负载平衡体系结构中的单个SSL证书

时间:2013-12-19 11:45:43

标签: ssl amazon-web-services load-balancing

我正在进行负载平衡以及SSL证书的安全性如何与负载均衡器集成。

假设我想通过Amazon Elastic Load Balancer公开同一RESTful Web服务的多个副本。到目前为止,一切都应该很好,顺利。但是,安全性尚未得到考虑。

现在,假设我们希望通过SSL证书保护通信,因此我们继续购买证书。我们将有几个IP地址,它们都使用负载均衡器公开相同的RESTful服务器。这些IP地址都将映射到相同的域名(https://thedomain.com)。这样,客户端始终连接到同一个域。然后由负载均衡器重定向到获得最少流量的Web服务。

主要问题是,这样的架构是否可以使用单一SSL证书?如果是这样,就可以动态扩展服务量而无需更改安全性。

1 个答案:

答案 0 :(得分:1)

  

然后由负载均衡器重定向到获得最少流量的Web服务。

AFAIK,ELB仅支持RoundRobin和Stick会话。所以你上面说的不会发生。

  

这样的架构是否可以使用单个SSL证书?

您可以在ELB上安装SSL证书,并让它终止SSL。 ELB和您的Web节点之间的流量将是未加密的。您应该探索AWS VPC,在这里您可以拥有面向公众的ELB,并且您的Web节点将位于私有子网内。

此外,ELB支持TCP负载平衡。在这种情况下,您在Web节点上安装证书,ELB将接受来自Internet的端口443上的流量,并将其简单地转发到Web节点上的端口443,其中Web节点必须进行SSL加密/解密。

希望这有帮助。