问题描述
说我有一个这样的架构:
client --> classic load balancer (pass-thru mode so no ssl offloading) --> 2 Web Proxies --> Classic load balancer (also pas-thru mode) --> 2 Web Servers
Web代理仅对Web服务器进行API调用;请求实际上不是来自客户端。我试图了解实际上在这里以及在哪些端点之间建立SSL信任。
我知道没有卸载就意味着LB仅转发流量而无需解密,检查,重新加密等...因此经典LB没有服务器证书。然后我的问题:
- 没有服务器证书,当客户端通过https到达其面向公众的网址时,客户如何验证他们正在与正确的负载均衡器进行对话?
- 这是否意味着客户在技术上与签署Web代理而不是LB的CA建立信任?
我正在尝试学习这种体系结构,并努力寻找可以清楚地概述TLS协商细节和最佳实践的任何资源,因此,我很乐意参考文章/文档。我知道最佳做法取决于您要实现的目标和限制,因此在这种情况下,请不要选择SSL卸载,因为Web代理和Web服务器不接受非HTTPS流量。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)