测量Web服务器组的局限性
因为许多服务器使用不同的加密技术来加密数据因此管理这样一个Web服务器组会花费比较大并比较复杂. 在一个传统的采用负载均衡的Web服务器阵列中, 每个处理加密数据的服务器要求有一个SSL加速卡和一个数字证书. 一个数字证书是被CA签署的一个电子认证标识. 在加密通信方面提供了身份一致性的验证.
为了从CA获得一个数字证书, 管理员必须创建一个公钥对和CSR, 然后提交这些项目给CA. 这个过程被Web组中的每个服务器重复进行. 数字证书仅仅是在有限的时间内是正确的,当证书过期后管理员还必须重新获得证书.
不但管理这些支持 SSL特性的服务器是耗时的、而且成本很高。技术的进步可以降低SSL 加速卡的成本,但是仍然很昂贵。并且每次认证到期后,都必须从CA 重新购买。这种花费成本极大的增加采购与管理支持SSL 特性的服务器成本。
将 SSL基础结构和BIG-IP整合在一起
一种集中和简单的管理SSL Web组的方式是通过Dell PowerEdge Load BalancingServer-BIG-IP Powered 实现负载均衡, 一般称之为BIG-IP. BIG-IP 是一个运行有BIG-IP 负载均衡软件的Dell PowerEdge服务器. 它通过SSL加速卡实现SSL的 off-loading 同时还可以实现应用层和IP层的负载均衡. 一般作为冗余对, 这个工具还提供了对关键Web结构的高可用性的保证.
通过允许SSL的终结,BIG-IP工具可以减少Web服务器组的管理性和成本. 使用SSL的终结,前端的BIG-IP加密从客户端接受的数据然后将它们发送到后端服务器. 后端服务器响应这个请求后将完成的请求发送给BIG-IP, BIG-IP再重新解密数据然后发送会客户端. 因为后台服务器并不是直接参与SSL的处理,它们不要求SSL硬件或数字证书;BIG-IP在只有考虑冗余性时才要求SSL硬件和数字证书. 在可测量性方面, BIG-IP工具每秒钟最多能够管理到800个加密处理事务. SSL证书的集中管理减少了Web服务器组的复杂性和整体拥有成本.
在Web服务器环境中实现BIG-IP
大多数的BIG-IP把前端配置成一个应用服务器阵列. 这些服务器可能组成了一个数据库,cache池, 防火墙, 邮件交换组, 虚拟专用网络, 或Web服务器组. 这一部分详细解释一下管理员如何实现BIG-IP冗余的,一个处于活动状态另一个则处于备用状态, 前端的Web服务器组包括了两类服务器, 一类满足SSL的处理,另一类进行内容的解密. 图 2 显示了BIG-IP实现的例子.
图2:使用BIG-IP实现SSL的集中管理
