azure - 在 Azure 内部负载均衡器场景中使用 SSL

Question

我们在 Azure 中部署了一个内部负载均衡器，当前有 4 个虚拟机位于同一负载均衡器集中。我们有一个部署为 IaaS 的软件，它们本质上运行一个 Windows 服务，从预配置的端口(不是 443)获取流量

我正在尝试弄清楚这是如何工作的，据我了解，内部负载平衡器不会卸载 SSL，因此我的调用将从客户端到虚拟机进行端到端(可以是 4 个中的任何一个)，我可以配置软件以监听相同负载均衡器端口上的安全套接字，但我应该如何配置我的客户端来调用 4 个服务器，在这种情况下使用哪个证书？

而且，如果我们添加更多虚拟机怎么办？

Answer 1

Azure 负载均衡器(包括内部负载均衡器)在网络层运行，因此它不会执行 SSL 卸载或基于 cookie 的亲和性之类的操作。如果这就是您需要的，您可以查看类似 Azure Application Gateway 的内容或第三方第 7 层负载均衡器( Nginx Plus 、 Barracuda WAF 等)。

在您的情况下，使用标准 ILB，所有请求都将路由到 4 个虚拟机之一，并且所有虚拟机都需要安装 SSL 证书(所有虚拟机中的证书相同)。事实上，SSL 证书绑定(bind)到特定的主机名，但不是特定的机器:如果您需要负载平衡，您可以在每个实例上自由地重复使用相同的证书(和私钥)，只要它们都公开响应相同的主机名。