GH GambleHub

إنهاء وموازين SSL

موجز

يزيل إنهاء SSL/TLS حمل التشفير من التطبيقات ويفتح الطريق إلى توجيه L7، WAF، حد السعر، mTLS، إطلاقات الكناري. الحلول الرئيسية: مكان إنهاء TLS (الحافة/الدخول/الشبكة الداخلية)، وكيفية الموازنة (L4 مقابل L7)، وملفات تعريف التشفير لاستخدامها، وكيفية تحديث الشهادات دون توقف، وكيفية الحفاظ على زمن انتظار p95 والأخطاء في SLO.

أين تنهي TLS

الحافة (CDN/Anycast/WAF): الحد الأدنى لوقت المستخدم، الحماية العالمية، التحكم في المخبأ/الروبوت. علاوة على ذلك - أعد التشفير إلى الخلف.
في الدخول L7 (Nginx/Envoy/HAProxy/ALB): توجيه URI/الرأس الفاخر، mTLS، التحقق من صحة JWT.
TLS من طرف إلى طرف (passthrough L4): عندما تكون هناك حاجة إلى mTLS من طرف إلى طرف قبل الكبسولة/الخدمة (على سبيل المثال منطقة امتثال صارمة).
شبكة الخدمات (المبعوث/إستيو/لينكرد): نظام التحكم الآلي داخل المجموعة، والسياسة العامة والقياس عن بُعد.

الممارسة: في كثير من الأحيان - إنهاء الحافة → إعادة التشفير للدخول ؛ PII/payments - mTLS قبل الخدمة.

توازن L4 مقابل L7

L4 (TCP/UDP): الحد الأدنى من التأخير، الفحوصات الصحية البسيطة (الميناء/TCP)، TLS السفر. مناسب لـ gRPC على TLS عندما يكون هناك نقص في ميزات L7.
L7 (HTTP/HTTPS/HTTP3): المضيف/المسار/الرأس/توجيه ملفات تعريف الارتباط، WAF، حدود المعدل، إصدارات الكناري، الجلسات اللزجة، إعادة التصوير/المهلات.

TLS: الإصدارات والمفاتيح والشفرات

الإصدارات: TLS 1. 3 في كل مكان، TLS 1. 2 كاحتياطي. تعطيل 1. 0/1. 1.
المفاتيح/السيرتات: ECDSA (P-256) - أسرع من RSA ؛ يمكنك تكديس (ECDSA + RSA) للعصور القديمة.
ALPN: 'h2' и 'http/1. 1`; بالنسبة HTTP/3 - 'h3' (QUIC/UDP).
OCSP Stapling: بما في ذلك ؛ HSTS في المجالات العامة.
المجمعات الرئيسية: مخزنة في نظام إدارة كوسوفو/نظام إدارة الموارد البشرية ؛ التجديد التلقائي (ACME/trust tree).
0-RTT (TLS 1. 3): إدراج النقطة (GET/idempotent)، مع مراعاة خطر إعادة التشغيل.

ملف تعريف التشفير الأساسي (TLS 1. 2): 'ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-CHACHA20-POLY1305'

أداء TLS

الاستئناف: تذاكر الجلسة/بطاقات الهوية - قلل من تكلفة المصافحة.
ECDSA + ChaCha20 المساعدة على الهاتف المحمول/غير AES-NI.
OCSP Stapling + السلاسل القصيرة تقلل p95.
HTTP/2/3: تعدد الإرسال، عدد أقل من الاتصالات → أقل من p95.
التفريغ: دبوس نوى وحدة المعالجة المركزية للتشفير، وتمكين إعادة الاستخدام، وضبط مآخذ المقبس.

السلامة

MTLS: طلب شهادة العميل لبيانات الإدارة/واجهة برمجة التطبيقات ؛ CRL/OCSP للإلغاء.
SNI/ECH: SNI - standard; ECH (Encr. ClientHello) يخفي المجال (إذا كان مزود الحافة يدعمه).
أمن النقل الصارم (HSTS): مجالات الإنتاج، مع توخي الحذر في البداية.
TLS بين القفزات: إعادة التشفير للخدمة، حتى داخل DC (Zero-Trust).
حد المعدل/الثور الرمادي: على L7 يحمي api من الروبوتات/القوة الغاشمة.

قابلية الملاحظة و SLO

SLO (أمثلة)

p95 TLS-shake ≤ 80-120 ms (عالمي)، p95 TTFB ≤ 200-300 mm.
TLS (المصافحة/التحقق من الأقران) أخطاء ≤ 0. 1%.
نسبة السير الذاتية ≥ 70٪ للزيارات المتكررة.

المقاييس

«handshake _ time»، «tls _ version»، «alpn»، «cert _ expendition _ days'،» ocsp _ staple _ status'.
L7: 'p50/p95/p99'، '5xx'، '429'، 'upstream _ rq _ time'، 'retry _ budget'.
السعة: اتصالات نشطة، CPS (اتصالات في الثانية)، RPS.

التكوينات النموذجية

Nginx (إنهاء L7 + HTTP/2 + تدبيس OCSP)

nginx server {
listen 443 ssl http2 reuseport;
server_name api.example.com;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve X25519:P-256;
ssl_certificate   /etc/ssl/cert.pem;    # полная цепочка ssl_certificate_key /etc/ssl/key.pem;
ssl_stapling on; ssl_stapling_verify on;
ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://upstream_pool;
}
}

upstream upstream_pool {
zone backends 64k;
server 10.0.1.10:8443 max_fails=3 fail_timeout=10s;
server 10.0.1.11:8443 max_fails=3 fail_timeout=10s;
keepalive 256;
}

HAProxy (إنهاء L7 + التصاق + mTLS إلى الخلف)

haproxy frontend fe_https bind:443 ssl crt /etc/haproxy/certs/ alpn h2,http/1.1 mode http http-response set-header Strict-Transport-Security max-age=31536000 default_backend be_api

backend be_api mode http balance roundrobin cookie SRV insert indirect nocache option httpchk GET /healthz server s1 10.0.1.10:8443 check ssl verify required ca-file /etc/haproxy/ca.pem server s2 10.0.1.11:8443 check ssl verify required ca-file /etc/haproxy/ca.pem

مبعوث (L7 ينتهي + mTLS من العميل + الكناري)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0.0.0.0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager stat_prefix: ingress route_config:
virtual_hosts:
- name: api domains: ["api.example.com"]
routes:
- match: { prefix: "/" }
route:
weighted_clusters:
clusters:
- name: api-stable weight: 95
- name: api-canary weight: 5 http_filters:
- name: envoy.filters.http.router transport_socket:
name: envoy.transport_sockets.tls typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext common_tls_context:
tls_certificates:
- certificate_chain: { filename: "/etc/tls/cert.pem" }
private_key:   { filename: "/etc/tls/key.pem" }
validation_context:       # mTLS (опционально)
trusted_ca: { filename: "/etc/tls/ca.pem" }
require_client_certificate: true

AWS ALB/NLB (مفهوم)

ALB (إنهاء L7): مستمع HTTPS 443 (TLS 1. 2/1. 3)، المجموعة المستهدفة HTTPs:8443، الفحص الصحي «/الصحة »، اللزوجة (ملف تعريف الارتباط).
NLB (L4 passthrough): مستمع TLS 443، الفحوصات الصحية TCP، SNI من طرف إلى طرف إلى جراب.
CloudFront/Cloudflare: TLS edge + WAF + Bot management; الأصل - HTTPS فقط.

تحديث الشهادات دون توقف

ACME (دعونا نشفر/Private CA) مع التحديث التلقائي وإعادة التشغيل الساخنة (Nginx «إعادة التحميل»، المبعوث SDS).
الشهادات المزدوجة (ECDSA + RSA) للهجرات.
رصد السلسلة: التحقق من الاتفاقات القطرية الوسيطة ؛ تدبيس OCSP بعد التناوب.
التنبيهات: "cert _ endiry _ days <21" و "ocsp _ status! = good'.

الفحوصات الصحية والتوجيه

L4: اتصال TCP، مصافحة TLS.
L7: HTTP 200/JSON نسخة رمزية، gRPC health.
السياسيون: الفشل، المرجح، زمن الوصول، التجزئة المتسقة (ملف تعريف الارتباط/IP) للثابت.
العودة/المهلة: التوازن بين المثابرة والطلبات المكررة (الخصوصية!).

أنماط كوبرنيتس

مراقب الدخول (Nginx/Envoy/HAProxy): إنهاء الدخول، «ExternalDNS» لسجلات DNS، «cert-manager» لـ ACME.
بوابة التطبيقات: TLSRoute/HTTPRoute مع جزر الكناري.
شبكة الخدمة: pod↔pod mTLS التلقائي، السياسات على مستوى «PeerAuthentication »/« DestinationRule».

قائمة التحقق من السلامة

  • TLS 1. و 3 منها ؛ 1. 0/1. 1 خارج.
  • الشفرات الحديثة ؛ ECDSA serts حيث يسمح الدعم.
  • تدبيس OCSP، سلاسل كاملة، HSTS.
  • mTLS للمديرين/الروابط المتبادلة ؛ إلغاء شرايين العملاء.
  • مرشحات حد المعدل/الروبوت عند الحافة ؛ الحماية من الرؤوس البطيئة/الضخمة.
  • إعادة التشفير إلى الخلف (Zero-Trust).
  • أسرار/مفاتيح في KMS/HSM ؛ مراجعة حسابات التناوب والإصدار.

إمكانية الرصد والتنبيهات

Метрики: مصافحات TLS/ثانية، معدل الفشل، معدل استئناف الجلسة، OCSP، p95/99، كونز مفتوح، CPS، RPS.
السجلات: إصدار SNI/ALPN/TLS، التشفير، شهادة العميل (لـ mTLS)، رموز المنبع، تفصيل زمن الوصول.
التنبيهات: النمو "5xx/525"، استئناف الخريف، "cert _ endiry _ days'،" ocsp _ failed "، excess p95، spikes" 429 ".

أخطاء شائعة

ينتهي عند الحافة ويوضح HTTP للداخل دون حماية.
→ سلاسل CA الطويلة بشكل مفرط نمو المصافحة p95.
لا يوجد تدبيس OCSP → حظر على العملاء/المتصفحات.
جلسات لزجة دون مراعاة الفشل → «التمسك» بعقدة متدهورة.
0-RTT يمكن تعديل الطلبات → خطر إعادة تقديمها.
عدم وجود سيرتات إعادة التحميل الساخنة → القطرات الثانية أثناء الدوران.

خصوصية iGaming/fintech

القمم (البطولات/المباريات): إحماء جلسات TLS (ما قبل الاتصال)، سلاسل قصيرة، نسبة عالية من الاستئناف، HTTP/2/3 للجبهات.
بوابات الدفع/PSP: mTLS، الشفرات/الإصدارات الصارمة، CA المثبتة، المجالات الفردية/ALB مع قواعد صارمة.
مرشحات Antifraud/bot: L7-rate-limit بواسطة IP/ASN/device-fingerint، الثيران الرمادية الكنارية (التحدي/الكابتشا) على نطاق منفصل.
التنظيم: HSTS، سجلات TLS المدققة، تقارير الإصدار، استدعاء خيوط العملاء للحوادث.

كتب اللعب المصغرة

إطلاق كناري عبر L7 balancer

1. تضاف مجموعة «api-canary» تزن 5٪ ؛ 2) مراقبة p95/خطأ ؛ 3) 5→25→50→100%; 4) التقصير التلقائي أثناء التدهور.

تناوب شهادات الطوارئ

1. تنزيل الشهادة/المفتاح الجديد ؛ 2) «إعادة التحميل» دون إسقاط الاتصالات (SDS/hot swap) ؛ 3) فحص OCSP ؛ 4) مصافحة لوحة القيادة p95.

تشغيل HTTP/3

1. فتح UDP/443 ؛ 2) تضاف ALPN 'h3' ؛ 3) مقاييس فقدان QUIC/RTT الفردية ؛ 4) A/B حسب مشاركة العملاء.

النتيجة

إنهاء SSL الفعال هو ملف تعريف TLS حديث، وموقع الإنهاء الصحيح، وتوجيه L7 الذكي، وقابلية الملاحظة والأمن القوي (mTLS، HSTS، إعادة التشفير). قفل كل شيء في IaC، وأتمتة الدورات، وقياس أخطاء p95/واستخدم جزر الكناري - بهذه الطريقة ستنجو المقدمة من القمم وستكون سريعة وآمنة كما هو متوقع.

Contact

اتصل بنا

تواصل معنا لأي أسئلة أو دعم.نحن دائمًا جاهزون لمساعدتكم!

بدء التكامل

البريد الإلكتروني — إلزامي. تيليغرام أو واتساب — اختياري.

اسمك اختياري
البريد الإلكتروني اختياري
الموضوع اختياري
الرسالة اختياري
Telegram اختياري
@
إذا ذكرت تيليغرام — سنرد عليك هناك أيضًا بالإضافة إلى البريد الإلكتروني.
WhatsApp اختياري
الصيغة: رمز الدولة + الرقم (مثال: +971XXXXXXXXX).

بالنقر على الزر، فإنك توافق على معالجة بياناتك.