применения балансировщики нагрузки для использования. RELIANOID Балансировщики нагрузки ADC Layer 7 имеют HTTP профиль, в то время как балансировщики сетевой нагрузки имеют L4xNAT профиль.

Группа безопасности: Группа безопасности — это набор правил брандмауэра, которые отслеживают и контролируют входящий и исходящий трафик. RELIANOID АЦП имеет встроенный IPDS модуль с настроенными политиками для фильтрации любого вредного трафика к балансировщику нагрузки, а также блокировки всех попыток несанкционированного доступа. Вы можете создать правила брандмауэра, обратившись к WAF вариант в IPDS модуль.

АКМ: Служба ACM позволяет администратору развертывать сертификаты SSL/TLS и управлять ими для использования во внутренних подключенных ресурсах AWS. Для управления внутренними сертификатами SSL в RELIANOID балансировщик нагрузки, доступ к ним через LSLB >> SSL-сертификаты. Или вы можете создать собственный самозаверяющий SSL-сертификат через Давайте зашифровать программа, встроенная в RELIANOID балансировщик нагрузки.

Экземпляры или цели EC2: Это подчиненные виртуальные серверы Linux, на которых размещается код приложения, обрабатывающего запросы, полученные из Интернета. Эти виртуальные серверы называются Backends При использовании RELIANOID АЦП.

Примеры конфигураций: SSL-сертификаты #

Для шифрования данных, передаваемых между клиентами и балансировщиком нагрузки, необходимо установить сертификат SSL, чтобы обеспечить безопасность связи между хостами. Конфиденциальная информация, такая как учетные данные для входа в систему и номера кредитных карт должны передаваться по защищенному транспортному уровню.

В этом разделе мы обсудим установку SSL-сертификатов на RELIANOID АЦП со ссылкой на AWS ACM.

Настройка самоподписанного SSL-сертификата для использования в AWS #

Можно выполнить следующие шаги, чтобы установить сертификат SSL на ELB.

1. Чтобы создать КСО для ваших экземпляров EC2 вам потребуется доступ к консоли Linux этого экземпляра.
2. После подключения к экземпляру EC2 перейдите в каталог: /etc/pki/tls/частный/
3. Создайте новый закрытый ключ, 2048-битный RSA, используя следующую команду: sudo openssl genrsa -out custom.key
4. Сгенерируйте сертификат, предоставив предыдущий сгенерированный закрытый ключ, используя команду: openssl req -new -x509 -nodes -sha1 -days 365 -extensions v3_ca -custom.key -out custom.crt
5. Заполните необходимые данные, требуемые сертификатом SSL.
• Страна: Введите 2 кода страны ISO.
• Штат / провинция: Введите регион, в котором находится ваша компания.
• Город: Введите название города, в котором вы находитесь.
• Общее название: Введите полное доменное имя Полное доменное имя, например www.relianoid.com
• кодовая фраза или пароль: Вы можете игнорировать создание пароля для этого примера. Между тем, сгенерированный сертификат будет в *.pem формат файла.
6. Скомпилируйте оба сертификата в пакет PKCS12 с помощью команды:openssl pkcs12 -inkey custom.key -in custom.crt -export -out custom.p12
7. Предполагая, что AWS CLI уже установлен, обычно необходимо загрузить сгенерированный сертификат (custom.crt) и закрытый ключ (custom.key) в AWS Certificate Manager с помощью команды: aws acm import-certificate — файл сертификата://custom.crt — файл закрытого ключа://custom.key — регион us-east-2
8. Этот сертификат теперь будет доступен в мастере создания в разделе «Выбрать сертификат из ACM (рекомендуется)».

Настройка самозаверяющего SSL-сертификата для использования на RELIANOID ADC #

1. Чтобы создать собственный сертификат SSL для вашего RELIANOID Экземпляр ADC найдите следующий каталог с помощью командной строки устройства.

компакт-диск /usr/local/zevenet/config/certificates

2. Сгенерируйте закрытый ключ без парольной фразы с помощью команды:

openssl genrsa -out custom.key 2048

3. Создайте запрос на подпись сертификата (КСО) для закрытого ключа с помощью команды:

openssl req -new -key custom.key -out custom.csr

4. Заполните необходимые данные.
• Имя: Описательное имя для идентификации CSR.
• Страна: Код ISO страны, в которой вы находитесь.
• Распространенное имя: Полное доменное имя. (Полное доменное имя), например www.example.com
• Раздел: Ваш отдел, и это может быть здравоохранение, ИТ или безопасность.
• Район: Город, в котором вы находитесь.
• Район: Штат, в котором находится ваша организация.
• Организация: Юридическое название вашей организации, например RELIANOID Уровень моря
• Эл. адрес Введите ваш адрес электронной почты. Не обязательно, чтобы он был один для доменного имени.
5. Создать Самоподписанный сертификат используя как закрытый ключ, так и сертификат CSR. В этом примере самозаверяющий сертификат будет иметь срок жизни 1 год, а выходной формат будет в .ПЭМ. Используйте следующую команду.

openssl x509 -in custom.csr -outform PEM -out custom.pem -req -signkey custom.key -days 365

6. Этот сертификат будет доступен для использования в LSLB >> SSL-сертификаты .

Чтобы узнать больше о сертификатах SSL на RELIANOID ADC, обратитесь к этим ресурсам:

1. Создайте сертификаты в формате PEM.
2. LSLB | Давайте зашифруем
3. LSLB | SSL-сертификаты

Примеры конфигураций: Брандмауэр веб-приложений #

В качестве меры безопасности А. WAF защищает веб-приложение, фильтруя и блокируя вредоносный трафик. WAF обычно развертывается перед балансировщиком нагрузки и предназначен для защиты веб-приложений от различных вредоносных атак, таких как межсайтовый скриптинг (XSS), SQL-инъекция, и другие атаки, в том числе в Топ-10 OWASP.

Проверяя входящий HTTP-трафик и анализируя его на соответствие набору правил или политике безопасности, WAF блокирует весь трафик, который считается небезопасным. RELIANOID ADC предлагает более продвинутые функции безопасности, такие как черный список IP-адресов, политика RBL, защита от DoS-атак и т. д.

В этом разделе мы расскажем, как защититься от SQL-инъекция в AWS и моделировать аналогичные конфигурации с помощью RELIANOID АЦП.

Конфигурации АМС #

Включить SQL-инъекция защиты, у вас должен быть хотя бы один или два экземпляра EC2, размещенных за эластичным балансировщиком нагрузки. Эти экземпляры EC2 должны иметь веб-приложение, которое вы хотите защитить.

1. В веб-консоли AWS найдите WAF и щити щелкните появившуюся ссылку.
2. Нажмите на Веб-ACL пункта меню.
3. Выберите регион, из которого будет поступать ваш трафик, например Европа (Франкфурт).
4. Нажмите Создать веб-ACL .
5. Под Добавление правил и групп правил, нажмите на Добавить правила выпадающая стрелка.
6. Выберите Добавить управляемые группы правил. Вы найдете больше управляемых групп правил, в том числе Управление ботами, Список репутации IP-адресов Amazon, Базы данных SQL, и т.д.
7. Выберите базы данных SQL путем включения кнопки переключения Добавить в веб-ACL.
8. Прокрутите вниз и нажмите Добавить правил .
9. В Действие по умолчанию для несоответствующих правил, оставьте вариант как Разрешить.
10. Нажмите Следующая .
11. В Установить приоритет правила раздел, используйте этот раздел, чтобы добавить приоритет к правилу, а затем нажмите кнопку, Следующая.
12. В Настроить показатели раздел, менять нечего, поэтому нажимаем кнопку, Следующая.
13. В Просмотрите и создайте веб-ACL , нажмите Создать веб-ACL .
14. После успешного создания веб-списка управления доступом щелкните только что созданный список управления доступом.
15. Нажмите на вкладку с Связанные ресурсы AWS.
16. Добавьте балансировщик нагрузки приложений, который вы хотите защитить. После добавления ресурсов ваше правило будет настроено на блокировку любых инъекций в базу данных sql.

RELIANOID Конфигурации #

Чтобы включить защиту от SQL-инъекций, вам необходимо создать Набор правил WAF первый.

1. Перейдите на IPDS в боковом меню и нажмите, чтобы развернуть его.
2. Нажмите на WAF возможность расширить его.
3. Нажмите на Rulesets опцию.
4. Нажмите на Создать набор правил WAF .
5. Назначьте Имя который легко идентифицирует этот набор правил.
6. Оставь Копировать набор правил поле как – Нет правил –.
7. Нажмите Применить чтобы сохранить изменения.
8. В Глобальные настройки, переключить на Проверить тело запроса опцию.



9. Измените действие по умолчанию на Запретить: вырезать запрос и не выполнять оставленные правила
10. Нажмите Применить чтобы сохранить изменения.

Установка правил #

1. Нажмите на Правила вкладку для добавления новых правил.
2. Нажмите на Новое правило .
3. Выберите тип правила как Экшн.



4. Выберите Фаза as Тело запроса получено.
5. Выберите Разрешение as Запретить: вырезать запрос и не выполнять оставленные правила.
6. Добавьте описание к правилу, чтобы легко определить, о чем правило.
7. Нажмите Применить чтобы сохранить изменения.

Добавление условий #

1. Нажмите на только что созданное правило, чтобы добавить условия. Начните с нажатия на Создать условие .



2. В Переменные показатели поле, выберите request_body И нажмите Добавить переменную .
3. В трансформация поле, выберите вариант, нет.
4. В оператор раздел, выберите detectSQLi
5. Нажмите Применить кнопку, чтобы создать новое условие.

Включение правил для фермы #

1. Нажмите на Фермы вкладку, чтобы добавить это правило на целевой виртуальный сервер (ферму) в балансировщике нагрузки.



2. В Настройки фермы, перетащите выбранную ферму из Доступные фермы в Включенные фермы.
3. В правом верхнем углу есть Действия. Нажмите зеленую кнопку воспроизведения, чтобы запустить правило. На данный момент правило WAF блокирует любую sql-инъекцию, встроенную в тело запроса, в основном через формы поиска или входа.

Дополнительные ресурсы о WAF см. в следующих статьях:

1. IPDS | WAF
2. IPDS | WAF | файлы

Дополнительные ресурсы #

Использование программы Let's encrypt для автоматической генерации SSL-сертификата.
Балансировка нагрузки канала передачи данных/восходящего канала RELIANOID АЦП.
Балансировка нагрузки DNS с помощью RELIANOID АЦП.
Защита от DDoS-атак.
Мониторинг приложений, работоспособности и сети в RELIANOID АЦП.