[FoLUG] Load balancing e SSL termination
Ivan Fabris
i.f-ml01@darthxiong.net
Ven 31 Maggio 2013 23:49:08 CEST
* Il 2013-05-30 11:59:38, muratmat@libero.it scrive:
> Ciao a tutti, volevo sottoporvi la mia situazione e spero che qualcuno mi possa
> aiutare :)
> Ho un'applicazione web così strutturata, lato server:
>
> - N istanze dell'application server, nella fattispecie N istanze di nodejs,
> ognuna bindata su un ip (locale) diverso. N ovviamente è una funzione del
> numero delle CPU/Core
Visto che vuoi metterci un load balancer davanti, direi che e' funzione
anche degli host. Quanti sono, anche spannometricamente ? Decine ? Centinaia ?
> - 1 istanza di Nginx, usato come puro servitore di file statici (bindato su un
> ip locale ovviamente diverso dagli N di cui sopra) quali immagini, script
> javascript etc
Questo e' un altro server ancora, suppongo.
> Davanti a questa struttura devo metterci un load balancer e ancor prima un SSL
> terminator (dall'esterno l'applicazione deve viaggiare su https); in più devo
L' ip pubblico ce lo ha lui e tutto il resto in dmz, giusto ?
> tenere conto che oltre alle normali richieste GET/POST dell'http deve viaggiare
> anche traffico websocket.
Beh il websocket non dovrebbe essere un problema, una volta che il tunnel ssl
e' su ci fai passare quel che vuoi
> Cosa ne pensate di HAProxy? oppure adottereste una soluzione disaccoppiata
> tipo stunnel per la SSL temrination e un altro Nginx per il load
> balancing/reverse proxy?
HAProxy lo conosco pochissimo, ho fatto un paio di Rproxy anche https con
squid, ma senza il LB, comunque avrei usato lui
> Da quello che ho capito la SSL termination è il task più oneroso, cioè che
> deve essere effettuato con la maggior agilità possibile (e minori risorse
> possibili)
Dipende da quante connessioni contemporanee ti aspetti, ma certamente se una
sola macchina fa da frontend a 100 application server, il confronto e' certo
insostenibile :)
Non sapendo ne il tipo ne il peso del carico che ti aspetti sugli appserver,
e' un po' difficile consigliare il da farsi, ma Mi sono fatto l idea che
sarebbe bene avere ssl, rproxy e server di elementi statici su macchine
diverse
Per il terminatore ssl puoi considerare le alternative di stud o di un
appliance tipo lo zywall
A quest ora non mi viene in mente altro :>
--
(@_ Ivan Fabris, allevatore certificato di pinguini dal 1997 _*)
//\ www.folug.org dif-tor heh smusma /\\
V_/_ pgp id 9E12 1AB8 E094 162C 1936 E29D 0700 3B4D B432 2931 _\_V
Maggiori informazioni sulla lista
FoLUG