NGINX Open Source com Balanceamento de Carga e Persistência de Sessão
Atualmente, a maioria dos sistemas disponíveis na Internet são críticos e precisam ficar online todo o tempo. O Balanceamento de Carga é uma opção para que os serviços fiquem disponíveis com uma Alta Disponibilidade e o NGINX Open Source se mostra uma excelente escolha para tal cenário.
[ Hits: 14.799 ]
Por: Fabiano Furtado em 29/09/2016
Aumentando a segurança
Seguem algumas dicas para aumentarmos a segurança desta configuração proposta:
Desvantagens:
- Utilizar um hash único para cada nome de backend nas diretivas map e split_clients ao invés dos nomes reais dos servidores backend. Como exemplo podemos substituir o nome backend1 por 5C1ED1EB3AC25804C4DB999FB7ADAD4C;
- Utilização do cookie HttpOnly[11].
Vantagens e desvantagens desta proposta
Vantagens:- Utilização do NGINX[1] Open Source sem a necessidade de realizar a compilação de módulos de terceiros, aumentando a segurança e estabilidade deste serviço crítico;
- Os servidores backend não precisam ser reconfigurados para utilizar este cenário;
- Os nomes dos servidores backend podem ser trocados por hashes distintos, melhorando a segurança do ambiente;
Desvantagens:
- A diretiva split_clients não faz o balanceamento exato dos clientes, pois é baseada em uma função randômica do sistema operacional, mas cumpre bem a sua função quando há uma grande quantidade de clientes se conectando;
- Dependendo do objetivo, a configuração fica onerosa para colocar um servidor backend em manutenção;
NGINX Plus
O módulo sticky já vem por padrão na versão comercial do NGINX chamada de NGINX Plus[12]. Este módulo[13] consegue desempenhar a função de persistência de sessão com a desvantagem de ter que se obter uma licença comercial.Conclusão
A partir da versão 1.7.2 do NGINX Open Source, podemos fazer LB com persistência de sessão de forma eficiente sem a utilização de módulos de terceiros. Por se tratar de um serviço crítico que pode ser disponibilizado na Internet, a utilização do NGINX sem a compilação de módulos adicionais tende a melhorar a estabilidade e segurança deste serviço.Referências Bibliográficas
- [1] http://nginx.org/
- [2] http://nginx.org/en/docs/http/load_balancing.html
- [3] http://nginx.org/en/docs/http/ngx_http_upstream_module.html#ip_hash
- [4] http://nginx.org/en/docs/http/load_balancing.html#nginx_load_balancing_with_ip_hash
- [5] http://pt.wikipedia.org/wiki/Network_address_translation
- [6] http://nginx.org/en/docs/http/ngx_http_upstream_module.html#hash
- [7] http://nginx.org/en/docs/http/ngx_http_map_module.html#map
- [8] http://nginx.org/en/docs/http/ngx_http_split_clients_module.html
- [9] http://nginx.org/en/docs/http/ngx_http_upstream_module.html#server
- [10] https://bitbucket.org/nginx-goodies/nginx-sticky-module-ng
- [11] https://www.owasp.org/index.php/HttpOnly
- [12] http://nginx.com/
- [13]http://nginx.com/products/session-persistence/
Páginas do artigo
1. Introdução2. Primeiro acesso do cliente: recebendo o cookie "route" do servidor
3. Colocando o servidor backend em manutenção: Minimizando a perda de sessão
4. Aumentando a segurança
Outros artigos deste autor
Nenhum artigo encontrado.
Leitura recomendada
Interação entre MLdonkey e Mozilla no Linux
Força-tarefa brasileira disponibiliza versão do TikiWiki em Português do Brasil
tzwatch - Navegando pelo horário mundial no Debian
ONLYOFFICE: um escritório na nuvem para gerenciar projetos e editar documentos
Comentários
[1] Comentário enviado por mpsnet em 30/09/2016 - 10:42h
Parabéns pelo artigo.
Pretendo utilizar seu artigo para aprimorar meu sistema. Mas desculpe minha ignorância;
- como configuro os outros backends (tem que instalar o nginx neles) ?
- como faço para configurar/gerar o hash nos backends ?
Grato
Parabéns pelo artigo.
Pretendo utilizar seu artigo para aprimorar meu sistema. Mas desculpe minha ignorância;
- como configuro os outros backends (tem que instalar o nginx neles) ?
- como faço para configurar/gerar o hash nos backends ?
Grato
[2] Comentário enviado por fusca em 30/09/2016 - 13:06h
Obrigado mpsnet!
Olha... não existe ignorância. Ninguém nasce sabendo de nada. Basta um pouco de estudo, dedicação e compromisso com aquilo que se deseja alcançar que a sabedoria aparece.
Sobre a primeira pergunta, os backends não precisam do NGINX. Por se tratar de um proxy reverso, somente a borda precisa dele instalado. No NGINX, basta colocar mais backend na conf, exemplo... backend3, backend4, ....
Em relação à outra dúvida, o HASH é utilizado para "esconder" o nome real dos seus backends. Você pode usar qualquer nome (exemplo: b1, b2, b3, ...), mas, por questões de segurança, sugiro você usar um HASH, pois o mesmo aparece no cookie enviado para o cliente. No Linux, vc pode usar o comando "sha1sum" ou "sha224sum" ou "sha256sum" ou "sha384sum" ou "sha512sum" para gerar o HASH.
Espero ter ajudado.
[1] Comentário enviado por mpsnet em 30/09/2016 - 10:42h
Parabéns pelo artigo.
Pretendo utilizar seu artigo para aprimorar meu sistema. Mas desculpe minha ignorância;
- como configuro os outros backends (tem que instalar o nginx neles) ?
- como faço para configurar/gerar o hash nos backends ?
Grato
Obrigado mpsnet!
Olha... não existe ignorância. Ninguém nasce sabendo de nada. Basta um pouco de estudo, dedicação e compromisso com aquilo que se deseja alcançar que a sabedoria aparece.
Sobre a primeira pergunta, os backends não precisam do NGINX. Por se tratar de um proxy reverso, somente a borda precisa dele instalado. No NGINX, basta colocar mais backend na conf, exemplo... backend3, backend4, ....
Em relação à outra dúvida, o HASH é utilizado para "esconder" o nome real dos seus backends. Você pode usar qualquer nome (exemplo: b1, b2, b3, ...), mas, por questões de segurança, sugiro você usar um HASH, pois o mesmo aparece no cookie enviado para o cliente. No Linux, vc pode usar o comando "sha1sum" ou "sha224sum" ou "sha256sum" ou "sha384sum" ou "sha512sum" para gerar o HASH.
Espero ter ajudado.
[1] Comentário enviado por mpsnet em 30/09/2016 - 10:42h
Parabéns pelo artigo.
Pretendo utilizar seu artigo para aprimorar meu sistema. Mas desculpe minha ignorância;
- como configuro os outros backends (tem que instalar o nginx neles) ?
- como faço para configurar/gerar o hash nos backends ?
Grato
[4] Comentário enviado por rdgovieira em 16/06/2018 - 13:24h
Muito bom o artigo, consegui entender e aplicar na minha infraestrutura com sucesso.
Muito obrigado!
Muito bom o artigo, consegui entender e aplicar na minha infraestrutura com sucesso.
Muito obrigado!
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Trabalhando Nativamente com Logs no Linux
Jogando Daikatana (Steam) com Patch 1.3 via Luxtorpeda no Linux
LazyDocker – Interface de Usuário em Tempo Real para o Docker
Dicas
Linux Mint: Zram + Swapfile em Btrfs
O widget do Plasma 6 Área de Notificação
Tópicos
Pendrive do Ubuntu 24.04 travando ao tentar fazer a instalação dual bo... (1)
Instalar Dual Boot, Linux+Windows. (13)
tentei instalar o steam pelo terminal, agora ele não abre (3)
Top 10 do mês
-
Xerxes
1° lugar - 111.949 pts -
Fábio Berbert de Paula
2° lugar - 56.585 pts -
Buckminster
3° lugar - 28.481 pts -
Mauricio Ferrari (LinuxProativo)
4° lugar - 17.799 pts -
Alberto Federman Neto.
5° lugar - 17.824 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 17.697 pts -
Diego Mendes Rodrigues
7° lugar - 16.658 pts -
edps
8° lugar - 16.107 pts -
Daniel Lara Souza
9° lugar - 15.656 pts -
Andre (pinduvoz)
10° lugar - 15.263 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
