Übersicht #

Das (AWS) Elastischer Lastenausgleich (ELB) verteilt den Web-Verkehr auf mehrere EC2 Instanzen, Elastic Container Service (ECS) und IP-Adressen. ELB hat auch die Möglichkeit, den Datenverkehr über verschiedene Verfügbarkeitszonen hinweg auszugleichen, um eine hohe Verfügbarkeit zu gewährleisten. Es gibt jedoch mehrere Einschränkungen bei der Verwendung von AWS's ELB, und dazu gehören:

1. Begrenzte Lastausgleichsmethoden. Standardmäßig ELB verwendet nur die Round Robin Algorithmus und verfügt über eingeschränkte Möglichkeiten zum Inhaltswechsel.
2. Da der ELB dient zur Verwaltung des Datenverkehrs vom Internet zu den Instanzen in einer Virtual Private Cloud(VPC), es ist nicht für den Lastenausgleich zwischen lokalen Ressourcen geeignet.

In diesem Artikel werden wir diskutieren, wie man seine Lastausgleichsdienste durch eine bessere Alternative ersetzen kann. RELIANOID ADC. Um einen detaillierten Vergleich zwischen AWS ELB und RELIANOID, siehe diesen Artikel AWS und RELIANOID Vergleich.

Voraussetzungen: #

Stellen Sie sicher, dass Sie diese Anforderungen erfüllen, bevor Sie versuchen, Konfigurationen zu übertragen von AWS-ELB zu RELIANOIDDer voll ausgestattete ADC.

1. A RELIANOID ADC-Knoten müssen auf Ihrem PC, Bare-Metal, virtuellen Umgebung installiert sein oder über eine aktive ZVNcloud -Konto. Fordern Sie eine Bewertung an für die Bereitstellung vor Ort.
2. Man muss Zugriff auf die grafische Weboberfläche haben. Wenn nicht, folgen Sie dieser kurzen Anleitung. Installationsanleitung.
3. Man muss ein aktiver Benutzer von AWS ELB sein und mit den Konzepten vertraut sein, die wir im folgenden Abschnitt besprechen.
4. Man muss in der Lage sein, einen virtuellen Server zu erstellen im RELIANOID Lastenausgleich. Hier ist eine Kurzanleitung: Virtuelle Serverkonfiguration auf Layer 4 und Layer 7.

Hinweis
RELIANOID hat eine Vorlage in der AWS-MarktplatzDer Einsatz von RELIANOID auf AWS ist nahtlos und sollte mit wenigen Klicks erfolgen.

Grundlegende Konzepte #

Hörer: Ein Listener prüft den eingehenden Datenverkehr auf Schicht 7 und leitet ihn an die erforderliche Zielgruppe weiter. Normalerweise wird ein Listener so konfiguriert, dass er prüft auf HTTP or HTTPS Verkehr auf Häfen 80 or 443 Die wichtigsten Layer 7-Listener, die von RELIANOID ADC sind HTTP und HTTPS.

Zielgruppe: Eine Zielgruppe ist ein Cluster von EC2-Instanzen, die zusammenarbeiten, um einen Dienst bereitzustellen. Alle diese Instanzen innerhalb einer Zielgruppe müssen denselben Anwendungscode haben, der Anfragen von den Clients verarbeitet. Eine Zielgruppe ist dasselbe wie eine Service bei der Verwendung von RELIANOID ADC.

Gesundheitschecks: Integritätsprüfungen überwachen den Betrieb und die Reaktionsfähigkeit eines Dienstes auf jeder EC2-Instanz. Wenn der Dienst oder eine EC2-Instanz ausfällt, erkennen Integritätsprüfungen die fehlende Reaktion und der Load Balancer leitet den Datenverkehr auf fehlerfreie Instanzen um. RELIANOID verwendet eine Reihe von Plugins namens Bauernwächter um den Integritätsstatus von Backend-Servern und ihren Diensten zu überwachen.

Typen von Lastenausgleichsmodulen: AWS ELB bietet drei Arten von Load Balancern. Dazu gehören Anwendung, Netzwerk und Classic Load Balancer. Der klassische Load Balancer wird veraltet, es bleiben nur noch die Netzwerk und Anwendung Lastenausgleichsmodule zur Verwendung. RELIANOID ADC Layer 7 Load Balancer verfügen über eine HTTP Profil, während die Netzwerk-Load-Balancer über ein L4xNAT Profil.

Sicherheitsgruppe: Eine Sicherheitsgruppe ist eine Reihe von Firewall-Regeln, die eingehenden und ausgehenden Datenverkehr überwachen und steuern. RELIANOID ADC verfügt über eine eingebaute IPDS Modul mit Richtlinien, die jeden schädlichen Datenverkehr zum Load Balancer filtern und alle Versuche eines nicht autorisierten Zugriffs blockieren. Sie können Firewall-Regeln erstellen, indem Sie auf das WAF Option innerhalb der IPDS Modul.

ACM: Der ACM-Dienst ermöglicht es einem Administrator, SSL/TLS-Zertifikate für die Verwendung in internen verbundenen Ressourcen auf AWS bereitzustellen und zu verwalten. Zur Verwaltung interner SSL-Zertifikate innerhalb der RELIANOID Load Balancer, Zugriff über LSLB >> SSL-Zertifikate. Oder Sie können ein benutzerdefiniertes, selbst signiertes SSL-Zertifikat über das Lass uns verschlüsseln Programm eingebettet auf dem RELIANOID Lastenausgleicher.

EC2-Instanzen oder -Ziele: Dabei handelt es sich um virtuelle Linux-Server, die den Anwendungscode hosten, der Anfragen aus dem Web verarbeitet. Diese virtuellen Server heißen Backends bei der Verwendung von RELIANOID ADC.

Beispielkonfigurationen: SSL-Zertifikate #

Um die zwischen den Clients und dem Load Balancer übertragenen Daten zu verschlüsseln, muss ein SSL-Zertifikat installiert werden, um die Kommunikation zwischen den Hosts sicher zu halten. Vertrauliche Informationen wie Anmeldedaten und Kreditkartennummern müssen über eine sichere Transportschicht übertragen werden.

In diesem Abschnitt besprechen wir die Installation von SSL-Zertifikaten auf RELIANOID ADC mit Verweis auf AWS ACM.

Konfigurieren eines selbstsignierten SSL-Zertifikats zur Verwendung auf AWS #

Um ein SSL-Zertifikat auf dem ELB zu installieren, befolgen Sie bitte diese Schritte.

1. Um ein CSR Für Ihre EC2-Instanzen benötigen Sie Zugriff auf die Linux-Konsole dieser Instanz.
2. Nachdem Sie eine Verbindung mit der EC2-Instance hergestellt haben, navigieren Sie zum Verzeichnis: /etc/pki/tls/private/
3. Generieren Sie mit dem folgenden Befehl einen neuen privaten Schlüssel (2048-Bit RSA): sudo openssl genrsa -out custom.key
4. Generieren Sie mit dem folgenden Befehl ein Zertifikat unter Angabe des zuvor generierten privaten Schlüssels: openssl req -new -x509 -nodes -sha1 -days 365 -extensions v3_ca -custom.key -out custom.crt
5. Geben Sie die erforderlichen Angaben für das SSL-Zertifikat ein.
• Land: Geben Sie 2 ISO-Ländercodes ein.
• Staat / Provinz: Geben Sie die Provinz ein, in der sich Ihr Unternehmen befindet.
• Stadt: Geben Sie den Namen der Stadt ein, in der Sie sich befinden.
• Gemeinsamer Name: Geben Sie einen vollqualifizierten Domänennamen ein FQDN, zum Beispiel www.relianoid.com
• Passphrase oder Passwort: Sie können die Erstellung eines Passworts für dieses Beispiel ignorieren. Das generierte Zertifikat befindet sich in der Zwischenzeit im *.pem Datei Format.
6. Kompilieren Sie beide Zertifikate mit dem folgenden Befehl in ein PKCS12-Paket:openssl pkcs12 -inkey benutzerdefiniert.key -in benutzerdefiniert.crt -export -out benutzerdefiniert.p12
7. Vorausgesetzt, AWS CLI ist bereits installiert, muss man normalerweise das generierte Zertifikat (custom.crt) und den privaten Schlüssel (custom.key) mit dem folgenden Befehl in den AWS Certificate Manager hochladen: aws acm import-certificate – Zertifikat file://custom.crt – privater Schlüssel file://custom.key – Region us-east-2
8. Dieses Zertifikat ist jetzt im Erstellungsassistenten unter der Option „Wählen Sie ein Zertifikat von ACM (empfohlen)“ verfügbar.

Konfigurieren eines selbstsignierten SSL-Zertifikats zur Verwendung auf RELIANOID ADC #

1. So generieren Sie ein benutzerdefiniertes SSL-Zertifikat für Ihre RELIANOID ADC-Instanz: Suchen Sie über die Befehlszeile des Geräts das folgende Verzeichnis.

cd /usr/local/zevenet/config/zertifikate

2. Generieren Sie einen privaten Schlüssel ohne Passphrase mit dem folgenden Befehl:

openssl genrsa -out benutzerdefinierter Schlüssel 2048

3. Generieren Sie eine Zertifikatsignieranforderung (CSR) für den privaten Schlüssel mit dem folgenden Befehl:

openssl req -new -key benutzerdefiniert.key -out benutzerdefiniert.csr

4. Geben Sie die erforderlichen Details ein.
• Name: Ein beschreibender Name zur Identifizierung des CSR.
• Land: Der ISO-Code des Landes, in dem Sie sich befinden.
• Gemeinsamen Namen: Ein vollqualifizierter Domänenname. (FQDN), zB www.example.com
• Aufteilung: Ihre Abteilung, und das kann Gesundheit, IT oder Sicherheit sein.
• Ort: Die Stadt, in der Sie sich befinden.
• Bundesland/ Kanton: Der Staat, in dem sich Ihre Organisation befindet.
• Organisation: Der offizielle Name Ihrer Organisation, z. B. RELIANOID SL.
• E-Mail: Geben Sie Ihre E-Mail-Adresse ein. Es muss sich nicht zwingend um die gleiche Adresse wie der Domänenname handeln.
5. Ein generieren Selbst signiertes Zertifikat unter Verwendung des privaten Schlüssels und des CSR-Zertifikats. In diesem Beispiel hat das selbst signierte Zertifikat eine Gültigkeit von 1 Jahr und das Ausgabeformat ist .PEM. Verwenden Sie den folgenden Befehl.

openssl x509 -in custom.csr -outform PEM -out custom.pem -req -signkey custom.key -days 365

6. Dieses Zertifikat ist verfügbar für den Einsatz innerhalb der LSLB >> SSL-Zertifikate .

Weitere Informationen zu SSL-Zertifikaten finden Sie unter RELIANOID ADC, siehe diese Ressourcen:

1. Erstellen Sie Zertifikate im PEM-Format.
2. Lass uns verschlüsseln
3. SSL-Zertifikate

Beispielkonfigurationen: Web Application Firewall #

Als Sicherheitsmerkmal bietet A WAF schützt eine Webanwendung, indem bösartiger Datenverkehr gefiltert und blockiert wird. Eine WAF wird normalerweise vor einem Load Balancer eingesetzt und soll Webanwendungen vor verschiedenen bösartigen Angriffen schützen, wie z. B. Cross-Site-Scripting (XSS), SQL-Injectionund andere Angriffe, darunter auch solche in Die Top 10 von OWASP.

Durch die Überprüfung des eingehenden HTTP-Datenverkehrs und dessen Analyse anhand eines Regelsatzes oder einer Sicherheitsrichtlinie blockiert die WAF den gesamten Datenverkehr, der als unsicher gilt. RELIANOID ADC bietet erweiterte Sicherheitsfunktionen wie IP-Blacklisting, eine RBL-Richtlinie, DoS-Schutz usw.

In diesem Abschnitt beschreiben wir, wie Sie sich schützen können vor SQL-Injection in AWS und simulieren Sie ähnliche Konfigurationen mit RELIANOID ADC.

AWS-Konfigurationen #

Aktivieren SQL-Injection Schutz benötigen Sie mindestens eine oder zwei EC2-Instanzen hinter einem Elastic Load Balancer. Diese EC2-Instanzen müssen über die Webanwendung verfügen, die Sie schützen möchten.

1. Suchen Sie in der AWS-Webkonsole nach WAF und Schildund klicken Sie auf den angezeigten Link.
2. Klicken Sie auf Web-ACL Menüpunkt.
3. Wählen Sie die Region aus, aus der Ihr Datenverkehr kommen soll. Europa (Frankfurt).
4. Klicken Sie auf die Web-ACL erstellen .
5. Der Regeln und Regelgruppen hinzufügen, Klicken Sie auf Regeln hinzufügen Dropdown-Pfeil.
6. Auswählen Verwaltete Regelgruppen hinzufügen. Sie finden weitere verwaltete Regelgruppen, darunter Bot-Kontrolle, Amazon IP-Reputationsliste, SQL-Datenbanken, usw.
7. Auswählen SQL-Datenbank durch Aktivieren der Umschaltfläche Zur Web-ACL hinzufügen.
8. Scrollen Sie nach unten und klicken Sie auf Regel hinzufügen .
9. Innerhalb der Standardaktion für Regeln, die nicht übereinstimmen, belassen Sie die Option Erlauben.
10. Klicken Sie auf die Nächster .
11. Innerhalb der Regelpriorität festlegen Verwenden Sie diesen Abschnitt, um einer Regel Priorität zuzuweisen, und klicken Sie dann auf die Schaltfläche. Nächster.
12. Innerhalb der Konfigurieren von Metriken Abschnitt gibt es nichts zu ändern, klicken Sie also auf die Schaltfläche, Nächster.
13. Innerhalb der Überprüfen und Erstellen einer Web-ACL Abschnitt, klicken Sie auf Web-ACL erstellen .
14. Nachdem Sie erfolgreich eine Web-ACL erstellt haben, klicken Sie auf die ACL, die Sie gerade erstellt haben.
15. Klicken Sie auf die Registerkarte mit Zugehörige AWS-Ressourcen.
16. Fügen Sie den Anwendungslastenausgleich hinzu, den Sie schützen möchten. Nach dem Hinzufügen der Ressourcen wird Ihre Regel so eingestellt, dass jede Einschleusung in die SQL-Datenbank blockiert wird.

RELIANOID Konfigurationen #

Um den Schutz vor SQL-Injection zu aktivieren, müssen Sie eine WAF-Regelwerk zuerst.

1. Gehe zu IPDS im Seitenmenü und klicken Sie, um es zu erweitern.
2. Klicken Sie auf WAF Möglichkeit, es zu erweitern.
3. Klicken Sie auf Regelsätze .
4. Klicken Sie auf WAF-Regelsatz erstellen .
5. a . zuweisen Name das diesen Regelsatz leicht identifiziert.
6. Lassen Sie die Regelsatz kopieren Feld als –Kein Regelsatz–.
7. Klicken Sie auf die Tragen Sie Schaltfläche, um die Änderungen zu speichern.
8. Innerhalb der globale Einstellungen, schalten Sie auf die Überprüfen des Anforderungstexts .



9. Ändern Sie die Standardaktion in Ablehnen: Die Anfrage abbrechen und die verbleibenden Regeln nicht ausführen
10. Klicken Sie auf die Tragen Sie Schaltfläche, um die Änderungen zu speichern.

Regeln festlegen #

1. Klicken Sie auf Regeln , um neue Regeln hinzuzufügen.
2. Klicken Sie auf Neue Regel .
3. Wählen Sie den Regeltyp als Action.



4. Wähle aus Phase as Anforderungstext empfangen.
5. Wähle aus Auflösung as Ablehnen: Die Anfrage abbrechen und die verbleibenden Regeln nicht ausführen.
6. Fügen Sie der Regel eine Beschreibung hinzu, um leicht zu erkennen, worum es bei der Regel geht
7. Klicken Sie auf die Tragen Sie Schaltfläche, um die Änderungen zu speichern.

Bedingungen hinzufügen #

1. Klicken Sie auf die neu erstellte Regel, um Bedingungen hinzuzufügen. Klicken Sie zunächst auf das Bedingung erstellen .



2. Innerhalb der Variablen Feld auswählen ANFRAGEBODY Und klicken Sie auf die Variable hinzufügen .
3. Innerhalb der Transformation Wählen Sie im Feld die Option aus. keine.
4. Innerhalb der Operator Abschnitt auswählen SQLi erkennen
5. Klicken Sie auf die Tragen Sie Schaltfläche, um die neue Bedingung zu erstellen.

Aktivieren von Regeln für eine Farm #

1. Klicken Sie auf Farms um diese Regel einem virtuellen Zielserver (Farm) im Load Balancer hinzuzufügen.



2. Innerhalb der Farmeinstellungen, ziehen Sie die ausgewählte Farm per Drag & Drop aus Verfügbare Farmen zu Aktivierte Farmen.
3. In der oberen rechten Ecke befinden sich Aktion. Klicken Sie auf die grüne Wiedergabetaste, um die Regel zu starten. Derzeit blockiert die WAF-Regel alle SQL-Injections, die in den Anforderungstext eingebettet sind, hauptsächlich über Such- oder Anmeldeformulare.

Weitere Ressourcen zur WAF finden Sie in den folgenden Artikeln:

1. IPDS | WAF
2. IPDS | WAF | Dateien

Weitere Informationen #

Verwenden des Programms Let’s Encrypt zum automatischen Generieren eines SSL-Zertifikats.
Datalink/Uplink-Lastausgleich Mit RELIANOID ADC.
DNS-Loadbalancing mit RELIANOID ADC.
Schutz vor DDoS-Angriffen.
Anwendungs-, Integritäts- und Netzwerküberwachung in RELIANOID ADC.