Déployer Secure Private Access en tant que cluster
La solution sur site Secure Private Access peut être déployée en tant que cluster pour une haute disponibilité, un débit élevé et une évolutivité. Pour les déploiements à grande échelle (par exemple, plus de 5 000 utilisateurs), plusieurs nœuds Secure Private Access distincts peuvent être déployés pour répartir la charge de travail et améliorer l’évolutivité.
Créer des nœuds d’accès privé sécurisé
-
Créez un nouveau site d’accès privé sécurisé. Pour plus de détails, voir Configurer un site d’accès privé sécurisé.
-
Ajoutez le nombre requis de nœuds de cluster au site Secure Private Access. Pour plus de détails, voir Configurer l’accès privé sécurisé en rejoignant un site existant.
-
Dans chaque nœud Secure Private Access, configurez les mêmes certificats de serveur. Le nom commun ou le nom alternatif du sujet du certificat doit correspondre au nom de domaine complet de l’équilibreur de charge.
-
Lors de la configuration du premier nœud dans Secure Private Access, utilisez les noms d’équilibreur de charge. Pour ajouter les nœuds suivants, spécifiez l’adresse de la base de données dans l’onglet Intégrations et exécutez manuellement le script de base de données. Pour plus de détails sur la mise à niveau de la base de données à l’aide de scripts, voir Mettre à niveau la base de données à l’aide de scripts.
Configuration de l’équilibreur de charge
Il n’existe aucune exigence spécifique de configuration d’équilibrage de charge pour la configuration du cluster Secure Private Access. Si vous utilisez NetScaler comme équilibreur de charge, notez les points suivants :
- Les FQDN utilisés pour accéder à StoreFront sont inclus dans le champ DNS en tant que nom alternatif du sujet (SAN). Si vous utilisez un équilibreur de charge, incluez à la fois le nom de domaine complet du serveur individuel et le nom de domaine complet de l’équilibreur de charge. Ceci s’applique aux certificats SSL. Pour un accès privé sécurisé, la configuration d’un équilibreur de charge est suffisante. Pour plus de détails, voir Équilibrage de charge avec NetScaler. Avant de configurer Secure Private Access, la boutique StoreFront doit être configurée. Si vous utilisez un équilibreur de charge, configurez l’URL de base avec le nom de l’équilibreur de charge et utilisez HTTPS pour une communication sécurisée. Pour plus de détails, voir Sécurisation de StoreFront avec HTTPS.
- Il est recommandé que les services d’accès privé sécurisé s’exécutent en HTTPS, mais ce n’est pas une exigence obligatoire. Les services d’accès privé sécurisé peuvent également être déployés via HTTP.
- Le déchargement SSL ou le pont SSL est pris en charge, de sorte que n’importe quelle configuration d’équilibreur de charge peut être utilisée. Lorsque vous utilisez un pont SSL, assurez-vous de configurer les mêmes certificats de serveur dans chaque nœud Secure Private Access. De plus, le nom commun ou le nom alternatif du sujet (SAN) du certificat doit correspondre au nom de domaine complet de l’équilibreur de charge. De plus, le SAN doit être configuré dans le service Load Balancer.
- Le certificat SSL correct est lié au serveur IIS et à NetScaler.
- Des chiffrements sécurisés sont utilisés.
- Les services d’accès privé sécurisé (administration et exécution) sont sans état et la persistance n’est donc pas requise.
-
Les équilibreurs de charge (par exemple NetScaler) disposent de moniteurs intégrés par défaut (sondes) pour les serveurs back-end. Si vous devez configurer un moniteur (sonde) HTTP personnalisé pour les serveurs locaux Secure Private Access, le point de terminaison suivant peut être utilisé :
/secureAccess/health
Réponse attendue :
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
Pour plus de détails sur la configuration d’un équilibreur de charge NetScaler, consultez Configurer l’équilibrage de charge de base.
Créer un moniteur pour l’accès privé sécurisé
Utilisez la commande CLI suivante pour créer un moniteur pour Secure Private Access.
add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES
Après avoir créé un moniteur, liez le certificat au moniteur.
Pour plus de détails sur la création de moniteurs à l’aide de l’interface utilisateur NetScaler, voir Créer des moniteurs.