TLS-konfiguration med tredjeparts-loadbalancere

TLS-konfiguration med tredjeparts-loadbalancere

Introduktion

Når GO-Global implementeres sammen med en tredjeparts load balancer, kan administratorer vælge, hvor TLS-protokollen skal afsluttes, for at finde den rette balance mellem sikkerhed og ydeevne. Mens webapplikationer ofte har fordel af at afslutte TLS ved load balanceren for at reducere værtsbelastningen, kræver GO-Global typisk færre forbindelser pr. session, hvilket gør begge tilgange anvendelige. Denne vejledning forklarer, hvornår TLS skal afsluttes ved load balanceren i forhold til GO-Global-værterne, og giver trin-for-trin-instruktioner til, hvordan man konfigurerer hver mulighed sikkert og effektivt.

Når der anvendes en tredjeparts load balancer, og TLS-protokollen er påkrævet (f.eks. når klienter opretter forbindelse til load balanceren via internettet), kan TLS-protokollen afsluttes enten ved load balanceren eller ved GO-Global-værterne.

Med webapplikationer er det generelt ønskeligt at afslutte TLS-protokollen ved load balanceren, da dette placerer byrden ved at forhandle TLS-forbindelserne på load balanceren i stedet for på applikationshosts. Dette er vigtigt for webapplikationer, da webapplikationer generelt åbner mange forbindelser til applikationshosts for hver brugersession. GO-Global åbner dog generelt kun én forbindelse pr. session. Derfor er der med GO-Global mindre behov for at afslutte TLS-protokollen ved load balanceren. Der er dog situationer, hvor det er ønskeligt at gøre dette.

For at afbryde TLS ved load balanceren

A. Konfigurer GO-Global-værterne til at bruge TCP-protokollen uden kryptering:

1. K ør administrationskonsollen på Farm Manager.
2. Klik på Værktøjer | Værtsindstillinger.
3. Klik på fanen Sikkerhed.
4. Vælg TCP under Protokol.
5. Vælg Ingen under Kryptering.
6. Klik på OK.

B. Hvis der anvendes en failover-Farm Manager, skal du sikre dig, at den har de samme indstillinger.
Dette kan gøres på en af følgende måder:

• Gentag trin 1 i Failover Farm Manager
  -eller-
• Kopiering af filen HostProperties.xml fra den primære Farm Manager til failover-Farm Manager
  

C. Konfigurer load balanceren til at bruge TLS-protokollen. Hvis du f.eks. bruger en Amazon Web Services Network Load Balancer, skal du indstille lytterens protokol til TLS og installere TLS-certifikatet på load balanceren.

Hvis TLS-certifikatet er et wildcard-certifikat, skal det domæne, der er angivet i certifikatets Common Name, stemme overens med domænet i den adresse, som klienterne bruger til at oprette forbindelse til load balanceren. Alternativt, hvis TLS-certifikatet ikke er et wildcard-certifikat, skal certifikatets Common Name matche den adresse, som klienter bruger til at oprette forbindelse til load balanceren.

D. Aktivér TLS-indstillingen i AppController og/eller GO-Global Web App:

• For AppController skal du tilføje -tls 1 til AppController-kommandolinjen.
  
• For GO-Global-webappen skal du tilføje tls=true til URL-adressen eller angive tls=true i filen logon.html.
  

Når TLS-protokollen afsluttes ved load balanceren, krypteres data mellem klienterne og load balanceren, men ikke mellem load balanceren og serverne. Når data skal krypteres fra ende til ende fra klienterne til serverne, bør TLS-protokollen afsluttes ved serverne.

Konklusion

En korrekt konfiguration af TLS-terminering i et GO-Global-miljø sikrer sikker og effektiv kommunikation mellem klienter, load balancere og værter. Terminering af TLS ved load balanceren forenkler administrationen og mindsker CPU-belastningen på værterne, mens end-to-end TLS-terminering øger datasikkerheden. Ved at forstå begge metoder kan administratorer implementere den bedste konfiguration, der imødekommer deres netværks behov for ydeevne, skalerbarhed og sikkerhed.

Er du en ISV, der udforsker cloud-baseret applikationslevering? Kontakt os for at høre, hvordan GO-Global kan hjælpe dig med at strømline adgangen til software for dine slutbrugere. Eller download en gratis prøveversion for at teste det selv.