我们在本地网络上拥有三台 Web 服务器,我已在它们前面安装了 Kemp 负载均衡器。目前,这三台服务器都拥有 SSL 证书。一切正常。但是,我想探索使用 SSL 加速选项,并将证书也放在负载均衡器上 - 再次,这有效。人们通常会从他们的 Web 服务器中删除 SSL,并让 LB 通过 HTTP 连接到 Web 服务器吗?如果我不删除 Web 服务器上的 SSL,它实际上必须解密两次,对吗?我不希望纯文本流量从 Web 服务器流向 LB,所以我认为 SSL 卸载对我们来说不是正确的举措 - 希望有人可以提供一些澄清,因为我不是这方面的专家。从技术上讲,要求只是客户端连接是加密的,但说实话,我们不希望流量能够以纯文本形式显示,这是一项要求……它可以 - 对吗?
答案1
听起来你不需要在 Kemp 负载均衡器上终止 SSL。如果你的集群中有 3 台服务器,并且它们终止自己的 SSL 连接,这是迄今为止最快、最安全的方法。
负载均衡器终止的两个常见原因是:
- 负载均衡器上需要进行第 7 层操作来修复遗留应用程序问题,即 URL 重定向或 cookie 插入。
- 在一个地方轻松维护 SSL 证书(尽管我个人认为在集群中一次升级一台服务器不那么可怕,使用负载平衡器来获得安全的维护窗口。在具有大量应用程序的负载平衡器上破坏证书是一种可怕的情况)。
有些人这样做是为了所谓的加速,但那大多是营销花招。
负载平衡集群的全部意义在于消除单点故障并提高性能,将 SSL 终止放在后端服务器上绝对是我尽可能的首选方案。