使用负载平衡器终止 TCP/IP 连接的 TLS
Using Load Balancers To Terminate TLS For TCP/IP Connections
我正在编写一个 TCP/IP 服务器来处理持久连接。我将使用 TLS 来保护通信,并且有关于如何执行此操作的问题:
目前我在单个服务器前面有一个负载均衡器 (AWS ELB)。为了让负载均衡器在连接期间执行 TLS 终止,它必须保持连接并将纯文本转发到它后面的应用程序。
client ---tls---> Load Balancer ---plain text---> App Server
效果很好。耶!我担心的是,我需要在每个应用程序服务器前面安装一个负载均衡器,因为据推测,负载均衡器可以处理的连接数与应用程序服务器可以处理的连接数相同(假设相同 OS 和网卡)。这意味着如果我有 1 个负载均衡器和 2 个应用程序服务器,我可能会遇到负载均衡器处于满负荷状态而每个应用程序服务器处于一半容量的情况。为了避免这个问题,我必须在负载平衡器和应用程序服务器之间创建一对一的关系。
我希望应用服务器不必执行 TLS 终止,因为,为什么要重新创建轮子?是否有比负载均衡器和应用服务器之间具有 1 对 1 关系更好的方法来避免上述容量问题?
您的推定可能存在两个缺陷。
首先假设您的应用程序服务器在给定数量的连接下将经历与负载均衡器相同的负载量。除非您的应用程序服务器编写得非常好,否则在达到 IPv4 可以在给定的 IP 地址。如果这是真的,那就太好了——干得好。
第二个问题是来自 ELB 的单个负载均衡器不一定是一台机器。单个 ELB 在您将 ELB 附加到子网的每个可用区中启动一个隐藏的虚拟机,而不管附加的实例数量如何,并且 ELB 节点的数量会随着负载的增加而自动增加。 (如果我没记错的话,我同时看到多达 8 个 运行ning 的节点——对于 单个 ELB。)大概是 class这些 ELB 实例的一部分也可能会发生变化,但这不是一个有据可查的方面。这些机器不收费,因为它们包含在 ELB 价格中,因此随着它们的扩展,ELB 的每月成本不会改变......但是配置数量 = 1 ELB 并不意味着你只能得到 1 个 ELB节点.
我正在编写一个 TCP/IP 服务器来处理持久连接。我将使用 TLS 来保护通信,并且有关于如何执行此操作的问题:
目前我在单个服务器前面有一个负载均衡器 (AWS ELB)。为了让负载均衡器在连接期间执行 TLS 终止,它必须保持连接并将纯文本转发到它后面的应用程序。
client ---tls---> Load Balancer ---plain text---> App Server
效果很好。耶!我担心的是,我需要在每个应用程序服务器前面安装一个负载均衡器,因为据推测,负载均衡器可以处理的连接数与应用程序服务器可以处理的连接数相同(假设相同 OS 和网卡)。这意味着如果我有 1 个负载均衡器和 2 个应用程序服务器,我可能会遇到负载均衡器处于满负荷状态而每个应用程序服务器处于一半容量的情况。为了避免这个问题,我必须在负载平衡器和应用程序服务器之间创建一对一的关系。
我希望应用服务器不必执行 TLS 终止,因为,为什么要重新创建轮子?是否有比负载均衡器和应用服务器之间具有 1 对 1 关系更好的方法来避免上述容量问题?
您的推定可能存在两个缺陷。
首先假设您的应用程序服务器在给定数量的连接下将经历与负载均衡器相同的负载量。除非您的应用程序服务器编写得非常好,否则在达到 IPv4 可以在给定的 IP 地址。如果这是真的,那就太好了——干得好。
第二个问题是来自 ELB 的单个负载均衡器不一定是一台机器。单个 ELB 在您将 ELB 附加到子网的每个可用区中启动一个隐藏的虚拟机,而不管附加的实例数量如何,并且 ELB 节点的数量会随着负载的增加而自动增加。 (如果我没记错的话,我同时看到多达 8 个 运行ning 的节点——对于 单个 ELB。)大概是 class这些 ELB 实例的一部分也可能会发生变化,但这不是一个有据可查的方面。这些机器不收费,因为它们包含在 ELB 价格中,因此随着它们的扩展,ELB 的每月成本不会改变......但是配置数量 = 1 ELB 并不意味着你只能得到 1 个 ELB节点.