Cấu hình TLS Termination

Khi cân bằng tải mã hóa các lưu lượng truy cập web có 2 lựa chọn cấu hình chính: TLS termination và TLS Passthrough.

Với TLS Termination, các yêu cầu TLS được giải mã tại Load Balancer và gửi các yêu cầu không bị mã hóa tới các máy chủ backend. Với cách này làm cho việc xử lý tại Load Balancer chậm hơn cũng như cần CPU để xử lý việc giải mã dữ liệu và đơn giản hóa việc quản lý các chứng chỉ SSL. Tuy nhiên lưu lượng truy cập giữa Load Balancer và các máy chủ backend là không có mã hóa nhưng khi sử dụng các máy chủ Cloud Server của Bizfly Cloud, Load Balancer giao tiếp với các máy chủ backend qua mạng LAN, đây là mạng tin cậy tách biệt với các hệ thống mạng khác. Nên người dùng khác không thể nghe trộm trên đường mạng này.

Một lựa chọn cấu hình khác là TLS Passthrough, các kết nối SSL sẽ được gửi trực tiếp tới máy chủ backend. Không giống với TLS Termination, các yêu cầu vẫn được mã hóa và giải mã tại các máy chủ backend. Tuy nhiên các thông tin chứng chỉ SSL phải được đồng bộ trên toàn bộ các máy chủ backend.

Chúng tôi khuyến khích sử dụng TLS Termination để đảm bảo an toàn giữa Load Balancer và Cloud Server.

Để cấu hình sử dụng giao thức cân bằng tải TLS Termination cho loadbalancer, SSL Certificate, Private key, Certificate Key chain phải được upload lên tài khoản Bizfly Cloud của bạn. Nếu bạn chưa upload certificate lên có thể thực hiện theo hướng dẫn sau hoặc upload mới certificate khi cấu hình.

Cấu hình Load Balancer TLS Termination

Trên trang danh sách các Load Balancer, chọn Load Balancer mà bạn muốn cấu hình TLS Termination để hiển thị trang chi tiết. Trên trang chi tiết chọn Listener để cấu hình tạo mới một Listener sử dụng TLS Termination.

Tạo mới Frontend, click chọn + Listener

Đặt tên cho Listener, chọn giao thức TLS Termination , mặc định giao thức này sẽ sử dụng cổng 443, lúc này nút SSL Certificate cho phép lựa chọn danh sách các Certificate hoặc tạo mới.

Ở đây mình sẽ chọn certificate đã tạo trước đó

Sau khi chọn được certificate thì sẽ hiển thị certificate đang dùng tại nút này

Cấu hình backend nhận yêu cầu truy cập từ frontend này

Nhấn Xác nhận để tạo Listener sử dụng TLS Termination

Frontend mới được tạo ra, ta có thể trỏ domain vào địa chỉ IP và thực hiện truy cập