我们有一个Web服务器场,目前托管2个应用程序-这两个应用程序都在所有服务器上运行。我们希望将其拆分,因此我们为每个应用程序都有一个专用的服务器场(我们有充分的理由)。
我们希望在所有服务器之前都配备一个负载均衡器,该负载均衡器可以根据主机名将流量路由到正确的服务器场,但是我们希望维护Web服务器的SSL。
看来我们提供的路由器没有这样做。我很感谢没有SNI,这是不可能的,但是我们希望SNI指标几乎涵盖所有流量。
现在,我是一名程序员,而不是网络专家,但是当收到新的SSL连接请求时,路由器无法检查SNI标头,并路由到正确的服务器场。我假设传入的SSL连接由{source IP:source port}标识,那么它不能为后续的传入数据包记住这一点(如果SNI仅出现在第一个数据包中)?
据我所知,Haproxy做到了这一点,但似乎硬件负载平衡器没有。是否有任何原因,还是我们应该为此而努力?
(对于不使用SNI的XP上使用IE的最后一名警卫,我们希望将流量发送到旧服务器场,并在必要时管理向新服务器场的代理)。
Answers:
根据他们的网站,F5负载平衡器支持SNI:
https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication
您甚至可以基于SNI制作iRules。
免责声明:
路由器无法检查SNI标头,
路由器通常仅在OSI层3上工作,即,不检查数据包的内容,而仅检查目标IP。对于基于SNI的路由,有必要了解TCP和TLS,这比基于IP地址的路由既复杂又昂贵(就性能而言)。这通常也不再称为路由。
Haproxy这样做..硬件负载平衡器不这样做。
您正在混合路由器(第3层),硬件负载平衡器(第4层甚至更高)和Haproxy(软件负载平衡器)。硬件负载平衡器无非就是一个上面装有一些软件负载平衡器的设备,也许还有一些针对特定操作的硬件加速。在硬件负载平衡器上,根本没有任何东西可以使基于SNI信息的平衡(而不是路由)成为不可能,并且像另一个答案一样,暗示有产品支持这一点。但是,当然,它需要实施并且会降低性能-他们越深入地了解流量,就会越慢。