大家好,
我正在尝试配置一个 F5 虚拟 Big-IP 用于 L4 直通 SNI 负载平衡,但遇到了麻烦(可能是因为我不熟悉 F5)。
我们的后端网站需要 SNI(因为在一小组服务器上共同托管多个应用程序)。
我想在 L4/TCP 级别从 F5 对这些服务器进行负载平衡(更正确地提供 HA),即没有 SSL 终止,不需要将单个站点证书上传到 F5(证书由内部 CA 颁发,根/中间证书已经可用且受信任)。
我能够使用如下配置在 HAProxy 中轻松实现此功能:
frontend https
mode tcp
tcp-request inspect-delay 5s
use_backend api-uat if { req_ssl_sni -i api-uat.mydomain }
use_backend api-prod if { req_ssl_sni -i api.mydomain }
# repeat for other backends #
backend api-prod
option httpchk GET / HTTP/1.1\r\nHost:\ api.mydomain
balance leastconn
mode tcp
server Server1 10.1.1.1:443 check check-ssl check-sni api.mydomain ca-file MyPKIRoot.pem
server Server2 10.1.1.2:443 check check-ssl check-sni api.mydomain ca-file MyPKIRoot.pem
# repeat for other backends #
然而文档F5 网站上的目标受众是托管使用 SNI(即 F5 上的 SSL 终止,需要客户端配置文件 SSL 证书)。
有没有 F5 大神可以确认一下这是否可行?顺便提一下SNI 健康检查后端服务器也严重低于标准,但一旦我能让虚拟服务器正常工作,我就会解决这个问题: (