[vpsFree.cz: community-list] Nginx proxy, SSH
Petr Kutalek
petr at kutalek.cz
Sat Jun 13 14:24:31 CEST 2020
Ahoj,
> 2) Šifrování mezi proxy a backendem
>
> Myslím, že v tom samém vlákně Snajpa psal něco ve smyslu, že na síti
> mezi VPS je těžké odposlechnout provoz (myslím, že se tam řešili
> privátní vlany nebo tak něco). Úplně se v tomhle neorientuji a proto
> jsem se chtěl zeptat, zda byste v našem prostředí považovali za
> bezpečné, kdybych SSL spojení ukončoval na proxy a mezi proxy a
> backendem posílal jen klasické HTTP? Na webu Nginxu jsem našel, že je
> možné mezi proxy a backendem rozjet také SSL spojení, ale nevím, zda
> to není overkill.
tady jen doplním, že pokud nechceš, Nginx _nemusí_ vystupovat v roli TLS
termination proxy. Jinak řečeno Nginx umí celý ten stream vzít a podle
SNI hlavičky předat dále na konkrétní stroj. Konfiguruje se to pak ve
"stream" direktivě, nikoli "http". Výhoda je mj. i ta, že takto můžeš
obsloužit nikoli jen HTTPS, ale cokoli, co lze do TLS zabalit.
A jinak Nginx umí také proxy protocol převzatý z HAProxy, takže i tímto
způsobem umí předat TLS stream dále (včetně informace o source IP).
Reverse proxy != TLS termination proxy, záleží čistě na Tobě, kde chceš
TLS ukončit. Argumentů pro různé varianty je hodně.
Radek Zajíc tady dal dříve odkaz na pěknou a srozumitelnou přednášku z
Mythic Beasts, tuším i tam to zmiňovali, jak to mají vyřešené.
Petr
More information about the Community-list
mailing list