在物理负载均衡器后面运行带有客户端证书身份验证的冗余 haproxy

在物理负载均衡器后面运行带有客户端证书身份验证的冗余 haproxy

我知道有基于 KeepaliveD 和 EBS 的设置,但我所在的公司是思科客户,因此我们必须使用物理负载均衡器。

我计划使用不带 SSL 卸载的物理负载均衡器,并仅让其基于 leastconn 算法将流量平衡到我将设置的两个 haproxy 实例(基于 v1.7.9)。这些 haproxy 实例将是完全相同的(配置方面),并执行 SSL 卸载和基于客户端证书的身份验证。对后者的需求是我不会使用带 SSL 的物理负载均衡器的原因,因为它有一个(已确认的)实现错误。

我的概念问题是我不知道如何在物理负载均衡器上配置粘性。我的假设是,为了不经常进行客户端证书处理,我应该创建一个会话,其中 haproxy 要求证书一次,将其绑定到会话,并使用证书信息进行将来的连接(只要会话不超时)

我是否必须在物理负载均衡器上配置会话粘性?或者是否可以在 haproxy 实例之间同步收集的证书信息(我知道这适用于 stick-tables)?

相关内容