Связаться с намиПодключиться

Терминирование TLS-соединений с помощью консоли управления

Статья создана
Обновлена 22 октября 2024 г.

Чтобы создать инфраструктуру для терминирования TLS-соединений c помощью консоли управления:

  1. Подготовьте облако к работе.
  2. Создайте облачную сеть.
  3. Зарезервируйте статический публичный IP-адрес
  4. Создайте группы безопасности.
  5. Импортируйте TLS-сертификат сайта в Certificate Manager.
  6. Создайте группу ВМ для сайта.
  7. Создайте группу бэкендов.
  8. Создайте и настройте HTTP-роутер.
  9. Создайте L7-балансировщик.
  10. Настройте DNS для сайта.
  11. Проверьте работу хостинга.

В качестве примера используется доменное имя my-site.com.

Если созданные ресурсы вам больше не нужны, удалите их.

Подготовьте облако к работе

Зарегистрируйтесь в Yandex Cloud и создайте платежный аккаунт:

  1. Перейдите в консоль управления, затем войдите в Yandex Cloud или зарегистрируйтесь.
  2. На странице Yandex Cloud Billing убедитесь, что у вас подключен платежный аккаунт, и он находится в статусе ACTIVE или TRIAL_ACTIVE. Если платежного аккаунта нет, создайте его и привяжите к нему облако.

Если у вас есть активный платежный аккаунт, вы можете создать или выбрать каталог, в котором будет работать ваша инфраструктура, на странице облака.

Подробнее об облаках и каталогах.

В стоимость поддержки инфраструктуры для терминирования TLS-соединений входят:

Создайте облачную сеть

Все ресурсы, созданные в сценарии, будут относиться к одной облачной сети.

Чтобы создать сеть:

  1. В консоли управления выберите сервис Virtual Private Cloud.
  2. Нажмите кнопку Создать сеть.
  3. Укажите Имя сети: mysite-network.
  4. В поле Дополнительно выберите опцию Создать подсети.
  5. Нажмите кнопку Создать сеть.

Зарезервируйте статический публичный IP-адрес

Для работы виртуального хостинга потребуется статический публичный IP-адрес, который будет назначен L7-балансировщику.

Чтобы зарезервировать IP-адрес:

  1. В консоли управления выберите сервис Virtual Private Cloud.
  2. Откройте вкладку IP-адреса. Нажмите кнопку Зарезервировать адрес.
  3. В открывшемся окне выберите зону доступности ru-central1-a. Нажмите кнопку Зарезервировать.

Создайте группы безопасности

Группы безопасности содержат правила, которые разрешают балансировщику получать входящий трафик и отправлять его на ВМ, а ВМ — получать этот трафик. В сценарии будут созданы две группы безопасности: для балансировщика и для всех ВМ.

Чтобы создать группы безопасности:

  1. В консоли управления выберите сервис Virtual Private Cloud.

  2. Откройте вкладку Группы безопасности.

  3. Создайте группу безопасности для балансировщика:

    1. Нажмите кнопку Создать группу безопасности.
    2. Укажите Имя группы безопасности: mysite-sg-balancer.
    3. Выберите Сеть mysite-network.
    4. В блоке Правила создайте следующие правила по инструкции под таблицей:
    Направление
    трафика    		 Описание Диапазон портов Протокол Источник /
    назначение    		 CIDR блоки
    Исходящий any Весь Любой CIDR 0.0.0.0/0
    Входящий ext-http 80 TCP CIDR 0.0.0.0/0
    Входящий ext-https 443 TCP CIDR 0.0.0.0/0
    Входящий healthchecks 30080 TCP Проверки состояния балансировщика
    1. Выберите вкладку Исходящий трафик или Входящий трафик.
    2. Нажмите кнопку Добавить правило.
    3. В открывшемся окне в поле Диапазон портов укажите один порт или диапазон портов, куда или откуда будет поступать трафик.
    4. В поле Протокол укажите нужный протокол или оставьте Любой, чтобы разрешить передачу трафика по всем протоколам.
    5. В поле Назначение или Источник выберите назначение правила:
      • CIDR — правило будет применено к диапазону IP-адресов. В поле CIDR блоки укажите CIDR и маски подсетей, в которые или из которых будет поступать трафик. Чтобы добавить несколько CIDR, нажимайте кнопку Добавить CIDR.
      • Группа безопасности — правило будет применено к ВМ из текущей группы или из выбранной группы безопасности.
      • Проверки состояния балансировщика — правило, которое позволяет балансировщику проверять состояние ВМ.
    6. Нажмите кнопку Сохранить. Таким образом создайте все правила из таблицы.
    7. Нажмите кнопку Сохранить.

  4. Аналогично для ВМ создайте группу безопасности mysite-sg-vms и сетью mysite-network со следующими правилами:

    Направление
    трафика    		 Описание Диапазон портов Протокол Источник /
    назначение    		 CIDR блоки
    Входящий balancer 80 TCP Группа безопасности mysite-sg-balancer
    Входящий ssh 22 TCP CIDR 0.0.0.0/0

Импортируйте TLS-сертификат сайта в Certificate Manager

Чтобы пользователи могли обращаться к сайту по защищенному протоколу HTTPS (HTTP over TLS), для него должен быть выпущен TLS-сертификат. Для использования в L7-балансировщике сертификат нужно импортировать в Certificate Manager.

Если у вашего сайта нет сертификата, вы можете получить в Certificate Manager сертификат от Let's Encrypt®. В этом случае дополнительных действий после создания сертификата не потребуется: он — импортируется автоматически.

Чтобы импортировать уже имеющийся сертификат для сайта my-site.com:

  1. В консоли управления выберите сервис Certificate Manager.
  2. Нажмите кнопку Добавить сертификат и выберите пункт Пользовательский сертификат.
  3. Укажите Имя сертификата: mysite-cert.
  4. В поле Сертификат нажмите кнопку Добавить сертификат. Загрузите Файл с вашим сертификатом или укажите его Содержимое и нажмите кнопку Добавить.
  5. Если ваш сертификат выпущен сторонним центром сертификации, в поле Цепочка промежуточных сертификатов нажмите кнопку Добавить цепочку. Загрузите Файл с цепочкой сертификатов или укажите его Содержимое и нажмите кнопку Добавить.
  6. В поле Приватный ключ нажмите кнопку Добавить приватный ключ. Загрузите Файл с ключом или укажите его Содержимое и нажмите кнопку Добавить.
  7. Нажмите кнопку Создать.

Создайте группу ВМ для сайта

Чтобы создать группу ВМ для сайта my-site.com:

  1. В консоли управления выберите сервис Compute Cloud.

  2. Откройте вкладку Группы виртуальных машин. Нажмите кнопку Создать группу виртуальных машин.

  3. Укажите имя группы ВМ: mysite-ig.

  4. В блоке Распределение выберите несколько зон доступности, чтобы обеспечить отказоустойчивость хостинга.

  5. В блоке Шаблон виртуальной машины нажмите кнопку Задать.

  6. В блоке Образ загрузочного диска откройте вкладку Marketplace и нажмите кнопку Показать все продукты Marketplace. Выберите продукт LEMP и нажмите кнопку Использовать.

  7. В блоке Вычислительные ресурсы:

    • Выберите платформу ВМ.
    • Укажите необходимое количество vCPU и объем RAM.

    Для функционального тестирования сайта хватит минимальной конфигурации:

    • ПлатформаIntel Cascade Lake.
    • Гарантированная доля vCPU5%.
    • vCPU2.
    • RAM1 ГБ.

  8. В блоке Сетевые настройки выберите Сеть mysite-network, созданную ранее, и ее подсети.

  9. Выберите группу безопасности mysite-sg-vms, созданную ранее.

  10. Укажите данные для доступа на ВМ:

    • В поле Логин введите имя пользователя.

    • В поле SSH-ключ вставьте содержимое файла открытого ключа.

      Пару ключей для подключения по SSH необходимо создать самостоятельно, см. раздел о подключении к ВМ по SSH.

    Внимание

    IP-адрес и имя хоста (FQDN) для подключения к ВМ назначаются ей при создании. Если вы выбрали вариант Без адреса в поле Публичный адрес, вы не сможете обращаться к ВМ из интернета.

  11. Нажмите кнопку Сохранить.

  12. В блоке Масштабирование укажите Размер группы ВМ — 2.

  13. В блоке Интеграция с Application Load Balancer выберите опцию Создать целевую группу и укажите имя группы ВМ — mysite-tg. Подробнее о целевых группах.

  14. Нажмите кнопку Создать.

Создайте группу бэкендов

Целевую группу, созданную вместе с группой ВМ, нужно привязать к группе бэкендов с настройками распределения трафика.

Для бэкендов в группе будут созданы проверки состояния: балансировщик будет периодически отправлять проверочные запросы к ВМ и ожидать ответа в течение определенного периода.

Чтобы создать группу бэкендов для сайта my-site.com:

  1. В консоли управления выберите сервис Application Load Balancer.
  2. Откройте вкладку Группы бэкендов. Нажмите кнопку Создать группу бэкендов.
  3. Укажите Имя группы бэкендов: my-site-bg.
  4. В блоке Бэкенды нажмите кнопку Добавить.
  5. Укажите Имя бэкенда: mysite-backend.
  6. В поле Целевые группы выберите группу mysite-tg.
  7. Укажите Порт, на котором ВМ бэкенда будут принимать входящий трафик от балансировщика: 80.
  8. Нажмите кнопку Добавить проверку состояния.
  9. Укажите Порт, на котором ВМ бэкенда будут принимать проверочные соединения: 80.
  10. Укажите Путь, к которому будет обращаться балансировщик при проверке состояния: /.
  11. Нажмите кнопку Создать.

Создайте и настройте HTTP-роутер

Группу бэкендов нужно привязать к HTTP-роутеру с правилами маршрутизации.

Чтобы создать HTTP-роутер:

  1. В консоли управления выберите сервис Application Load Balancer.
  2. Откройте вкладку HTTP-роутеры. Нажмите кнопку Создать HTTP-роутер.
  3. Укажите Имя HTTP-роутера: mysite-router.
  4. Нажмите кнопку Добавить виртуальный хост.
  5. Укажите Имя виртуального хоста: mysite-host.
  6. В поле Authority укажите доменное имя сайта: my-site.com.
  7. Нажмите кнопку Добавить маршрут.
  8. Укажите Имя маршрута: mysite-route.
  9. В поле Группа бэкендов выберите группу my-site-bg.
  10. Нажмите кнопку Создать.

Создайте L7-балансировщик

  1. В консоли управления выберите сервис Application Load Balancer.
  2. Нажмите кнопку Создать L7-балансировщик.
  3. Укажите Имя балансировщика: mysite-alb.
  4. В блоке Сетевые настройки выберите группу безопасности mysite-sg-balancer, созданную ранее.
  5. Создайте обработчик для перенаправления HTTP-запросов на HTTPS:
    1. В блоке Обработчики нажмите кнопку Добавить обработчик.
    2. Укажите Имя обработчика: listener-http.
    3. В блоке Публичный IP-адрес выберите тип Список и IP-адрес, зарезервированный ранее.
    4. В поле Протокол выберите пункт Перенаправлять на HTTPS.
  6. Создайте обработчик HTTPS-запросов:
    1. Снова нажмите кнопку Добавить обработчик.
    2. Укажите Имя обработчика: listener-https.
    3. В блоке Публичный IP-адрес выберите тип Список и IP-адрес, зарезервированный ранее.
    4. В поле Протокол выберите пункт HTTPS.
    5. В блоке Основной обработчик выберите сертификат mysite-cert и HTTP-роутер mysite-router.
    6. Добавьте обработчик SNI для сайта my-site.com:
    7. Нажмите кнопку Добавить обработчик SNI.
    8. Укажите Имя обработчика SNI: mysite-sni.
    9. В поле Имена серверов укажите my-site.com.
    10. Выберите сертификат mysite-cert и HTTP-роутер mysite-router.
  7. Нажмите кнопку Создать.

Настройте DNS для сайта

Доменное имя my-site.com должно быть связано с IP-адресом L7-балансировщика с помощью записей DNS. Чтобы это сделать:

  1. В консоли управления выберите сервис Application Load Balancer.

  2. Скопируйте IP-адрес созданного балансировщика.

  3. На сайте компании, которая предоставляет вам услуги DNS-хостинга, перейдите в настройки DNS.

  4. Создайте или измените A-запись для my-site.com таким образом, чтобы она указывала на скопированный IP-адрес:

    my-site.com. A <IP-адрес_L7-балансировщика>

    Если вы пользуетесь Yandex Cloud DNS, настройте запись по следующей инструкции:

    Инструкция по настройке DNS-записей для Cloud DNS

    Чтобы получить доступ к именам из публичной зоны, вам нужно делегировать домен. Укажите адреса серверов ns1.yandexcloud.net и ns2.yandexcloud.net в личном кабинете вашего регистратора.

    1. В консоли управления выберите сервис Cloud DNS.
    2. Если у вас нет публичной зоны DNS, создайте ее:
      1. Нажмите кнопку Создать зону.
      2. Укажите Имя зоны: tls-termination-dns.
      3. В поле Зона укажите доменное имя сайта с точкой в конце: my-site.com.
      4. Выберите Тип зоны — Публичная.
      5. Нажмите кнопку Создать.
    3. Создайте запись в зоне:
      1. В списке зон нажмите на зону tls-termination-dns.
      2. Нажмите кнопку Создать запись.
      3. Поле Имя оставьте пустым, чтобы запись соответствовала доменному имени my-site.com (а не имени с субдоменом, например www.my-site.com).
      4. Выберите Тип записи — A.
      5. В поле Значение вставьте скопированный IP-адрес балансировщика.
      6. Нажмите кнопку Создать.

После настройки DNS, проверьте работу хостинга.

Проверьте работу хостинга

Чтобы проверить работу хостинга:

  1. Создайте главную страницу сайта — файл index.html

    Пример файла index.html
    <!DOCTYPE html>
<html>
  <head>
    <title>My site</title>
  </head>
  <body>
    <h1>This is my site</h1>
  </body>
</html>

  2. Загрузите файл index.html на каждую ВМ:

    1. В блоке Сеть на странице виртуальной машины в консоли управления найдите публичный IP-адрес виртуальной машины.

    2. Подключитесь к виртуальной машине по протоколу SSH.

    3. Выдайте права на запись для вашего пользователя на директорию /var/www/html:

      sudo chown -R "$USER":www-data /var/www/html

      sudo chown -R "$USER":apache /var/www/html

    4. Загрузите на ВМ файлы веб-сайта с помощью протокола SCP.

      Используйте утилиту командной строки scp:

      scp -r <путь_до_директории_с_файлами> <имя_пользователя_ВМ>@<IP-адрес_виртуальной_машины>:/var/www/html

      С помощью программы WinSCP скопируйте локальную директорию с файлами в директорию /var/www/html на ВМ.

  3. В браузере откройте сайт по адресу http://my-site.com — должно произойти перенаправление на страницу https://my-site.com, где уже подключен TLS-сертификат из Certificate Manager.

Как удалить созданные ресурсы

Чтобы перестать платить за созданные ресурсы:

  1. Удалите L7-балансировщик mysite-alb.
  2. Удалите HTTP-роутер mysite-router.
  3. Удалите группу бэкендов my-site-bg.
  4. Удалите группу ВМ mysite-ig.
  5. Удалите зарезервированный статический публичный IP-адрес.
  6. Если вы использовали Cloud DNS, то удалите DNS-записи и удалите DNS-зону.

См. также

Предыдущая
Обзор
Следующая
Terraform