13 Jun
2020
13 Jun
'20
12:24 p.m.
Ahoj,
2) Šifrování mezi proxy a backendem
Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
jsem se chtěl zeptat, zda byste v našem prostředí považovali za
bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda
to není overkill.
tady jen doplním, že pokud nechceš, Nginx _nemusí_ vystupovat v roli TLS
termination proxy. Jinak řečeno Nginx umí celý ten stream vzít a podle
SNI hlavičky předat dále na konkrétní stroj. Konfiguruje se to pak ve
"stream" direktivě, nikoli "http". Výhoda je mj. i ta, že takto můžeš
obsloužit nikoli jen HTTPS, ale cokoli, co lze do TLS zabalit.
A jinak Nginx umí také proxy protocol převzatý z HAProxy, takže i tímto
způsobem umí předat TLS stream dále (včetně informace o source IP).
Reverse proxy != TLS termination proxy, záleží čistě na Tobě, kde chceš
TLS ukončit. Argumentů pro různé varianty je hodně.
Radek Zajíc tady dal dříve odkaz na pěknou a srozumitelnou přednášku z
Mythic Beasts, tuším i tam to zmiňovali, jak to mají vyřešené.
Petr