我有一个负载均衡器在两个服务器之间分配流量,面向公众的URL都是https前缀.
我想生成一个通配符ssl证书,但我不确定将它放在负载均衡器或两个服务器中是否更好?什么是推荐?有什么好处和差异.
谢谢
一种非常常见的做法(我不说标准)是在负载均衡器中放置/配置证书,而不是在后端服务器中.为什么?这使负载均衡器能够处理TLS握手/终止开销(即TLS消息的内存/ cpu),而不是让后端应用服务器使用其cpu进行加密,此外还提供应用程序行为.因此,将TLS终止放在应用程序服务器之前通常是“专业人员”.
这还允许在到服务器的单个路由上(即通过负载均衡器)进行TLS会话缓存,这意味着使用缓存的TLS会话的可能性更大.另一方面,如果您在每个后端服务器上配置了证书,那么这些服务器(可能)会有自己独立的TLS会话缓存;客户端可以(也可以不)由负载均衡器将其TLS会话缓存到后端服务器.
所以简短版本是:在负载均衡器中配置证书是一种通常推荐的方法.
希望这可以帮助!