服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 从负载均衡器到上游服务器的encryption隧道。 SSH与SSL?
Intereting Posts
使用grep命令查询unix的正则expression式 使用大厨,我如何确保服务器在服务器之前在服务器之前进行预configuration? 什么原因导致SqlServerWriter在Sql Express服务器上运行Windows Server备份失败? 分区大小不匹配文件 PCIE插槽是否与CPU插槽配合使用? 如何让经理转发用户的电子邮件给其他用户? (自我pipe理) testing和select主机以提高速度 无法SSH连接到任何服务器 由OpenVPN推送的网关被自动replace htaccess阻止访问目录有两个例外 是否可以在没有Windows的情况下部署VMware vSphere 5.5? 在select企业路由器时要注意什么? Windows Server 2008 SP2安装已挂起 小时CRON任务运行频率超过一小时 尝试join域之前,是否可以知道重复的计算机名称?

从负载均衡器到上游服务器的encryption隧道。 SSH与SSL?

我们正在用两个负载平衡器(也可以终止SSL)和多个上游服务器构build一个负载均衡设置。 负载均衡器和上游服务器都运行nginx。 请求转发到上游服务器的networking不能被信任,因此我们必须在负载平衡器上的SSL终止之后重新encryption它。 我们想知道我们应该采取什么样的路线来重新encryption连接:

  • SSL:负载均衡器使用SSL连接到上游服务器。
    • 积极的:相当有弹性,因为每一个连接都是从头build立起来的
    • 负面:SSL握手延迟
  • 持久的SSH隧道
    • 正面的:没有(或更less?)延迟
    • 负面:隧道可能会崩溃,必须使用autossh进行监控

另外,我不确定两种解决scheme在吞吐量上的比较。 有人对这些解决scheme中的一个或两个有一些经验吗? 还是有更好的方法?

很好的问题,也符合我的兴趣。

就像我说的那样,我会投票支持一个持续监控或VPN的SSL隧道。 那么就需要对所有stream量进行一次encryption。 因为它是一个负载平衡器,你应该能够很容易超时失败的encryption链接。

你已经实施了一些东西?