web-dev-qa-db-ja.com

SSLターミネーターを使用する必要がありますか、それともhaproxyを使用する必要がありますか?

Https接続とwss接続の両方を必要とするsocket.ioアプリのアーキテクチャを設定する方法を理解しようとしています。ウェブ上で、haproxyの前でスタッドやスタンネルなどを使用することを提案するチュートリアルをたくさん見つけました。これにより、暗号化されていないトラフィックがアプリにルーティングされます。このルートを使用する場合、haproxyとsslターミネーターを別々のインスタンスに配置することをお勧めしますか、それとも同じEC2サーバーインスタンスに配置しても問題ありませんか?

別のsslターミネータを使用したくない場合、haproxyを使用してsslを終了できますか?または、代わりに、これらのhttpsおよびwss接続をアプリケーションにプロキシして、ノードアプリにSSL自体を終了させることは可能でしょうか?

2
Justin Meltzer

私が最後にチェックしたところ、haproxyにはまだ機能としてSSLターミネーションがありませんでした。そのため、その機能を提供する方法として、stunnelをその前に配置することをお勧めします。

私の意見では、stunnelとhaproxyの両方を同じシステムでホストすることは一般的に問題ありません。 EC2マイクロインスタンスでさえSSLトラフィックのかなりの部分を駆動でき、より大きなインスタンスでさえそれでさらに優れています。大規模でいくつかの問題が発生する可能性がありますこのトラフィックをすべて転送するために開く必要のあるソケットの数が制限に達する可能性がありますが、それは一種の素晴らしい問題です持ってる。

私はSSL対応のロードバランサーを1つ知っていますが、それは ポンド です。 HAproxyほどの​​機能はありませんが、SSL終了と一部のバックエンドサーバーだけが必要な場合は、それで十分です。ただし、独自のパッケージを作成する必要がある可能性があるため、除外される可能性があります。

0
sysadmin1138

試してみてください haproxy-1.5-dev12 、SSLオフロードをサポートし、あなたの生活を楽にします:-)

2
Willy Tarreau