我正在尝试将four配置为使用load balancer提供的证书在HTTPS中提供服务,即使我还不能这样做,阅读此Lets Encrypt也提供了如何配置的步骤
由于我只对HTTPS感兴趣,所以我想知道两者之间有什么区别:
但是我的意思不是显而易见的原因,即第一个没有从负载均衡器到后端进行加密,我的意思是在性能和HTTP2连接方面,例如,我将继续从article获得所有好处,例如多路复用和流媒体?还是第一个选择
带有非TLS后端的HTTPS负载均衡器
只是一种幻想,但我不会得到http2?
答案 0 :(得分:2)
要使用HTTP / 2,所有Web浏览器都需要使用HTTPS。即使没有HTTP / 2,由于各种原因而拥有HTTPS仍然很好。
因此,您的Web浏览器需要与之通信的点(通常称为 edge服务器)需要启用HTTPS。这通常是负载均衡器,但也可以是CDN,也可以是应用服务器之前的单个 Web服务器(例如Apache)。 >(例如Tomcat)。
那么,问题是从该边缘服务器到任何下游服务器的连接是否需要启用HTTPS?好吧,最终浏览器将不知道,因此并非如此。然后,您有两个原因来加密此连接:
因为流量仍在不安全的通道(例如,通过Internet的CDN到原始服务器)之间传输。
许多人觉得让用户以为他们在安全的地方(带有绿色的挂锁)是不明智的,然后实际上并不能完全实现端到端的连接。
如果您的负载均衡器与所连接的服务器位于隔离的网络区域(甚至可能在同一台机器上!),对我来说,这不是什么大问题。例如,如果负载平衡器和要连接的2个(或更多)Web服务器都位于DMZ隔离网络中的单独区域或它们自己的VPC中。
最终流量将在某个时候被解密,服务器所有者的问题是网络堆栈中发生的位置/时间以及您对此的适应程度。
因为其他一些原因(例如,一直到HTTP / 2),您都需要HTTPS。
关于这一点,我认为要提出的理由很少。 HTTP / 2主要帮助高延迟,低带宽的连接(即浏览器到边缘节点),而对于低延迟,高带宽的连接则不那么重要(就像到Web服务器的负载平衡器一样)。我对this question discusses this more的回答。
在上述两种情况下,如果您在下游服务器上使用HTTPS,则可以使用自签名证书或长期存在的自签名证书。这意味着您不受30天的LetsEncrypt限制的约束,也不需要您从另一个CA购买更长的证书。由于浏览器永远不会看到这些证书,因此您只需要负载均衡器信任它们,这在您的控制下即可完成自签名证书。如果下游Web服务器无法与LetsEncrypt进行通信以从那里获取证书,这也很有用。
如果要一直使用HTTPS和/或HTTP / 2确实很重要,则第三个选择是使用TCP负载平衡器(这是您问题中的选择2,因此很抱歉在这里混淆编号!) 。这只是将TCP数据包转发到下游服务器。数据包可能仍是HTTPS加密的,但负载平衡器不在乎-它只是继续转发它们,如果它们是HTTPS加密的,则下游服务器将负责解密它们。因此,在这种情况下,您仍然可以拥有HTTPS和HTTP / 2,而下游Web服务器上只有最终用户证书(即LetsEncrypt的证书)。这可能很难管理(两个证书都应使用相同的证书吗?还是应该使用不同的证书?我们是否需要进行粘性会话,以便HTTPS流量始终到达sae下游服务器)。这也意味着负载平衡器无法查看或理解任何HTTP通信-就它们而言,它们全都是TCP数据包。因此,无需对HTTP标头进行过滤,也无需添加新的HTTP标头(例如,具有原始IP地址的X-FORWARDED_FOR。)
说实话,在负载均衡器上使用HTTPS,在下游服务器上使用HTTP流量(如果两者之间处于安全网络中),这是绝对好的,甚至很普遍。通常最容易设置(一个位置来管理HTTPS证书和续订),并且最容易受支持(例如某些下游服务器可能不容易支持HTTPS或HTTP / 2)。通过使用自签名证书或CA颁发的证书在此连接上使用HTTPS也是可以的,尽管这需要花费更多的精力,并且TCP负载平衡器选项可能是最省力的。