VPS Sunucuda HAProxy SSL Termination

VPS sunucularında HAProxy kullanarak SSL sonlandırma (SSL Termination), web uygulamalarınızın güvenliğini artırırken performans optimizasyonunu sağlayan kritik bir yaklaşımdır. Bu yöntemle, gelen HTTPS trafiği HAProxy üzerinde şifrelenmiş olarak işlenir ve backend sunuculara düz HTTP olarak iletilir. Böylece, SSL/TLS yükü tek bir noktada toplanır, CPU kullanımı azalır ve ölçeklenebilirlik sağlanır. Özellikle yüksek trafikli VPS ortamlarında, bu yapılandırma kaynak verimliliğini maksimize eder. Bu makalede, adım adım kurulum, yapılandırma ve en iyi uygulamaları ele alacağız, böylece kendi VPS’inizde pratik olarak uygulayabileceksiniz.

HAProxy Kurulumu ve Temel Yapılandırma

Ubuntu tabanlı bir VPS sunucusunda HAProxy’yi kurmak için öncelikle sistem paketlerini güncelleyin: sudo apt update && sudo apt upgrade -y. Ardından HAProxy’yi yükleyin: sudo apt install haproxy -y. Kurulum tamamlandıktan sonra, servis durumunu kontrol edin: sudo systemctl status haproxy. Otomatik başlatma için sudo systemctl enable haproxy komutunu çalıştırın. Bu adımlar, HAProxy’nin stabil çalışmasını sağlar ve VPS’inizin kaynaklarını verimli kullanmasına olanak tanır.

Temel yapılandırma dosyası /etc/haproxy/haproxy.cfg konumundadır. Bu dosyayı düzenleyerek global ayarları tanımlayın: log /dev/log local0 ve maxconn 4096 gibi satırlarla bağlantı limitlerini belirleyin. Örnek bir global bölüm şöyle olabilir:

• daemon modu etkinleştirin: daemon
• user ve group: user haproxy group haproxy
• stats socket: stats socket /var/run/haproxy.sock mode 600 level admin

Bu ayarlar, HAProxy’nin güvenli ve izlenebilir olmasını sağlar. Değişiklikleri kaydettikten sonra sudo systemctl restart haproxy ile yeniden başlatın ve logları inceleyin: sudo journalctl -u haproxy. Bu temel kurulum, SSL sonlandırma için sağlam bir zemin oluşturur ve yaklaşık 100 bağlantı/saniye kapasite sağlar.

SSL Sertifika Yönetimi ve Entegrasyonu

Sertifika Elde Etme ve Hazırlama

SSL sonlandırma için güvenilir bir sertifika gereklidir. Let’s Encrypt gibi ücretsiz araçlarla sertifika üretin: Certbot’u yükleyin sudo apt install certbot -y, ardından sudo certbot certonly --standalone -d orneksite.com ile sertifika oluşturun. Sertifikalar /etc/letsencrypt/live/orneksite.com/ altında fullchain.pem ve privkey.pem olarak saklanır. Bunları PEM formatında birleştirin: cat fullchain.pem privkey.pem > /etc/ssl/haproxy-ornek.pem. Bu dosyanın izinlerini kısıtlayın: sudo chmod 600 /etc/ssl/haproxy-ornek.pem. VPS’te düzenli yenileme için cron job ekleyin: sudo crontab -e ile 0 12 * * * /usr/bin/certbot renew --quiet satırını ekleyin. Bu işlem, sertifika güvenliğini ve sürekliliğini garanti eder.

HAProxy Konfigürasyonuna Sertifika Ekleme

HAProxy.cfg dosyasında frontend bölümüne SSL’i entegre edin. Örnek frontend tanımı: frontend https-in bind *:443 ssl crt /etc/ssl/haproxy-ornek.pem. HTTP’den HTTPS’ye yönlendirme için redirect scheme https if !{ ssl_fc } ekleyin. Backend sunucularınızı tanımlayın: backend web-servers server web1 192.168.1.10:80 check. Bu yapı, trafiği SSL katmanında sonlandırır ve backend’e HTTP gönderir, böylece VPS CPU yükünü %30-50 oranında azaltır. Yapılandırmayı test edin: haproxy -f /etc/haproxy/haproxy.cfg -c.

SSL Sonlandırma Uygulaması ve Optimizasyon

SSL sonlandırma frontend’ini etkinleştirdikten sonra, backend trafiğinin düz HTTP olduğundan emin olun. HAProxy, TLS 1.3 gibi modern protokolleri destekler; cfg’ye ssl-default-bind-options ssl-min-ver TLSv1.2 ekleyerek güvenliği artırın. Cipher suit’leri optimize edin: ssl-default-bind-ciphers ECDHE-RSA-AES256-GCM-SHA512:ECDHE-RSA-AES256-GCM-SHA384. Bu ayarlar, hız ve güvenliği dengeler. Performans için timeout connect 5s ve timeout server 30s gibi değerleri belirleyin.

Test ve Hata Ayıklama Adımları

Uygulamayı test etmek için curl -k https://orneksite.com kullanın ve yanıt süresini ölçün. SSL Labs gibi araçlarla (manuel test) derecelendirme yapın. Logları etkinleştirin: log-format "%ci:%cp [%tr] %ft %b/%s %TR/%Tw/%Tc/%Tr/%Ta %ST %B %CC %CS %tsc %ac/%fc/%bc/%sc/%rc %sq/%bq". Yaygın hatalar: Sertifika uyumsuzluğu (PEM formatı kontrolü) veya port çakışması (netstat -tlnp). Sorun giderme için tcpdump -i any port 443 ile trafiği yakalayın. Bu adımlar, %99.9 uptime sağlar.

HAProxy ile VPS’te SSL sonlandırma, ölçeklenebilir ve güvenli bir web altyapısı kurmanızı sağlar. Pratik adımları takip ederek, kendi ortamınızda hızlıca uygulayın; düzenli güncellemeler ve izleme ile maksimum verim alın. Bu yaklaşım, kurumsal düzeyde performans sunar ve VPS kaynaklarınızı en iyi şekilde değerlendirir.