Stellen Sie Secure Private Access als Cluster bereit
Die Secure Private Access-Lösung on-premises kann als Cluster bereitgestellt werden, um Hochverfügbarkeit, hohen Durchsatz und Skalierbarkeit zu gewährleisten. Es wird empfohlen, eigenständige Secure Private Access-Knoten für große Bereitstellungen (z. B. mehr als 5000 Benutzer) bereitzustellen.
Secure Private Access-Knoten erstellen
-
Erstellen Sie eine neue Secure Private Access-Site. Einzelheiten finden Sie unter Eine Secure Private Access-Site einrichten .
-
Fügen Sie der Secure Private Access-Site die erforderliche Anzahl von Clusterknoten hinzu. Einzelheiten finden Sie unter Secure Private Access einrichten, indem Sie einer vorhandenen Site beitreten .
-
Konfigurieren Sie auf jedem Secure Private Access-Knoten dieselben Serverzertifikate. Der allgemeine Name des Zertifikatantragstellers oder der alternative Name des Antragstellers muss mit dem FQDN des Load Balancers übereinstimmen.
-
Verwenden Sie bei der Konfiguration des ersten Knotens in Secure Private Access die Namen des Load Balancers. Um die nachfolgenden Knoten hinzuzufügen, geben Sie die Datenbankadresse auf der Registerkarte Integrationen an und führen Sie das Datenbankskript manuell aus. Einzelheiten zum Upgrade der Datenbank mithilfe von Skripten finden Sie unter Datenbank mithilfe von Skripten aktualisieren.
Load Balancer-Konfiguration
Für das Secure Private Access-Cluster-Setup gibt es keine spezifischen Load Balancing-Konfigurationsanforderungen. Wenn Sie NetScaler als Load Balancer verwenden, beachten Sie Folgendes:
- Die FQDNs, die für den Zugriff auf StoreFront verwendet werden, sind im DNS-Feld als Subject Alternative Name (SAN) enthalten. Wenn Sie einen Load Balancer verwenden, geben Sie sowohl den FQDN des einzelnen Servers als auch den FQDN des Load Balancers an. Dies gilt für SSL-Zertifikate. Für Secure Private Access ist die Konfiguration des Load Balancers ausreichend. Einzelheiten finden Sie unter Load Balancing mit NetScaler. Vor der Konfiguration von Secure Private Access muss der StoreFront Store konfiguriert werden. Wenn Sie einen Load Balancer verwenden, konfigurieren Sie die Basis-URL mit dem Namen des Load Balancers und verwenden Sie HTTPS für die sichere Kommunikation. Einzelheiten finden Sie unter StoreFront mit HTTPS sichern.
- Es wird empfohlen, Secure Private Access-Dienste als HTTPS auszuführen, dies ist jedoch keine zwingende Voraussetzung. Secure Private Access-Dienste können auch als HTTP bereitgestellt werden.
- SSL-Offload oder SSL-Bridge werden unterstützt, sodass jede Load Balancer-Konfiguration verwendet werden kann. Wenn Sie die SSL-Bridge verwenden, stellen Sie sicher, dass auf jedem Secure Private Access-Knoten dieselben Serverzertifikate konfiguriert sind. Außerdem muss der allgemeine Name des Zertifikatssubjekts oder der alternative Antragstellername (SAN) mit dem FQDN des Load Balancers übereinstimmen. Außerdem muss SAN im Load Balancer-Dienst konfiguriert werden.
- Das richtige SSL-Zertifikat ist an den IIS-Server und NetScaler gebunden.
- Es werden sichere Chiffren verwendet.
- Secure Private Access-Dienste (sowohl Admin- als auch Runtime-Dienste) sind zustandslos, sodass keine Persistenz erforderlich ist.
-
Load Balancer (z. B. NetScaler) verfügen standardmäßig über integrierte Monitore (Probes) für Backend-Server. Wenn Sie einen benutzerdefinierten HTTP-basierten Monitor (Probe) für on-premises Secure Private Access-Server konfigurieren müssen, kann der folgende Endpunkt verwendet werden:
/secureAccess/healthErwartete Antwort:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->Einzelheiten zur Konfiguration eines NetScaler Load Balancers finden Sie unter Basic Load Balancing einrichten .
Monitor für Secure Private Access erstellen
Verwenden Sie den folgenden CLI-Befehl, um einen Monitor für Secure Private Access zu erstellen.
add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES
Binden Sie nach dem Erstellen eines Monitors das Zertifikat an den Monitor.
Einzelheiten zum Erstellen von Monitoren mithilfe der NetScaler-Benutzeroberfläche finden Sie unter Monitore erstellen.