Nginx
AWS EC2 的 SSL 終止點?ELB 或 NginX 或..?
我有許多目前在不同埠和 URL 上執行的獨立 Java Web 應用程序。我想在一個埠(443)後面公開所有這些應用程序,並將不同的公共 URL 映射到各個內部 URL/埠。我認為客戶將 Nginx 作為反向代理。
我還需要這些應用程序只能通過 SSL 訪問,並在訪問反向代理之前計劃 AWS VPC 中的所有內容,SSL 終止於 AWS ELB。
這似乎是一個非常標準的堆棧。有什麼理由不這樣做嗎?有什麼理由我應該在反向代理(Nginx 或其他)而不是 AWS ELB 上終止 SSL?
謝謝
在某些設置中,在決定終止 SSL 的位置時需要考慮安全方面:
- 你想用你的證書信任哪個節點?
- 在 SSL 終止點之後會發生多少通信並因此不受保護?
您還必須考慮有關什麼是可能的,什麼是不可能的技術方面:
- 不終止 SSL 的負載均衡器無法插入 X-Forwarded-For 標頭。因此,除非您使用基於 DSR 的負載平衡,否則後端將不知道客戶端 IP 地址。
- 除非客戶端支持 SNI,否則不終止 SSL 的前端無法根據域名分派到不同的後端。