Как настроить балансировщик сетевой нагрузки AWS для обеспечения сквозного шифрования HTTPS при сохранении соответствия сеанса?

Question

Как настроить балансировщик сетевой нагрузки AWS для обеспечения сквозного шифрования HTTPS при сохранении соответствия сеанса?

У меня есть VPC с двумя экземплярами EC2 в разных зонах доступности. Клиенты подключаются к моему приложению через HTTPS. Я пытался настроить балансировку нагрузки между двумя узлами приложения, что требует соответствия сеанса.

Первоначально я использовал Application Load Balancer с липкими сессиями. Это сработало, но недавно я обнаружил, что проект, над которым я работаю, требует непрерывного сквозного шифрования от клиента к узлу приложения. Поскольку ALB должен расшифровать соединение для выполнения маршрутизации на основе файлов cookie, он не может выполнить это требование. Даже если я перешифровал соединение между ALB и EC2, оно все равно не было сквозным.

После некоторого исследования я определил, что сетевой балансировщик нагрузки может обеспечивать сквозное шифрование, но я не уверен, как бы я получил соответствие сеанса. Я читал, что это может быть сделано путем хеширования сведений о клиентских соединениях и продолжения маршрутизации всех будущих подключений к одному и тому же узлу, пока не будет достигнуто значение тайм-аута, но этот вопрос, похоже, утверждает, что это невозможно, но не действительно вдаваться в детали.

Как бы я пошел для получения соответствия сеанса в балансировщике сетевой нагрузки? Если это не может быть достигнуто, как бы я решил установить сквозное шифрование с помощью балансировщика нагрузки AWS?

2

amazon-web-services https tcp load-balancing session-affinity

Источник

user1495769 28 янв '19 в 14:07

0 ответов

Другие вопросы по тегам amazon-web-services https tcp load-balancing session-affinity

user3780044 21 мар '19 в 19:29 2019-03-21 19:29 · Answer 1 · 2019-03-21 19:29

Ты не можешь NLB не поддерживает липкие сеансы, и хотя вы также можете использовать классический балансировщик нагрузки в режиме TCP для завершения работы TLS в вашем приложении, классические балансировщики нагрузки требуют режима HTTP/HTTPS для закрепления. Если строгий E2E является актуальным требованием, вам необходимо разработать приложение для работы без привязки к сеансу.

user1978687 22 апр '20 в 23:27 2020-04-22 23:27 · Answer 2 · 2020-04-22 23:27

Возможно, это опечатка, но в нижней части целевых групп для балансировщиков сетевой нагрузки указано:

Прикрепленные сеансы поддерживаются только в следующих регионах: Европа (Париж), Европа (Ирландия), Европа (Стокгольм) и Запад США (Орегон).

Это кажется мне очень странным списком. Некоторые другие возможные объяснения (помимо опечатки): (1) совершенно новые и скоро появятся и (2) требуются правилами ЕС (но изначально были разработаны на Западе США).