メインコンテンツにスキップ
ブログLinodeNodeBalancer SSL

NodeBalancer SSL

nbssl

NodeBalancer は従来から SSL を含む TCP ベースのプロトコルをサポートしてきましたが、この度 ネイティブ HTTPS サポートが加わったことをお知らせします。

つまり、NodeBalancer は SSL 接続を終了し、HTTP モードで享受している機能と動作を活用できるようになりました。ーそれは X-Fowarded-For リクエスターの IP アドレスを持つヘッダーと、バックエンド ノードのスティッキーのためのセッション cookieを設定することを含みます。

これを行うには、ポート 443 (一般的に) を使用して新しい構成プロファイルを作成し、プロトコルを HTTPS に設定し、証明書とその秘密キー (パスフレーズなし) を指定します。チェーンされた中間証明書もサポートされています。新しいオプションを示すスクリーンショットを次に示します。

nbssl

トラフィックの多い SSL サイトに関する注意事項:SSL ネゴシエーションは計算負荷の高い処理であり、SSL モードの NodeBalancer が維持する能力では不十分な場合があります。 このような状況では、TCP モードを使用し、SSL 終了負荷をバックエンド Linode に分配することをお勧めします。 また代案として SSL モードで複数の NodeBalancer を使用し、ラウンドロビン DNS を使用することもできます。

詳細は以下を参照してください:

お楽しみください!


コメント (10)

  1. Author Photo

    Does Linode use HAProxy to run this service?

  2. Author Photo

    Hi,

    If not good for high traffic, what’s the advantage ?

    Thanks

  3. Christopher Aker

    @Jan: convenience – it’s very easy to get SSL working using the NodeBalancer user interface. This is also a good first step for us supporting native SSL — we gotta start somewhere.

  4. Author Photo

    How computationally expensive is SSL for you guys?

    From Google: “On our production frontend machines, SSL/TLS accounts for less than 1% of the CPU load, less than 10KB of memory per connection and less than 2% of network overhead.” (https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html)

  5. Author Photo

    What kind of maximum concurrency are we talking about here for SSL on a nodebalancer?

  6. Author Photo

    What traffic max rate is expected to be handled by these balancers? If a regular balancer handles 10k, what about SSL ones?

  7. Christopher Aker

    NodeBalancers have a 10,000 concurrent connection limit. It’s not a request/sec limit. There is no artificial request/sec limit built into NodeBalancers. A NodeBalancer config in TCP or HTTP mode can accept connections pretty much as fast as packets can be slung to/from the backends. In other words: it’s a lot.

    A NodeBalancer config in HTTPS mode can achieve 10,000 concurrent connections, too – it may just take some time to ramp up to that. While testing very small requests (connections don’t live long) we’ve seen about 150 req/sec via HTTPS mode. Again, it’s a good place to start, and we’ll be working on improving the req/sec throughput of native HTTPS mode.

    Thanks for the comments 🙂

  8. Author Photo

    Hi. I previously asked if Linode uses HAProxy for this service? (And indirectly I guess I was wondering what other software/hardware is being use. My post is still awaiting moderation even though posts made after mine have been approved.

    In the past Linode has been quite open about its architecture, especially about its implementation of Xen. Is there a reason we don’t get much detail about how NodeBalancers work? Is there something offensive or inappropriate about me asking these things?

  9. Author Photo

    Tom, I’d be interested too… Although it’s not out of the realm of possibility that they built their own with something like Golang (esp since 1.1), an accounting proxy would be trivial on such stack.

  10. Author Photo

    Any chance to have TLS renegotiation so we can host more than one domain on HTTPS ?

コメントを残す

あなたのメールアドレスは公開されません。 必須項目には*印がついています。