Нужно посмотреть, сможет ли кто-нибудь пролить свет на периодически возникающую проблему, с которой я сталкиваюсь в этой настройке.
Сначала настройка выглядит следующим образом:
Конечный пользователь -> VIP F5 (без SSL и циклического перебора) -> 2 пары серверов Apache (SSL для виртуального хоста) -> F5 (SSL и минимальное соединение) -> 4 сервера IIS (SSL) -> Сервер приложений.
IIS 7.5
· Таймаут простоя IIS установлен на 0 (это означает, что он отключен) · Сохранение активности: 2 минуты
Apache 2.4 с OpenSSL 1.0
тайм-аут 10 минут
SSLEngine On
SSLProxyEngine On
SSLProxyVerify none
SSLProxyCheckPeerCN off
SSLProxyCheckPeerName off
F5 F5 запускает прошивку 12 Тайм-аут 5 минут.
Приложение .Net
ошибка
У нас периодически возникают проблемы, когда в журналах ошибок прокси-сервера отображается следующее. Клиент время от времени жалуется. Wireshark был бесполезен, так как трудно определить точное время, а данные, помещенные там, затрудняют захват более 30 минут.
Отметил, что Apache, F5 и IIS размещают много других сайтов, и у них нет проблем. Это только есть. также может работать тот же IP-адрес пользователя, но иногда возникает ошибка.
[ошибка] [клиент xxxxxx] прокси: ошибка во время установления связи SSL с удаленным сервером, возвращенная /css/font-awesome.min.css
[ошибка] прокси: не удалось передать тело запроса Бэкэнд F5 VIP от конечный пользователь ()
[ошибка] (502) Неизвестная ошибка: прокси: не удалось передать тело запроса F5 VIP
Возможная причина:
Я думал, что проблема связана с расширенным главным ключом для TLS 1.2, но это было не так. У меня есть новые браузеры без проблем, но иногда один и тот же пользователь может работать нормально, и внезапно они получают эту ошибку, и после того, как они снова в порядке.
Чтобы добавить к этому, внутренние пользователи, которые обходят серверы apache, могут фактически использовать сайт без проблем.
Что странно, так это то, что с подтверждением SSL возникает проблема.
Между прокси и VIP бэкэнда используется F5 TLS 1.2.
Я отключил старые шифры и SSLv2 и 3 на прокси.
SSL Labs показывает сайт как A +.
Любые предложения приветствуются.
Настройте OneConnect. Это сохранит соединения открытыми и устранит необходимость в согласовании SSL.