ハードウェアロードバランサーはSNIでSSLトラフィックをルーティングできますか？

現在2つのアプリケーションをホストしているウェブサーバーファームがあります。両方のアプリケーションがすべてのサーバーで実行されています。これを分割して、アプリごとに専用のサーバーファームを用意します（これには十分な理由があります）。

ホスト名に基づいてトラフィックを適切なファームにルーティングするすべてのサーバーの前に単一のロードバランサーを配置することを望んでいましたが、WebサーバーへのSSLを維持したいと考えています。

私たちが提供しているルーターはこれをしていないようです。SNIがなければこれは不可能だと思いますが、ほとんどすべてのトラフィックでSNIインジケーターを期待しています。

現在私はプログラマーであり、ネットワークの専門家ではありませんが、新しいSSL接続要求が来たときに、ルーターがSNIヘッダーを検査して正しいファームにルーティングすることはできません。着信SSL接続が{source IP：source port}によって識別されると想定しているため、後続の着信パケットについてこれを覚えていませんか（SNIが最初のパケットにのみ存在する場合）？

私が知る限り、Haproxyはこれを行いますが、ハードウェアロードバランサーはそうではないようです。これには理由がありますか、これは私たちが推進すべきものですか？

（SNIを含まないXPでIEを使用する最後の警備員の場合、古いファームにトラフィックを送信し、必要に応じて新しいファームへのプロキシを管理します）。

彼らのウェブサイトによると、F5ロードバランサーはSNIをサポートしています：

https://devcentral.f5.com/articles/ssl-profiles-part-7-server-name-indication

SNIに基づいてiRulesを作成することもできます。

免責事項：

• 私は彼らが彼らのウェブサイトで主張することを確認していません
• 私はF5で働いていません。また、3年以上本番環境で使用していません。

ルータがSNIヘッダーを検査できない、

通常、ルーターはOSIレイヤー3でのみ機能します。つまり、パケットの内容は検査せず、ターゲットIPのみを検査します。SNIに基づくルーティングの場合、TCPとTLSを理解する必要があります。これは、IPアドレスに基づくルーティングよりも複雑であり、（パフォーマンスに関して）はるかに高価です。また、これは通常、ルーティングと呼ばれなくなります。

Haproxyはこれを行いますが、ハードウェアロードバランサーは行いません。

ルーター（レイヤー3）、ハードウェアロードバランサー（レイヤー4以上）、およびHaproxy（ソフトウェアロードバランサー）を混在させています。ハードウェアロードバランサーは、いくつかのソフトウェアロードバランサーが搭載されたアプライアンスにすぎず、特定のアクションのためのいくつかのハードウェアアクセラレーションでもあります。ハードウェアロードバランサーでSNI情報に基づくバランシング（ルーティングではなく）を本質的に不可能にするものはなく、別の回答のように、これをサポートする製品があることを示唆しています。しかし、もちろんそれを実装する必要があり、それはパフォーマンスを犠牲にします-彼らはあなたがより深くあなたがトラフィックを見るのが遅くなるほど、トラフィックを見ます。