Stellen Sie Secure Private Access als Cluster bereit
Die Secure Private Access-Lösung on-premises kann als Cluster bereitgestellt werden, um Hochverfügbarkeit, hohen Durchsatz und Skalierbarkeit zu gewährleisten. Es wird empfohlen, eigenständige Secure Private Access-Knoten für große Bereitstellungen (z. B. mehr als 5000 Benutzer) bereitzustellen.
Wenn Sie die NetScaler Gateway-Versionen 13.0 oder 13.1 Build 48.47 oder früher verwenden, wird empfohlen, Secure Private Access zusammen mit StoreFront zu hosten.
Secure Private Access-Knoten erstellen
-
Erstellen Sie eine neue Secure Private Access-Site. Einzelheiten finden Sie unter Eine Secure Private Access-Site einrichten .
-
Fügen Sie der Secure Private Access-Site die erforderliche Anzahl von Clusterknoten hinzu. Einzelheiten finden Sie unter Secure Private Access einrichten, indem Sie einer vorhandenen Site beitreten .
-
Konfigurieren Sie auf jedem Secure Private Access-Knoten dieselben Serverzertifikate. Der allgemeine Name des Zertifikatantragstellers oder der alternative Name des Antragstellers muss mit dem FQDN des Load Balancers übereinstimmen.
Load Balancer-Konfiguration
Für das Secure Private Access-Cluster-Setup gibt es keine spezifischen Load Balancing-Konfigurationsanforderungen. Wenn Sie NetScaler als Load Balancer verwenden, beachten Sie Folgendes:
- Secure Private Access-Dienste (sowohl Admin- als auch Runtime-Dienste) sind zustandslos, sodass keine Persistenz erforderlich ist.
- Es wird empfohlen, Secure Private Access-Dienste als HTTPS auszuführen, dies ist jedoch keine zwingende Voraussetzung. Secure Private Access-Dienste können auch als HTTP bereitgestellt werden.
- SSL-Offload oder SSL-Bridge werden unterstützt, sodass jede Load Balancer-Konfiguration verwendet werden kann. Wenn Sie die SSL-Bridge verwenden, stellen Sie sicher, dass auf jedem Secure Private Access-Knoten dieselben Serverzertifikate konfiguriert sind. Außerdem muss der allgemeine Name des Zertifikatssubjekts oder der alternative Antragstellername (SAN) mit dem FQDN des Load Balancers übereinstimmen. Außerdem muss SAN im Load Balancer-Dienst konfiguriert werden.
-
Load Balancer (z. B. NetScaler) verfügen standardmäßig über integrierte Monitore (Probes) für Backend-Server. Wenn Sie einen benutzerdefinierten HTTP-basierten Monitor (Probe) für on-premises Secure Private Access-Server konfigurieren müssen, kann der folgende Endpunkt verwendet werden:
/secureAccess/health
Erwartete Antwort:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
Einzelheiten zur Konfiguration eines NetScaler Load Balancers finden Sie unter Basic Load Balancing einrichten .