F5XC – Advanced Application Networking
Je travaille avec des équilibreurs de charge et des proxys depuis longtemps, et il est vraiment important de savoir comment les applications sont publiées auprès des clients. En tant qu'ingénieurs techniques, nous devons savoir comment les applications sont acheminées lorsqu'il existe un proxy entre les serveurs réels et les clients. Nous devons étudier le fonctionnement de SNI, la manière dont les certificats sont validés côté client et côté serveur, etc. Dans cet article, je vais écrire sur la mise en réseau d'applications avancées dans les services F5XC.
Un Distributed Cloud Services Virtual Host est un proxy inverse qui permet d'accéder aux destinations situées dans les réseaux internes tandis que les clients se trouvent dans le réseau externe. Virtual Host est la configuration principale d'un proxy et ne peut être configuré qu'en tant que proxy inverse. Comme tout proxy inverse, les demandes des utilisateurs sont envoyées au BIG-IP annoncé par la passerelle Distributed Cloud Services ou à l'IP de l'interface. Cela se fait en configurant le domaine spécifié pour le Virtual Host avec le DNS centré sur le BIG-IP ou l'IP de l'interface.
Virtual Host prend en charge les entrées de domaine génériques pour desservir plusieurs sous-domaines au sein du domaine. En créant et en manipulant des routes, nous pouvons contrôler plusieurs services à partir d'un seul Virtual Host. Le point de terminaison distant doit être configuré et il sera mandaté localement, mais le point de terminaison peut être localisé à distance d'où le trafic serait demandé.
Voici les éléments clés qui doivent être configurés pour le Virtual Host. Domaines, type de proxy, routes, cluster, points de terminaison et politiques publicitaires. Un proxy HTTP fonctionne entre le serveur Web d'envoi et le client Web de réception. Il traite le protocole HTTP ligne par ligne pour tout contenu potentiellement dangereux avant de l'envoyer au client Web interne. Il s'agit également d'un buffer entre le serveur Web et les clients Web potentiellement dangereux en renforçant la conformité HTTP RFC et en empêchant les attaques potentielles par attaques d’overflow.
Les clients configurent l'adresse IP virtuelle et importent le proxy HTTP-Connect en tant que proxy système ou via un fichier PAC pour servir des points de terminaison spécifiques. Une fois le tunnel établi vers le proxy, les demandes sont transmises au point de terminaison distant. L'interception TLS peut être activée dans ce type de proxy pour les requêtes HTTPS. L'interception TLS permet aux proxys F5XC d'intercepter les sessions HTTPS des utilisateurs et d'appliquer des transformations en upstream/downstream.
À l'aide d'un certificat signé configurable, une connexion TLS est établie avec le véritable point de terminaison de destination. Le proxy vérifie que le certificat du point de terminaison de destination réel est valide à l'aide de la liste des autorités de certification de confiance. Si la vérification échoue, une erreur 503 est envoyée au client.
Êtes-vous intéressé par ce type de réseau ?
Commentaires
Enregistrer un commentaire