Configurer un listener TERMINATED_HTTPS via CLI / Horizon

Objectif

Notre Load Balancer Public Cloud est basé sur le service Openstack Octavia et est entièrement intégré dans l'univers Public Cloud.

Une fois votre Load Balancer mis en place, vous pouvez le configurer avec un certificat afin de traiter les connexions HTTPS.

Découvrez comment configurer un Load Balancer Public Cloud sécurisé

Prérequis

• Un projet Public Cloud
• Utiliser l'environnement de commande d'Openstack (Tutoriel)
• Avoir installé le client Openstack Octavia et Openstack Barbican
• Un Load Balancer actif dans votre projet
• Un certificat provenant d'un fournisseur tiers

Si vous n'êtes pas encore familier avec la création du Load Balancer, veuillez consulter notre guide « Premiers pas avec le service Load Balancer Public Cloud » avant de poursuivre la lecture de ce guide.

En pratique

Attacher une adresse Floating IP à un Load Balancer

Vous trouverez les instructions pour cette partie dans cette documentation dans la section portant le même nom.

Préparation du certificat

Nous aurons pour cette étape besoin d'un certificat, généré au préalable.

Lors de la génération de votre certificat auprès de votre fournisseur, vous recevez généralement 2 ou 3 fichiers, décrits comme suit :

• Certificat principal (fichier au format .crt ou .pem).
• Clé privée (fichier .key) générée lors de la requête CSR.
• Certificat intermédiaire ou chaîne complète (fichier .crt), si fourni. Certains fournisseurs intègrent déjà la chaîne intermédiaire au certificat principal, auquel cas vous ne recevrez que 2 fichiers.

sudo cat <certificate.crt> <intermediate_chain.crt> > main_certificate.pem

Vous devez créer un package PKCS#12 avec votre certificat à l'intérieur :

sudo openssl pkcs12 -export -inkey <private_key.key> -in <main_certificate.pem> -out domain.tld.p12

Vous devez télécharger ce fichier directement sur votre ordinateur afin de pouvoir l'envoyer dans Openstack Barbican ("Secret as a Service").

openstack secret store --name='cert-domain.tld' -t 'application/octet-stream' -e 'base64' --payload="$(base64 < domain.tld.p12)"

Configurer le Load Balancer

openstack loadbalancer l7policy create --action REDIRECT_TO_URL --redirect-url https://<your-domain-or-ip> --name redirect-to-https http-listener

Configurer le Listener sécurisé sur le Load Balancer

Maintenant que vous avez géré votre certificat, vous pouvez ajouter un Listener sécurisé et y associer un pool et ses membres :

openstack loadbalancer listener create --protocol-port 443 --protocol TERMINATED_HTTPS --name https-listener --default-tls-container=$(openstack secret list | awk '/ cert-domain.tld / {print $2}') my_load_balancer

openstack loadbalancer pool create --name pool-tls --lb-algorithm ROUND_ROBIN --listener https-listener --protocol HTTP

openstack loadbalancer member create --subnet-id my_subnet --address <private_ip_instance> --protocol-port 80 pool-tls

Vous pouvez maintenant accéder à votre Load Balancer de manière sécurisée. Attention toutefois, il faudra renouveler le certificat. Vérifiez la politique de renouvellement auprès de votre fournisseur de certificat.

Aller plus loin

Premiers pas avec le service Load Balancer pour Public Cloud

Documentation officielle d'Openstack Octavia

Cookbook Openstack Octavia

Si vous avez besoin d'une formation ou d'une assistance technique pour la mise en oeuvre de nos solutions, contactez votre commercial ou cliquez sur ce lien pour obtenir un devis et demander une analyse personnalisée de votre projet à nos experts de l’équipe Professional Services.

Échangez avec notre communauté d'utilisateurs.