我有一个使用DTLS与客户沟通的集群 哪个有安全的分布式存储(...)
我们知道DTLS状态相当长寿。因此,在典型的负载平衡情况下,加密数据包将被转发到无法解密的服务器
我没有提到由于NAT绑定更改而导致src ip发生变化的情况(这是我们无法控制的)
所以我在想...... 为了不对负载均衡器产生一些沉重的限制(例如:总是将此src ip转发到该服务器并希望最好)并尽可能长时间地保留DTLS状态 我应该如何使用DTLS?
是否(甚至)值得考虑使用DTLS会话参数的某些分布式缓存扩展一些现有的DTLS库(如scandium)(以便任何节点能够解密数据包)?
是否可以使用JDK> = 9(在那里很难遵循ssl代码......)
答案 0 :(得分:3)
这些链接上有一些信息碎片:
https://github.com/eclipse/leshan/wiki/Cluster
https://github.com/eclipse/leshan/wiki/Using-Leshan-server-in-a-cluster
乐山项目以Californium和Scandium为基础,因此聚类问题与您的问题非常相似。但是没有太多信息。
但基本上很难说肯定。这取决于您的用例/群集配置,并暗示一些负载测试。否则,这只是猜测。
尽可能长时间地保留DTLS状态
BTW TLS 1.2规范说:
建议会话ID生命周期的上限为24小时,因为获取master_secret的攻击者可能会模拟受感染方,直到相应的会话ID停用为止
所以选择合理的生命周期会更好。