Недавно мы попробовали сделать наш артефакт https.
Мы выполнили обычные шаги, поместили его за nginx, а также получили еще один nginx, чтобы помочь с перенаправлением http на https [обычный возврат 301 и перенаправление].
Поскольку мы использовали http очень долгое время, существует множество скриптов, которые используют http URL нашего артефакта:
Начиная с curls [без -L] Ansible ролей, относящихся к URL-адресу http и терраформирующих ссылки на URL-адрес HTTP и т. Д. И все это находится в нескольких ветках нашего репозитория git. Однажды после развертывания SSL даже с перенаправлением с http на https большинство из них, очевидно, не удалось. Некоторые из них критичны, и мы снова переключились на http.
Я уверен, что это характерно практически для всех организаций. Я хотел бы понять, как вы, ребята, планируете такое развертывание SSL и как решаются подобные проблемы.
Какие-нибудь лучшие практики по этому поводу?
Лучше всего начинать всегда мягко: ваш подход был правильным в включение TLS, но вы не должны сила перенаправление с самого начала.
На этом этапе нарисуйте линию на песке и скажите всем, что любой новый сценарии с этого момента должны использовать TLS «иначе».
Следующим шагом является проработка всех старых сценариев, которые вызывают сервер с использованием простого http, и постепенно убедиться, что они продолжают работать с использованием TLS. Очевидно, что на этом этапе вы не хотите просто использовать команду «grep-and-replace».
Наконец, когда вы уверены, что все существующие сценарии устанавливают только TLS-соединения, принудительно включите протокол, отключив простой HTTP или перенаправив соединения на HTTPS (если клиенты достаточно умны, чтобы понять последнее).