Execute haproxy redundante com autenticação clientcertificate por trás do loadbalancer físico

1

Eu sei que existem configurações baseadas no KeepaliveD e no EBS, mas a empresa em que trabalho é um cliente da Cisco e, portanto, precisamos usar balanceadores físicos.

Eu pretendo usar o balanceador de carga físico sem o descarregamento de SSL e simplesmente equilibrar o tráfego com base no algoritmo de leastconn para duas instâncias de haproxy que configurarei (com base na v1.7.9). Essas instâncias de haproxy serão idênticas para gêmeos (configurationwise) e fazem o descarregamento de SSL e a autenticação baseada em certificado de cliente. A necessidade deste último é o motivo pelo qual eu não usarei o loadbalancer físico com ssl porque ele tem um bug de implementação (confirmado).

Meu problema conceitual é que não tenho idéia de como configurar o stickyness no loadbalancer físico. Minha suposição é que, para não fazer o certificado de cliente manipulando com muita frequência, eu deveria criar uma sessão na qual o haproxy exige o certificado uma vez, vincula-o a uma sessão e usa as informações do certificado para conexões futuras (contanto que as sessões não sejam fora)

Eu tenho que configurar o stickyness da sessão no loadbalancer físico? Ou é possível sincronizar as informações coletadas do certificado entre as instâncias do haproxy (eu sei que isso funciona para tabelas dinâmicas)?

    
por Marged 01.09.2017 / 22:05

0 respostas

Tags