क्या एसएनआई के साथ हार्डवेयर लोड-बैलेंसर मार्ग एसएसएल ट्रैफिक कर सकता है?


9

हमें वर्तमान में 2 अनुप्रयोगों की मेजबानी करने वाला एक वेबसर्वर फार्म मिला है - दोनों अनुप्रयोग सभी सर्वरों पर चल रहे हैं। हम इसे विभाजित करना चाहते हैं इसलिए हमारे पास प्रत्येक ऐप के लिए एक समर्पित सर्वर फ़ार्म है (हमारे पास इसके अच्छे कारण हैं)।

हम सभी सर्वरों के सामने एक सिंगल लोड-बैलेंसर होने की उम्मीद करेंगे, जो होस्टनाम पर आधारित सही फ़ार्म पर ट्रैफ़िक को रूट करेगा, लेकिन हम SSL को वेबसर्वर पर बनाए रखना चाहते हैं।

ऐसा लगता है कि हमारे द्वारा पेश किए जा रहे राउटर ऐसा नहीं करते हैं। मैं सराहना करता हूं कि एसएनआई के बिना यह असंभव है, लेकिन हमें उम्मीद है कि हमारे सभी ट्रैफिक पर एसएनआई संकेतक हैं।

अब मैं एक प्रोग्रामर हूं, एक नेटवर्क आदमी नहीं, लेकिन जब एक नया एसएसएल कनेक्शन अनुरोध आता है, तो रूटर एसएनआई हेडर, और सही खेत के लिए मार्ग की जांच नहीं कर सकता है। मैं मान रहा हूं कि आने वाले एसएसएल कनेक्शन को {सोर्स आईपी: सोर्स पोर्ट} द्वारा पहचाना जाता है, इसलिए क्या बाद के आने वाले पैकेट्स के लिए यह याद नहीं रह सकता है (यदि एसएनआई केवल पहले पैकेट में मौजूद है)?

जहां तक ​​मैं बता सकता हूं कि हाप्रोसी ऐसा करता है, लेकिन ऐसा लगता है कि हार्डवेयर लोड बैलेंसर नहीं है। क्या इसका कोई कारण है, या यह कोई ऐसी चीज है जिसके लिए हमें धक्का देना चाहिए?

(XP पर IE का उपयोग करने वाले अंतिम गार्ड के लिए, जिसमें एसएनआई शामिल नहीं है, हम पुराने खेत में ट्रैफ़िक भेजना चाहते हैं, और हम आवश्यक होने पर नए खेत के लिए प्रबंधन करेंगे)।

जवाबों:


10

उनकी वेबसाइट के अनुसार, F5 लोड बैलेंसर्स के पास SNI के लिए समर्थन है:

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication

तुम भी SNI पर आधारित iRules बना सकते हैं।

अस्वीकरण :

  • मैंने सत्यापित नहीं किया है कि वे अपनी वेबसाइट पर क्या दावा करते हैं
  • मैं F5 के लिए काम नहीं करता हूं, और मैंने 3+ वर्षों तक किसी भी उत्पादन में उपयोग नहीं किया है।

आपके जवाब के लिए धन्यवाद। मैं इस पर गलत हो सकता हूं लेकिन मुझे लगता है कि पेज SSL ट्रैफ़िक को रूट करने के बजाय वेब सर्वर के बारे में बात कर रहा है। यह सही प्रमाण पत्र का चयन करने के लिए एसएनआई का उपयोग करने के बारे में बात करता है, इसलिए मुझे लगता है कि यह एसएसएल कनेक्शन के अंत में है, बजाय बीच में।
पोटोमेटो

1
AFAIK, यह पृष्ठ SSL ट्रैफ़िक को रूट करने के बारे में बात करता है "..., BIG-IP आपको TLS SNI सुविधा के उपयोग के लिए एक वर्चुअल सर्वर पर एक से अधिक SSL प्रोफाइल असाइन करने की अनुमति देता है। TLS SNI सुविधा पिछले BIG- में उपलब्ध नहीं है। आईपी ​​संस्करण, इसलिए यदि आप v11.1.0 या उच्चतर पर नहीं हैं, तो आप अपग्रेड करना चाहते हैं! इस सुविधा का समर्थन करने के लिए, एक वर्चुअल सर्वर को फॉलबैक के लिए एक डिफ़ॉल्ट एसएसएल प्रोफाइल और साथ ही एक एचटीटीपीएस साइट प्रति एसएसएल प्रोफाइल को सौंपा जाना चाहिए। SSL नाम का उपयोग तब किया जाता है जब सर्वर नाम क्लाइंट के अनुरोध से मेल नहीं खाता या जब ब्राउज़र SNI एक्सटेंशन का समर्थन नहीं करता है। "
bgtvfr

"वर्चुअल सर्वर" बड़े आईपी मार्ग http / https ट्रैफ़िक बैकएंड सर्वर (= अपाचे,
टॉमकैट, वेबस्पेयर

अधिकांश बड़े खिलाड़ी (सिस्को, बिग-आईपी) ऐसा ऊपर बताए अनुसार करते हैं। मुझे यकीन नहीं है कि अन्य उत्तर को उत्तर के रूप में चिह्नित क्यों किया गया था।
जिम बी

@JimB मैंने दूसरे को उत्तर के रूप में चिह्नित किया क्योंकि मैं एक प्रोग्रामर हूं जो नेटवर्क हार्डवेयर क्षमताओं पर बातचीत करने की कोशिश कर रहा है! मैंने लेख को आगे देखा है और फिर भी यह काम नहीं कर सकता है कि क्या कोई डिवाइस एसएनआई एक्सटेंशन (जैसा कि जरूरत हो) के आधार पर विभिन्न भौतिक सर्वरों के लिए आगे के ट्रैफ़िक को चुन रहा है। हालांकि यह प्रासंगिक लगता है: devcentral.f5.com/questions/…
पोटोमेटो

9

रूटर SNI हेडर की जांच नहीं कर सकता,

एक राउटर आमतौर पर केवल OSI लेयर 3 पर काम करता है, यानी पैकेट की सामग्री का निरीक्षण नहीं करता है, लेकिन केवल लक्ष्य IP है। एसएनआई पर आधारित रूटिंग के लिए टीसीपी और टीएलएस की समझ आवश्यक होगी जो कि अधिक जटिल है और अधिक महंगा है (प्रदर्शन के बारे में) तो आईपी पते के आधार पर सिर्फ रूट करना। और यह भी आमतौर पर किसी भी अधिक मार्ग नहीं कहा जाता है।

Haproxy यह करता है .. हार्डवेयर लोड balancers नहीं।

आप राउटर (लेयर 3), हार्डवेयर लोड बैलेंसर (लेयर 4 और शायद अधिक) और हाप्रोसी (सॉफ्टवेयर लोड बैलेंसर) को मिला रहे हैं। एक हार्डवेयर लोड बैलेंसर कुछ सॉफ़्टवेयर लोड बैलेंसर के साथ एक उपकरण से ज्यादा कुछ नहीं है और शायद विशिष्ट कार्यों के लिए कुछ हार्डवेयर त्वरण भी है। कुछ भी नहीं है जो हार्डवेयर लोड बैलेंसर पर असंभव SNI सूचना के आधार पर स्वाभाविक रूप से संतुलन (रूटिंग नहीं) करता है और एक अन्य उत्तर की तरह सुझाव देता है कि ऐसे उत्पाद हैं जो इसका समर्थन करते हैं। लेकिन निश्चित रूप से इसे लागू करने की आवश्यकता है और इसमें प्रदर्शन की लागत है - वे गहराई से आप उस ट्रैफ़िक को देखते हैं जो इसे मिलता है।


ठीक है तो तकनीकी रूप से संभव है, लेकिन प्रदर्शन कारणों से एक अच्छा विचार नहीं है, यही कारण है कि ऐसा नहीं किया जाता है। धन्यवाद।
पोटोमैटो
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.