TLS-konfiguration med lastbalanserare från tredje part

TLS-konfiguration med lastbalanserare från tredje part

Inledning

När GO-Global driftsätts med en lastbalanserare från tredje part kan administratörer välja var TLS-protokollet ska avslutas för att uppnå en balans mellan säkerhet och prestanda. Medan webbapplikationer ofta gynnas av att avsluta TLS vid lastbalanseraren för att minska värdarnas arbetsbelastning, kräver GO-Global vanligtvis färre anslutningar per session, vilket gör båda metoderna genomförbara. Denna guide förklarar när TLS bör avslutas vid lastbalanseraren respektive vid GO-Global-värdarna och ger steg-för-steg-instruktioner för att konfigurera varje alternativ på ett säkert och effektivt sätt.

När en extern lastbalanserare används och TLS-protokollet krävs (t.ex. när klienter ansluter till lastbalanseraren via internet) kan TLS-protokollet avslutas antingen vid lastbalanseraren eller vid GO-Global-värdarna.

När det gäller webbapplikationer är det i allmänhet önskvärt att avsluta TLS-protokollet vid lastbalanseraren, eftersom detta lägger bördan av att förhandla fram TLS-anslutningarna på lastbalanseraren istället för på applikationsvärdarna. Detta är viktigt för webbapplikationer eftersom webbapplikationer i allmänhet öppnar många anslutningar till applikationsvärdar för varje användarsession. GO-Global öppnar dock i allmänhet endast en anslutning per session. Därför är behovet av att avsluta TLS-protokollet vid lastbalanseraren mindre med GO-Global. Det finns dock situationer där det är önskvärt att göra detta.

För att avsluta TLS vid lastbalanseraren

A. Konfigurera GO-Global-värdarna så att de använder TCP-protokollet utan kryptering:

1. St arta administratörskonsolen på Farm Manager.
2. Klicka på Verktyg | Värdalternativ.
3. Klicka på fliken Säkerhet.
4. Välj TCP under Protokoll.
5. Under Kryptering väljer du Ingen.
6. Klicka på OK.

B. Om en Farm Manager för failover används, se till att den har samma inställningar.
Detta kan göras på något av följande sätt:

• Upprepa steg 1 i Farm Manager vid felhantering
  -eller-
• Kopiera filen HostProperties.xml från den primära Farm Manager till reserv-Farm Manager
  

C. Konfigurera lastbalanseraren så att den använder TLS-protokollet. Om du till exempel använder en Amazon Web Services Network Load Balancer ska du ställa in lyssnarens protokoll till TLS och installera TLS-certifikatet på lastbalanseraren.

Om TLS-certifikatet är ett jokerteckencertifikat måste den domän som anges i certifikatets allmänna namn (Common Name) stämma överens med domänen i den adress som klienterna använder för att ansluta till lastbalanseraren. Alternativt, om TLS-certifikatet inte är ett jokerteckencertifikat, måste certifikatets Common Name matcha den adress som klienterna använder för att ansluta till lastbalanseraren.

D. Aktivera TLS-alternativet i AppController och/eller GO-Global-webbappen:

• För AppController lägger du till -tls 1 i AppController-kommandoraden.
  
• För GO-Global-webbappen lägger du till tls=true i webbadressen eller anger tls=true i filen logon.html.
  

När TLS-protokollet avslutas vid lastbalanseraren krypteras data mellan klienterna och lastbalanseraren, men inte mellan lastbalanseraren och värdarna. Om data måste krypteras från klient till värd (end-to-end) bör TLS-protokollet avslutas vid värdarna.

Slutsats

Genom att konfigurera TLS-avslutning på rätt sätt i en GO-Global-miljö säkerställs en säker och effektiv kommunikation mellan klienter, lastbalanserare och värddatorer. Att avsluta TLS vid lastbalanseraren förenklar hanteringen och minskar CPU-belastningen på värddatorerna, medan TLS-avslutning från ände till ände förbättrar datasäkerheten. Genom att förstå båda metoderna kan administratörer implementera den bästa konfigurationen för nätverkets prestanda, skalbarhet och säkerhetsbehov.

Är du en ISV som utforskar molnbaserad applikationsleverans? Kontakta oss för att få veta hur GO-Global kan hjälpa dig att effektivisera programvarutillgången för dina slutanvändare. Eller ladda ner en gratis testversion för att testa själv.