Назад | Перейти на главную страницу

Балансировщик нагрузки и использование нескольких сертификатов SSL

Вот наша текущая производственная конфигурация в стороннем центре обработки данных:

• 2 веб-сервера Tomcat LINUX / CentOS за общим балансировщиком нагрузки • Записи DNS указывают на балансировщик нагрузки • Веб-приложения написаны с использованием Java 6, Spring 3, Hibernate 4.

Специалисты центра обработки данных сообщили нам, что для того, чтобы использовать балансировщик нагрузки для перенаправления порта 80 на 8080 и перенаправления с 443 на 8443 (поэтому у нас нет номеров портов в наших URL-адресах), у нас должны быть установлены сертификаты SSL на ОБЕИХ нагрузках. балансировщик И на веб-сервере Tomcat. Но это влияет на нашу производительность / пропускную способность и ограничивает количество SSL-соединений (то есть пользователей), которые мы одновременно подключаемся к нашим веб-приложениям.

Имеет ли смысл наличие обоих сертификатов SSL, или это можно упростить и просто установить сертификат SSL либо на балансировщик нагрузки, либо на веб-сервер tomcat, но не на оба сразу. И какой из них предпочтительнее?

Заранее спасибо - Марк

Я подозреваю, что это ограничение связано с ограничением их продукта или с их управлением этим продуктом. Я не вижу какой-либо технической причины, которая в принципе требовала бы этого.

Тем не менее, я бы предположил, что было бы лучше иметь веб-сервер (например, Apache, nginx), выходящий на ваш контейнер Java на каждом из рядовых серверов. Это дает вам возможность позволить веб-серверу выполнять большую часть работы по обслуживанию статического контента, кешированию и т. Д.

Я ожидал бы, что для развертывания, в котором SSL может быть отключен на балансировщике нагрузки (т.е. не на сайте с высоким уровнем безопасности, где вы действительно хотите использовать SSL для сервера), балансировщику нагрузки потребуется способ внедрения (и sanitizing) HTTP-заголовки, чтобы сообщить рядовому серверу, если запрос поступил через https и т. д. Но вам нужно быть осторожным, чтобы люди не могли напрямую попасть на рядовые серверы (они могли внедрить свои собственные заголовки).

Для большинства развертываний в масштабе предприятия отключение SSL на каждом из рядовых серверов является нормальным явлением. Однако у меня нет опыта масштабирования этого.