TLS-konfigurasjon med tredjeparts lastfordelere
Introduksjon
Når GO-Global distribueres med en tredjeparts lastbalanserer, kan administratorer velge hvor TLS-protokollen skal avsluttes for å balansere sikkerhet og ytelse. Selv om webapplikasjoner ofte drar nytte av å avslutte TLS ved lastbalanseren for å redusere arbeidsmengden til verten, krever GO-Global vanligvis færre tilkoblinger per økt, noe som gjør begge tilnærmingene levedyktige. Denne veiledningen forklarer når man skal avslutte TLS ved lastbalanseren kontra hos GO-Global-vertene, og gir trinnvise instruksjoner for å konfigurere hvert alternativ sikkert og effektivt.
Når en tredjeparts lastbalanserer brukes og TLS-protokollen er nødvendig (f.eks. når klienter kobler seg til lastbalanseren over internett), kan TLS-protokollen avsluttes enten hos lastbalanseren eller hos GO-Global Hosts.
Med webapplikasjoner er det generelt ønskelig å avslutte TLS-protokollen ved lastbalansereren fordi dette legger belastningen med å forhandle TLS-tilkoblingene på lastbalansereren, snarere enn på applikasjonsvertene. Dette er viktig for webapplikasjoner fordi webapplikasjoner vanligvis åpner mange tilkoblinger til applikasjonsverter for hver brukerøkt. GO-Global åpner imidlertid vanligvis bare én tilkobling per økt. Derfor er det med GO-Global mindre behov for å avslutte TLS-protokollen ved lastbalansereren. Det finnes imidlertid situasjoner der det er ønskelig å gjøre dette.
For å avslutte TLS ved lastbalansereren
A. Konfigurer GO-Global Hosts til å bruke TCP-protokollen og ingen kryptering:
- Kjør administrasjonskonsollen på Farm Manager.
- Klikk på Verktøy | Vertsalternativer.
- Klikk på Sikkerhet- fanen.
- Under Protokoll velger du TCP .
- Under Kryptering velger du Ingen .
- Klikk OK .
B. Hvis en failover-farmbehandler brukes, må du sørge for at den har de samme innstillingene.
Dette kan gjøres enten ved å:
- Gjenta trinn 1 på failover Farm Manager
-eller- - Kopiere HostProperties.xml -filen fra den primære Farm Manager til failover Farm Manager
C. Konfigurer lastbalansereren til å bruke TLS- protokollen. Hvis du for eksempel bruker en Amazon Web Services Network Load Balancer, setter du lytterens protokoll til TLS og installerer TLS-sertifikatet på lastbalansereren.
Hvis TLS-sertifikatet er et jokertegnsertifikat, må domenet som er angitt av sertifikatets fellesnavn, samsvare med domenet til adressen klientene bruker for å koble til lastbalansereren. Alternativt, hvis TLS-sertifikatet ikke er et jokertegnsertifikat, må sertifikatets fellesnavn samsvare med adressen klientene bruker for å koble til lastbalansereren.
D. Aktiver TLS-alternativet i AppController og/eller GO-Global Web App:
- For AppController, legg til -tls 1 på kommandolinjen i AppController.
- For GO-Global Web App, legg til tls=true i URL-en eller angi tls=true i logon.html-filen.
Når TLS-protokollen avsluttes hos lastbalansereren, krypteres data mellom klientene og lastbalansereren, men ikke mellom lastbalansereren og vertene. Når data må krypteres ende-til-ende fra klientene til vertene, bør TLS-protokollen avsluttes hos vertene.
Konklusjon
Riktig konfigurering av TLS-terminering i et GO-Global-miljø sikrer sikker og effektiv kommunikasjon mellom klienter, lastbalanserere og verter. Avslutning av TLS ved lastbalansereren forenkler administrasjon og reduserer CPU-belastningen på verter, mens ende-til-ende TLS-terminering forbedrer datasikkerheten. Ved å forstå begge metodene kan administratorer implementere den beste konfigurasjonen for nettverkets ytelse, skalerbarhet og sikkerhetsbehov.
Er du en uavhengig leverandør av programvare (ISV) som utforsker levering av skybaserte applikasjoner? Kontakt oss for å finne ut hvordan GO-Global kan hjelpe deg med å effektivisere programvaretilgang for sluttbrukerne dine. Eller last ned en gratis prøveperiode for å teste det selv.
