"Формальная" кластеризация сложна и не что-то, на что я посмотрел бы для веб-сервера из-за сложности, вероятно, не быть необходимым.
Вы посмотрели на простое выравнивание нагрузки? Вы полагали, что рассмотрение веб-сайта видит, кодировал ли его эффективно, чтобы масштабировать, например, разделить серверы для статического содержания, такие как изображения и т.д.? При использовании большого количества SSL затем, Вы полагали, что акселераторы SSL перемещают ту рабочую нагрузку от веб-сервера?
Yes, you need a certificate for example.com
, it being valid for xmpp.example.net
does not matter. This is because DNS is considered untrusted: it would be very easy to poof your SRV record to point to a malicous server, for which an attacker might have a valid and trusted certificate.
There are some proposed solutions to this problem (including DANE and POSH), but none of those are currently supported by clients. The only solutions are: 1) make everyone accept the certificate mismatch, 2) use xmpp.example.net as your XMPP domain or 3) convince security you need a certificate for example.com.