Запустите избыточный haproxy с аутентификацией сертификата клиента за физическим балансировщиком нагрузки

Я знаю, что существуют установки, основанные на KeepaliveD и EBS, но компания, в которой я работаю, является клиентом Cisco, и поэтому мы должны использовать физические балансировщики нагрузки.

Я планирую использовать физический балансировщик нагрузки без ssl-разгрузки и просто настроить баланс трафика на основе алгоритма наименьшего количества подключений к двум экземплярам haproxy, которые я настрою (на основе v1.7.9). Эти экземпляры haproxy будут идентичными близнецами (в конфигурации) и будут выполнять разгрузку ssl и аутентификацию на основе клиентских сертификатов. Необходимость последнего является причиной, по которой я не буду использовать физический балансировщик нагрузки с ssl, потому что в нем есть (подтвержденная) ошибка реализации.

Моя концептуальная проблема заключается в том, что я понятия не имею, как настроить липкость на физическом балансире нагрузки. Я предполагаю, что для того, чтобы не выполнять обработку сертификата клиента слишком часто, я должен создать сеанс, в котором haproxy запрашивает сертификат один раз, привязывает его к сеансу и использует информацию сертификата для будущих подключений (если сеансы не время из)

Нужно ли настраивать привязку сеанса к физическому балансировщику нагрузки? Или можно синхронизировать собранную информацию о сертификате между экземплярами haproxy (я знаю, что это работает для stick-таблиц)?