这是我们目前在第三方数据中心的生产configuration:
•共享负载均衡器后面的2个LINUX / CentOS tomcat Web服务器•DNS条目指向负载均衡器•Web应用程序使用Java 6,Spring 3,Hibernate 4编写。
数据中心技术人员告诉我们,为了使用负载均衡器转发端口80到8080,并将443转发到8443(所以我们的URL中没有端口号),我们必须在负载上安装SSL证书平衡器和在tomcat web服务器上。 但这会影响我们的性能/吞吐量,并限制我们同时连接到Web应用程序的SSL连接(即用户)的数量。
同时拥有两个SSL证书是合理的,还是可以简化,只需在负载均衡器或tomcat Web服务器上安装SSL证书,但不能同时安装。 哪一个会是首选?
在此先感谢 – 马克
我怀疑这个限制是由于他们产品的限制,或者是由于他们对产品的pipe理。 我没有看到任何原则上会要求的技术原因。
不过,我build议最好在每个成员服务器上都有一个面向Java容器的Web服务器(例如,Apache,nginx)。 这使您能够让networking服务器在服务静态内容和caching等方面做更多的工作。
我认为对于可以在负载平衡器中终止SSL的部署(即不是一个高度安全的站点,你真的想要SSL到服务器),负载平衡器需要有一种注入方式(和消毒)HTTP头通知成员服务器,如果请求通过https等进来,但你需要小心,人们不能直接进入成员服务器(他们可以注入自己的头)。
对于大多数企业级的部署,终止每个成员服务器上的SSL是正常的事情。 我没有扩展的经验,但是。