Nginx 用于https的清漆
情况是这样的。我有通过安全网络(https)与多个后端通信的客户端。现在,我想建立一个反向代理,主要用于负载平衡(基于头数据或cookie)和少量缓存。所以,我认为清漆是有用的 但是,varnish不支持ssl连接。正如我在许多地方读到的,引用“Varnish不支持SSL本机终止”。但是,我希望每个连接,即客户端varnish和varnish后端都通过https。我不能在整个网络的任何地方都有明文数据(有限制),所以其他任何东西都不能用作SSL终止符(或者可以?) 因此,以下是问题:Nginx 用于https的清漆,nginx,https,reverse-proxy,varnish,haproxy,Nginx,Https,Reverse Proxy,Varnish,Haproxy,情况是这样的。我有通过安全网络(https)与多个后端通信的客户端。现在,我想建立一个反向代理,主要用于负载平衡(基于头数据或cookie)和少量缓存。所以,我认为清漆是有用的 但是,varnish不支持ssl连接。正如我在许多地方读到的,引用“Varnish不支持SSL本机终止”。但是,我希望每个连接,即客户端varnish和varnish后端都通过https。我不能在整个网络的任何地方都有明文数据(有限制),所以其他任何东西都不能用作SSL终止符(或者可以?) 因此,以下是问题: 首先,这
- 首先,这意味着什么(如果有人可以简单地解释)“Varnish不支持SSL本机终止”
- 其次,使用varnish实现这个场景好吗
- 最后,如果varnish不是一个很好的竞争者,我应该切换到其他反向代理吗。如果是,那么哪一个适合该场景?(HA、Nginx等)
这完全取决于您在堆栈中想要和需要什么、它对您的成本/收益、您的专业水平、资源的可用性以及其他因素。每个选项都有自己的功能和限制,在同一堆栈中使用多个选项肯定不是闻所未闻的。您好,这是一个非常好的解释。这不仅仅是安全问题,还有审计/认证限制。因此,即使纯文本在同一台机器上,系统管理员也可以看到,即使这样也不可接受。因此,无论我将使用什么方法从内部路由流量,我都需要它来路由SSL流量。因此,我现在可能会使用
HAProxy
进行负载分配。好的,另一方面,您知道HAProxy是否可以用于基于Http(s)头/参数和/或cookies分配负载吗?@vish4071是,只要HAProxy终止SSL连接,HAProxy就可以检查有效负载并在HTTPS上做出与HTTP相同的路由决策。它可以将SSL重新建立到后端,因此未加密的数据只在HAProxy进程中,这与Varnish的情况不同,但实际上与web服务器本身的情况没有什么不同——加密的数据必须由web服务器解密,否则应用程序无法处理。