FrontEnd altamente disponível e seguro para WebApps atrás de um firewall [closed]

1

minha pergunta é sobre a implementação proposta de FrontEnd altamente disponível e seguro para WebApps atrás de um firewall. Os componentes da rede e seus relacionamentos são os seguintes:

1) 2 servidores WebApps atrás de um firewall (BackEnd), denotados por GUI1 e GUI2, executando aplicativos da Web

2) 2 máquinas LB1 e LB2 localizadas em DMZ configuradas com IP flutuante no modo ativo / standby para redundância. Sua tarefa é

  • para dar uma camada adicional de segurança servindo como proxy (eles estão realizando o NAT nos pacotes provenientes da GUI)
  • para lidar com o tráfego baseando-se na inspeção de cookies (na verdade, o único requisito é obter persistência de sessão baseada em cookies, não técnicas sofisticadas de LB)

Requisitos de segurança:

  • O único método de comunicação aceitável com GUI que é permitido (claramente através do FireWall) é via túnel SSH reverso.
  • O tráfego recebido pelo FrontEnd é mais frequentemente https (e alguns http)

A questão é: que tipo de software (open source) é a melhor opção a ser implementada nas máquinas front-end LB1 e LB2, para realizar esses objetivos? Lembre-se, em resumo:

  • terminação SSL (conforme necessário para inspecionar o cookie)
  • LB baseada em cookies
  • modo ativo / espera

Eu não tenho experiência prática neste campo, no entanto, parece que o NginX no LB1 e LB2 (para resolver o problema de SSL e cookies) juntamente com o HearBeat (para alcançar a propriedade de redundância desejada) deve funcionar.

Estou ciente de que a arquitetura proposta é similar a HAproxy ou LVS (configurada como duas instâncias redundantes), mas eu preciso de uma solução que garanta o tratamento simultâneo de todas as tarefas descritas (por exemplo, o HAproxy não suporta terminação SSL).

Quaisquer comentários e sugestões são bem-vindos. Obrigado!

    
por MaciejS 17.08.2012 / 23:24

2 respostas

1

que tal nginx por trás do haproxy ?

    
por 18.08.2012 / 18:59
1

Com o suporte SSL nativo vindo em haproxy em alguns dias / semanas, talvez você queira ser um feliz beta tester? : -)

    
por 25.08.2012 / 10:11