Consulを利用したTLSセッションチケットの自動更新 | メルカリエンジニアリング

Site Reliability Engineering Team（通称SRE）の@cubicdaiyaです。最近チーム名が変わりました。 今回はConsulを利用して複数台のnginxサーバのTLSセッションチケットを自動更新する仕組みについて紹介します。 TLSセッションチケットは簡単に言うとTLSのセッション情報を暗号化してクライアント側に保存することで HTTPS通信時に行われるTLSハンドシェイクの手順を省略してネットワークレイテンシを削減するための仕組みです。(詳細については一番下の参考情報を御覧ください) 似たような仕組みとしてTLSセッションキャッシュがありますが、こちらはセッション情報をサーバ側に保存します。 HTTPS通信ではTCPのハンドシェイクに加えてTLSのハンドシェイクが必要になるのでHTTP通信よりもネットワークのレイテンシが大きくなりますが、 これらの仕組み

[cubicdaiya]

書きました

[tmatsuu]

ssl_session_ticket_keyはHashiCorp製品の中ではVaultと相性良さそう。まだ対応してないみたいだけど

[yhara]

かっこいい

[tomoima525]

consul 事例

[scalar]

Consul 便利事例だ

[kinunori]

Consulを利用したTLSセッションチケットの自動更新 - Mercari Engineering Blog

[kimutansk]

構成変更とかでなくても定期的に全体に反映したいというパターンに適用することが出来ますか。

[tagomoris]

べんりだなこれ

[kazeburo]

stretcher のアイディアを借りました

[sotarok]

SRE ... !

[yuitang]

SREチームの@cubicdaiya さんだ！！