我有內部服務的通配符憑證。我想在 ALB 後面執行 Security Onion,這樣我就可以使用儲存在憑證管理員中的單一憑證來取得有效的 SSL。 (將其存放在那裡可以更好地保證安全性,並且更容易維護和可靠性)
問題似乎出在安全洋蔥設定檔 /opt/so/saltstack/local/pillar/global.sls 中
url_base: # IP or FQDN
可以設定為按 IP 位址偵聽(此時登入重新導向指向 IP 並驗證 SSL 中斷)或按 FQDN 偵聽(此時它不應答 IP 要求且目標群組執行狀況檢查失敗)。
我意外地透過從 IP 切換到 FQDN 使其工作。但我懷疑它在 2 分鐘寬限期內工作,而運行狀況檢查仍為綠色,但伺服器正在按 FQDN 工作。
Security Onion 在幕後使用 nginx 執行主機到 docker 的路由。 nginx 設定檔在這裡 /opt/so/saltstack/default/salt/nginx/etc/nginx.conf
以前有人這樣做過嗎?
答案1
我可以透過在 nginx 設定中插入簡單的運行狀況檢查來實現此功能。
server {
listen 443 ssl http2;
server_name 192.168.1.something;
location /health {
access_log off;
add_header 'Content-Type' 'text/plain';
return 200 "healthy\n";
}
}
這種方法有兩個限制。
- 我在配置中硬編碼了 IP 位址,如果我的主機移動或從快照重新實例化,這將會中斷。 (可以透過讓 nginx 推斷本地 IP 來解決這個問題嗎?)
- 健康檢查驗證 nginx 是否正在運行,但並不能驗證背後的 SO 是否健康。