Implemente el Secure Private Access como un clúster
La solución local Secure Private Access se puede implementar como un clúster para proporcionar alta disponibilidad, alto rendimiento y escalabilidad. Se recomienda implementar nodos de Secure Private Access independientes para despliegues grandes (por ejemplo, más de 5000 usuarios).
Creación de nodos de Secure Private Access
-
Cree un nuevo sitio de Secure Private Access. Para obtener más información, consulte Configurar un sitio de Secure Private Access.
-
Agregue la cantidad requerida de nodos del clúster al sitio de Secure Private Access. Para obtener más información, consulte Configurar el Secure Private Access uniéndose a un sitio existente.
-
En cada nodo de Secure Private Access, configure los mismos certificados de servidor. El nombre común o el nombre alternativo del sujeto del certificado deben coincidir con el FQDN del balanceador de cargas.
-
Al configurar el primer nodo en Secure Private Access, utilice los nombres del balanceador de cargas. Para agregar los nodos siguientes, especifique la dirección de la base de datos en la ficha Integraciones y ejecute manualmente el script de la base de datos. Para obtener más información sobre la actualización de la base de datos mediante scripts, consulte Actualizar la base de datos mediante scripts.
Configuración del balanceador de carga
No hay requisitos de configuración de equilibrio de carga específicos para la configuración del clúster de Secure Private Access. Si utiliza NetScaler como balanceador de cargas, tenga en cuenta lo siguiente:
- Los FQDN utilizados para acceder a StoreFront se incluyen en el campo DNS como nombre alternativo del sujeto (SAN). Si usa un balanceador de carga, incluya tanto el FQDN del servidor individual como el FQDN del balanceador de carga. Esto se aplica a los certificados SSL. Para Secure Private Access, basta con configurar el balanceador de cargas. Para obtener más información, consulte Equilibrio de carga con NetScaler. Antes de configurar Secure Private Access, se debe configurar el almacén de StoreFront. Si usa un balanceador de carga, configure la URL base con el nombre del balanceador de carga y use HTTPS para una comunicación segura. Para obtener más información, consulte Proteger StoreFront con HTTPS.
- Se recomienda que los servicios de Secure Private Access se ejecuten como HTTPS, pero este no es un requisito obligatorio. Los servicios de Secure Private Access también se pueden implementar como HTTP.
- Se admite la descarga SSL o el puente SSL, por lo que se puede usar cualquier configuración de balanceador de cargas. Cuando utilice un puente SSL, asegúrese de configurar los mismos certificados de servidor en cada nodo de Secure Private Access. Además, el nombre común o el nombre alternativo del sujeto (SAN) del sujeto del certificado deben coincidir con el FQDN del balanceador de cargas. Además, la SAN debe configurarse en el servicio Load Balancer.
- El certificado SSL correcto está enlazado al servidor IIS y a NetScaler.
- Se utilizan sistemas de cifrado seguros.
- Los servicios de Secure Private Access (tanto de administración como de ejecución) no tienen estado, por lo que no es necesaria la persistencia.
-
Los balanceadores de carga (por ejemplo, NetScaler) tienen monitores integrados predeterminados (sondas) para los servidores back-end. Si debe configurar un monitor (sonda) basado en HTTP personalizado para los servidores locales de Secure Private Access, se puede usar el siguiente punto final:
/secureAccess/healthRespuesta esperada:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->Para obtener más información sobre la configuración de un balanceador de cargas de NetScaler, consulte Configurar el balanceo de cargas básico.
Cree un monitor para un Secure Private Access
Utilice el siguiente comando de la CLI para crear un monitor para el Secure Private Access.
add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES
Tras crear un monitor, vincule el certificado al monitor.