@wangmn 是的，是这个方案，之后有遇到什么坑嘛？

@dzdh 我之前的经历是一些客户端是社区贡献的，估计是类似这种版本的坑了

@dzdh 主要是之前经验，有些客户端会对没信任的 ca 直接报错，这就很尴尬

@RobinFai 对外服务，所以是 tls over tcp
目前看只有 tls 会携带相关的域名信息

@jqknono 非常感谢
是的，letsencrypt 限制蛮多的，但貌似也没什么可以选的
k8s 那块又是其他的问题了，不过确实各种坑很多，我也在测试和调研方案，同时也不是很敢用用的人少的方案，毕竟也考虑维护成本

@smileawei 后端不是 http ，这就是最烦的问题，就是个类似 redis 的自定义协议的 tcp 服务，所以正常情况下是拿不到域名的，我才动了 sni 的心思
本质上我其实就像你说的，需要一个四层服务的转发，但约束条件是，ip 是固定的
只从逻辑看貌似很合理，我其实想问问谁用过（毕竟搜到的资料貌似很少的样子）

@dzdh 用 letsencrypt 应该也行，取决于客户端是不是做 ca 校验

@Opportunity 是的，我看大部分 caddy/nginx 都支持这个，但好奇为什么这块讨论这么少，开这个贴其实也想看看有没有人有生产经验，看看有没有问题

@RobinFai 是的，只是看这个功能貌似也不复杂，想着要不要自己搞一个，还方便搞一些动态 load 和 metrics 之类的

@realpg 细节确实不方便说，但和 redis 协议类似，所以其实可以按照 redis 的情况来聊具体技术方案

@realpg 你想表达的是 sni 这玩意没有协议，所以无法构成一个合理的架构，是这个意思嘛？
那类似的需求如何处理呢？我觉得首先是得解决问题

@Curtion 我在考虑自己写一个，看上去也不难，而且还可以加一些 metrics 监控什么的，但看上去用的人少，总怕有什么坑

@kur0d3s sni proxy 的话应该是不终结 tls 的

@RobinFai 是的，但我看自己写一个 sni proxy 貌似也不难？有什么坑么

@RobinFai 我是准备抱一层 tls ，redis 也可以包一层 tls 的，通过 tls 来搞到域名做转发

@zzh0410 是打算这么做的，目前的问题在于，服务是 tcp 的，拿不到域名，只有 tls 还保留的域名

@strp 这个没用过呢，我看着自己实现一个 sni proxy 貌似也不复杂？看上去就是解析 tls hello ，然后维持连接即可，主要是对外提供服务，用不了 cloudflare

@yinmin 后端是 tcp ，目前准备用 letsencrypt 抱一层，nginx 这个靠谱吗？我看自己写一个貌似也不复杂

@oott123 不过不是很明白为什么没人用