當公司有強烈的要求將基于Web的應用程序整合到他們的商業系統的時候, 他們可以使用SSL協議來保護應用程序和用戶之間的信息的交換..這篇文章分析了當前基于SSLWeb站點的可測量性問題和整合的細節, 例如 DellTM PowerEdgeTM Load Balancing Server-BIG-IP® Powered (formerly Dell PowerApp.BIG-IP), 能與SSL管理進行整合。
評價普通SSL的實施
一部分SSL的實施是基于軟件的解決方案.在這種實施中, 服務器通過SSL連接與客戶端連接然后在軟件級別上執行加密和解密. SSL握手, 實際上是客戶端和服務器端協商使用哪種運算法則和密鑰, 是一個處理器的操作. 因為執行握手過程和運行應用程序需要消耗大量的資源因此連接到這臺服務器上的客戶端的數量受到限制. 如果想連接更多的客戶端需要更多的能力更強的服務器。
第二種SSL的實施是通過添加額外獨立的SSL加速卡實現的, 例如roadcom CryptoNetXM 卡, 對于每個Web 服務器. SSL 通信量并不會對整個網絡流量帶來影響, 但是它加重了處理網絡流量的服務器的負擔. 使用加密方式通信的Web站點和Web應用程序可能會因為Web站點流量的增加而出現響應時間的延遲.為每個Web服務器增加SSL加速卡可以避免Web站點和Web應用程序出現這種延遲. 當SSL協商過程被SSL加速卡來進行處理后可以將服務器的處理器解脫出來用來處理其他的內容和應用程序。
為了管理更高級別的流量, 管理員能夠將多個Web服務器組織成一個Web組(看 圖1). 這個組中的每個Web服務器必須安裝有內置的加速卡以便能夠提供SSL握手的處理. 這種SSL基本結構比基于軟件方式的SSL或使用加速卡的單個Web服務器的性能要好的多, 但是它也有以下的幾個局限性。
圖1:一個標準的SSL實施: Web服務器組
測量Web服務器組的局限性
因為許多服務器使用不同的加密技術來加密數據因此管理這樣一個Web服務器組會花費比較大并比較復雜. 在一個傳統的采用負載均衡的Web服務器陣列中, 每個處理加密數據的服務器要求有一個SSL加速卡和一個數字證書. 一個數字證書是被CA簽署的一個電子認證標識. 在加密通信方面提供了身份一致性的驗證.
為了從CA獲得一個數字證書, 管理員必須創建一個公鑰對和CSR, 然后提交這些項目給CA. 這個過程被Web組中的每個服務器重復進行. 數字證書僅僅是在有限的時間內是正確的, 當證書過期后管理員還必須重新獲得證書.
不但管理這些支持 SSL 特性的服務器是耗時的、而且成本很高。技術的進步可以降低SSL 加速卡的成本,但是仍然很昂貴。并且每次認證到期后,都必須從CA 重新購買。這種花費成本極大的增加采購與管理支持SSL 特性的服務器成本。
將 SSL基礎結構和BIG-IP整合在一起
一種集中和簡單的管理SSL Web組的方式是通過Dell PowerEdge Load Balancing Server-BIG-IP Powered 實現負載均衡, 一般稱之為BIG-IP. BIG-IP 是一個運行有BIG-IP 負載均衡軟件的Dell PowerEdge服務器. 它通過SSL加速卡實現SSL的 off-loading 同時還可以實現應用層和IP層的負載均衡. 一般作為冗余對, 這個工具還提供了對關鍵Web結構的高可用性的保證.
通過允許SSL的終結,BIG-IP工具可以減少Web服務器組的管理性和成本. 使用SSL的終結,前端的BIG-IP加密從客戶端接受的數據然后將它們發送到后端服務器. 后端服務器響應這個請求后將完成的請求發送給BIG-IP, BIG-IP再重新解密數據然后發送會客戶端. 因為后臺服務器并不是直接參與SSL的處理, 它們不要求SSL硬件或數字證書;BIG-IP在只有考慮冗余性時才要求SSL硬件和數字證書. 在可測量性方面, BIG-IP工具每秒鐘最多能夠管理到800個加密處理事務. SSL證書的集中管理減少了Web服務器組的復雜性和整體擁有成本.
在Web服務器環境中實現BIG-IP
大多數的BIG-IP把前端配置成一個應用服務器陣列. 這些服務器可能組成了一個數據庫, cache池, 防火墻, 郵件交換組, 虛擬專用網絡, 或Web服務器組. 這一部分詳細解釋一下管理員如何實現BIG-IP冗余的,一個處于活動狀態另一個則處于備用狀態, 前端的Web服務器組包括了兩類服務器, 一類滿足SSL的處理,另一類進行內容的解密. 圖 2 顯示了BIG-IP實現的例子.
圖2:使用BIG-IP實現SSL的集中管理
BIG-IP的網絡設置
管理員必須首先配置BIG-IP對.使用Dell的快速部署工具, 管理員能配置基本的主機和網絡信息, 例如VLAN, 主機名稱,Web管理員的名稱以及密碼.
在這里例子中使用三個VLAN: 一個為外部的網絡服務(自身的IP 153.142.10.111-112/255.255.255.0, 第二個 IP 153.142.10.115) 另外兩個為內部網絡服務自身的IP 192.168.10.101-102/255.255.255.0, 第二個 IP 192.168.10.100; 自身的IP 10.10.10.101-102/255.255.255.0, 第二個 IP 10.10.10.100). 自身的 IP是每個BIG-IP與VLAN通信的IP地址. 第二個IP是由冗余對中的活動的BIG-IP使用的與其他的服務器中的BIG-IP連接. 在兩個內部的網絡中, 一個 (192.168.10.X) 是與提供安全處理的電子商務服務器連接,另一個與提供解密內容的Web服務器連接.
網絡管理員是在配置初始時定義的, 能通過任何網絡訪問BIG-IP配置工具. 這個基于Web的工具允許管理員創建緩沖池和虛擬服務器以及管理節點. 管理員也可以通過在一個內部網絡中的主機的瀏覽器中輸入https://192.168.10.100/ 或https://10.10.10.100/來訪問這個活動的BIG-IP的配置工具.
一旦連接到配置工具, 管理員能夠將后臺的服務器組織到兩個分別稱為SECURE 和WEB 的不同的緩沖池中. SECURE 緩沖池包括IP地址為192.168.10.X 的服務器, 這種服務器能夠運行應用程序和處理器從客戶端收到的請求. WEB緩沖池由IP地址為10.10.10.X 的Web服務器組成, 這種服務器進行有規則的數據操作. 在BIG-IP上創建兩個虛擬的服務器: VS1 (153.142.10.101) 駐留在前端的SECURE 緩沖池中,而VS2 (153.142.10.102) 駐留在前端的WEB緩沖池中. VS1和VS2的DNS名稱分別為https://buy.compxyz.com 和 http://www.compxyz.com. 管理員現在可以通過將冗余的BIG-IP與活動的BIG-IP進行同步以便它們能夠保持相同的狀態.
當完成了BIG-IP系統的配置后, 管理員改變了后臺Web服務器的默認網關以便使它指向BIG-IP的內部接口. 為了完成這個任務, 管理員將電子商務服務器的默認網關改為192.168.10.100 ,將Web服務器的默認網關改為10.10.10.100.
配置SSL終結
為了配置SSL 終結,管理員必須獲得由CA認證的證書 并架設一個SSL代理. 管理員使用配置工具產生一個CSR并將它提交給CA. 當接收到一個正確的證書后, 管理員將它安裝到一個BIG-IP上.
當在BIG-IP對上安裝完了證書后, 管理員改變VS1的地址(就是駐留在前端的SECURE 池中的)為127.0.0.1. 管理員然后創建一個SSL代理給它分配一個IP地址為153.142.10.100; 它的目標虛擬服務器是VS1. 客戶端也能夠通過https://153.142.10.100/訪問這個安全站點.當加密數據到達IP地址為153.142.10.100的SSL代理后,它首先解密,然后發送到VS1, 并最終轉到SECURE 緩沖池.
提供持續性工作
配置的最后的步驟是提供這個Web服務器組的持續運行. 因為BIG-IP解密所有的數據,更多的持續性選項變得可用. BIG-IP能夠持續的檢測信息的 HTTP報頭例如SSL 任務IDs 或 HTTP cookies. 更新的Microsoft IE瀏覽器 包括了一個安全功能,能夠重新判斷Web 服務器上的SSL任務的.
由于 BIG-IP 可以解密所有數據,因此就可以應用更多可用選項。BIG-IP 可以檢查 HTTP 頭并根據SSL 會話ID 或HHTP Cookies的信息完成連續執行操作。新版本的 Microsoft® Internet Explorer 瀏覽器包含安全特性可以與Web服務器的SSL 會話 ID 完成重新數據協商操作。該特性根據會話ID 持續運行因此不適合應用于電子商務Web站點,但是非常適用于負載均衡其它加密應用程序。
BIG-IP 工具提供了四種類型的基于HTTP cookie 的persistence:插入模式, 重寫模式,被動模式, 和 細分模式 mode. 在插入模式中, BIG-IP創建和寫cookie到服務器響應的HTTP報頭中. 在重寫模式中, 服務器創建cookie 但是被會被BIG-IP覆蓋. 在被動模式中, 后臺服務器創建cookie, 這中間包括了足夠的供BIG-IP負載均衡流量的使用的信息.在細分模式中,BIG-IP 創建一個cookie 的細分以便返回的通信能夠被傳送到負載均衡組中的正確的服務器中.
為了避免對后臺服務器的任何重新配置, 管理員選擇插入模式cookie. 當一個客戶返回到一個Web 站點時, 他通過cookie 就已經駐留在BIG-IP中了. 該站點的信息就已經存儲在cookie 中, 當客戶下次再訪問這個站點時會很快的顯示出來了. 管理員通過persistence 功能可以提供一個完整的電子商務站點了.
發現BIG-IP另外的好處
BIG-IP工具提供了幾個SSL實施之外的功能.它能負載均衡各種不同類型的應用程序,,或后臺數據庫. 在一個單一的Web組中, 一個BIG-IP也能檢測進入的通信的HTTP的報頭然后將它們直接發送給不同類的服務器.
使用BIG-IP進行集中的SSL管理
Dell PowerEdge Load Balancing Server-BIG-IP Powered 提供了一種性價比很高的方法來管理當今復雜的Web服務器結構中的Web站點的加密性. 通過結合SSL證書管理, BIG-IP 幫助我們減少了復雜性和整體擁有成本; 通過對SSL流量的負載均衡, BIG-IP增加了Web站點的性能.
