在 Azure 内部负载均衡器场景中使用 SSL

Use of SSL in Azure internal load balancer scenario

我们在 Azure 中部署了一个内部负载均衡器,目前有 4 个 VM 在同一个负载均衡器集中。我们有一个部署为 IaaS 的软件,它们本质上是 运行 一个 windows 服务,从预先配置的端口(不是 443)

获取流量

我正在尝试弄清楚这将如何工作,据我所知,内部负载平衡器不会卸载 SSL,因此我的调用将从客户端到 VM 端到端(可能是 4 个中的任何一个),我可以将软件配置为侦听相同负载均衡器端口上的安全套接字,但是我应该如何配置我的客户端以调用 4 个服务器,在这种情况下使用哪个证书?

而且,如果我们有更多的 VM 添加到图片中怎么办?

Azure 负载均衡器(包括内部负载均衡器)在网络层运行,因此它不执行 SSL 卸载或诸如基于 cookie 的关联性之类的事情。如果那是您所需要的,您可以查看 Azure Application Gateway or third-party layer 7 load balancers (Nginx Plus, Barracuda WAF 等)。

在您的情况下,使用标准 ILB,所有请求都将路由到 4 个 VM 之一,并且所有请求都需要安装 SSL 证书(所有 VM 中的证书相同)。 SSL 证书确实绑定到一个特定的主机名,而不是特定的机器:如果您需要负载平衡,您可以在每个实例上自由地重复使用相同的证书(和私钥),只要它们都是公开响应相同的主机名。

Azure 负载均衡器不提供 SSL 卸载。您可以利用 KEMP LoadMaster-for-Azure 并配置 SSL 卸载,方法是在 loadMaster 上上传证书并允许非 SSL 或 SSL 流量流向 4 个内部虚拟机。您可以在下面找到详细信息 link

https://kemptechnologies.com/solutions/microsoft-load-balancing/loadmaster-azure/

此致, 奎师那