Bilans obciążenia Nginx z wcześniejszym protokołem SSL

Question

Próba ustawienia Nginx jako równoważnika obciążenia dla serwerów https. Usługa ta działa na porcie 443 z skonfigurowanymi certyfikatami SSL. Jak skonfigurować Nginx, aby konfiguracja certyfikatu SSL była obsługiwana tylko na serwerach nadrzędnych, a nie na serwerze Nginx?

Answer 1

Należy użyć Upstream module i Reverse Proxy module. Aby odwrócić proxy do https w górę strumienia, należy użyć tego

proxy_pass https://backend; 

gdzie backend jest blokiem wychodzącym.

Jednak gdybym to robił, kończyłbym ssl na serwerze nginx i czyniłem serwery aplikacji z wyprzedzeniem robiąc to, w czym są dobre: ​​obsługując zawartość, zamiast martwić się o narzut szyfrowania/odszyfrowywania ssl. Konfigurowanie terminacji ssl na nginx jest również bardzo proste przy użyciu SSL module. Bardzo dobre studium przypadku podane jest również here.

Answer 2

O ile zrozumiałem z reading relevant discussion na forum Nginx, nie jest to możliwe, ponieważ Nginx i tak musi zakończyć połączenie SSL. Jeśli nalegasz na używanie Nginx, możesz tylko replikować konfigurację SSL i udostępniać Nginxowi certyfikaty i klucze.

Dyskusja, którą połączyłem, zakończyła się stwierdzeniem, że HAProxy jest znacznie lepszym narzędziem do przekazywania przez protokół SSL. Oto relevant post Znalazłem o konfiguracji HAProxy do tego celu. Ponieważ mam zerowe doświadczenie HAProxy, nie mogę podsumować jego konfiguracji lub ogólnej żywotności rozwiązania, pozostawiając je czytelnikowi.

Aktualizacja

Od 1.9.2 Nginx obsługuje HAProxy na proxy protocol.

Answer 3

wydaje się możliwe według https://www.nginx.com/resources/admin-guide/nginx-tcp-ssl-upstreams/ (1.9.4+)