[Linux-Biella] un po OT: Apache load balance SSL/TLS

[leonardo buffa]

On Tue, 14 Jul 2009 10:38:55 +0200
Marco Vallini <marcovallini a gmail.com> wrote:


> infatti i due server non possono registrare le sessioni SSL.
> Da quel che so:
> 1. o tu fai SSL solo tra client e firewall/reverse-proxy/ e poi da li 
> fai lb sui server senza SSL

ricordo che questo lo fa (scusa la parolaccia) l'isa server
lui non e' in grado di gestire sessioni ssl in modalita' reverse proxy,
quindi parla solo in chiaro col server, ne consegue che il certificato
ssl risiede su di esso, la sessione criptata quindi e' client <-> isa e
da li lui si smazza in chiaro la sessione verso il server vero


> quello che mi chiedevo è se apache ha il supporto 2 oppure solo 1.
> Per HA dal mio punto di vista vorrebbe dire che tu hai il fw o 
> reverse-proxy ridondato, il server di resumption pure.

esatto

> E quindi puoi pensare magari di fare un altro lb a livello DNS per i
> due fw o reverse-proxy, ma è un gran burdel..

nah non mi piace il lb-dns, soprattutto con client win.
preferisco fare lb a livello di fw, uno di qui, uno di la, e cosi' via
ma con opzione sticky, gestire poi il server dietro in ha, ovvio che
cominciamo ad avere due doppi sistemi!
                          server0
                   HA0 <
                          server1
client -> fw-lb <
                          server2
                   HA1<
                          server3

in questo modo hai load balancing tra due server, i quali in realta'
sono un piccolo cluster in HA 

> In definitiva, son sicuro di queste tecniche ma non capisco bene cosa 
> facciano i prodotti che ci sono ora.. secondo me solo 1. Forse qualke 
> cisco cazzuto fa anche 2...

uhm non so davvero
 
> qualcuno ha esperienza su apache o altro???

non cosi' profonde


-- 
leonardo 'LeOS' buffa
IT security consultant
pgpkey ID: 44B5D28F

human knowledge belongs to the world
------------------------------
Linux Registered User: #135079
------------------------------