GH GambleHub

فسخ SSL و متعادل کننده ها

خلاصه ای کوتاه

خاتمه SSL/TLS بار رمزنگاری را از برنامه ها حذف می کند و راه را برای مسیریابی L7، WAF، rate-limit، mTLS، canary releases باز می کند. راه حل های کلیدی: پایان دادن به TLS (لبه/ورودی/داخل مش)، نحوه تعادل (L4 در مقابل L7)، کدام پروفایل های رمزنگاری برای استفاده، نحوه به روز رسانی گواهینامه ها بدون خرابی و نحوه نگه داشتن تاخیر p95 و خطاها در SLO.

TLS را کجا به پایان برسانیم

لبه (CDN/Anycast/WAF): حداقل تاخیر کاربر، حفاظت جهانی، کنترل کش/ربات. علاوه بر این - دوباره رمزگذاری به باطن.
در ورود L7 (Nginx/Envoy/HAProxy/ALB): مسیریابی URI/header خوب، mTLS، اعتبار سنجی JWT.
پایان به پایان TLS (از طریق L4): هنگامی که پایان به پایان mTLS قبل از غلاف/خدمات مورد نیاز است (به عنوان مثال منطقه انطباق دقیق).
مش سرویس (Envoy/Istio/Linkerd): mTLS درون خوشه ای خودکار، سیاست و تله متری.

تمرین: اغلب - پایان دادن به لبه → دوباره رمزگذاری برای ورود ؛ برای PII/پرداخت - mTLS قبل از سرویس.

تعادل L4 در مقابل L7

L4 (TCP/UDP): حداقل تاخیر، بررسی سلامت ساده (پورت/TCP)، TLS عبور. مناسب برای gRPC در TLS زمانی که کمبود ویژگی های L7 وجود دارد.
L7 (HTTP/HTTPS/HTTP3): مسیریابی میزبان/مسیر/هدر/کوکی، WAF، محدودیت نرخ، انتشار قناری، جلسات چسبنده، بازپرداخت/زمان.

TLS: نسخهها، کلیدها، رمزها

نسخه ها: TLS 1. 3 در همه جا، TLS 1. 2 به عنوان عقب نشینی غیرفعال کردن 1. 0/1. 1.
کلید/serts: ECDSA (P-256) - سریع تر از RSA ؛ شما می توانید دو پشته (ECDSA + RSA) برای دوران باستان.
ALPN: 'h2' и 'http/1. 1`; برای HTTP/3 - 'h3' (QUIC/UDP).

مهر و موم OCSP: عبارتند از ؛ HSTS در حوزه های عمومی

استخرهای کلیدی: ذخیره شده در KMS/HSM ؛ درخت اعتماد (ACME/trust tree)

0-RTT (TLS 1) 3): شامل نقطه (GET/idempotent)، در نظر گرفتن خطر پخش.

مشخصات رمز پایه (TLS 1. 2): ECDHE-ECDSA-AES256-GCM-SHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-RSA-CHACHA20-POLY1305 'APOSITION

عملکرد TLS

از سرگیری: بلیط جلسه/شناسه - کاهش هزینه دست دادن.
ECDSA + ChaCha20 کمک در تلفن همراه/غیر AES-NI.
OCSP منگنه + زنجیر کوتاه کاهش P95.
HTTP/2/3: چندگانه، اتصالات کمتر → کمتر از p95.
Offload: هسته CPU پین برای رمزنگاری، امکان استفاده مجدد، تنظیم بافر سوکت.

امنیت و ایمنی

mTLS: نیاز به مشتری-cert برای اظهارات admin/API ؛ CRL/OCSP برای لغو.
SNI/ECH: استاندارد SNI ؛ تکنولوژی (Encr. ClientHello) دامنه را پنهان می کند (اگر ارائه دهنده لبه آن را پشتیبانی کند).
امنیت حمل و نقل دقیق (HSTS): دامنه های تولید، با احتیاط در آغاز.
TLS بین هاپ: دوباره رمزگذاری به سرویس، حتی در داخل DC (صفر اعتماد).
Rate-limit/gray-oxen: در L7 API را از رباتها/brute-force محافظت می کند.

قابلیت مشاهده و SLO

SLO (نمونه)

p95 TLS-دست دادن ≤ 80-120 ms (جهانی)، p95 TTFB ≤ 200-300 ms.
خطای TLS (handshake/peer-verify) ≤ 0. 1%.
نسبت رزومه ≥ 70٪ برای بازدید های تکراری.

معیارهای اندازه گیری

'handshake _ time', 'tls _ version', 'alpn', 'cert _ expiry _ days', 'ocsp _ staple _ status'.
L7: 'p50/p95/p99', '5xx', '429', 'upstream _ rq _ time', 'retry _ budget'.
ظرفیت: اتصالات فعال، CPS (اتصالات در ثانیه)، RPS.

پیکربندی های نمونه

Nginx (خاتمه L7 + HTTP/2 + OCSP منگنه)

nginx server {
listen 443 ssl http2 reuseport;
server_name api.example.com;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve X25519:P-256;
ssl_certificate   /etc/ssl/cert.pem;    # полная цепочка ssl_certificate_key /etc/ssl/key.pem;
ssl_stapling on; ssl_stapling_verify on;
ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://upstream_pool;
}
}

upstream upstream_pool {
zone backends 64k;
server 10.0.1.10:8443 max_fails=3 fail_timeout=10s;
server 10.0.1.11:8443 max_fails=3 fail_timeout=10s;
keepalive 256;
}

HAProxy (خاتمه L7 + چسبندگی + mTLS به باطن)

haproxy frontend fe_https bind:443 ssl crt /etc/haproxy/certs/ alpn h2,http/1.1 mode http http-response set-header Strict-Transport-Security max-age=31536000 default_backend be_api

backend be_api mode http balance roundrobin cookie SRV insert indirect nocache option httpchk GET /healthz server s1 10.0.1.10:8443 check ssl verify required ca-file /etc/haproxy/ca.pem server s2 10.0.1.11:8443 check ssl verify required ca-file /etc/haproxy/ca.pem

نماینده (خاتمه L7 + mTLS از مشتری + قناری)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0.0.0.0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager stat_prefix: ingress route_config:
virtual_hosts:
- name: api domains: ["api.example.com"]
routes:
- match: { prefix: "/" }
route:
weighted_clusters:
clusters:
- name: api-stable weight: 95
- name: api-canary weight: 5 http_filters:
- name: envoy.filters.http.router transport_socket:
name: envoy.transport_sockets.tls typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext common_tls_context:
tls_certificates:
- certificate_chain: { filename: "/etc/tls/cert.pem" }
private_key:   { filename: "/etc/tls/key.pem" }
validation_context:       # mTLS (опционально)
trusted_ca: { filename: "/etc/tls/ca.pem" }
require_client_certificate: true

AWS ALB/NLB (مفهوم)

ALB (L7 خاتمه): شنونده HTTPS 443 (TLS 1. 2/1. 3)، HTTPs:8443 گروه هدف، بررسی سلامت/healthz، چسبندگی (کوکی).
NLB (L4 passthrough): TLS شنونده 443، TCP بررسی سلامت، پایان به پایان SNI به غلاف.
CloudFront/Cloudflare: لبه TLS + WAF + مدیریت ربات ؛ منبع - فقط HTTPS.

به روز رسانی گواهینامه ها بدون خرابی

ACME (Let's Encrypt/Private CA) با به روز رسانی خودکار و راه اندازی مجدد داغ (Nginx 'reload'، نماینده SDS).
گواهینامه های دوگانه (ECDSA + RSA) برای مهاجرت.
نظارت زنجیره ای: چک کردن CA های متوسط ؛ OCSP منگنه پس از چرخش.
هشدارها: «cert _ expiry _ days <21» و «ocsp _ status! = خوب».

بررسی سلامت و مسیریابی

L4: اتصال TCP، TLS دست دادن.
L7: نسخه HTTP 200/JSON token، سلامت gRPC.
سیاستمداران: failover, weighted, latency, consistent-hash (cookie/IP) for sticky.
Retrays/timeouts: تعادل بین تداوم و درخواست های تکراری (idempotency!).

الگوهای کوبرنتیز

کنترل کننده ورودی (Nginx/Envoy/HAProxy): ختم ورودی، 'ExternalDNS' برای سوابق DNS، 'cert-manager' برای ACME.
Gateway API: اعلام TLSRoute/HTTPRoute با قناری ها.
Service Mesh: automatic mTLS pod↔pod, policies at 'PeerAuthentication '/' DestinationRule' level.

چک لیست ایمنی

  • TLS 1. 3 شامل ؛ 1. 0/1. 1 خارج می شوند.
  • رمزهای مدرن ؛ خدمات ECDSA که در آن پشتیبانی اجازه می دهد.
  • OCSP منگنه، زنجیره کامل، HSTS.
  • mTLS برای مدیران/interconnects ؛ لغو سرویس های مشتری.
  • فیلترهای محدود/ربات در لبه ؛ حفاظت در برابر هدر های slowloris/بزرگ.
  • دوباره رمزگذاری به backends (صفر اعتماد).
  • اسرار/کلید در KMS/HSM ؛ چرخش و صدور حسابرسی.

قابلیت مشاهده و هشدارها

Метрики: TLS دست دادن/ثانیه، نرخ شکست، نرخ از سرگیری جلسه، OCSP، p95/99، اتصال باز، CPS، RPS.
سیاهههای مربوط: نسخه SNI/ALPN/TLS، رمزنگاری، گواهی مشتری (برای mTLS)، کدهای بالادست، خرابی تاخیر.
هشدارها: رشد «5xx/525»، از سرگیری پاییز، «cert _ expiry _ days»، «ocsp _ failed»، p95 اضافی، خوشه «429».

اشتباهات رایج

پایان دادن به لبه و ساده HTTP به سمت داخل بدون حفاظت.
زنجیره های CA بیش از حد طولانی → رشد دست دادن p95.
بدون OCSP منگنه → مسدود کردن در مشتریان/مرورگرها.
جلسات چسبنده بدون در نظر گرفتن failover → «چسبیده» بر روی یک گره تخریب شده.
0-RTT فعال برای تغییر درخواستها → خطر ارسال مجدد.
عدم وجود serts داغ مجدد → قطره دوم در طول چرخش.

ویژگی برای iGaming/fintech

قله (مسابقات/مسابقات): گرم کردن جلسات TLS (قبل از اتصال)، زنجیره های کوتاه، نسبت بالا از سرگیری، HTTP/2/3 برای جبهه.
دروازه های پرداخت/PSP: mTLS، رمزهای سخت/نسخه ها، CA پین شده، دامنه های فردی/ALB با قوانین سختگیرانه.
فیلترهای ضد گلوله/ربات: L7-rate-limit شده توسط IP/ASN/دستگاه اثر انگشت، گاو خاکستری قناری (چالش/captcha) در یک دامنه جداگانه.
تنظیم مقررات: HSTS، سیاهههای مربوط به TLS حسابرسی، گزارش نسخه، فراخوان سرتهای مشتری برای حوادث.

کتاب های کوچک

آزادی قناری از طریق تعادل L7

1. اضافه کردن یک خوشه «api-canary» با وزن 5٪ ؛ 2) برای p95/خطاها تماشا کنید ؛ 3) 5→25→50→100%; 4) خودکار کوتاه شدن در طول تخریب.

چرخش گواهی اضطراری

1. دانلود جدید CERT/کلید ؛ 2) «بارگیری مجدد» بدون رها کردن اتصالات (SDS/تعویض داغ) ؛ 3) بررسی OCSP ؛ 4) دست دادن داشبورد p95.

روشن کردن HTTP/3

1. UDP/443 را باز کنید 2) ALPN 'h3' را اضافه کنید ؛ 3) معیارهای فردی QUIC/RTT ؛ 4) A/B توسط سهم مشتری.

نتیجه گیری

خاتمه موثر SSL یک پروفایل TLS مدرن، محل خاتمه مناسب، مسیریابی هوشمند L7، قابلیت مشاهده و امنیت قوی (mTLS، HSTS، رمزگذاری مجدد) است. همه چیز را در IaC قفل کنید، چرخش خودکار، اندازه گیری p95/خطاها و استفاده از قناری ها - به این ترتیب جبهه از قله ها جان سالم به در می برد و به طور قابل پیش بینی سریع و ایمن خواهد بود.

Contact

با ما در تماس باشید

برای هرگونه سؤال یا نیاز به پشتیبانی با ما ارتباط بگیرید.ما همیشه آماده کمک هستیم!

شروع یکپارچه‌سازی

ایمیل — اجباری است. تلگرام یا واتساپ — اختیاری.

نام شما اختیاری
ایمیل اختیاری
موضوع اختیاری
پیام اختیاری
Telegram اختیاری
@
اگر تلگرام را وارد کنید — علاوه بر ایمیل، در تلگرام هم پاسخ می‌دهیم.
WhatsApp اختیاری
فرمت: کد کشور و شماره (برای مثال، +98XXXXXXXXXX).

با فشردن این دکمه، با پردازش داده‌های خود موافقت می‌کنید.