Вопрос или проблема
Итак, мой кейс следующий:
- 3 сервера с apache в настоящее время
- Работает Lets Encrypt
- 1 база данных
- Round Rubin DNS на AWS через CNAME
Итак, моя основная проблема заключается в следующем: у клиента есть платформа SaaS на Drupal с примерно 500 сайтами. Эти сайты не большие, но большинство из них имеют свои собственные доменные имена.
Также сайты часто меняются, поэтому за два месяца у вас может появиться 40 новых доменов и 50 удалить.
В настоящее время у нас есть универсальный сертификат на корневом домене, поэтому сайты с субдоменом на нем покрыты, но большинство сайтов имеют свои доменные имена с Lets Encrypt.
В настоящее время это немного болезненно, так как DNS управляется через CNAME, может потребоваться некоторое время, прежде чем сертификат будет обновлен или даже активирован, поскольку вероятность составляет 33%.
Кроме того, мы замечаем боты и атаки, поэтому хотели бы внедрить AWS WAF, но он доступен только на AWS ALB.
Однако… Поскольку у нас 500 сертификатов через Lets Encrypt и количество сайтов меняется, вы не можете поместить их на ALB.
Как вы думаете, какое решение будет наилучшим в этом случае?
Думал о настройке HA Proxy, получение сертификатов на этой машине, а затем передача их, но я не совсем уверен.
Уже спасибо за прочтение моего большого поста!
Сьяк
Ответ или решение
Уважаемый Сьяк,
Ваш проект по управлению 500+ сертификатами Let’s Encrypt на платформе SaaS Drupal и обеспечению надежной защиты через AWS вызывает интересные вызовы, которые требуют стратегического подхода. На основе предоставленной информации, позвольте мне предложить комплексное решение, которое может оптимизировать вашу инфраструктуру и обеспечить масштабируемость.
-
Управление сертификатами:
- Ваша текущая структура с Let’s Encrypt и большим количеством доменных имен предъявляет высокие требования к управлению сертификатами. Рекомендуется рассмотреть автоматизацию этого процесса.
- Используйте инструмент, подобный Certbot, в совокупности с DNS API провайдера, чтобы автоматизировать обновление сертификатов. Это может значительно сократить время, затрачиваемое на обновления и активацию сертификатов.
-
Оптимизация DNS:
- Переход от Round Robin DNS к Amazon Route 53 может предоставить улучшенную управляемость и автообновление записей, минимизируя задержку в активации сертификатов.
- Важно учитывать возможность использования Route 53 с функцией Health Checks для обеспечения устойчивости и распределения трафика.
-
Балансировка нагрузки и защита:
- Для интеграции AWS Web Application Firewall (WAF), рекомендуется развертывание балансировщика нагрузки Application Load Balancer (ALB).
- AWS рекомендует механизм TLS Termination на уровне ALB с поддержкой множества доменных имен через SAN-сертификаты от ACM, но для вашей специфики внезапных изменений советую более гибкий подход.
-
Внедрение HA Proxy:
- HAProxy интегрированным в вашу инфраструктуру может выступать как дополнительный слой защиты и облегчения распределения сертификатов.
- Благодаря возможности динамического обновления конфигурации без перезапуска сервера, HAProxy может обрабатывать изменения в сертификатах и доменных именах более эффективно.
- Использование HAProxy также позволяет внедрить расширенные функции фильтрации и защиты от DDoS атак, интегрировав дополнительные меры безопасности.
-
Архитектурные решения:
- Рассмотрите использование контейнеризации для Apache серверов. Docker с оркестрацией Kubernetes может облегчить управление версиями, удалить дублирование работы, и улучшить масштабируемость.
- Контейнеры также упрощают повторное использование конфигураций, что актуально в вашем сценарии с частой ротацией доменов.
Обобщая, используя более централизованный подход к управлению сертификатами и безопасность, наряду с оптимизированной инфраструктурой DNS и распределением нагрузки, вы сможете повысить устойчивость и надежность вашей платформы. Это решение не только улучшит производительность, но также обеспечит гибкость для быстрого внедрения изменений в будущем.
Искренне надеюсь, что эта информация будет полезна и поможет вам в успешной реализации вашего проекта.
С уважением,
[Ваше имя]