HAProxy与OpenSSL 3.5的QUIC支持深度解析
随着OpenSSL 3.5的发布,其内置的QUIC支持功能引起了广泛关注。本文将深入探讨HAProxy在使用不同SSL库时的QUIC支持情况,特别是OpenSSL 3.5与HAProxy的兼容性问题,以及当前的最佳实践方案。
OpenSSL 3.5的QUIC实现特点
OpenSSL 3.5虽然引入了QUIC支持,但其实现方式与业界标准存在显著差异。OpenSSL团队选择了一条独特的开发路径,自行实现了完整的QUIC协议栈,而非提供标准的QUIC回调接口。这种设计决策导致其与HAProxy等主流QUIC实现存在兼容性问题。
HAProxy可以通过设置USE_QUIC_OPENSSL_COMPAT=1编译选项来获得对OpenSSL 3.5的基本QUIC支持,但这种支持存在功能限制,特别是缺少0-RTT等高级特性。
当前可选的SSL库方案
对于需要完整QUIC功能的用户,目前有以下几种选择:
-
Quictls分支:这是目前HAProxy官方推荐的方案,基于OpenSSL 1.1.1分支。值得注意的是,在某些场景下,基于OpenSSL 1.1.1的Quictls性能表现优于OpenSSL 3.x系列。
-
AWS-LC:这是目前最被看好的替代方案。AWS-LC提供了良好的QUIC支持,并且API设计更为合理。不过需要注意的是,AWS-LC目前尚未提供稳定的ABI,这可能会影响其在发行版中的集成。
-
WolfSSL:虽然也是一个可选方案,但目前其稳定性和功能完整性可能不如前两者。
技术细节与性能考量
在SSL会话恢复方面,不同方案存在显著差异:
- TLS 1.3协议:仅支持无状态票据(tickets)方式的会话恢复
- TLS 1.2及更早版本:支持传统的会话缓存(session caching)方式
AWS-LC在TLS 1.3中仅实现了无状态票据恢复,而不支持有状态会话恢复。这解释了为什么从Quictls切换到AWS-LC后,HAProxy的SSL缓存相关指标会大幅下降。
最佳实践建议
对于生产环境部署,建议考虑以下几点:
-
如果需要完整的QUIC功能支持,特别是0-RTT等高级特性,目前仍建议使用Quictls分支。
-
对于新部署,可以评估AWS-LC方案,但需要注意其会话恢复机制的变化可能对性能产生影响。
-
HAProxy 3.2版本将正式支持OpenSSL 3.5的API,届时用户可以更灵活地选择SSL库方案。
-
在多节点部署场景下,考虑配置tls-ticket-keys参数以实现跨节点的票据恢复。
未来展望
随着AWS-LC的成熟和OpenSSL对QUIC支持的改进,未来HAProxy的SSL库选择将更加灵活。开发团队特别看好AWS-LC的发展前景,希望它能成为事实上的新标准。不过,这需要AWS-LC在API/ABI稳定性方面做出更多努力,以便更好地融入各Linux发行版的软件仓库。
对于容器化部署,一个可行的方案是由HAProxy官方提供预集成AWS-LC的容器镜像,这将大大简化用户的部署流程。
GLM-5智谱 AI 正式发布 GLM-5,旨在应对复杂系统工程和长时域智能体任务。Jinja00- GLM-5.1GLM-5.1是智谱迄今最智能的旗舰模型,也是目前全球最强的开源模型。GLM-5.1大大提高了代码能力,在完成长程任务方面提升尤为显著。和此前分钟级交互的模型不同,它能够在一次任务中独立、持续工作超过8小时,期间自主规划、执行、自我进化,最终交付完整的工程级成果。Jinja00
LongCat-AudioDiT-1BLongCat-AudioDiT 是一款基于扩散模型的文本转语音(TTS)模型,代表了当前该领域的最高水平(SOTA),它直接在波形潜空间中进行操作。00- QQwen3.5-397B-A17BQwen3.5 实现了重大飞跃,整合了多模态学习、架构效率、强化学习规模以及全球可访问性等方面的突破性进展,旨在为开发者和企业赋予前所未有的能力与效率。Jinja00
HY-Embodied-0.5这是一套专为现实世界具身智能打造的基础模型。该系列模型采用创新的混合Transformer(Mixture-of-Transformers, MoT) 架构,通过潜在令牌实现模态特异性计算,显著提升了细粒度感知能力。Jinja00
FreeSql功能强大的对象关系映射(O/RM)组件,支持 .NET Core 2.1+、.NET Framework 4.0+、Xamarin 以及 AOT。C#00
项目优选
kernel
docs
pytorch
ops-math
kernelAscendNPU-IR
openGauss-server
RuoYi-Vue3MindSpeed-LLM