SSL网站的高可用性
我们的一个web服务器集群为一些繁忙的电子商务应用程序提供服务。目前,每个站点都生活在特定的web服务器上,并且有一个热备用副本镜像到集群中的另一个web服务器。如果服务器发生故障,则有一个手动过程来重新激活故障转移服务器上的站点。我们现在需要一个更好的解决方案,不仅是故障解决方案,而且我们可以在不停机的情况下让机器进行维护。
我们正在考虑构建一个由2-3个HAProxy服务器组成的集群(主要是因为它有很好的性能记录),可以放在web服务器的前面。据我所读,它将满足我们对会话管理和将用户保持在同一服务器上的大多数需求。我们最关心的是SSL证书。每个站点都有自己的SSL证书。因为最终用户将连接到HAProxy服务器,所以我只能假设我们需要将证书移动到HAProxy集群中的每台机器。由于HAProxy不直接处理SSL,所以我已经了解到,我们可以通过反向代理类型转发安排在同一个系统上使用Apache+mod_ssl完成这一任务。
因此,我的具体问题是,HAProxy是否实际上是适合这项工作的工具?现有的SSL证书(目前在Windows2003Server上有几个是EV-SSL证书)是否可以移植到Apache?我们是否应该考虑其他软件或硬件解决方案(将HAProxy与SSL站点一起使用似乎比需要的要复杂得多)?在建立高可用性SSL网络集群时,我们可能还没有考虑过其他的注意事项吗?
回答 3
Server Fault用户
发布于 2009-06-14 06:57:57
如果您是开放的Microsoft/IIS 7解决方案,一个选项是使用IIS 7‘S应用程序请求路由(ARR)。
本文中有一个关于learn.iis.net:使用应用程序请求路由的HTTP负载平衡的介绍/教程。有一个叫做"SSL卸载“的特性:
启用此功能后,ARR服务器和应用程序服务器之间的所有通信都是以明文完成的,甚至对于客户端到ARR服务器的HTTPS请求也是如此。当ARR服务器和应用服务器都部署在受信任的网络中(例如在同一个数据中心内)时,启用SSL卸载不会牺牲安全性。此外,启用此功能还可以进一步帮助最大限度地利用应用程序服务器上的服务器资源,因为它们不需要花费周期来加密和解密请求和响应。
如果您想深入研究这个主题,请参阅这是另一篇关于ARR的文章.,它解释了如何将该机制与硬件负载平衡器结合使用。
Server Fault用户
发布于 2009-06-14 06:46:23
在过去,我已经设置了类似的东西,但是我们运行的是非常缺乏资源的mod perl应用程序。因此,我们最终在应用服务器前使用了squid,我们使用apache+proxy来实现ssl卸载,这样我们就可以通过squids缓存所有内容。对于集群部分,我们使用LVS(linux虚拟服务器)+心跳(用于我使用的ssl卸载方法的故障转移负载平衡器),请参阅我博客上的这文章以获得更多信息。
Server Fault用户
发布于 2009-09-11 05:21:00
有一些方法可以配置您想要使用HAProxy的内容,但是它们需要在所有将要使用的服务器上使用ssl证书。我遇到但从未使用过的另一个选项是一个名为庞德的应用程序,它的设计考虑到了负载平衡ssl服务器。
https://serverfault.com/questions/25402
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号