ssl - 带非TLS后端的HTTPS负载平衡器和带TLS后端的HTTPS负载平衡器有什么区别

Question

我正在尝试配置load balancer以使用Lets Encrypt提供的证书在HTTPS中提供服务，即使我还不能做到，阅读此article给出了如何配置的步骤


自签名证书
带有TLS后端的网络负载平衡器
带非TLS后端的HTTPS负载均衡器
带TLS后端的HTTPS负载均衡器


因为我只在HTTPS中感兴趣，所以我想知道这两者之间有什么区别：


带非TLS后端的HTTPS负载均衡器
带TLS后端的HTTPS负载均衡器


但是，我的意思不是明显的原因，即第一个未从负载均衡器到后端进行加密的意思是，在性能和HTTP2连接方面，例如，我是否会继续从http2获得所有好处，例如多路复用和流传输？还是第一个选择


  带非TLS后端的HTTPS负载均衡器


只是一种幻想，但我不会得到http2？

Answer 1

要使用HTTP / 2，所有Web浏览器都需要使用HTTPS。即使没有HTTP / 2，由于各种原因而拥有HTTPS仍然是一件好事。

因此，您的Web浏览器需要与之对话的位置（通常称为边缘服务器）需要启用HTTPS。这通常是负载平衡器，但也可以是CDN，也可以是应用程序服务器（例如Tomcat）前面的单个Web服务器（例如Apache）。

因此，问题是从该边缘服务器到任何下游服务器的连接是否需要启用HTTPS？好吧，最终浏览器将不知道，因此并非如此。然后，您有两个原因来加密此连接：


因为流量仍然通过不安全的通道（例如CDN到Internet的原始服务器）传输。

许多人认为让用户认为它们处于安全状态（带有绿色的挂锁）是不明智的，实际上，它们并不是用于完整的端到端连接。

如果您的负载均衡器与它要连接的服务器位于单独的网络区域（甚至可能在同一台机器上！），对我来说，这不是什么大问题。例如，如果负载平衡器和要连接的2个（或更多）Web服务器都位于DMZ隔离网络或它们自己的VPC中的单独区域中。

最终，流量将在某个时刻被解密，服务器所有者的问题是网络堆栈中发生的位置/时间以及您对此的适应程度。
因为您出于某些其他原因需要HTTPS（例如，一直使用HTTP / 2）。

我认为，就这一点而言，要提出的理由很少。 HTTP / 2主要帮助高延迟，低带宽的连接（即浏览器到边缘节点），而对于低延迟，高带宽的连接则不那么重要（就像到Web服务器的负载平衡器一样）。我对this question discusses this more的回答。


在上述两种情况下，如果您在下游服务器上使用HTTPS，则可以使用自签名证书或长期存在的自签名证书。这意味着您不受30天的LetsEncrypt限制的约束，也不需要您从另一个CA购买更长的证书。由于浏览器永远不会看到这些证书，因此您只需要负载均衡器信任它们，这在您的控制下即可完成自签名证书。如果下游Web服务器无法与LetsEncrypt交谈以能够从那里获取证书，这也很有用。

如果要一直使用HTTPS和/或HTTP / 2确实很重要，则第三个选项是使用TCP负载平衡器（这是您问题中的选项2，因此很抱歉在此处混淆编号！）。这只是将TCP数据包转发到下游服务器。数据包可能仍是HTTPS加密的，但负载平衡器不在乎-它只是继续转发它们，如果它们是HTTPS加密的，则下游服务器将负责解密它们。因此，在这种情况下，您仍然可以拥有HTTPS和HTTP / 2，而下游Web服务器上只有最终用户证书（即LetsEncrypt的证书）。这可能很难管理（两个证书都应使用相同的证书吗？还是应该使用不同的证书？我们是否需要进行粘性会话，以便HTTPS流量始终到达sae下游服务器）。这也意味着负载平衡器无法查看或理解任何HTTP通信-就它们而言，它们全都是TCP数据包。因此，无需对HTTP标头进行过滤，也无需添加新的HTTP标头（例如，具有原始IP地址的X-FORWARDED_FOR）。

老实说，在负载均衡器上使用HTTPS，在下游服务器上使用HTTP流量（如果两者之间处于安全网络中），这是绝对好的，甚至很普遍。通常最容易设置（一个位置来管理HTTPS证书和续订），并且最容易受支持（例如某些下游服务器可能不容易支持HTTPS或HTTP / 2）。通过使用自签名证书或CA颁发的证书在此连接上使用HTTPS也是可以的，尽管这需要花费更多精力，并且TCP负载平衡器选项可能是最省力的。