Зараз у нас є ферма веб-серверів, на якій розміщено 2 програми - обидва додатки працюють на всіх серверах. Ми хочемо розділити це, щоб у нас була спеціальна ферма серверів для кожного додатка (у нас є вагомі причини для цього).
Ми сподівалися мати єдиний балансир навантаження перед усіма серверами, який би направляв трафік до правильної ферми на основі імені хоста, але ми хочемо підтримувати SSL для веб-серверів.
Здається, маршрутизатори, які нам пропонують, не роблять цього. Я розумію, що без SNI це неможливо, але ми очікуємо показники SNI практично на всьому нашому трафіку.
Тепер я програміст, а не хлопець у мережі, але коли надходить новий запит на з'єднання SSL, маршрутизатор не може перевірити заголовок SNI та перейти до правильної ферми. Я припускаю, що вхідне з'єднання SSL ідентифікується за допомогою {source IP: source port}, тож чи не міг він запам'ятати це для подальших вхідних пакетів (якщо SNI присутній лише у першому пакеті)?
Наскільки я можу сказати, що Haproxy це робить, але, схоже, апаратні балансири навантаження не роблять. Чи є якась причина для цього, чи це щось, на що ми повинні наполягати?
(Для останнього охоронця, що використовує IE на XP, який не включає SNI, ми хочемо відправити трафік на стару ферму, і ми будемо керувати наближенням до нової ферми, коли це необхідно).