Um tráfego SSL de rota de balanceador de carga de hardware com SNI?

9

Temos um farm de servidores da Web hospedando atualmente dois aplicativos - os dois aplicativos estão sendo executados em todos os servidores. Queremos dividir isso para que tenhamos um farm de servidores dedicado para cada aplicativo (temos boas razões para isso).

Esperávamos ter um único balanceador de carga na frente de todos os servidores, o que direcionaria o tráfego para o farm correto com base no nome do host, mas queremos manter o SSL nos servidores da Web.

Parece que os roteadores que estão sendo oferecidos não fazem isso. Compreendo que sem o SNI isso é impossível, mas esperamos indicadores SNI em praticamente todo o nosso tráfego.

Agora sou um programador, não um tipo de rede, mas quando uma nova solicitação de conexão SSL é recebida, o roteador não pode examinar o cabeçalho SNI e rotear para o farm correto. Estou assumindo que a conexão SSL de entrada é identificada por {source IP: source port}, então não poderia se lembrar disso para pacotes de entrada subseqüentes (se o SNI estiver presente apenas no primeiro pacote)?

Até onde eu posso dizer, a Haproxy faz isso, mas parece que os balanceadores de carga de hardware não fazem isso. Existe alguma razão para isso, ou isso é algo que devemos pressionar?

(Para o último guarda usando o IE no XP que não inclui o SNI, gostaríamos de enviar tráfego para o antigo farm e nós administraríamos o proxy para o novo farm quando necessário).

    
por potomato 23.08.2016 / 10:16

2 respostas

10

De acordo com o website, os balanceadores de carga da F5 têm suporte para o SNI:

link

Você pode até criar iRules com base no SNI.

Aviso:

  • Eu não verifiquei o que eles reivindicam em seu website
  • Eu não trabalho no F5 e não uso nenhum em produção há mais de 3 anos.
por 23.08.2016 / 10:21
9

can't the router examine the SNI header,

Geralmente, um roteador funciona apenas na camada 3 do OSI, ou seja, não inspeciona o conteúdo do pacote, mas apenas o IP de destino. Para o roteamento baseado em SNI, seria necessário um entendimento do TCP e do TLS, que é mais complexo e mais caro (em termos de desempenho) do que o roteamento baseado em endereço IP. E isso geralmente também não é chamado de roteamento.

Haproxy does this .. hardware load balancers don't.

Você está misturando roteador (camada 3), balanceador de carga de hardware (camada 4 e talvez superior) e Haproxy (balanceador de carga de software). Um balanceador de carga de hardware nada mais é do que um dispositivo com algum balanceador de carga de software e talvez também alguma aceleração de hardware para ações específicas. Não há nada que torne inerentemente o balanceamento (não o roteamento) baseado em informações SNI impossíveis em um balanceador de carga de hardware e, como outra resposta, sugere que há produtos que suportam isso. Mas é claro que precisa ser implementado e custa desempenho - quanto mais você olha para o tráfego, mais lento ele fica.

    
por 23.08.2016 / 11:00