Bir donanım yük dengeleyici, SSL trafiğini SNI ile yönlendirebilir mi?

Şu anda 2 uygulama barındıran bir web sunucusu grubumuz var - her iki uygulama da tüm sunucularda çalışıyor. Bunu bölmek istiyoruz, böylece her uygulama için özel bir sunucu grubuna sahibiz (bunun için iyi nedenlerimiz var).

Tüm sunucuların önünde, ana makine adına göre trafiği doğru gruba yönlendirecek tek bir yük dengeleyici olmasını umuyorduk, ancak web sunucularına SSL'yi korumak istiyoruz.

Size sunulan yönlendiriciler bunu yapmıyor gibi görünüyor. SNI olmadan bunun imkansız olduğunu takdir ediyorum, ancak neredeyse tüm trafiğimizde SNI göstergeleri bekliyoruz.

Şimdi bir programcıyım, ağ adamı değilim, ancak yeni bir SSL bağlantı isteği geldiğinde, yönlendirici SNI başlığını inceleyemez ve doğru gruba yönlendiremez. Gelen SSL bağlantısının {source IP: source port} tarafından tanımlandığını varsayıyorum, bu yüzden sonraki gelen paketler için bunu hatırlayamadım (SNI yalnızca ilk pakette varsa)?

Haproxy'nin bunu yaptığını söyleyebildiğim kadarıyla, donanım yük dengeleyicilerinin yapmadığı anlaşılıyor. Bunun bir sebebi var mı, yoksa bu zorlamamız gereken bir şey mi?

(SNI içermeyen XP'de IE kullanan son bekçi için eski çiftliğe trafik göndermek isteriz ve gerektiğinde yeni çiftliğe proxy göndermeyi yönetiriz).

Web sitelerine göre, F5 yük dengeleyicileri SNI için desteğe sahiptir:

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication

SNI tabanlı iRules bile yapabilirsiniz.

Feragatname:

• Web sitelerinde ne iddia ettiklerini doğrulamadım
• F5 için çalışmıyorum ve 3 yıldan fazla bir süredir üretimde hiç kullanmadım.

yönlendirici SNI başlığını inceleyemiyorsa,

Bir yönlendirici genellikle yalnızca OSI katman 3'te çalışır, yani paketin içeriğini değil, yalnızca hedef IP'yi inceler. SNI tabanlı yönlendirme için, hem IP adresine göre yönlendirme hem de daha karmaşık ve çok daha pahalı (performansla ilgili) bir TCP ve TLS anlayışı gerekli olacaktır. Ve buna genellikle daha sonra yönlendirme denmez.

Haproxy bunu yapar .. donanım yük dengeleyicileri yapmaz.

Yönlendirici (katman 3), donanım yük dengeleyici (katman 4 ve belki daha yüksek) ve Haproxy (yazılım yük dengeleyici) karıştırıyorsunuz. Bir donanım yük dengeleyici, üzerinde bazı yazılım yük dengeleyicisi ve belki de belirli eylemler için bazı donanım hızlandırması olan bir cihazdan başka bir şey değildir. Bir donanım yük dengeleyicisinde SNI bilgisine dayanan dengelemeyi (yönlendirme değil) doğal olarak imkansız kılan hiçbir şey yoktur ve başka bir cevap gibi bunu destekleyen ürünler olduğunu düşündürmektedir. Ama elbette uygulanması gerekiyor ve performansa mal oluyor - trafiğe ne kadar derin bakarsanız o kadar yavaşlar.