防火墙后面的高可用性和安全的 WebApps 前端

防火墙后面的高可用性和安全的 WebApps 前端

我的问题是关于在防火墙后面为 WebApps 实施高可用性和安全前端的建议。网络的组件及其关系如下:

1)防火墙后面的 2 个 WebApps 服务器(BackEnd),分别表示为 GUI1 和 GUI2,运行 Web 应用程序

2)位于 DMZ 的 2 台计算机 LB1 和 LB2 配置为活动/备用模式,以实现冗余。它们的任务是

  • 提供额外的安全层作为代理(它们对来自 GUI 的数据包执行 NAT)
  • 根据对 cookie 的检查来处理流量(实际上唯一的要求是实现基于 cookie 的会话持久性,而不是复杂的 LB 技术)

安全要求:

  • 唯一允许的与 GUI 通信的方法(显然是通过防火墙)是通过反向 SSH 隧道。
  • 进入 FrontEnd 的流量通常是 https(和一些 http)

问题是:为了实现这些目标,在前端机器 LB1 和 LB2 上实施哪种软件(开源)是最佳选择?简单回想一下:

  • SSL 终止(检查 cookie 时需要)
  • 基于 Cookie 的负载均衡
  • 主备模式

我没有这方面的实际经验,但是看起来 LB1 和 LB2 上的 NginX(解决 SSL 和 cookie 问题)与 HearBeat(实现所需的冗余属性)一起应该可以工作。

我知道所提出的架构在某种程度上类似于 HAproxy 或 LVS(配置为两个冗余实例),但是我需要一个能够保证同时处理所有描述的任务的解决方案(例如,HAproxy 不支持 SSL 终止)。

欢迎任何意见和建议。谢谢!

答案1

怎么样nginx在后面哈普罗西

答案2

随着几天/几周后 haproxy 推出原生 SSL 支持,也许您会想成为一名快乐的 beta 测试员?:-)

相关内容