Назад | Перейти на главную страницу

Как ускорить ssl с балансировкой нагрузки с помощью nginx?

Итак, установка для нашего веб-сайта - это 4 узла с rails 3 и nginx 1, которые используют один и тот же сертификат GoDaddy. Поскольку мы являемся платным сайтом, мы должны поддерживать соответствие PCI-DSS и, следовательно, должны использовать более дорогие SSL-шифры - также мы принудительно используем SSL с помощью Rack. Я недавно перешел на NodeBalancer от Linode (который, как я читал, является HACluster), и мы не получаем желаемой производительности.

Из того, что я прочитал, похоже, что завершение SSL на узлах с использованием высокого шифра является причиной низкой производительности, но я хотел бы быть внимательным. Что я могу сделать? Я читал о других способах прерывания SSL до NodeBalancer (например, с помощью стержня), но я недостаточно знаю об этих решениях. Мы определенно не хотим делать что-либо экспериментальное или что-то, что имеет единственную точку отказа.

Если я действительно ничего не могу сделать для ускорения установления связи SSL, моей альтернативой будет поддержка определенных страниц в Rails с использованием безопасного и небезопасного поддомена. Я нашел несколько руководств, которые проходят через это, но мой результирующий вопрос в этой ситуации: было бы лучше иметь дескриптор nginx, заставляющий ssl на защищенном поддомене вместо рельсов?

Спасибо!

Мои советы по быстрому использованию SSL, поскольку я работал на сайтах, обрабатывающих десятки тысяч SSL-соединений в секунду:

  1. Отключите SSL на веб-машинах, а не в балансировщике нагрузки. Помещение его на балансировщик нагрузки - это уязвимое место.
  2. Настройте свои шифры - да, там являются шифры с высоким уровнем защиты, которые не высасывают из вас жизнь.
  3. Включите все различные формы кэширования сеансов SSL; это приносит пользу как вашему процессору, так и времени отклика клиентам. Не обращайте внимания на идиотов, которые говорят вам включить привязку сеанса, используйте централизованное хранилище сеансов SSL чтобы позволить всем вашим интерфейсным веб-серверам пользоваться кешем.