Le probleme avec un loadbalancer pour du ssh, c'est les clés ssh des serveurs cibles ( les "real servers" en vocabulaire Kemp).
exemple :
ssh.toto.com => Load Balancer
-> Noeud1.internal
-> Noeud2.internal
Une fois on va se connecter via le load balancer a Noeud1.internal et recevoir sa clé, un autre jour pour une nouvelle session, on sera dispatché sur Noeud2.internal et le client ssh qui avait associé la clé de Noeud1.internal à ssh.toto.com va se prendre la clé de Noeud2.internal et demander confirmation puisque la clé à changé voire refuser la connexion.
J'ai le probleme au boulot avec un Kemp Loadmaster (basé sur du Linux avec du haproxy il me semble mais avec interface web et payant) qui repartit la charge sur 2 bastions pour accéder à tous mes serveurs Linux.
Avec certains clients ssh on peut ignorer la signature mais c'est dommage.
Probleme absent pour HTTPS puisque le Loadbalancer peut gérer le chiffrement/dechiffrement (exemple publication sur internet il porte un certificat payant ou let's encrypt et les serveurs internes portent des certificat privés donc non soumis à la limite de validité de 13 mois : si public non let's encrypt, moins de serveurs à traiter lors du deploiement du certificat à chaque renouvellement).
[^] # Re: Chiffrement
Posté par rnash . En réponse à la dépêche Le protocole QUIC désormais normalisé. Évalué à 3. Dernière modification le 30 mai 2021 à 19:51.
Le probleme avec un loadbalancer pour du ssh, c'est les clés ssh des serveurs cibles ( les "real servers" en vocabulaire Kemp).
exemple :
ssh.toto.com => Load Balancer
-> Noeud1.internal
-> Noeud2.internal
Une fois on va se connecter via le load balancer a Noeud1.internal et recevoir sa clé, un autre jour pour une nouvelle session, on sera dispatché sur Noeud2.internal et le client ssh qui avait associé la clé de Noeud1.internal à ssh.toto.com va se prendre la clé de Noeud2.internal et demander confirmation puisque la clé à changé voire refuser la connexion.
J'ai le probleme au boulot avec un Kemp Loadmaster (basé sur du Linux avec du haproxy il me semble mais avec interface web et payant) qui repartit la charge sur 2 bastions pour accéder à tous mes serveurs Linux.
Avec certains clients ssh on peut ignorer la signature mais c'est dommage.
Probleme absent pour HTTPS puisque le Loadbalancer peut gérer le chiffrement/dechiffrement (exemple publication sur internet il porte un certificat payant ou let's encrypt et les serveurs internes portent des certificat privés donc non soumis à la limite de validité de 13 mois : si public non let's encrypt, moins de serveurs à traiter lors du deploiement du certificat à chaque renouvellement).