하드웨어로드 밸런서가 SNI를 사용하여 SSL 트래픽을 라우팅 할 수 있습니까?


9

현재 2 개의 응용 프로그램을 호스팅하는 웹 서버 팜이 있습니다. 두 응용 프로그램은 모든 서버에서 실행됩니다. 우리는 이것을 분할하여 각 앱에 대한 전용 서버 팜을 갖기를 원합니다 (이에 대한 충분한 이유가 있습니다).

호스트 이름을 기반으로 올바른 팜으로 트래픽을 라우팅하는 모든 서버 앞에 단일로드 밸런서를 갖기를 원했지만 웹 서버에 SSL을 유지하려고합니다.

우리가 제공하는 라우터가 이것을하지 않는 것 같습니다. SNI가 없으면 이것이 불가능하다는 점에 감사하지만 사실상 모든 트래픽에 대한 SNI 지표가 필요합니다.

이제 저는 네트워크 사용자가 아닌 프로그래머이지만 새로운 SSL 연결 요청이 들어 오면 라우터가 SNI 헤더를 검사하여 올바른 팜으로 라우팅 할 수 없습니다. 들어오는 SSL 연결이 {source IP : source port}로 식별된다고 가정하고 후속 수신 패킷에 대해 이것을 기억할 수 없습니까 (SNI가 첫 번째 패킷에만있는 경우)?

내가 Haproxy에게 말할 수있는 한, 하드웨어로드 밸런서는 그렇지 않습니다. 이것에 대한 이유가 있습니까, 아니면 우리가 추진해야 할 것이 있습니까?

(SNI가 포함되지 않은 XP에서 IE를 사용하는 마지막 경비원의 경우 기존 팜으로 트래픽을 보내고 싶습니다. 필요한 경우 새 팜으로 프록시를 관리하려고합니다).

답변:


10

웹 사이트에 따르면 F5로드 밸런서는 SNI를 지원합니다.

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication

SNI를 기반으로 iRules를 만들 수도 있습니다.

면책 조항 :

  • 웹 사이트에서 주장하는 내용을 확인하지 못했습니다.
  • 저는 F5에서 일하지 않으며 3 년 이상 프로덕션에서 사용한 적이 없습니다.

답장을 보내 주셔서 감사합니다. 나는 이것에 대해 잘못 생각할 수도 있지만 페이지가 SSL 트래픽을 라우팅하는 대신 웹 서버에 대해 이야기하고 있다고 생각합니다. SNI를 사용하여 올바른 인증서를 선택하는 방법에 대해 설명하므로 SSL 연결이 아닌 중간에 있다고 생각합니다.
potomato

1
AFAIK,이 페이지에서는 SSL 트래픽 라우팅에 대해 설명합니다. .... BIG-IP를 사용하면 TLS SNI 기능 사용을 지원하기 위해 가상 서버에 여러 SSL 프로파일을 할당 할 수 있습니다. TLS SNI 기능은 이전 BIG- v11.1.0 이상이 아닌 경우 업그레이드하려는 IP 버전!이 기능을 지원하려면 가상 서버에 HTTPS 사이트 당 하나의 SSL 프로파일뿐만 아니라 폴백을위한 기본 SSL 프로파일이 지정되어 있어야합니다. 서버 이름이 클라이언트 요청과 일치하지 않거나 브라우저가 SNI 확장을 지원하지 않는 경우 SSL 프로파일이 사용됩니다. "
bgtvfr

"가상 서버"는 http / https 트래픽이 백엔드 서버 (= apache, tomcat, websphere ...)로 큰 IP 경로를 라우팅하는 방식입니다.
bgtvfr

대부분의 대기업 (시스코, 대기업)은 위에서 언급 한대로이 작업을 수행합니다. 다른 답변이 왜 답변으로 표시되었는지 잘 모르겠습니다.
Jim B

@JimB 네트워크 하드웨어 기능을 협상하려고하는 프로그래머이기 때문에 상대방을 답으로 표시했습니다! 이 기사를 자세히 살펴 보았지만 장치가 SNI 확장 (필요한 경우)을 기반으로 다른 물리적 서버로 트래픽을 전달하도록 선택하면 여전히 해결할 수 없습니다. 이 외모 관련 생각 : devcentral.f5.com/questions/...
potomato

9

라우터가 SNI 헤더를 검사 할 수 없습니다.

라우터는 일반적으로 OSI 계층 3에서만 작동합니다. 즉, 패킷의 내용을 검사하지 않고 대상 IP 만 검사합니다. SNI 기반 라우팅의 경우 TCP 및 TLS에 대한 이해가 필요하며 IP 주소를 기반으로 라우팅하는 것보다 복잡하고 비용이 많이 듭니다 (성능과 관련하여). 그리고 이것은 일반적으로 더 이상 라우팅이라고도하지 않습니다.

Haproxy는이 작업을 수행합니다. 하드웨어로드 밸런서는 수행하지 않습니다.

라우터 (계층 3), 하드웨어 부하 분산 장치 (계층 4 이상) 및 Haproxy (소프트웨어 부하 분산 장치)를 혼합하고 있습니다. 하드웨어로드 밸런서는 소프트웨어로드 밸런서가있는 어플라이언스 일뿐 아니라 특정 작업에 대한 일부 하드웨어 가속 일 수도 있습니다. 하드웨어로드 밸런서에서 SNI 정보에 기반한 밸런싱 (라우팅 아님)을 본질적으로 불가능하게하는 것은 없으며 다른 답변과 마찬가지로이를 지원하는 제품이 있다고 제안합니다. 그러나 물론 구현해야하고 성능이 저하됩니다. 트래픽이 느려질수록 트래픽을 더 깊게 볼 수 있습니다.


기술적으로 가능하지만 성능상의 이유로 좋은 아이디어는 아닙니다. 이것이 완료되지 않은 이유입니다. 감사.
potomato
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.