Túnel criptografado do balanceador de carga para servidores upstream. SSH vs. SSL?

Navegue suas respostas
1

Estamos criando uma configuração de carga balanceada com dois balanceadores de carga (que também encerram SSL) e vários servidores upstream. Os balanceadores de carga e os servidores upstream executam o nginx. A rede na qual as solicitações são encaminhadas para os servidores upstream não pode ser confiável, por isso, precisamos criptografá-las novamente após o término do SSL no balanceador de carga. Estamos nos perguntando qual rota devemos tomar para criptografar novamente a conexão:

  • SSL: o balanceador de carga se conecta a um servidor upstream usando SSL.
    • positivo: bastante resiliente, pois todas as conexões são estabelecidas do zero
    • negativo: adicionado latência do handshake SSL
    • Túnel SSH persistente
    • positivo: não (ou menos?) latência adicionada
    • negativo: o túnel pode falhar e deve ser monitorado com, e. autossh

Além disso, não tenho certeza de como as duas soluções se comparam na taxa de transferência. Alguém tem alguma experiência com uma ou ambas as soluções? Ou existem abordagens melhores?

    
por Benjamin Wohlwend 25.03.2013 / 16:07

1 resposta

1

Boa pergunta e também do meu interesse.

Eu votaria em um túnel SSL persistente com monitoramento ou VPN, como dito. A criptografia precisa ser feita uma vez e para todo o tráfego. Como é um balanceador de carga, você deve ser capaz de atingir facilmente o tempo limite no link de criptografia com falha.

Você já implementou alguma coisa?

    
por 29.05.2014 / 13:31

Tags

ASA 5510 - Roteamento entre Interface Como obter o status do grupo de servidores no jboss-cli