Мы предлагаем программное обеспечение как услугу, полностью размещенную на Amazon Web Services (AWS). В основном мы используем Elastic Beanstalk (эластичный балансировщик нагрузки + экземпляры ec2) и RDS (служба базы данных), а также многие другие службы.
Многие из наших клиентов используют наши услуги со своим собственным доменом (white label), что не является проблемой. Однако это становится проблемой, когда они хотят использовать свои собственный домен с SSL, так как мы можем разместить только один сертификат SSL на экземпляр ec2 / балансировщик нагрузки.
На данный момент у нас есть один клиент, использующий сертификат SSL. Мы создали для них собственную среду, чтобы мы могли разместить их сертификат. Однако это совершенно непрактично, поскольку теперь нам нужно выполнять обновления программного обеспечения и т. Д. В двух разных средах (нашей и их). Такой подход не масштабируется.
Есть ли обходной путь? Возможно ли иметь экземпляр ec2 исключительно для размещения SSL-сертификата клиентов, но все же направлять весь трафик в нашу основную среду (туннелирование)? Или, может быть, разместить несколько сертификатов на нашем балансировщике нагрузки? Любые другие подходы?
Большое спасибо за ваш вклад!
На самом деле все зависит от характера вашего приложения.
Если все, что вы предоставляете, - это интерфейс на основе HTTPS (SOAP, JSON или веб-приложение) и вы не используете аутентификацию на основе сертификатов, то вы можете использовать какую-либо форму системы обратного прокси.
В этом случае прокси-сервер будет иметь общедоступный интерфейс, который использует общедоступный URL (адрес вашего клиента) и пересылает запросы вашей внутренней системе. Он по-прежнему может проходить через ваш балансировщик нагрузки в качестве клиента.