Citrix Secure Private Access

Implementar Secure Private Access como un clúster

La solución local Secure Private Access se puede implementar como un clúster para lograr alta disponibilidad, alto rendimiento y escalabilidad. Para implementaciones grandes (por ejemplo, más de 5000 usuarios), se pueden implementar múltiples nodos de acceso privado seguro separados para distribuir la carga de trabajo y mejorar la escalabilidad.

Crear nodos de acceso privado seguro

  • Crear un nuevo sitio de acceso privado seguro. Para obtener más detalles, consulte Configurar un sitio de acceso privado seguro.

  • Agregue la cantidad necesaria de nodos de clúster al sitio de acceso privado seguro. Para obtener más detalles, consulte Configurar acceso privado seguro uniéndose a un sitio existente.

  • En cada nodo de acceso privado seguro, configure los mismos certificados de servidor. El nombre común del sujeto del certificado o el nombre alternativo del sujeto debe coincidir con el FQDN del equilibrador de carga.

  • Al configurar el primer nodo en Secure Private Access, utilice los nombres del balanceador de carga. Para agregar los nodos subsiguientes, especifique la dirección de la base de datos en la pestaña Integraciones y ejecute manualmente el script de la base de datos. Para obtener detalles sobre cómo actualizar la base de datos mediante scripts, consulte Actualizar la base de datos mediante scripts.

    Pestaña de integraciones

Configuración del balanceador de carga

No hay requisitos de configuración de equilibrio de carga específicos para la configuración del clúster de acceso privado seguro. Si utiliza NetScaler como equilibrador de carga, tenga en cuenta lo siguiente:

  • Los FQDN utilizados para acceder a StoreFront se incluyen en el campo DNS como nombre alternativo del sujeto (SAN). Si está utilizando un balanceador de carga, incluya tanto el FQDN del servidor individual como el FQDN del balanceador de carga. Esto se aplica a los certificados SSL. Para un acceso privado seguro, es suficiente configurar un balanceador de carga. Para obtener más detalles, consulte Equilibrio de carga con NetScaler. Antes de configurar el acceso privado seguro, se debe configurar la tienda StoreFront. Si utiliza un balanceador de carga, configure la URL base con el nombre del balanceador de carga y utilice HTTPS para una comunicación segura. Para obtener más detalles, consulte Cómo proteger StoreFront con HTTPS.
  • Se recomienda que los servicios de acceso privado seguro se ejecuten como HTTPS, pero esto no es un requisito obligatorio. Los servicios de acceso privado seguro también se pueden implementar como HTTP.
  • Se admite la descarga SSL o el puente SSL, por lo que se puede utilizar cualquier configuración de equilibrador de carga. Al utilizar el puente SSL, asegúrese de configurar los mismos certificados de servidor en cada nodo de acceso privado seguro. Además, el nombre común del sujeto del certificado o el nombre alternativo del sujeto (SAN) debe coincidir con el FQDN del equilibrador de carga. Además, SAN debe configurarse en el servicio Load Balancer.
  • El certificado SSL correcto está vinculado al servidor IIS y a NetScaler.
  • Se utilizan cifrados seguros.
  • Los servicios de acceso privado seguro (tanto de administración como de tiempo de ejecución) no tienen estado, por lo que no se requiere persistencia.
  • Los balanceadores de carga (por ejemplo, NetScaler) tienen monitores (sondas) integrados predeterminados para servidores back-end. Si debe configurar un monitor (sonda) personalizado basado en HTTP para servidores locales de Secure Private Access, se puede utilizar el siguiente punto final:

    /secureAccess/health

    Respuesta esperada:

       Http status code: 200 OK
    
       Payload:
    
       {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}}
     <!--NeedCopy-->
    

    Para obtener detalles sobre cómo configurar un balanceador de carga NetScaler, consulte Configurar el balanceo de carga básico.

Crear un monitor para el acceso privado seguro

Utilice el siguiente comando CLI para crear un monitor para acceso privado seguro.

add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES

Después de crear un monitor, vincule el certificado al monitor.

Para obtener detalles sobre la creación de monitores mediante la interfaz de usuario de NetScaler, consulte Crear monitores.

Implementar Secure Private Access como un clúster