云中服务器端https web请求场景的背后

Question

我读过很少关于处理web请求的文章，这也是SRE/DevOps的一个很受欢迎的面试问题。关于一般流程有很多很好的解释页面: DNS解析、->、tcp连接、->、SSL连接、->、HTTPS请求、->负载均衡器、->防火墙、->webserver以及从那里返回的请求。

但是，在服务器端，特别是在云方面，我无法为场景背后的一些疑问找到答案。比如，当请求到达全局负载均衡器时会发生什么？它是在那里终止SSL还是转到内部负载均衡器(如果配置的话)并在那里终止？从那里到特定VM的请求是不安全的，在那里还有其他厂商也托管VM和内部负载均衡器。请求是否通过某些ACL/防火墙或某些内部VPC机制得到保护？

我知道，我们可以重新加密或转发加密的流量到网络服务器，以更好的安全性，但高资源成本。但是，如果我们不这样做，会发生什么呢？我觉得还会有一些其他的安全机制来避免容易进入。

提前谢谢。

Answer 1

渴望得到评论：

像这样的面试问题不是学校里的科学考试，只有一个正确的答案，你不应该指望通过在随机的互联网平台上找到的答案来“通过”。通常，你不会因为错过了一些你既不感兴趣也不熟悉的东西而“失败”(除非它是特定的工作要求)。

我的同事自己制作键盘，如果你用键盘上的按键产生的电信号启动你的活动链，你会非常兴奋的。我才不在乎呢。

如果你与我面谈，你的回答很好，不会立即被取消资格(但我对DNSSEC规范也不太了解，无法在你描述的事件链的第一个环节立即挑战你)，但我会被你的话所触发：“加密的流量，以提高安全性，但资源成本高”，因为这是经常说的，我个人对这一说法的真实性表示怀疑。

关于安全设计和安全权衡，您想要设计的措施是对在风险分析中确定的实际和可感知的威胁以及它们的成本效益比作出反应。

这些风险并不是一个普遍的真理(尽管有些是非常普遍的)，它们因公司而异，而且往往是基于已经实施的措施而发生的风险变化。

在现实生活中，您将看到基于不同环境的通用设计模式的实现方式不同。如何实现负载平衡以及在何处终止TLS，也是其中之一。临别时的想法是：“当你使用IPSEC的时候，你还需要HTTPS吗？”