构建SSL服务器场

Question

我对构建下面文章中提到的体系结构感兴趣。

我目前有一个价格适中的层-4负载均衡器和我的应用服务器是SSL端点。我想在负载均衡器和应用服务器之间放置一个SSL服务器场。然后，我将在SSL场和我的应用服务器之间放置另一个廉价的负载均衡器，以执行第7层路由。

我的web应用程序拥有相当高的用户流量，6台服务器可以以大约50%的容量处理。此外，我的基础设施流量比我的用户流量重几个数量级。这是来自世界各地的数据，必须与我的web应用程序实时集成。我总共有18台应用服务器来处理所有流量，另外还有6台数据库服务器。我将在未来2周内再增加6台应用服务器，并在2周后再添加6台。保守地说，我估计到年底我需要扩展到120台服务器。

我现在的动机是将消费者流量与基础设施流量分开。消费者流量比基础设施流量更优先，我不能让基础设施方面的踩踏来摧毁我面向消费者的服务器。拥有一个总是处于上升状态的网站是最重要的。但是，如果其中一个用户应用程序服务器出现故障，我希望将该流量路由到指定用于基础设施通信的服务器。

复杂之处在于，所有通信量都使用相同的主机名进行寻址，并且几乎是100% https。在我的例子中，区分基础设施和消费者流量的唯一方法是URL (我继承的糟糕的体系结构)，所以我需要一个第7层负载均衡器才能进行路由。然而，要想做到这一点，我需要一个花哨的基于硬件的SSL结束符，或者如上所述的SSL服务器场。由于我的用户基础正在快速扩展，我担心如果我沿着硬件路径走下去，它会很快变得非常昂贵，特别是因为我需要4件东西才能获得高可用性(2个设施中的2个相同的设置)。同时，上面的图表看起来非常灵活，而且水平扩展性更强。

以前有人建过这个吗？是否有预建的配置？我应该考虑什么，应该使用什么软件(我听说过使用apache的人使用mod、nginx和stunnel)？另外，什么时候购买昂贵的负载均衡器与构建SSL服务器场是有意义的？

http://1wt.eu/articles/2006_lb/指数_05.html

Answer 1

对于120服务器集群，请咨询专业人员。我不会想到你会得到一个对你的应用程序来说足够详细的答案。

我们设置的最复杂的集群配置只有20台服务器，其中只有12%是HTTPS流量(14 14Mbit纯SSL)。

我们的典型架构是.

如果有帮助的话，对于web集群，我们通常使用：

lvs (initial ssl load balancing)
    -> pound (ssl-unwrapping) 
    -> varnish (caching) 
    -> haproxy (load balancing) 
    -> nginx (static content) 
    -> php (dynamic content) 
    -> mysql (db)

我们使用stunnel和HAProxy (代替磅)结合使用，但是它会导致一些复杂的事情(因为无法设置标题)。

庞德

我们使用它，它工作得非常好，以至于我们无法在测试期间将它推到对硬件和通过Apache jMeter的流量的限制上。

在主页 of pound上也有一个关于性能改进的说明

如果PCRE、tcmalloc (来自Google完善工具包)和/或存储可用，磅将针对它们进行链接。这将提供一个显着的性能提升，并强烈建议。

但是，pound被认为适合“低”流量应用程序，但它的规模似乎不如它的竞争对手，其他人在基准测试中已经记录了这一点。

软件SSL终结器基准测试

1. http://vincent.bernat.im/en/blog/2011-ssl-benchmark-round2.html
2. http://vincent.bernat.im/en/blog/2011-ssl-benchmark.html
3. http://barry.wordpress.com/2008/04/28/load-balancer-update/

CPU的使用可能是

的关键问题。

CPU消耗将是您最大的问题，因此，聪明地使用SSL密钥大小会有帮助，1024位(现在被大多数SSL权威机构所反对) vs 2048位对3072位密钥将线性增加开销。

下面是一些关于一般SSL性能的很好的阅读，http://www.imperialviolet.org/2010/06/25/overclocking-ssl.html

您最终会发现，没有“正确的”答案，只有测试，再次测试，然后再测试一些将告诉您什么是最好的在您的方案。

Answer 2

您可以使用Linux防火墙将基础设施从用户流量中分离出来。使用netfilter/iptables字符串匹配功能，您可以基于url匹配流量。在通信量匹配之后，您可以使用它执行QoS或以不同的方式转发流量。