用於 https 的清漆

Question

這是情況。 我的客戶端通過安全網絡 (https) 與多個后端通信。 現在，我想為主要負載平衡（基於頭數據或 cookie）和一些緩存建立一個反向代理。 所以，我認為清漆可能有用。

但是，varnish 不支持 ssl 連接。 正如我在很多地方讀到的那樣，引用"Varnish does not support SSL termination natively" 。 但是，我想要每個連接，即。 客戶端清漆和清漆后端通過 https。 我不能在整個網絡的任何地方擁有純文本數據（有限制），所以沒有其他東西可以用作 SSL 終止符（或者可以？）。

所以，這里是問題：

• 首先，這是什么意思（如果有人可以用簡單的術語解釋）“Varnish 本身不支持 SSL 終止”。
• 其次，這個場景是否適合使用清漆實現？
• 最后，如果 varnish 不是一個好的競爭者，我是否應該切換到其他一些反向代理。 如果是，那么哪個適合該場景？ （HA、Nginx 等）

Answer 1

這是什么意思（如果有人可以用簡單的術語解釋）“Varnish 本身不支持 SSL 終止”

這意味着 Varnish 沒有對 SSL 的內置支持。 除非 SSL 由單獨的軟件處理，否則它無法在帶有 SSL 的路徑中運行。

這是 Varnish 的作者做出的架構決定，他在 2011 年討論了他將 SSL 集成到 Varnish 中的想法。

他基於許多因素做出這一點，其中最重要的是想要把它做對，如果有的話，同時觀察到 SSL 的事實上的標准庫是 openssl，這是一個超過 300,000 行代碼的迷宮集合，並且他對這個代碼庫既不自信，也不對有利的成本/收益比的可能性有信心。

他當時的結論是，一句話，“不”。

這不是我小時候夢想做的事情之一，如果我現在做夢，我稱之為噩夢。

https://www.varnish-cache.org/docs/trunk/phk/ssl.html

他在 2015 年重新審視了這個概念。

他的結論再次是“不”。

代碼很難，加密代碼是雙加硬的，如果不是雙平方硬的話，世界真的不需要另一段在密碼學方面做半途而廢的代碼。

...

當我看到像 Willy Tarreau 的HAProxy這樣的東西時，我很難看到任何重要的改進機會。

不，Varnish 仍然不會添加 SSL/TLS 支持。

相反，在 Varnish 4.1 中，我們添加了對 Willys PROXY 協議的支持，這使得從 SSL 終止代理（例如 HAProxy）向 Varnish 傳達額外細節成為可能。

https://www.varnish-cache.org/docs/trunk/phk/ssl_again.html

這種增強可以簡化將 varnish 集成到具有加密要求的環境中的過程，因為它提供了另一種機制來在卸載的 SSL 設置中保留原始瀏覽器的身份。

這個場景是否適合使用清漆實現？

如果您需要 Varnish，請使用它，注意 SSL 必須單獨處理。 但是請注意，這並不一定意味着未加密的流量必須遍歷您的網絡……盡管這確實會使設置更加復雜且占用 CPU 資源。

沒有其他東西可以用作 SSL 終止符（或者可以？）

SSL可以在Varnish的前端卸載，在Varnish的后端重新建立，都在運行Varnish的同一台機器上，但是通過單獨的進程，使用HAProxy或stunnel或nginx或其他解決方案，在前面和在清漆后面。 任何明文流量都在一台主機的范圍內運行，因此如果主機本身是安全的，則可以說不是漏洞點，因為它永遠不會離開機器。

如果清漆不是一個好的競爭者，我應該切換到其他一些反向代理嗎

這完全取決於您在堆棧中想要和需要什么、它對您的成本/收益、您的專業水平、資源的可用性以及其他因素。 每個選項都有其自己的一組功能和限制，在同一堆棧中使用多個選項當然並非聞所未聞。