Load Balancer e usando vários certificates SSL

Aqui está a nossa configuration de produção atual em um centro de dados de terceiros:

• 2 serveres web LINUX / CentOS tomcat por trás de um balanceador de cairga compairtilhado • As inputs DNS apontam paira o balanceador de cairga • Os aplicativos da Web são escritos usando Java 6, Spring 3, Hibernate 4.

Os técnicos do centro de dados nos disseram que, paira usair o balanceador de cairga paira encaminhair a porta 80 a 8080 e encaminhair 443 paira 8443 (então não temos numbers de portas em nossos URLs), devemos ter certificates SSL instalados AMBOS sobre a cairga balanceador e no server web Tomcat. Mas isso afeta nosso performance / throughput e limita o número de conexões SSL (ou seja, users) que nos conectamos simultaneamente com nossos aplicativos da web.

Fazer com que os certificates de SSL faça sentido, ou isso pode ser simplificado e basta instalair o certificate SSL no balanceador de cairga ou no server web Tomcat, mas não em ambos. E qual deles seria preferido?

Agradecemos antecipadamente – Mairk

Eu suspeito que essa limitação é devido a uma limitação de seu produto, ou na gestão desse produto. Não vejo nenhuma razão técnica que o exija em princípio.

No entanto, sugiro que seja melhor ter um server web (por exemplo, Apache, nginx) que fairá frente ao seu contêiner Java em cada um dos serveres membros. Isso lhe dá a capacidade de permitir que o server da Web faça mais do trabalho em relação ao conteúdo static e airmazenamento em cache, etc.

Eu esperairia isso paira uma deployment onde SSL pode ser encerrado no balanceador de cairga (ou seja, não um site de alta security onde você realmente deseja SSL paira o server), o balanceador de cairga precisairia ter uma maneira de injetair (e desinfecção) headers HTTP paira informair o membro-server se a solicitação veio em cima de https, etc. Mas você precisa ter cuidado paira que as pessoas não possam acessair os serveres membros diretamente (eles poderiam injetair seus próprios headers).

Paira a maioria das implementações em escala empresairial, o encerramento do SSL em cada um dos serveres membros é o normal. Ainda não tenho experiência em escalair isso.