许多昂贵的 12-25k 解决方案似乎仅限于同时处理 4k SSL 连接。Loadbalancer.org 有一个价格合理的解决方案,适用于许多 HTTP 请求,但仅限于 2k SSL 连接。
对于像我这样活跃的网站,这足够了吗?有没有比依赖负载平衡器更好的方法?负载平衡器可能有 ASIC SSL 卸载协处理器,我可以在 17k 以下的机器上获得超过 4k 的上限?
他们是否制造可以插入 pci-x/express 端口的 ASIC SSL 卡?(我在谷歌上也找不到太多信息)。是否有构建您自己的解决方案的指南/建议规范,可以专门用于处理 SSL 加密/解密?
我们正在寻找高可用性/负载平衡类型的解决方案。即使这意味着我们使用单独的负载平衡器(串联)和反向代理盒来处理 SSL 连接。
PCI 合规性也是一个问题,因此任何建议也应该符合这些准则。
答案1
向外扩展,而不是向上扩展。使用 TCP 级负载均衡器 (Linux 高可用性是免费的,而且规模和性能都超过我曾经使用过的所有专有解决方案),并将 SSL 连接转发到其后面的机器,让它们执行 SSL 操作。无需担心单个“SSL 加速器”是否能够处理连接速率,因为如果您需要更多,只需插入另一个后端框即可。
答案2
答案3
在设备方面,Brocade(以前称为 Foundry Networks)拥有 ServerIron 产品线。
他们的 SSL 模块可以做到这一点,尽管他们刚刚推出的新版本还要几个月才会有 SSL。
它们当然不便宜(一对入门级(尽管有 16M 会话)非 SSL 型号的价格约为 3 万美元),但它们无疑是我们使用过的最可靠的设备,已投入生产约 10 年,在约 20 年的生产过程中,我们从未丢失过电源或端口。但是,我们目前不使用 SSL,因为我们的端点不支持它。
大多数 SSL 加速卡似乎都缺乏驱动程序支持。部署前请先测试一个,其中许多都远远低于主机容量。