하드웨어로드 밸런서가 SNI를 사용하여 SSL 트래픽을 라우팅 할 수 있습니까?

현재 2 개의 응용 프로그램을 호스팅하는 웹 서버 팜이 있습니다. 두 응용 프로그램은 모든 서버에서 실행됩니다. 우리는 이것을 분할하여 각 앱에 대한 전용 서버 팜을 갖기를 원합니다 (이에 대한 충분한 이유가 있습니다).

호스트 이름을 기반으로 올바른 팜으로 트래픽을 라우팅하는 모든 서버 앞에 단일로드 밸런서를 갖기를 원했지만 웹 서버에 SSL을 유지하려고합니다.

우리가 제공하는 라우터가 이것을하지 않는 것 같습니다. SNI가 없으면 이것이 불가능하다는 점에 감사하지만 사실상 모든 트래픽에 대한 SNI 지표가 필요합니다.

이제 저는 네트워크 사용자가 아닌 프로그래머이지만 새로운 SSL 연결 요청이 들어 오면 라우터가 SNI 헤더를 검사하여 올바른 팜으로 라우팅 할 수 없습니다. 들어오는 SSL 연결이 {source IP : source port}로 식별된다고 가정하고 후속 수신 패킷에 대해 이것을 기억할 수 없습니까 (SNI가 첫 번째 패킷에만있는 경우)?

내가 Haproxy에게 말할 수있는 한, 하드웨어로드 밸런서는 그렇지 않습니다. 이것에 대한 이유가 있습니까, 아니면 우리가 추진해야 할 것이 있습니까?

(SNI가 포함되지 않은 XP에서 IE를 사용하는 마지막 경비원의 경우 기존 팜으로 트래픽을 보내고 싶습니다. 필요한 경우 새 팜으로 프록시를 관리하려고합니다).

웹 사이트에 따르면 F5로드 밸런서는 SNI를 지원합니다.

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication

SNI를 기반으로 iRules를 만들 수도 있습니다.

면책 조항 :

• 웹 사이트에서 주장하는 내용을 확인하지 못했습니다.
• 저는 F5에서 일하지 않으며 3 년 이상 프로덕션에서 사용한 적이 없습니다.

라우터가 SNI 헤더를 검사 할 수 없습니다.

라우터는 일반적으로 OSI 계층 3에서만 작동합니다. 즉, 패킷의 내용을 검사하지 않고 대상 IP 만 검사합니다. SNI 기반 라우팅의 경우 TCP 및 TLS에 대한 이해가 필요하며 IP 주소를 기반으로 라우팅하는 것보다 복잡하고 비용이 많이 듭니다 (성능과 관련하여). 그리고 이것은 일반적으로 더 이상 라우팅이라고도하지 않습니다.

Haproxy는이 작업을 수행합니다. 하드웨어로드 밸런서는 수행하지 않습니다.

라우터 (계층 3), 하드웨어 부하 분산 장치 (계층 4 이상) 및 Haproxy (소프트웨어 부하 분산 장치)를 혼합하고 있습니다. 하드웨어로드 밸런서는 소프트웨어로드 밸런서가있는 어플라이언스 일뿐 아니라 특정 작업에 대한 일부 하드웨어 가속 일 수도 있습니다. 하드웨어로드 밸런서에서 SNI 정보에 기반한 밸런싱 (라우팅 아님)을 본질적으로 불가능하게하는 것은 없으며 다른 답변과 마찬가지로이를 지원하는 제품이 있다고 제안합니다. 그러나 물론 구현해야하고 성능이 저하됩니다. 트래픽이 느려질수록 트래픽을 더 깊게 볼 수 있습니다.