یہ پوسٹ اس بحث سے شروع ہوتی ہے کہ HAProxy میں SSL پاس تھرو کو لاگو کرنا کیوں ضروری ہے۔ اس کے بعد ہم آسانی سے سمجھنے کے لیے ایک مثال کے ساتھ اس پر عمل درآمد کرنے کے لیے اقدامات پر تبادلہ خیال کرتے ہیں۔
SSL پاس تھرو کیا ہے اور یہ کیوں ضروری ہے؟
لوڈ بیلنسر کے طور پر، HAProxy آپ کے ویب سرور پر بھیجے گئے بوجھ کو لے جاتا ہے اور اسے کنفیگرڈ سرورز میں تقسیم کرتا ہے۔ جو لوڈ تقسیم کیا جا رہا ہے وہ ٹریفک ہے جو کلائنٹ ڈیوائسز اور بیک اینڈ سرورز کے درمیان شیئر کیا جاتا ہے۔ لوڈ بیلنسنگ کے وقت سیکیورٹی ضروری ہے، اور یہیں سے SSL پاس تھرو کام میں آتا ہے۔
مثالی طور پر، SSL پاس تھرو میں SSL/TLS ٹریفک کو آپ کے ویب سرور پر فارورڈ کرنا اور HAProxy یا کسی دوسرے لوڈ بیلنسر پر SSL/TLS کنکشن کو ختم کیے بغیر ترتیب شدہ سرورز میں تقسیم کرنا شامل ہے جسے آپ استعمال کر رہے ہیں۔ SSL پاس تھرو کے ساتھ، آپ ایک بہتر اینڈ ٹو اینڈ انکرپشن سے لطف اندوز ہوں گے، اور کلائنٹ کا اصل IP ایڈریس محفوظ رہے گا۔ مزید یہ کہ یہ ایک تجویز کردہ حفاظتی اقدام ہے اور یہ HAProxy پر اوورلوڈ کو کم کرتے ہوئے بیک اینڈ سرور کی بہتر لچک پیدا کرتا ہے۔
HAProxy میں SSL پاس تھرو کو کیسے نافذ کیا جائے اس بارے میں مرحلہ وار گائیڈ
یہ سمجھنے کے بعد کہ SSL پاس تھرو کا کیا مطلب ہے اور آپ کو اس کی ضرورت کیوں ہے، اگلا کام وہ اقدامات فراہم کرنا ہے جن کی پیروی آپ کو اپنے HAProxy لوڈ بیلنسر میں لاگو کرنے کے لیے کرنی چاہیے۔ دیے گئے اقدامات پر عمل کریں اور اپنے HAProxy لوڈ بیلنسر پر SSL پاس تھرو کو تیزی سے لاگو کریں۔
مرحلہ 1: HAProxy انسٹال کریں۔
فرض کریں کہ آپ کے پاس HAProxy انسٹال نہیں ہے۔ پہلا قدم یہ ہے کہ ہم اسے SSL پاس تھرو کو لاگو کرنے کے لیے ترتیب دینے سے پہلے اسے انسٹال کریں۔ لہذا، اپنے ذخیرے کو اپ ڈیٹ کرکے شروع کریں۔
$ sudo مناسب اپ ڈیٹ
اگلا، درج ذیل کمانڈ کے ساتھ ڈیفالٹ ریپوزٹری سے HAProxy انسٹال کریں۔ نوٹ کریں کہ ہم اس معاملے کے لیے اوبنٹو استعمال کر رہے ہیں:
$ sudo مناسب انسٹال کریں haproxy
HAProxy انسٹال ہونے کے بعد، آپ SSL پاس تھرو کو لاگو کرنے کے لیے تیار ہیں۔ پڑھیں!
مرحلہ 2: HAProxy میں SSL پاس تھرو کو لاگو کریں۔
اس مرحلے کے لیے، ہمیں '/etc/haproxy' میں موجود HAProxy کنفیگریشن فائل تک رسائی حاصل کرنی چاہیے اور اس میں ترمیم کرنا چاہیے کہ ہم SSL پاس تھرو کو کیسے نافذ کرنا چاہتے ہیں۔ آپ کسی بھی ٹیکسٹ ایڈیٹر کے ساتھ کنفگ فائل کھول سکتے ہیں۔ ہم نے اس مظاہرے کے لیے نینو کا استعمال کیا۔
$ sudo نینو / وغیرہ / haproxy / haproxy,cfgایک بار جب آپ کنفگ فائل تک رسائی حاصل کر لیتے ہیں، تو وہاں دو حصے ہوتے ہیں جو آپ کو بنانا ہوں گے: 'فرنٹ اینڈ' اور 'بیک اینڈ'۔ 'فرنٹ اینڈ' میں، یہ وہ جگہ ہے جہاں آپ یہ بتاتے ہیں کہ کنکشن کے لیے کس پورٹ کو باندھنا ہے۔ ایک بار پھر، آپ کو یہ بتانا ہوگا کہ کون سا پروٹوکول استعمال کرنا ہے اور کون سا بیک اینڈ سرور ٹریفک کو تقسیم کرنے کے لیے استعمال کرنا ہے۔
اس معاملے کے لیے، چونکہ ہم ٹریفک کو محفوظ بنانا چاہتے ہیں، ہم پورٹ 443 کو پابند کریں گے جو HTTPS کنکشنز کے لیے ہے۔ ایک بار پھر، ہم یہ بتاتے ہیں کہ ہم HAProxy کے لیے TCP موڈ کو ٹرانسپورٹ لیئر پر کام کرنے کے لیے قبول کرنا چاہتے ہیں۔
ہم ایک اصول کے طور پر 'tcp-request' لائن بھی شامل کرتے ہیں جو اس مدت کی وضاحت کرتی ہے جس کے لیے SSL 'ہیلو' پیغامات کا معائنہ کرنا ہے تاکہ اس بات کی تصدیق کی جا سکے کہ ہم SSL ٹریفک کو قبول کر رہے ہیں۔ آخر میں، ہم لوڈ کی تقسیم کے لیے استعمال کرنے کے لیے بیک اینڈ سرور کی وضاحت کرتے ہیں۔ ہمارا آخری 'فرنٹ اینڈ' سیکشن درج ذیل ہے:
'بیک اینڈ' سیکشن کے لیے، ہم نے موڈ کو TCP پر سیٹ کیا ہے۔ پھر ہم ان سرورز کے لیے آئی پی ایڈریس بتاتے ہیں جو ہم لوڈ بیلنسنگ کے لیے استعمال کرتے ہیں۔ یقینی بنائیں کہ آپ ان IPs کو اپنے لائیو سرورز سے مماثل رکھنے کے لیے تبدیل کریں اور کنکشن پورٹ کو 443 پر سیٹ کریں۔
'آپشن tcplog' کو لاگ فائل میں TCP سے متعلق مسائل کی لاگنگ کی اجازت دینے کے لیے شامل کیا گیا ہے جو کنفگ فائل کے 'عالمی' حصے میں شامل ہے۔
مرحلہ 3: HAProxy کو دوبارہ شروع کریں اور کنفیگریشن کی جانچ کریں۔
ایک بار جب آپ نے HAProxy config فائل میں ترمیم کر لی تو اسے محفوظ کریں اور باہر نکلیں۔ تبدیلیاں لاگو کرنے کے لیے HAProxy سروس کو دوبارہ شروع کریں۔
یہی ہے! ہم نے HAProxy میں SSL پاس تھرو نافذ کیا۔ کرل جیسی کمانڈ کا استعمال کرتے ہوئے اپنے ویب سرور پر ٹریفک بھیجنے کی کوشش کریں اور دیکھیں کہ یہ کیسے جواب دیتا ہے۔ اگر SSL پاس تھرو کامیابی کے ساتھ لاگو ہوتا ہے، تو آپ کو ایک آؤٹ پٹ ملے گا جس میں دکھایا جائے گا کہ کنکشن پورٹ 443 کے ذریعے بنایا گیا ہے، اور آپ بیک اینڈ سرور سے منسلک ہو جائیں گے۔ آپ کا سرور مطلوبہ تفصیلات کے ساتھ جواب دے گا اور 200 اسٹیٹس کا جواب دے گا۔
نتیجہ
SSL پاس تھرو کو لاگو کرنے سے اینڈ ٹو اینڈ انکرپشن بنانے میں مدد ملتی ہے اور اس بات کو یقینی بنانے میں مدد ملتی ہے کہ آپ کا SSL/TLS کنکشن برقرار رہے جیسا کہ لوڈ بیلنسنگ ہوتا ہے۔ HAProxy میں SSL پاس تھرو کو لاگو کرنے کے لیے، HAProxy انسٹال کریں اور کنفیگریشن فائل میں ترمیم کریں یہ بتانے کے لیے کہ آپ کس طرح لوڈ بیلنس کرنا چاہتے ہیں۔ عمل کو بہتر طور پر سمجھنے کے لیے پیش کردہ مثال کا حوالہ دیں۔