我使用一个ldirectord设置来负载平衡一些真实的服务器,并考虑到我正在考虑在LB上使用一些卸载机制的HTTPS策略 – 是否有一些function已经在ldirectord中实现了,还是应该寻找另一种解决scheme配对ldirectord?
提前致谢!
我应该开始说,我已经有几年没有configurationLVS了,而且可能已经开始了。
也就是说,当我上一次做的是在第3层,而不是在第4层工作的软件非常多。如果你想要将你的TCP / 443连接redirect到一个后端服务器池,LVS就是你的人。 如果您想要接收传入的HTTPS连接,将其解密并将解密的请求放到一个后端服务器池中,那不是您的人。
编辑:是的,我会考虑使用Apache来解密和redirect到池。 此外,可以使用Linux-HA来控制两个前端apache设备(一个活的,一个热备份),以便redirect器始终保持在HA控制下的两个IP地址之间。
当在SSL中使用lvs时,在ssl服务服务器(ldap)上设置证书以匹配负载平衡器VIP,而不是托pipe服务器DNS名称。 这意味着,当您打开lvs服务器VIP:ssl端口时,证书协商将匹配启动服务器预期的反向dns名称。
testingssl握手 – > openssl s_client -connect hostname:port
问题不在于configuration。 一个标准的lvsconfiguration工作正常。 问题是ssl证书协商。 “客户端”期望一个与它所连接的IP的反向DNS匹配的证书。 (即负载均衡器虚拟IP接口IP)。 如果主机服务器响应者使用“其”证书进行响应,那么它将看起来像一个欺骗性证书,因为它不会匹配连接IP。 因此,“修复”是使用LB virt IP证书加载所有农场响应者
安德鲁。