Балансировка нагрузки с ssl-id с AWS CloudFront

Question

Нашему приложению требуется конечное шифрование SSL, и вот его архитектура:

Браузер (https) -> AWS CloudFront (Https) - ON-perm F5 Loadbalancer (HTTPS) -> веб-сервер.

AWS CloudFront с источником указывает на балансировщик нагрузки On-Perm (F5). Балансировщик нагрузки On-Perm настроен для выполнения закрепленного сеанса с идентификатором сеанса SSL (не идентификатором сеанса приложения)

Поскольку AWS доменное имя CloudFront сопоставляется с динамическим c IP и выполняет SSL-встряхивание на основе на граничном местоположении IP SSL-sessionId изменяется, даже если запрос поступает от того же идентификатора сеанса приложения, что приводит к потере данных сеанса для пользователя.

Мы не можем изменять балансировщик нагрузки для выполнения сеанса привязка на основе идентификатора сеанса приложения, и мы не можем выполнить завершение SSL в Loadbalancer. может кто-нибудь помочь мне, как я могу сделать привязку сеанса в этом сценарии?

Answer 1

То, что вы пытаетесь сделать, не может быть выполнено с помощью Amazon CloudFront.

CloudFront разработан для повышения производительности, что означает, что одно соединение для просмотра может использовать несколько внутренних соединений параллельно, и несколько зрителей также могут отправлять последовательные запросы через единственное внутреннее соединение.

TLS через CloudFront не является сквозным - это невозможно. CloudFront необходимо расшифровать и повторно зашифровать трафик c, поскольку он работает на уровне HTTP.