Многие дорогие решения 12-25k ограничиваются одновременным использованием 4k SSL-соединений. Loadbalancer.org предлагает решение по разумной цене для многих HTTP-запросов, но ограничено 2k SSL-соединениями.
Этого будет достаточно для такого активного сайта, как мой? Есть ли лучший способ сделать это, чем полагаться на балансировщик нагрузки, который может иметь или не иметь сопроцессор ASIC SSL off-loader, где я могу получить больше, чем потолок 4k для машин менее 17k?
Они делают карты ASIC SSL, которые могут входить в порт pci-x / express? (Я не нашел много даже в гугле). Существуют ли инструкции / рекомендации по созданию собственного решения, которое можно выделить только для обработки шифрования / дешифрования SSL?
Мы будем искать решения типа высокой доступности / балансировки нагрузки. Даже если это означает, что мы используем отдельные балансировщики нагрузки (в тандеме) с обратными прокси-серверами, которые обрабатывают SSL-соединения.
Соблюдение требований PCI также вызывает озабоченность, поэтому любые предложения также должны соответствовать этим рекомендациям.
Масштабируйте, а не увеличивайте. Используйте балансировщик нагрузки на уровне TCP (Linux HA является бесплатным и превосходит все проприетарные решения, которые я когда-либо использовал), и перенаправляет SSL-соединения на машины, стоящие за ним, и позволяет им выполнять работу SSL. Не нужно беспокоиться о том, сможет ли отдельный «ускоритель SSL» справиться со скоростью соединения, потому что, если вам нужно больше, вы просто вставляете другой серверный модуль.
Open Source SSL Acceleration есть пример DIY Linux SSL ускорителя - см. также F5 опровержение.
На стороне устройства Brocade (ранее известная как Foundry Networks) имеет линию ServerIron.
Их модули SSL могут это сделать, хотя новые версии, которые они только что представили, не будут иметь SSL еще несколько месяцев.
Они, конечно, недешевы (пара моделей начального уровня (хотя и 16 миллионов сессий) без SSL стоит ~ 30 тысяч долларов США), но это, безусловно, самое надежное оборудование, которое мы когда-либо использовали, ~ 10 лет в производстве, и мы Ни разу ни разу не потерял блок питания или порт из ~ 20 в производстве. Однако в настоящее время мы не используем SSL, поскольку наши конечные точки не поддерживают его.
Большинство карт SSL-ускорителей имеют довольно слабую поддержку драйверов. Протестируйте один перед развертыванием, многие из них работают намного ниже емкости хоста.
Я большой поклонник относительно недорогих KEMP LoadMaster серии. Это полнофункциональные балансировщики нагрузки с разгрузкой ASIC SSL. Они не являются устройствами на базе OSS linux. Поддержка великолепна, а набор функций продолжает улучшаться, часто в ответ на запросы пользователей.
Солнце есть криптоускоритель с драйверами для Solaris, RHEL и SUSE, быстрый гугл показывает IBM и Discretix есть карты.
Эээ ... Я думаю, что вы ошиблись в цифрах, «кажется, что вы ограничены 4k SSL-соединениями одновременно». Ограничение - количество завершений TPS в секунду ... Что даже на Loadbalancer.org устройство может означать миллионы одновременных пользователей. Кроме того, как сказал первый парень, масштабируйте, а не увеличивайте, ограничение TPS только для SSL, завершаемого локально на балансировщике нагрузки, если вы передаете SSL на бэкэнд-кластер, вы получаете практически неограниченную масштабируемость.