我有一个Web服务器场,Web服务器负责协商安全连接.是否有其他任何拥有Web场的人都会通过确保支持
TLS resume handshakes来减少TLS握手开销?如果是这样,为什么?
我们正在从粘性会话切换到更平衡的负载平衡算法.我们担心我们将失去TLS简历功能的好处.
假设客户端的每个连接都转到不同的Web服务器,我们假设需要完整的TLS握手.我不知道开销,但是如果我们看着往返20ms,那么完整的握手似乎需要3倍左右才能完成.
解决方法
我不知道OPs Web服务器场有多大,但对于大多数小型/中型安装,我发现在负载均衡器上处理所有TLS / SSL最干净,最简单.所以你有了:
Internet (HTTPS req) -> L7 HTTPS proxy LB -> plain HTTP on LAN -> webserver
o3杂志有一个很好的writeup on how relatively easy this is with nginx,你可以期待什么性能数字. f5发布了commentary on the benefits of using a commercial appliance for SSL acceleration而不是DIY解决方案(恕我直言有点偏颇).
请注意,您需要Web服务器检查X-Forwarded-For和X-FORWARDED_PROTO标头并正确处理连接.
大多数安装应该通过一个HTTP& HTTPS负载均衡器,或HA的主动/被动配置中的一对负载均衡器.在此设置中,握手恢复是非问题,因为只有一个SSL / TLS端点(通常会自动支持握手恢复).
