上周,我正在为支持TLS的端点(共享相同的证书)使用负载均衡器,并且很惊讶可以在SSL端点前面安装TPC负载均衡器。配置完成后,可以与TCP负载均衡器进行通信,就像配置为支持TLS / SSL一样。所以,我想确保这样的网络配置是完全可行的解决方案:
P.S。我不在负载均衡器上进行TLS / SSL工作的原因是我需要平衡多个专有端点只支持SSL / TLS。
答案 0 :(得分:1)
TLS / SSL会话和握手工作流是无状态的,这意味着可以与主服务器开始握手并以镜像结束。这是真的吗?
没有。我怀疑你的负载均衡器正在使用TCP keep-alive,以便每次都在同一台服务器上完成握手。
我必须注意隐藏的危险吗?
您可能会遭受重大的性能损失。 HTTPS具有“会话密钥”,默认情况下,服务器是唯一的。如果您无法使用负载均衡器执行粘性会话等操作,则每次客户端从一台服务器移动到另一台服务器时,您都会进行完全握手。
您还将拥有在服务器之间无法运行的会话票证,因此会话恢复可能也不会起作用,并且会回退到完全握手。某些服务器支持配置公共会话票证密钥,如nginx。
如果之前的陈述属实,那么在负载均衡器本身上执行所有TLS / SSL的原因是什么?
嗯,他们并不完全正确。但是还有其他好处。主要的一点是负载均衡器可以更智能,因为它可以看到会话的明文。一个示例可能是检查请求的cookie以确定将请求发送到哪个服务器。这是蓝/绿部署的常见需求。