서주학 2016-06

SSL 인증서는 도메인 기준입니다.

장비가 여러대여도 SSL인증서 발급된 도메인 기준으로 여러대 설치 가능합니다.

반대로 도메인이 여러개면 장비가 1대여도 도메인별로 SSL인증서가 도메인갯수대로 필요 합니다.

s김종화z 2016-06

조언 고맙습니다.

SSL 의 문제라기 보다는, 워낙 소프트웨어에서의 SSL 처리 속도가 좋지 않아서 장비가 많이 늘어날 것 같아서...그 비용이 무섭기도 하구요.
최소 2만DAU~최대 10만DAU 이상일 것 같습니다.

파닥파닥 2016-06

L4 에서도 할 수는 있지만... L4 를 찾으실 정도면, RIP 서버의 댓수도 어느정도 될건데요
웹서버에서 SSL을 처리하는 것을 먼저 생각해 보셔야 할 것으로 보입니다.

L4 에서 SSL 을 처리하게 될 경우, 결국 L4 의 CPU 를 사용해서 RIP 서버까지의 프록시 구성을 하게 되는데, 처리를 위한 '비용' 이 쏠쏠합니다.
(물론, $ 도 $ 이지만, 성능적인 측면이며, 일반적인 '상용' 웹 서버들의 SSL 성능은 '표준적인' VM 이나 서버급에서 충분히 처리할 성능 나옵니다)

s김종화z 2016-06

조언 고맙습니다.

WAS 는 undertow 라고, netty 기반 jboss 의 경량 WAS 입니다.

그리고, 예전에 상용 서비스 시 CPU 부하율이 10배 정도 차이가 나서요...처리 속도도 속도지만 CPU 부하율 등을 못견뎌서 장비 늘어나는게 장난 아니었거든요. 이게 왜 민감하냐면...장비 추가 시 최소 2주, 길면 1개월 걸립니다. 업체가 장비 늘리는데 엄청 일처리를 늦게 합니다.

L4 에서 할 수 있다면, 일단 L4 자체는 업체의 관할이고 그 쪽에서 다 처리할 부분이라...L4 에서 어떤 옵션으로 그런게 가능한지, 어떤 기능을 지원하는 L4 가 필요한지 알면 그걸로 준비하라고 할 수 있습니다. 이 부분에 대한 조언을 해주시면 고맙겠습니다.

파닥파닥 2016-06

L4 에서 궂이 해야겠다면, "SSL Termination or SSL Offloading" 을 찾아보시면 될 것으로 보입니다.
요즘 필수 구성 요소인 SHA256 서명이 지원되는 녀석으로 찾아 보시면 될 것으로 보입니다.

또한, L4 가 프록시모드로 동작하기 때문에, WAS 에서도 클라이언트의 RIP 를 얻어오기 위한 별도의 처리 (X-Forwarded-For 등의 헤더 처리) 가 필요 합니다.

(근데, 전방 Reverse Proxy 등의 구조 없이 바로 WS 가 외부에 노출되나 보네요)

s김종화z 2016-06

조언 고맙습니다.

SSL 을 L4 에서 처리하면, 이에 대한 관리 책임이 저에게 오지 않는다는게 큰 것 같네요. SSL Termination 이나 SSL Offloading 로 한 번 조사해보겠습니다. --> AWS 관련한 문서에서 내용을 찾아서 읽어보니 이 내용이 맞네요. 고맙습니다.

그리고, X-Forwarded-For 가 제대로 지원되어야 이게 되는 건지도 한 번 조사해보겠습니다. undertow 에서 server.use-forward-headers 로 사용 유무를 체크하는 것만 있을 뿐 지원이 되는지 확인하는 법을 몰라서 잘 되는지를 모르겠네요. --> 클라이언트의 IP 을 제대로 받아오기 위함인 것 같네요. 프로그램에서 클라이언트의 IP 을 특정 부분에서 확인해서 IP 를 저장해놓는데, 실제 장비에 넣어봐야 클라이언트의 IP 을 제대로 받아오는지 확인 가능하겠네요.