Вот пример простого Ansible playbook для установки и настройки HAProxy на серверах, работающих под управлением Ubuntu:...
продолжить чтение
Идея состоит в том чтобы настроить работу с кластером etcd через прокси HAProxy с использованием защищенного TLS соединения.
Первым шагом развертываем кластер etcd по описанию в статье. Пример Ansible плейбука:...
продолжить чтение
etcd работает по HTTP/2. В версии etcd v3 был введен полный переход на HTTP/2 для всех RPC вызовов. Это особенно важно для улучшения производительности и устойчивости при использовании gRPC, который работает поверх HTTP/2. Поддержка HTTP/2 предоставляет возможности для мультиплексирования запросов, уменьшения задержек и более эффективного управления соединениями....
продолжить чтение
Параметр ssl verify required используется в HAProxy для обеспечения строгой проверки SSL/TLS-сертификатов на стороне клиента или бэкенда. Этот параметр позволяет настроить проверку подлинности сертификатов, гарантируя, что клиент или сервер предоставляет валидный сертификат, подписанный доверенным центром сертификации (CA). Если сертификат не может быть проверен, соединение будет отклонено....
продолжить чтение
Развернем кластер etcd из трех нод.
Общение между нодами будет по TLS протоколу.
...
продолжить чтение
В Go (golang), структура tls.Config предоставляет настройки для конфигурирования TLS-соединений. Она используется для настройки клиентских и серверных соединений с поддержкой шифрования, что критично для обеспечения безопасности в приложениях....
продолжить чтение
Эти команды используются для создания пары ключей (приватного и публичного) и самоподписанного сертификата с использованием OpenSSL....
продолжить чтение
Чтобы проверить срок действия TLS-сертификата и выполнить действие, если сертификат истекает менее чем через 30 дней, вы можете использовать командный скрипт на Bash. Этот скрипт будет извлекать информацию о сроке действия сертификата и принимать решение в зависимости от этого....
продолжить чтение
Чтобы сгенерировать TLS-сертификат для клиента, можно использовать инструменты OpenSSL. Приведённый ниже пример включает создание собственного центра сертификации (CA), генерацию клиентского ключа и запроса на сертификат (CSR), а затем выпуск клиентского сертификата....
продолжить чтение
В мTLS (Mutual TLS) сертификаты клиента и сервера не обязательно должны быть подписаны одним и тем же центром сертификации (CA). Однако важно, чтобы оба сертификата были доверенными для каждой стороны....
продолжить чтение
TLS (Transport Layer Security) сертификаты играют ключевую роль в обеспечении безопасности передачи данных по сети, используя криптографию для защиты связи между клиентом и сервером. Основные компоненты TLS включают шифрование, целостность данных и аутентификацию. Рассмотрим теоретическую основу TLS-сертификатов и как они работают....
продолжить чтение
OpenSSL — криптографический пакет с открытым исходным кодом для работы с SSL/TLS. Позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT. Также имеется возможность шифрования данных и тестирования SSL/TLS соединений....
продолжить чтение