Performance Haproxy SNI vs HTTP主机ACL检查性能
我有一个HAproxy 1.5设置,它在几个Web服务器前卸载SSL(这样,它们只处理HTTP) 我的SSL证书是一个通配符,我们正在根据FQDN平衡到不同的后端 我的前端配置如下所示:Performance Haproxy SNI vs HTTP主机ACL检查性能,performance,ssl,haproxy,Performance,Ssl,Haproxy,我有一个HAproxy 1.5设置,它在几个Web服务器前卸载SSL(这样,它们只处理HTTP) 我的SSL证书是一个通配符,我们正在根据FQDN平衡到不同的后端 我的前端配置如下所示: ... frontend my-frontend bind ip:443 ssl crt /var/etc/haproxy/wildcard_cert.pem mode http log global opt
...
frontend my-frontend
bind ip:443 ssl crt /var/etc/haproxy/wildcard_cert.pem
mode http
log global
option httplog
option forwardfor
use_backend my-backend if { ssl_fc_sni my.domain.org }
use_backend my-backend2 if { ssl_fc_sni my2.domain.org }
acl is-domain hdr(host) -i my.domain.org
acl is-domain2 hdr(host) -i my2.domain.org
use_backend my-backend if is-domain
use_backend my-backend2 if is-domain2
...
特殊选项ssl\u fc\u sni可用于ssl卸载以访问sni值的情况(另一个选项req\u ssl\u sni适用于ssl传递的情况)
我想知道ssl\u fc\u sni是否比HTTP头提取acl执行得更快?HAProxy是否有机会提取SNI值并在读取HTTP内容、提取Host:Header和计算我的第二个ACL之前使用它
还是表演都一样
谢谢,我在haproxy邮件列表上问了同样的问题,我得到了答案:
ssl\u fc\u sni
的执行速度比hdr(主机)
快,但它将是难以察觉的hdr(主机)
绝对更标准、更干净、更安全Willy的帖子似乎暗示SNI比主机更容易被欺骗,这就是为什么SNI“更标准、更干净、更安全”的原因吗?