TLS通过第7层负载均衡器

Question

试着理解一些基本原理。

如果我想要一个负载均衡器来实现缓存和更智能的负载平衡，我发现我可能应该考虑L7，尽管有一些性能上的影响--我不会坚持使用标准的TCP/IP通信。

现在，假设我将TLS终止在LB级别，但是，我仍然希望TLS通信从LB通信到我正在通信的微服务或下游服务器。

是这样的流动：

1. 客户端向https://example.com提出请求
2. TLS握手首先发送serverHello到加载均衡器，然后将serverHello代理到后端应用程序。
3. 在不编写所有步骤的情况下，我假设整个TLS握手都是以LB作为中介进行的，但基于这样的想法，LB本身正在执行这种独立的TLS握手过程，并与下游服务器进行加密+解密。

这是一种正确的思维方式吗?在现实世界中，这就是它的工作原理吗？

我个人认为这是您想要的东西，因为从LB到服务的通信可能通过网络跨越不同服务器的边界，因此您将有第二个TLS连接，以避免在第二个连接完成后进行数据包嗅探。

Answer 1

如果您正在执行第7层(不管TLS终止)，那么传入连接将在负载均衡器处终止。LB打开到后端服务器的全新连接，其生存期完全独立于任何客户端连接。如果LB本身不处理这些请求，则LB将通过该连接将请求传递到后端(例如，通过发送缓存的响应)。

您的方向是相反的:下游是用户代理，上游是您的后端服务器。