GH GambleHub

SSL 종료 및 밸런서

간단한 요약

SS/TLS 종료는 응용 프로그램에서 암호화로드를 제거하고 L7 라우팅, WAF, 속도 제한, mSL, 카나리아 릴리스로 연결됩니다. 주요 솔루션: TLS를 종료하는 곳 (에지/잉크리스/내부 메쉬), 사용할 암호 프로파일 (L4 vs L7), 다운 타임없이 인증서를 업데이트하는 방법, SLO에서 p95 대기 시간 및 오류를 유지하는 방법.

TLS를 끝낼 곳

최소 사용자 대기 시간, 전역 보호, 캐시/봇 제어. 또한 백엔드로 다시 암호화합니다.
링크시 L7 (Nginx/Envoy/HAProxy/ALB): 미세 인증/헤더 라우팅, mSL, JWT 검증.
엔드 투 엔드 TLS (통과 L4): 포드/서비스 전에 엔드 투 엔드 mTLS가 필요한 경우 (예: 엄격한 준수 영역).
서비스 메시 (Envoy/Istio/Linkerd): 클러스터 내 자동 mSL, 정책 및 원격 측정.

연습: 더 자주-에지 종료 → 다시 암호화하여 진입; PII/결제-서비스 전 mTLS.

L4 vs L7 밸런싱

L4 (할 수 없음): 최소 지연, 간단한 건강 검진 (포트/계정), 통과 TLS. L7 기능이 부족한 경우 TLS에서 gRPC에 적합합니다.
L7 (HTT/HTTPS/HTTP3): 호스트/경로/헤더/쿠키 라우팅, WAF, 속도 제한, 카나리아 릴리스, 끈적 끈적한 세션, 배송/타임 아웃.

TLS: 버전, 키, 암호

버전: TLS 1. 어디에서나 3, TLS 1. 대체 2입니다. 1을 사용하지 않습 0/1. 1.
키/서트: ECDSA (P-256) - RSA보다 빠릅니다. 고대에는 두 번 쌓을 수 있습니다.
ALPN: 'h2' 겠습니다 'http/1. 1`; HTT/3- 'h3' (QUIC/UDP) 의 경우.
OCSP 스테이플 링: 포함; 공개 도메인의 HSTS.
주요 수영장: KMS/HSM에 보관; 자동 갱신 (ACME/트러스트 트리).
0-RTT (TLS 1. 3): 포인트 (GET/idempotent) 를 포함하고 재생의 위험을 고려하십시오.

기본 암호 프로파일 (SL 1. 2): 'ECDHE-ECDSA-AES256-GCM-CHA384: ECDHE-ECDSA-CHACHA20-POLY1305: ECDHE-RSA- AES256-GCM-SHA384: ECDHE-RSACHA20-POLY1305'

TLS 성능

재개: 세션 티켓/ID-악수 비용 절감.
ECDA + ChaCha20은 모바일/비 AES-NI를 지원합니다.
OCSP 스테이플 링 + 짧은 체인은 p95를 줄입니다.
TP/2/3: 멀티플렉싱, 더 적은 연결 → p95 미만.
오프로드: 암호화 용 핀 CPU 코어, 리즈 포트 활성화, 소켓 버퍼 튜닝.

안전

mTLS: 관리자/API 명령문에 클라이언트 인증이 필요합니다. 취소를 위한 인증서/OCSP.
SNI/ECH: SNI-표준; ECH (Encr. ClientHello) 는 도메인을 숨 깁니다 (에지 공급자가 지원하는 경우).
엄격한 전송 보안 (HSTS): 처음에는주의해서 생산 영역.
홉 간의 TLS: DC (Zero-Trust) 내부에서도 암호화를 다시 사용합니다.
속도 제한/회색 소는: L7에서 봇/브루트 힘으로부터 아피를 보호합니다.

관찰 및 SLO

SLO (예)

p95 TLS 핸드 셰이크

(PHP 3 = 3.0.6, PHP 4) 1%.
반복 방문시 이력서 비율이 70% 이상입니다.

메트릭

'handshake _ time', 'tls _ version', 'alpn', 'cert _ represenry _ day', 'ocsp _ staple _ state'.
L7: 'p50/p95/p99', '5xx', '429', 'upstream _ rq _ time', '다시 시도'.
용량: 활성 연결, CPS (초당 연결), RPS.

전형적인 구성 요소

Nginx (L7이 종료되면 + 상위/2 + OCSP 스테이플링)

nginx server {
listen 443 ssl http2 reuseport;
server_name api.example.com;

ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:...:ECDHE-RSA-CHACHA20-POLY1305';
ssl_ecdh_curve X25519:P-256;
ssl_certificate   /etc/ssl/cert.pem;    # полная цепочка ssl_certificate_key /etc/ssl/key.pem;
ssl_stapling on; ssl_stapling_verify on;
ssl_session_cache shared:SSL:50m; ssl_session_timeout 1d;

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

location / {
proxy_set_header Host $host;
proxy_set_header X-Forwarded-Proto https;
proxy_pass https://upstream_pool;
}
}

upstream upstream_pool {
zone backends 64k;
server 10.0.1.10:8443 max_fails=3 fail_timeout=10s;
server 10.0.1.11:8443 max_fails=3 fail_timeout=10s;
keepalive 256;
}

HAProxy (L7 종료 + stickiness + mTLS 백엔드)

haproxy frontend fe_https bind:443 ssl crt /etc/haproxy/certs/ alpn h2,http/1.1 mode http http-response set-header Strict-Transport-Security max-age=31536000 default_backend be_api

backend be_api mode http balance roundrobin cookie SRV insert indirect nocache option httpchk GET /healthz server s1 10.0.1.10:8443 check ssl verify required ca-file /etc/haproxy/ca.pem server s2 10.0.1.11:8443 check ssl verify required ca-file /etc/haproxy/ca.pem

특사 (고객 + 카나리아에서 L7 종료 + mTLS)

yaml static_resources:
listeners:
- name: https address: { socket_address: { address: 0.0.0.0, port_value: 443 } }
filter_chains:
- filters:
- name: envoy.filters.network.http_connection_manager typed_config:
"@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager stat_prefix: ingress route_config:
virtual_hosts:
- name: api domains: ["api.example.com"]
routes:
- match: { prefix: "/" }
route:
weighted_clusters:
clusters:
- name: api-stable weight: 95
- name: api-canary weight: 5 http_filters:
- name: envoy.filters.http.router transport_socket:
name: envoy.transport_sockets.tls typed_config:
"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.DownstreamTlsContext common_tls_context:
tls_certificates:
- certificate_chain: { filename: "/etc/tls/cert.pem" }
private_key:   { filename: "/etc/tls/key.pem" }
validation_context:       # mTLS (опционально)
trusted_ca: { filename: "/etc/tls/ca.pem" }
require_client_certificate: true

AWS ALB/NLB (개념)

ALB (L7 종료): HTTPS 청취자 443 (SL 1. 2/1. 3), 대상 그룹 HTTP: 8443, 건강 검진 '/건강 ', 끈적 끈적함 (쿠키).
NLB (L4 통과): TLS 청취자 443, 져 건강 검진, 엔드 투 엔드 SNI 포드.
CloudFront/Cloudflare: SL 엣지 + WAF + 봇 관리; 원점-HTTPS 만 해당.

다운 타임없이 인증서 업데이

자동 업데이트 및 핫 재부팅 기능이있는 ACME (암호화/개인 CA) (Nginx '재 장전', 특사 SDS).
마이그레이션을위한 이중 인증서 (ECDSA + RT).
체인 모니터링: 중간 CA 검사; 회전 후 OCSP 스테이플 링.
경고: 'cert _ represenry _ day <21' 및 'ocsp _ state! = Good'.

건강 점검 및 라우팅

L4: 계속 연결하세요. 인터넷 핸드셰이크.
L7: HT200/JSON 토큰 버전, gRPC 상태.
정치인: 끈적 끈적한 장애, 가중, 대기 시간, 일관된 해시 (쿠키/IP).
배상/타임 아웃: 지속성과 중복 요청 간의 균형 (demotency!).

쿠 베르네 테스 패턴

Ingress Controller (Nginx/Envoy/HAProxy): Intress 종료, DNA 레코드의 경우 'ExternalDNA', ACME의 경우 'cert-manager'

게이트웨이 API: 카나리아가있는 선언적 TLSRoute/HTTPRoute.
서비스 메시: 자동 mSL 포드 포드, 'PeerAuthency '/' DestinationRule' 레벨의 정책.

안전 점검표

  • TLS 1. 3 포함; 1. 0/1. 1이 꺼졌습니다.
  • 현대 암호; 지원이 허용되는 ECDSA 서트.
  • OCSP 스테이플링, 완전한 체인, HSTS.

관리자/상호 연결을위한 [] mTLS; 클라이언트 종자의 취소.

  • 가장자리의 속도 제한/봇 필터; 느린 로리/대형 헤더로부터 보호합니다.
  • 백엔드로 재 암호화 (제로 트러스트).
  • KMS/HSM의 비밀/키; 회전 및 발행 감사.

관찰 및 경고

함수는 다음과 같습니다.
로그: SNI/ALPN/SL 버전, 암호, 클라이언트 인증서 (mTLS 용), 업스트림 코드, 대기 시간 분류.
경고: 성장 '5xx/525', 가을 재개, 'cert _ represenry _ day', 'ocsp _ falled', 초과 p95, 스파이크 '429'.

일반적인 실수

가장자리에서 종료하고 보호없이 일반 HTTP를 안쪽으로 종료합니다.
과도하게 긴 CA 체인 → p95 핸드 셰이크의 성장.
클라이언트/브라우저에서 OCSP 스테이플링 → 차단이 없습니다.
손상된 노드에서 장애물을 고려하지 않고 끈적 끈적한 세션 → "고착".
요청 → 재 제출 위험을 수정하기 위해 0-RTT를 사용할 수 있습니다.
뜨거운 재 장전 세르 부족 → 회전 중 두 번째 방울.

iGaming/fintech의 특성

봉우리 (토너먼트/매치): 예열 된 SL 세션 (사전 연결), 짧은 체인, 높은 비율의 재개, 전선의 경우 TP/2/3.
결제 게이트웨이/PSP: mSL, 엄격한 암호/버전, 엄격한 규칙에 따라 고정 된 CA, 개별 도메인/ALB.
사기 방지/봇 필터: 별도의 도메인에서 IP/ASN/장치 지문, 카나리아 회색 황소 (챌린지/캡차) 별 L7 속도 제한.
규제: HSTS, 감사 된 SL 로그, 버전 보고서, 사고에 대한 클라이언트 종자 리콜.

미니 플레이 북

L7 밸런서를 통한 카나리아 출시

1. 무게가 5% 인 'api-canary' 클러스터를 추가하십시오. 2) p95/오류를 감시하십시오. 3) 5→25→50→100%; 4) 분해 중 자동 단축.

비상 인증서 회전

1. 새 인증서/키를 다운로드하십시오. 2) 연결을 끊지 않고 '재 장전' (SDS/핫 스왑); 3) OCSP 검사; 4) 대시 보드 p95 핸드 셰이크.

모든 편지 선택 (c)

1. UDP/443을 엽니 다. 2) ALPN 'h3' 추가; 3) 개별 QUIC 손실/RTT 지표; 4) 고객 점유율 별 A/B.

결과

Effective SSL 종료는 최신 SL 프로파일, 올바른 종료 위치, 스마트 L7 라우팅, 관찰 가능성 및 강력한 보안 (mSL, HSTS, 재 암호화) 입니다. IaC에 모든 것을 잠그고, 회전을 자동화하고, p95/오류를 측정하고, 카나리아를 사용하십시오.

Contact

문의하기

질문이나 지원이 필요하시면 언제든지 연락하십시오.우리는 항상 도울 준비가 되어 있습니다!

통합 시작

Email — 필수. Telegram 또는 WhatsApp — 선택 사항.

이름 선택 사항
Email 선택 사항
제목 선택 사항
메시지 선택 사항
Telegram 선택 사항
@
Telegram을 입력하시면 Email과 함께 Telegram에서도 답변드립니다.
WhatsApp 선택 사항
형식: +국가 코드 + 번호 (예: +82XXXXXXXXX).

버튼을 클릭하면 데이터 처리에 동의하는 것으로 간주됩니다.