Nous avons une batterie de serveurs Web hébergeant actuellement 2 applications - les deux applications s'exécutent sur tous les serveurs. Nous voulons diviser cela afin que nous ayons une batterie de serveurs dédiée pour chaque application (nous avons de bonnes raisons à cela).
Nous espérions avoir un seul équilibreur de charge devant tous les serveurs, qui acheminerait le trafic vers la batterie de serveurs correcte en fonction du nom d'hôte, mais nous voulons conserver SSL aux serveurs Web.
Il semble que les routeurs qui nous sont proposés ne le font pas. Je comprends que sans SNI, cela est impossible, mais nous attendons des indicateurs SNI sur pratiquement tout notre trafic.
Maintenant, je suis un programmeur, pas un gars du réseau, mais lorsqu'une nouvelle demande de connexion SSL arrive, le routeur ne peut-il pas examiner l'en-tête SNI et router vers la batterie de serveurs correcte. Je suppose que la connexion SSL entrante est identifiée par {IP source: port source}, donc ne peut-il pas s'en souvenir pour les paquets entrants suivants (si SNI n'est présent que dans le premier paquet)?
Pour autant que je sache, Haproxy le fait, mais il semble que les équilibreurs de charge matériels ne le fassent pas. Y a-t-il une raison à cela, ou est-ce quelque chose pour lequel nous devrions insister?
(Pour le dernier gardien utilisant IE sur XP qui n'inclut pas SNI, nous voudrions envoyer du trafic vers l'ancienne batterie de serveurs et nous gérerions le proxy vers la nouvelle batterie de serveurs si nécessaire).