我试图让 HAproxy 1.5.x 信任机器 ( /etc/ssl/certs)信任存储中已有的任何证书颁发机构,而无需明确指定ca-file要信任的单个根颁发机构证书。我想避免给定后端服务器使用由不同机构颁发的证书并导致中断的情况,因为该后端服务器不再受信任——尽管 CA 位于机器信任存储中。
在文件的给定backend部分中haproxy.cfg,该server行有一个名为ca-file. 此选项指示 HAproxy 使用提供的权限验证后端服务器证书的权限。问题是这指向单个 CA。
我找到了这个ca-base选项。除非我弄错了,否则这只是避免必须ca-file在每个声明中指定完整路径的快捷方式。
我管理着一些相当简单的域,只有 A 记录、CNAMES 和一些其他常见的记录类型。我经常听到的一件事是来自各种专业 DNS 提供商(例如 DynDNS、DNSimple,以及更基本的提供商(例如 GoDaddy)等)的重大中断。
虽然 AWS Route 53 从未宕机,并且有大量复制,而且他们有 100% 的正常运行时间 SLA,但我想知道将我们所有的鸡蛋放在一个篮子里是否只是自找麻烦。
有没有人知道让 Route 53 成为主要或次要 DNS 提供商的好方法(即使 DNS 领域中确实没有主要/次要这样的东西)并且有一个替代提供商可以自动检测然后将更改推送到/来自 53 号公路?
任何人都可以列出一些用于防止单点故障的技术,而不是在硬件中,而是在单个提供者中。