Назад | Перейти на главную страницу

Мультидоменный сервер с выделенным SSL HA

Я размещаю сервер со 150 доменными именами (веб-сайтами), каждый из которых требует выделенного IP-адреса ssl. Итак, сервер windows 2008, со 150 IP-адресами и 150 веб-сайтами. Мне нужно решение высокой доступности. Итак, я думаю о настройке AWS, но ELB не будет решением ... а максимальный IP-адрес, который я могу получить для каждого экземпляра, составляет 12 адресов. Итак, что я могу сделать, чтобы все 150 сайтов были размещены на одном экземпляре и были HA с экземпляром в другой зоне доступности.

Это непростой ответ. Вот несколько вещей, над которыми стоит подумать.

  1. Вы абсолютно привязаны к использованию Windows Server 2008 или 2008 R2 и IIS 7.0 / 7.5? Есть ли у вас возможность перейти на IIS 8.0 / 8.5 поверх Server 2012/2012 R2? В таком случае вы можете воспользоваться преимуществами SNI (указание имени сервера) в IIS.

Это позволит вам использовать один статический IP-адрес и использовать множество SSL-сертификатов, привязанных к одному статическому IP-адресу. Это означает, что используется использование HostHeaders. Есть предостережения в отношении этой функции, но они сосредоточены вокруг старых браузеров, таких как IE 5 и 6, которые не поддерживали SNI.

Вы МОЖЕТЕ использовать обходной путь для SNI в Server 2008 и 2008 R2 на IIS 7 / 7.5, но это не так просто.

ССЫЛКА: http://www.iis.net/learn/get-started/whats-new-in-iis-8/iis-80-server-name-indication-sni-ssl-scalability

  1. Используете ли вы Windows и IIS для своих веб-сайтов по какой-либо конкретной причине? Если вы не обслуживаете ничего, кроме статического контента, рассматривали ли вы apache? Он изначально имеет эту встроенную возможность. Он не заботится о количестве IP-адресов и уже давно использует SNI. Я знаю, что это не всегда так банально, и не воспринимайте это как пост «Windows отстой». Это просто еще одно альтернативное решение. Очевидно, что если у вас есть динамический контент, такой как ASP.NET, вы привязаны к MS, что абсолютно нормально. Однако, если вы используете PHP / MySQL / PGSQL, вы можете рассмотреть возможность перехода, даже если есть кривая обучения.

Наша компания использует Ubuntu / Apache2 на AWS и использует сертификаты * .DOMAIN.COM (Wildcard) в течение всего дня, имеет около 100+ уникальных имен хостов, и все они работают безупречно на 1 частном IP. Это используется на нескольких серверах для балансировки нагрузки с помощью ELB.

  1. Неаккуратный метод - это схема переадресации портов, которая станет УЖАСНО запутанной с административной точки зрения, особенно если у вас есть веб-ферма за балансировщиками нагрузки. Я поднимаю это только для того, чтобы заявить, что это есть, но НАСТОЯТЕЛЬНО рекомендую вам держаться подальше от этого. Для этого также потребуется изрядное количество общедоступных IP-адресов, но вы можете сделать все это с помощью одного ЧАСТНОГО IP-адреса в конце. Повторяю .. Я НЕ рекомендую этого.

  2. Что касается AWS, построив несколько VPC и использовав EC2 в производственной среде, я скажу, что, к сожалению, ваша ситуация не из легких. Если у вас нет большого публичного IP-адреса и вам требуется более 1 сервера для избыточности / производительности (что должно быть так), то их использование на самом деле не вариант для этого сценария без значительных настроек.