Я использую настройку ldirectord для балансировки нагрузки на пару реальных серверов и для соединений HTTPS, которые я рассматриваю, используя некоторый механизм разгрузки на LB - есть ли какие-то функции, уже реализованные в ldirectord, или мне следует искать другие решения, которые у меня будут соединить с ldirectord?
Заранее спасибо!
при использовании lvs с ssl установите сертификаты на серверах службы ssl (в моем случае ldap), чтобы они соответствовали VIP балансировщика нагрузки, а не DNS-именам хост-серверов. Это означает, что когда вы попадаете на порт VIP: ssl сервера lvs, согласование сертификата совпадает с обратным именем DNS, которое ожидает инициирующий сервер.
Тестирование ssl-рукопожатия -> openssl s_client -connect hostname:port
проблема не в конфиге. Стандартный конфиг lvs работает нормально. Проблема заключается в согласовании сертификата ssl. «Клиент» ожидает сертификат, который соответствует обратному DNS для IP-адреса, к которому он подключается. (т.е. IP-интерфейс виртуального IP-интерфейса балансировщика нагрузки). Если ответчик хост-фермы отвечает «своим» сертификатом, он будет выглядеть как поддельный сертификат, потому что он не будет соответствовать IP-адресу подключения. Поэтому "исправление" состоит в том, чтобы вместо этого загрузить все ответчики фермы сертификатом LB virt IP.
Андрей.
Я должен начать с того, что я не настраивал LVS уже пару лет, и, возможно, он переместился.
Тем не менее, когда я последний раз делал это, очень много программного обеспечения работало на уровне 3, а не на уровне 4. Если вам нужно что-то, что перенаправляет ваши входящие TCP / 443-соединения на один из пула внутренних серверов, LVS был вашим человеком. . Если вы хотели, чтобы что-то получало входящие HTTPS-соединения, расшифровывало их и отправляло расшифрованные запросы на пул внутренних серверов, это был не ваш человек.
Редактировать: да, я бы подумал об использовании apache для расшифровки и перенаправления в пул. Кроме того, вы можете использовать Linux-HA для управления двумя интерфейсными модулями apache (один активный, один горячий резерв), так что перенаправитель по-прежнему всегда работал на IP-адресе, который перемещался между двумя под управлением HA.