Доброго времени суток всем,
Я пытаюсь настроить виртуальный Big-IP F5 для прохождения L4 через балансировку нагрузки SNI, но у меня проблемы (вероятно, потому, что я новичок в F5).
У нас есть серверные веб-сайты, для которых требуется SNI (из-за совместного размещения нескольких приложений на небольшом наборе серверов).
Я хотел бы сбалансировать нагрузку (более правильно предоставить HA) на эти серверы из F5 на уровне L4 / TCP, то есть без завершения SSL, без необходимости загружать индивидуальные сертификаты сайта в F5 (сертификаты выдаются внутренним центром сертификации, корневые / промежуточные сертификаты уже доступны и доверены).
Мне удалось довольно легко заставить это работать в HAProxy, используя конфигурацию, которая выглядит так:
frontend https
mode tcp
tcp-request inspect-delay 5s
use_backend api-uat if { req_ssl_sni -i api-uat.mydomain }
use_backend api-prod if { req_ssl_sni -i api.mydomain }
# repeat for other backends #
backend api-prod
option httpchk GET / HTTP/1.1\r\nHost:\ api.mydomain
balance leastconn
mode tcp
server Server1 10.1.1.1:443 check check-ssl check-sni api.mydomain ca-file MyPKIRoot.pem
server Server2 10.1.1.2:443 check check-ssl check-sni api.mydomain ca-file MyPKIRoot.pem
# repeat for other backends #
тем не мение документация на сайте F5 ориентирована на хостинг с использованием SNI (т.е. завершение SSL на F5, требуются сертификаты ssl профиля клиента).
Может ли какой-нибудь гуру F5 подтвердить, возможно ли это вообще? В качестве примечания проверка работоспособности SNI для внутренних серверов тоже очень плохо, но я вернусь к этому, как только смогу заставить виртуальный сервер работать правильно :(