如何保护您的Rancher网络应用程序,让我们在Ubuntu 16.04上加密

使用TLS / SSL保护网络应用程序,只有在处理敏感信息的应用程序时才被认为是必要的,因为获得官方证书有成本并需要额外的设置。 [让我们...

介绍

使用TLS / SSL保护网络应用程序,只有在处理敏感信息的应用程序时才被认为是必要的,因为获得官方证书有成本并需要额外的设置。 让我们加密让我们以自动化的方式创建官方证书,而不需要任何代价,这意味着我们可以将这一层安全性添加到任何网站,而无需权衡。

Rancher通过易于使用的仪表板以直观的方式管理Docker容器。 Rancher有一个我们可以立即部署的流行应用程序目录 ,包括可以生成证书的Let's Encrypt服务,并在必要时还会进行更新。 创建后,证书将存储在Rancher中,可用于任何并发症。

设置Let's Encrypt in Rancher的过程包括三个主要步骤:我们部署Let's Encrypt服务,将其生成的证书应用于负载平衡器,并将HTTP设置为HTTPS重定向。 本教程将引导您完成整个过程。

先决条件

要完成本教程,您将需要:

  • 一台安装了Rancher的1GB Ubuntu 16.04服务器。 要配置此操作,请参阅如何在Ubuntu 16.04上使用Rancher和Docker Machine管理多节点部署的教程。 您将在该教程中创建其他服务器,作为Docker容器的主机。
  • 使用Rancher部署的使用Rancher内置负载平衡器服务的应用程序。 虽然您可以使用任何应用程序(包括Rancher目录中的应用程序)来了解本教程,但还可以查看有关如何在Ubuntu 16.04上部署使用Rancher的Node.js和MongoDB应用程序的指南,以开始使用。 无论选择哪种路由,请确保您的配置使用Rancher的内置负载平衡器服务将请求转发到应用程序容器。
  • 具有your_domain的A记录的完全限定域名(FQDN)指向运行Rancher负载平衡器服务的主机的公共IP地址。 这是必需的,因为我们如何加密验证您拥有正在颁发证书的域名。 您可以按照教程如何使用DigitalOcean设置主机名来配置此记录。 在开始本教程之前,请确保您可以在http:// your_domain上查看部署的应用程序。

第1步 - 部署我们的加密服务

我们将把Let's Encrypt服务部署为Docker容器,该容器将在我们的Rancher主机之间托管。 该过程包括从Rancher目录中选择Let's Encrypt服务并填写所需的信息。 完成此步骤后,您将在Rancher中提供证书。 最重要的是,在接近到期时,服务将自动续订证书,而您无需采取任何进一步措施。

要开始,请点击Rancher用户界面顶部的Catalog菜单。 然后搜索Let's Encrypt服务。 找到它后,单击“ 查看详细信息 ”按钮,然后按照以下步骤配置服务:

  1. 选择最新的模板版本。 本教程使用版本0.4.0
  2. 给新应用程序一个独特的名称。 我们将在本教程中称之为证书 ,但任何名称都可以正常工作。
  3. 如果您同意这些条款,请在阅读信息后,选择“ 我同意加入TOS”字段的“是”选项。
  4. 选择Let's Encrypt API的Production版本。
  5. 在“ 电子邮件地址”字段中输入有效的电子邮件地址。
  6. 对于证书名称 ,输入证书的名称 ,以便您可以在Rancher的用户界面中轻松识别它。 您可以使用您的域名。
  7. 对于域名 ,输入要保护的域名。 如果要保护多个域,请输入每个域,并用逗号分隔。
  8. 对于公共密钥算法 ,选择默认的RSA-2048 ,这是Web应用程序中最常用的算法,或者选择一种符合您需求的算法。
  9. 对于续订时间选择您希望更新证书的一天中的UTC时间。 默认值12将正常工作,除非您有一些特定的限制。
  10. 对于域验证方法 ,请为本教程选择HTTP 还有其他可以选择的方法可以与您为域使用的DNS提供商配合使用。 DigitalOcean与Cloudflare,DNSimple,Dyn,Gandi,Ovh,Route53和Vultr一起列入名单。 HTTP选项的工作原理,无论提供者如何,是我们将在本教程中使用的方法。
  11. 其余字段与特定DNS提供程序相关。 由于您选择了HTTP方法,您可以将其留空。
  12. 接下来, 在创建复选框取消选中启动服务 在我们进行一些额外的配置更改后,我们将启动该服务。
  13. 最后,点击页面底部的启动按钮启动服务,等待部署。

接下来,我们需要告诉Racher的负载平衡器服务,将/.well-known/acme-challenge请求/.well-known/acme-challenge到我们的新证书服务。 没有了,我们加密将无法验证我们是域的所有者。 按照以下步骤完成此过程:

  1. 在Rancher找到您的负载平衡器服务,然后单击其升级/编辑按钮。
  2. 添加新的服务规则
  3. 对于新的规则:
    1. 确保Access设置为Public
    2. 确保协议设置为HTTP
    3. 确保端口设置为80
    4. 设置路径/.well-known/acme-challenge
    5. 目标设置为证书服务。
  4. 向上箭头,以确保它是列表中的第一个服务。
  5. 按屏幕底部的编辑保存配置。

根据新的规则,启动Let's Encrypt服务:

  1. 通过选择界面顶部的“ 堆叠 ”菜单找到您的证书
  2. 选择证书以显示letsencrypt服务。
  3. 开始按钮启动服务。

此时,我们的加密服务应该运行,并且将创建一个证书。 该过程可能需要5到15分钟。 选择基础设施菜单,然后选择证书以查看证书。 在短时间内,您会看到新证书出现,尽管您可能需要刷新页面。 一旦您看到证书,您可以将其与您的应用程序一起使用。

第2步 - 将证书与应用程序链接

一旦在Rancher中提供了Let's Encrypt证书,您可以选择它在Rancher Load Balancer服务中使用。 为此,您将更改负载平衡器中的规则以使用HTTPS并应用证书。 按照以下步骤进行这些配置更改:

  1. 在Rancher找到您的负载平衡器服务,然后按升级/编辑按钮访问其设置。
  2. 在“ 端口规则”部分中,查找将请求转发到应用程序的条目,并将协议更改为HTTPS ,并将请求主机端口更改为443 ,这是HTTPS的默认端口。
  3. 转到页面底部的“ SSL终止 ”选项卡,然后在“ 证书”字段中选择要使用的证书 如果要添加多个证书,可以在“ 备用证书”字段中选择它们。 当您选择证书时,它会自动链接到相应的域。
  4. 点击页面底部的创建按钮。

如果您使用HTTPS协议( https:// your_domain )访问该网站,则可以看到该连接现在是安全的。 但是,由于您使用端口443替换端口80 ,所以通过HTTP的任何请求将不再工作。 为了解决这个问题,我们可以添加我们以前使用的HTTP和端口80的规则,而是调整我们的负载平衡器,将流量从HTTP重定向到HTTPS。 这样可以确保人们始终以安全的方式访问该网站。

第3步 - 将HTTP重定向到HTTPS

Rancher负载平衡器服务支持自定义HAProxy配置设置。 我们将使用该功能来包含一些将HTTP的所有流量重定向到HTTPS的配置。 本节中的方法利用您之前配置的Let's Encrypt服务,因为它正在监听端口80以转发域验证请求。

要设置重定向,请在Rancher中找到负载均衡器服务,然后按升级/编辑按钮访问设置,如同前面步骤中所述。 出现设置页面后,选择页面底部的自定义haproxy.cfg选项卡。

添加以下代码片段来创建重定向:

自定义haproxy.cfg
frontend 80
acl lepath path_beg -i /.well-known/acme-challenge
redirect scheme https code 301 if  !lepath !{ ssl_fc }

这将为负载平衡器创建一个规则,将所有流量重定向到HTTPS,但忽略为我们为加密域验证配置的/.well-known/acme-challenge路径的请求。 我们使用code 301来表示我们要永久重定向到此域。 要了解有关重定向设置的更多信息,可以查看HAProxy文档

单击页面底部的编辑按钮以应用这些更改。

此时,每次访问者通过HTTP访问网站时,都会将其重定向到HTTPS,从而使网站安全。 现在我们可以继续测试我们的网站。

第4步 - 测试安装程序

要测试您的网站,请使用HTTP协议( http:// your_domain )在Web浏览器中打开该地址,然后在地址栏中查找安全指示器。 您还可以使用curl实用程序通过执行以下命令来测试它,该命令向服务器发送请求,遵循任何重定向,并仅返回响应头:

curl -I -L http://your_domain

您应该看到如下结果:

HTTP/1.1 301 Found
Cache-Control: no-cache
Content-length: 0
Location: https://your_domain/
Connection: close

HTTP/1.1 200 OK
Cache-Control: public, max-age=0
Content-Type: text/html; charset=utf-8
Vary: Accept-Encoding
Date: Sun, 19 Feb 2017 03:42:47 GMT

第一个输出块显示当首次通过HTTP请求网站时发出响应,表示找到该位置,但该位置现在位于另一个地址中。 注意301 Found部分,它告诉你,我们添加的HAProxy规则是有效的。 Location部分显示所请求资源的新位置。 第二个输出块显示curl跟随重定向到新位置。 它还显示网站已经在新的位置找到,如200 OK响应所示。

结论

在本教程中,您可以使用Rancher和Let's Encrypt服务在网站上设置HTTPS。 获得一个安全的网站现在比以往任何时候都更容易,您不用担心不断更新证书或设置其他任务工具。 而与Rancher一起,您可以扩展您的基础架构,以满足未来的需求。


分享按钮