L'équilibreur de charge peut être connecté au monde extérieur pour permettre l'accès au système jtel depuis l'internet.

Relier directement le LB au monde extérieur

• NE PAS CONNECTER L'INTERFACE DE RÉSEAU INTERNE DIRECTEMENT À L'INTERNET. 
  Il y a plus de ports ouverts dans le pare-feu sur l'équilibreur de charge pour le fonctionnement de la solution que seulement les ports http et https.
  L'équilibreur de charge doit être doté d'une seconde interface réseau avec l'adresse IP publique.
  
  
• N'ouvrez que le port 80 et le port 8080 sur la deuxième interface réseau.
  
  
• Envisager l'installation de protections supplémentaires telles que fail2ban pour se protéger contre certaines attaques.
  
  
• Envisagez d'utiliser uniquement le protocole https.

Connexion de la LB au monde extérieur via un pare-feu

Les ports suivants doivent être transmis au Load Balancer de jtel :

• Port 80
• Port 443

Il est fortement recommandé d'installer un certificat pour votre domaine sur l'équilibreur de charge.

Voir aussi SSL/TLS Certificates - Self-signed certificate et Rôle Role LB - Certificats pour les équilibreurs de chargeCertificates for load balancers.

Remarque : vous ne pouvez utiliser le protocole https (c'est-à-dire ouvrir uniquement le port 443 dans le pare-feu) que si vous n'avez pas besoin d'un accès http. Voir ci-dessous pour plus de détails sur la configuration supplémentaire requise dans l'équilibreur de charge pour ce faire.

Connexion de la LB au monde extérieur via un reverse proxy

Le mandataire inverse précédent doit accomplir les tâches suivantes :

• Déchargement SSL
  Décoder le https en utilisant un certificat installé, et transmettre les requêtes http décodées au load balancer de jtel sur le port 80.
  
  
• Insérez les en-têtes suivants dans la requête http :
  X-Forwarded-For 
  X-Forwarded-Proto

Note : cette configuration doit être effectuée par les administrateurs du reverse proxy et dépend de l'exact reverse proxy utilisé.

Ajout de la configuration LB si seul le port 443 est ouvert (via le pare-feu ou via le Reverse Proxy précédent)

Si seul le port 443 est accessible au monde extérieur, il faut alors tenir compte de ce qui suit :

• Toutes les demandes adressées aux serveurs web de jtel doivent inclure le protocole https dans l'URI.

En raison des redirections qui sont effectuées dans l'application web, il est nécessaire d'informer le serveur web que l'URL redirigée doit faire référence à https et non à http.

Pour ce faire, la plupart des serveurs web utilisent l'en-tête X-Forwarded-Proto. Wildfly peut le faire. Cependant, le JBOSS ne le fait pas correctement et l'haproxy doit donc être configuré pour effectuer cette tâche.

JBOSS

Lorsque vous utilisez des serveurs web JBOSS, ajoutez ce qui suit au fichier haproxy.cfg dans la configuration de section backend pour jtel_portal et jtel_soap

http-response   replace-header Location http:(.*) https:\1

Cela est dû au fait que le JBOSS ne traite pas correctement l'en-tête X-Forwarded-Proto lorsque des redirections sont effectuées.

Wildfly

Lorsque vous exécutez Wildfly sur les serveurs web, la configuration, assurez-vous que ce qui suit est dans standalone.xml sur l'auditeur http :

Par exemple:

Le conteneur de servlet wildfly traite correctement les différences de protocole par lui-même en interprétant l'en-tête X-Forwarded-Proto.