Re: Выбор upstream server в зависимости от типа clipher

[Evgeniy Berdnikov]

On Wed, Apr 22, 2020 at 12:55:02PM +0500, Илья Шипицин wrote:
>    ср, 22 апр. 2020 г. в 12:51, Evgeniy Berdnikov <[1]bgx на protva.ru>:
> 
>      On Wed, Apr 22, 2020 at 12:39:33PM +0500, Илья Шипицин wrote:
>      >    но вы понимаете, что речь идет о stream-проксировании, т.е. вы
>      просто tcp
>      >    поток отправляете на тот или иной бекенд и терминация SSL будет уже
>      на
>      >    бекенде?
> 
>       Nginx это не софтовый L4-роутер: чтобы разобрать ClientHello
>       и обработать ciphersuites ему нужно терминировать SSL.
> 
>    есть технология, в haproxy называется SNI based routing, когда из
>    SSL-хендшейков извлекается SNI (если он нешифрованный), и далее стрим без
>    терминации роутится.
>    в nginx это делается на ngx_stream_ssl_preread

 Да, не заметил, нужный модуль есть. Только функционала для выбора шифра
 не хватает. Значит, этот модуль и нужно слегка попатчить.
-- 
 Eugene Berdnikov