.png)
内部サービス用のワイルドカード証明書があります。ALB の背後で Security Onion を実行して、証明書マネージャーに保存されている単一の証明書で有効な SSL を取得できるようにしたいと思います。(そこに保存すると、セキュリティが向上するだけでなく、メンテナンスと信頼性も向上します)
問題は、Security Onionの設定ファイル/opt/so/saltstack/local/pillar/global.slsにあるようです。
url_base: # IP or FQDN
IP アドレスでリッスンするように構成できます (この時点でログイン リダイレクトは IP を指し、検証済みの SSL が中断されます)。または、FQDN でリッスンするように構成できます (この時点で IP による要求に応答せず、ターゲット グループのヘルス チェックが失敗します)。
誤って IP から FQDN に切り替えることで動作させました。しかし、ヘルスチェックがまだ緑色でサーバーが FQDN で動作していた 2 分間の猶予期間中は動作していたのではないかと思います。
舞台裏では、Security Onion は nginx を使用してホストから Docker へのルーティングを実行しています。nginx の設定ファイルは /opt/so/saltstack/default/salt/nginx/etc/nginx.conf にあります。
誰かこれをやったことある人いますか?
答え1
nginx 設定に簡単なヘルスチェックを挿入することで、これを機能させることができました。
server {
listen 443 ssl http2;
server_name 192.168.1.something;
location /health {
access_log off;
add_header 'Content-Type' 'text/plain';
return 200 "healthy\n";
}
}
このアプローチには 2 つの制限があります。
- 設定で IP アドレスをハードコードしましたが、ホストが移動したり、スナップショットから再インスタンス化されたりすると、これが壊れてしまいます。(nginx にローカル IP を推測させることでこれを修正できますか?)
- ヘルスチェックでは、nginx が実行中であることは確認しますが、その背後にある SO が正常であることは確認しません。