处理高SSLstream量的成本有效的方法？

AFAIK文章依然如此。

如果您确实需要一个具有多个负载均衡的SSL反向代理的服务器场以及相当数量的Web /应用程序服务器，我build议您查看刀片式服务器解决scheme。 这并不比简单的1U机架式服务器便宜，但它会为您节省一些机架空间。 大多数主要服务器制造商都提供刀片解决scheme（戴尔，惠普，IBM等）。 一些链接： IBM | 戴尔 | 生命值

我将从Linux服务器（通过Heartbeat连接冗余对，请参阅LVS项目 ）构build负载均衡器，并为代理stream量和从第二个负载均衡器到Web /应用程序服务器的stream量分配专用的小型networking。

性价比最高的解决scheme是NGINX作为反向代理，因为性价比F5 Networks Big-IP 6900等大多数硬件解决scheme。
我的NGINXconfiguration： http ：//gist.github.com/553235

图2在你的链接中给出了构buildSSL农场的最先进的方法。

关于如何build立你的农场和成本，这将取决于你的需要。

在负载均衡器上使用SSLterminal可能在今天更便宜（即使使用像Cisco CSS ， Cisco ACE ，F5 BIG-IP这样的专用负载均衡器，但它仍然取决于负载均衡器制造商）。
负载平衡器将能够做L7平衡，因为它看到未encryption的数据。 所以你不需要2层负载均衡器和一些SSL反向代理。 这可以降低成本。 （less购买硬件，减less机架空间，…）

但是，在负载平衡器上使用SSL终止并不是非常可扩展的，所以如果你发现你的负载平衡器开始被SSL过载，你将会遇到问题。 如果您使用了专用设备，则需要对其进行升级，而且价格昂贵。 如果您使用服务器构build自己的负载平衡器，则需要在新的专用服务器上卸载SSL。

如果L4负载平衡足够，并且您的应用程序为低cpu使用率提供了高吞吐量，那么在应用程序服务器上使用卡可以是一个选项。
我的意思是：一个硬件SSL卡是昂贵的，所以你想尽可能多地使用它。
使用专用的SSLterminal硬件，您将尽可能经常使用该卡。 如果卡在应用程序服务器中且应用程序的吞吐量较低，则不会很长时间使用该卡。 但是，如果应用程序是快速的，而不是使用太多的CPU，但具有高吞吐量的SSLterminal服务器上的专用卡可以是一个选项。 这通常不是这种情况。 这也降低了高可用性。

我假设你在这里谈论HTTPstream量（有状态协议和无状态协议有很大的区别）。

问题是为了获得最佳性能，你希望SSL会话恢复工作 – 这有利于一个粘性会话的方法 – 但是如果你的会话太粘，那么你将不会有任何故障转移。 思科（Cisco）等f5公司的那些昂贵的盒子可以解决这个问题，但是在商店里运行（例如）通讯工具很困难。

我仍然认为对于大多数负载平衡问题的最佳解决scheme是循环DNS – 只能在故障检测处唯一能够可靠地检测到故障的位置（客户端），并且这是执行故障切换的地方 – 它为服务器提供服务亲和力，但仍然允许请求故障转移（请注意，它不支持恢复请求 – 但我还没有遇到任何支持这个HTTP的东西）。

还有一点需要记住的是， 微软对HTTP over HTTP 的持续支持与其他人所实现的不同。 这不仅仅是一个openSSL的东西 – 其他厂商也给出了相同的build议。 考虑到SSL协商中的额外开销，以及使用HTTPstream量保留的巨大回报，可能值得考虑使用MS-ISA进行SSL终止 – 尽pipe我猜测可能将软件configuration为这样，I我们从未对产品的可扩展性/可靠性印象深刻。 所以，如果我有很多钱花在那么我可能会看MSISA的SSL终止，但不使用微软的集群软件和移动故障转移到其他地方（如客户端！）。

对于一个便宜的解决scheme，使用循环法DNS终止Web服务器上的SSL。 添加大量的networking服务器。 可select在networking服务器上使用encryption加速卡（不支持SSL的网卡）以获得额外的性能。

对于一个非常快速的解决scheme – （可能）多个MSISA节点通过循环DNS解决，与networking服务器的LVS集群交谈。

HTH

由于encryption要求，HTTPsstream量可能会产生非常高的负载。 他们使附加卡，让您卸载SSLencryption/解密专门devise的硬件。 如上所述，您可以在负载平衡器上终止SSL，这将降低成本，因为（至less对于F5）这些设备带有这个SSL卸载设备。 或者，这些可以购买和直接安装在你的服务器，但我不知道这将如何与VMWare的工作。 也可以使用负载均衡器来卸载压缩。