Decodificación de conexión SSL

Si su aplicación utiliza certificados SSL, debe decidir cómo usarlos en el balanceador de carga.

Una configuración simple para un solo servidor generalmente considera cómo el servidor que recibe la solicitud decodifica la conexión SSL del cliente. Dado que el equilibrador de carga se encuentra entre el cliente y más servidores, la decodificación de la conexión SSL se convierte en el centro de atención.

2. Hay dos estrategias principales

La primera es el modo que elegimos, configurando SSL aquí en haproxy para que podamos continuar usando el equilibrio de carga de siete capas. La conexión SSL finaliza en el balanceador de carga haproxy -----> decodifica la conexión SSL y envía la conexión no cifrada a la aplicación backend tomcat, lo que significa que el balanceador de carga es responsable de decodificar la conexión SSL, lo cual es opuesto a la penetración de SSL , que es directamente al servidor proxy envía la conexión SSL.

El segundo tipo utiliza penetración SSL. La conexión SSL finaliza en cada servidor Tomcat, distribuyendo la carga de la CPU al servidor Tomcat. Sin embargo, hacer esto le hará perder la capacidad de agregar o modificar encabezados HTTP, porque la conexión simplemente se enruta desde el balanceador de carga al servidor Tomcat, lo que significa que el servidor de aplicaciones perderá la capacidad de obtener el X-Forwarded-* encabezado, que contiene la dirección IP del cliente, el puerto y el protocolo utilizado.

Existe una combinación de las dos estrategias, que es la tercera: la conexión SSL se termina en el balanceador de carga, se ajusta según sea necesario y luego se envía mediante proxy al servidor backend como una nueva conexión SSL. Esto puede proporcionar la máxima seguridad y la capacidad de enviar información del cliente. El costo de esto es más potencia de CPU y una configuración un poco más compleja.