Τερματισμός SSL και εξισορροπητές
Σύντομη περίληψη
Ο τερματισμός SSL/TLS αφαιρεί το κρυπτογραφικό φορτίο από τις εφαρμογές και ανοίγει το δρόμο για το L7 routing, WAF, rate-limit, mTLS, canary releases. Βασικές λύσεις: πού να τερματιστεί το TLS (άκρο/είσοδος/εσωτερικό πλέγμα), πώς να εξισορροπηθεί (L4 έναντι L7), ποια προφίλ κρυπτογράφησης να χρησιμοποιηθούν, πώς να επικαιροποιηθούν τα πιστοποιητικά χωρίς downtime, και πώς να διατηρηθεί η καθυστέρηση του p95 και τα σφάλματα στο SLO.
Πού θα τερματιστεί η TLS
Ακμή (CDN/Anycast/WAF): ελάχιστη καθυστέρηση χρήστη, παγκόσμια προστασία, έλεγχος μνήμης/ρομπότ. Περαιτέρω - επανκρυπτογράφηση στο backend.
Κατά την είσοδο L7 (Nginx/Envoy/HAProxy/ALB): πρόστιμο URI/δρομολόγηση κεφαλίδας, mTLS, επικύρωση JWT.
TLS από το τέλος έως το τέλος (passthrough L4): όταν απαιτείται mTLS από το τέλος έως το τέλος πριν από τον θάλαμο/υπηρεσία (π.χ. αυστηρή ζώνη συμμόρφωσης).
Service Mesh (Απεσταλμένος/Istio/Linkerd): Αυτοματοποιημένο σύστημα mTLS, πολιτική και τηλεμετρία.
Πρακτική: συχνότερα - η άκρη τερματίζει → επανακρυπτογραφεί στην είσοδο. για PII/πληρωμές - mTLS πριν από την υπηρεσία.
L4 έναντι εξισορρόπησης L7
L4 (TCP/UDP): ελάχιστη καθυστέρηση, απλοί υγειονομικοί έλεγχοι (port/TCP), TLS διέλευσης. Κατάλληλο για gRPC σε TLS όταν υπάρχει έλλειψη χαρακτηριστικών L7.
L7 (HTTP/HTTPS/HTTP3): host/path/header/cookie routing, WAF, rate-limits, canary releases, sticky sessions, retrays/timeouts.
TLS: εκδόσεις, κλειδιά, κρυπτογραφήματα
Εκδόσεις: TLS 1. 3 παντού, TLS 1. 2 σαν οπισθοδρόμηση. Απενεργοποίηση 1. 0/1. 1.
Κλειδιά/κιβώτια: ECDSA (P-256) - ταχύτερα από RSA. Μπορείτε να κάνετε διπλή στοίβα (ECDSA + RSA) για την αρχαιότητα.
ALPN: 'h2' и 'http/1. 1`; για HTTP/3 - 'h3' (QUIC/UDP).
Συρραφή OCSP: περιλαμβάνονται: HSTS σε δημόσιους χώρους.
Ομάδες κλειδιών: αποθηκευμένες σε KMS/HSM. αυτόματη ανανέωση (ACME/trust tree).
(TLS 1. 3): να συμπεριληφθεί το σημείο (GET/idempotent), να ληφθεί υπόψη ο κίνδυνος επανάληψης.
Βασικό προφίλ κρυπτογράφησης (TLS 1. 2): «ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-AES256 - GCM-SHA384: ECDHE-RSA-CHACHA20-POLY1305»
Επιδόσεις TLS
Επανάληψη: εισιτήρια/ταυτότητες συνεδρίας - μείωση του κόστους χειραψίας.
Το ECDSA + ChaCha20 βοηθήσει στην κινητή/μη AES-NI.
OCSP Η συρραφή + οι κοντές αλυσίδες μειώνουν το p95.
: πολυπλεξία, λιγότερες συνδέσεις λιγότερες από p95.
Offload: πείροι πυρήνες CPU για κρυπτογράφηση, δυνατότητα επαναχρησιμοποίησης, ρυθμιστικοί ρυθμιστές ρυμούλκησης.
Ασφάλεια
mTLS: απαίτηση πιστοποίησης πελάτη για τις δηλώσεις admin/API· CRL/OCSP για ανάκληση.
SNI/ECH: SNI - πρότυπο· ECH (Encr. ClientHello) κρύβει το πεδίο (αν το υποστηρίζει ο πάροχος άκρων).
Αυστηρή Ασφάλεια Μεταφορών (HSTS): τομείς παραγωγής, με προσοχή στην αρχή.
TLS μεταξύ λυκίσκου: επανκρυπτογράφηση σε λειτουργία, ακόμη και εντός DC (Zero-Trust).
Όριο ταχύτητας/γκρι-βόδι: σε L7 προστατεύεται api από bots/brute-force.
Παρατηρησιμότητα και SLO
SLO (παραδείγματα)
p95 TLS-χειραψία ≤ 80-120 ms (παγκόσμιο), p95 TTFB ≤ 200-300 ms.
Σφάλματα TLS (χειραψία/επαλήθευση από ομότιμους) ≤ 0. 1%.
Το ποσοστό επαναλαμβανόμενων επισκέψεων ≥ 70%.
Μετρήσεις
'handshake _ time', 'tls _ version', 'alp ,' cert _ expiry _ days ',' ocsp _ status '.
L7: 'p50/p95/p99', '5xx', '429', 'upstream _ rq _ time', 'retry _ budget'.
Ικανότητα: ενεργές συνδέσεις, CPS (συνδέσεις ανά δευτερόλεπτο), RPS.
Τυπικές ρυθμίσεις
Nginx (τερματισμός L7 + HTTP/2 + συρραφή OCSP)
nginx server {
listen 443 ssl http2 reuseport;
server_name api.example.com;
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve X25519:P-256;
ssl_certificate /etc/ssl/cert.pem; # полная цепочка ssl_certificate_key /etc/ssl/key.pem;
ssl_stapling on; ssl_stapling_verify on;
ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://upstream_pool;
}
}
upstream upstream_pool {
zone backends 64k;
server 10.0.1.10:8443 max_fails=3 fail_timeout=10s;
server 10.0.1.11:8443 max_fails=3 fail_timeout=10s;
keepalive 256;
}HAProxy (τερματισμός L7 + εμμονή + mTLS για υποστήριξη)
haproxy frontend fe_https bind:443 ssl crt /etc/haproxy/certs/ alpn h2,http/1.1 mode http http-response set-header Strict-Transport-Security max-age=31536000 default_backend be_api
backend be_api mode http balance roundrobin cookie SRV insert indirect nocache option httpchk GET /healthz server s1 10.0.1.10:8443 check ssl verify required ca-file /etc/haproxy/ca.pem server s2 10.0.1.11:8443 check ssl verify required ca-file /etc/haproxy/ca.pemΑπεσταλμένος (L7 τερματισμός + mTLS από πελάτη + καναρίνι)
yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0.0.0.0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager stat_prefix: ingress route_config:
virtual_hosts:
- name: api domains: ["api.example.com"]
routes:
- match: { prefix: "/" }
route:
weighted_clusters:
clusters:
- name: api-stable weight: 95
- name: api-canary weight: 5 http_filters:
- name: envoy.filters.http.router transport_socket:
name: envoy.transport_sockets.tls typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext common_tls_context:
tls_certificates:
- certificate_chain: { filename: "/etc/tls/cert.pem" }
private_key: { filename: "/etc/tls/key.pem" }
validation_context: # mTLS (опционально)
trusted_ca: { filename: "/etc/tls/ca.pem" }
require_client_certificate: trueAWS ALB/NLB (έννοια)
ALB (τερματισμός L7): ακροατής HTTPS 443 (TLS 1. 2/1. 3), ομάδα-στόχος HTTPs:8443, έλεγχος υγείας «/healthz », εμμονή (cookie).
NLB (L4 passthrough): ακροατής TLS 443, υγειονομικοί έλεγχοι TCP, SNI από το τέλος έως το τέλος.
CloudFront/Cloudflare: TLS άκρη + διαχείριση WAF + Bot· προέλευση - μόνο HTTPS.
Ενημέρωση πιστοποιητικών χωρίς downtime
ACME (Let 's Encrypt/Private CA) με αυτόματη ενημέρωση και επανεκκίνηση (Nginx 'reload', Envoy SDS).
Διπλά πιστοποιητικά (ECDSA + RSA) για τις μεταναστεύσεις.
Παρακολούθηση αλυσίδας: έλεγχος ενδιάμεσων αρμόδιων αρχών· Συρραφή OCSP μετά την περιστροφή.
Καταχωρίσεις: 'cert _ expiry _ days <21' και 'ocsp _ status! = good'.
Υγειονομικοί έλεγχοι και δρομολόγηση
L4: Σύνδεση TCP, χειραψία TLS.
L7: HTTP 200/JSON συμβολική έκδοση, gRPC υγεία.
Πολιτικοί: αποτυχία, σταθμισμένη, καθυστερημένη, συνεπής-χασίς (cookie/IP) για κολλώδη.
Retrays/timeouts: ισορροπία μεταξύ επιμονής και διπλών αιτήσεων (idempotency!).
Μοτίβα Kubernetes
Ελεγκτής εισόδου (Nginx/Envoy/HAProxy): τερματισμός εισόδου, 'Enterprise DNS' για αρχεία DNS, 'cert-manager' για ACME.
Πύλη API: δηλωτική TLSRoute/HTTPRoute με καναρίνια.
Service Mesh: αυτόματη pod↔pod mTLS, πολιτικές σε επίπεδο «PeerAuthentication »/« DepositionRule».
Κατάλογος ελέγχου ασφαλείας
- TLS 1. συμπεριλαμβάνονται 3· 1. 0/1. 1 είναι εκτός λειτουργίας.
- Σύγχρονα κρυπτογραφήματα? Το ECDSA διακόπτει όπου το επιτρέπει η υποστήριξη.
- συρραφή OCSP, πλήρεις αλυσίδες, HSTS.
- mTLS για διαχειριστές/διασυνδέσεις· ανάκληση των εξυπηρετητών πελατών.
- Φίλτρα ταχύτητας/bot στο άκρο· προστασία από επιβράδυνση/υπερμεγέθεις κεφαλίδες.
- Επανκρυπτογράφηση σε backends (Zero-Trust).
- Μυστικά/κλειδιά σε KMS/HSM. τον εκ περιτροπής έλεγχο και τον έλεγχο έκδοσης.
Παρατηρησιμότητα και προειδοποιήσεις
: TLS χειραψίες/sec, ποσοστό αποτυχίας, ρυθμός επανάληψης συνεδρίας, OCSP, p95/99, ανοιχτά κώνους, CPS, RPS.
Αρχεία καταγραφής: έκδοση SNI/ALPN/TLS, κρυπτογράφηση, πιστοποιητικό πελάτη (για mTLS), κωδικοί ανάντη, ανάλυση καθυστέρησης.
Ειδοποιήσεις: ανάπτυξη '5xx/525', επανάληψη πτώσης, 'cert _ expiry _ days', 'ocsp _ failed', περίσσεια p95, αιχμές '429'.
Κοινά σφάλματα
Τερματισμός στο άκρο και απλό HTTP προς τα μέσα χωρίς προστασία.
Οι υπερβολικά μακριές αλυσίδες CA → την αύξηση της χειραψίας p95.
Δεν υπάρχει παρεμπόδιση → συρραφής OCSP σε πελάτες/φυλλομετρητές.
Κολλώδεις συνεδρίες χωρίς να λαμβάνεται υπόψη η αποτυχία - «κολλώντας» σε έναν υποβαθμισμένο κόμβο.
είναι δυνατή η τροποποίηση των αιτήσεων τον κίνδυνο εκ νέου υποβολής.
Έλλειψη σερβιτόρων θερμού φορτίου → δεύτερες σταγόνες κατά τη διάρκεια της περιστροφής.
Ιδιαιτερότητα για iGaming/fintech
Κορυφές (τουρνουά/αγώνες): προθέρμανση συνεδριών TLS (προ-σύνδεση), σύντομες αλυσίδες, υψηλό ποσοστό επανάληψης, HTTP/2/3 για μέτωπα.
Πύλες πληρωμής/ΠΥΠ: mTLS, αυστηρά κρυπτογραφήματα/εκδόσεις, καρφιτσωμένα CA, μεμονωμένα πεδία/ALB με αυστηρούς κανόνες.
Φίλτρα antifraud/bot: L7-rate-limit από IP/ASN/δακτυλικό αποτύπωμα συσκευής, γκρι βόδι καναρινιού (challenge/captcha) σε ξεχωριστό τομέα.
Κανονιστική ρύθμιση: HSTS, ελεγμένα αρχεία καταγραφής TLS, αναφορές έκδοσης, ανάκληση πελατών για περιστατικά.
Mini playbooks
Canary release via L7 balancer
1. Προστίθεται ένα σύμπλεγμα «api-canary» βάρους 5%. 2) φροντίδα για p95/σφάλματα· 3) 5→25→50→100%; 4) αυτόματη συντόμευση κατά την αποικοδόμηση.
Εναλλαγή πιστοποιητικού έκτακτης ανάγκης
1. Λήψη του νέου πιστοποιητικού/πλήκτρου; 2) «επαναφόρτωση» χωρίς μείωση των συνδέσεων (SDS/hot swap), 3) έλεγχος OCSP· 4) χειραψία ταμπλό p95.
Ενεργοποιώντας την HTTP/3
1. Άνοιγμα του UDP/443. 2) προσθήκη ALPN 'h3', 3) ατομική απώλεια QUIC/μετρήσεις RTT, 4) A/B ανά μετοχή πελάτη.
Αποτέλεσμα
Αποτελεσματικός τερματισμός SSL είναι ένα σύγχρονο προφίλ TLS, η σωστή θέση τερματισμού, έξυπνη δρομολόγηση L7, παρατηρησιμότητα και ισχυρή ασφάλεια (mTLS, HSTS, επανακρυπτογράφηση). Κλειδώστε τα πάντα στο IaC, αυτόματες περιστροφές, μετρήστε p95/λάθη και χρησιμοποιήστε καναρίνια - με αυτόν τον τρόπο το μέτωπο θα επιβιώσει από τις κορυφές και θα είναι προβλέψιμα γρήγορα και ασφαλής.