Se as web farms estiverem preocupadas com a sobrecarga de handshake de TLS

5

Eu tenho um web farm onde os servidores da web são responsáveis por negociar as conexões seguras. Alguém mais com um Web farm faz de tudo para reduzir a sobrecarga de handshake de TLS garantindo que TLS retome os handshakes suportado? E se sim, por quê?

Estamos mudando de uma sessão fixa para um algoritmo de balanceamento de carga mais balanceado. Estamos preocupados que perderemos o benefício do recurso de retomada do TLS. Supondo que cada conexão de um cliente vá para um servidor diferente, estamos assumindo que um handshake TLS completo será necessário. Eu não sei a sobrecarga, mas se estamos olhando 20ms ida e volta, parece que o aperto de mão completo levará 3x ou mais para completar.

    
por Brian Adams 02.09.2009 / 23:57

3 respostas

3

Não sei qual é o tamanho do farm de servidores Web OPs, mas para a maioria das instalações menores / médias, acho mais simples e mais simples lidar com todos os TLS / SSL no balanceador de carga. Então você tem:

Internet (HTTPS req) -> L7 HTTPS proxy LB -> plain HTTP on LAN -> webserver
A

revista O3 teve um bom artigo sobre como isso é relativamente fácil com o nginx , e o que números de desempenho que você pode esperar. f5 publicou um comentário sobre os benefícios de usar um dispositivo comercial para aceleração de SSL em vez de uma solução DIY (IMHO um pouco tendenciosa).

Observe que você precisará dos seus servidores da Web para inspecionar os cabeçalhos X-Forwarded-For e X-FORWARDED_PROTO e manipular a conexão corretamente.

A maioria das instalações deve ficar bem com um único HTTP & Balanceador de carga HTTPS ou um par de balanceadores de carga na configuração ativa / passiva para HA. Nessa configuração, o currículo do handshake não é um problema , pois há apenas um ponto de extremidade SSL / TLS (que normalmente suporta automaticamente o retomada do handshake).

    
por 27.10.2009 / 01:07
0

Eu estava com a impressão de que uma conexão foi estabelecida, mesmo com um balanceador de carga, todas as futuras conexões naquela sessão aconteceriam com o mesmo servidor?

Talvez seja apenas como os sites que usei e os serviços que configuramos operam.

    
por 22.09.2009 / 13:48
0

Supondo que você esteja usando o Apache, dê uma olhada em distcache . A partir da página man, "a arquitetura distcache fornece um protocolo e um conjunto de ferramentas para permitir que aplicativos e máquinas compartilhem o estado da sessão entre eles por meio de um serviço de rede".

"O uso principal do distcache agora é o cache de sessão SSL / TLS. Isso permite que servidores SSL / TLS (por exemplo, um servidor web Apache seguro que fornece suporte HTTPS) usem um cache de sessão centralizado, ou seja, qualquer servidor pode retomar SSL / Sessões TLS negociadas por qualquer outro servidor na rede. As vantagens dessa abordagem incluem maior liberdade de mecanismos para balanceamento de carga. "

    
por 22.09.2009 / 15:44