Secure Private Accessをクラスターとして展開

Secure Private Access オンプレミスソリューションはクラスターとして展開できるため、高可用性、高スループット、スケーラビリティを実現できます。大規模な展開 (ユーザー数が 5000 人を超える場合など) には、スタンドアロンの Secure Private Access ノードを展開することをお勧めします。

NetScaler Gatewayのバージョン13.0または13.1ビルド48.47以前を使用している場合は、Secure Private AccessをStoreFront と共同ホストすることをお勧めします。

Secure Private Accessノードの作成

  • 新しいSecure Private Accessサイトを作成します。詳細については、「 Secure Private Accessサイトのセットアップ」を参照してください。

  • 必要な数のクラスターノードをSecure Private Accessサイトに追加します。詳細については、「 既存のサイトに参加してSecure Private Accessを設定する」を参照してください。

  • 各Secure Private Accessノードで、同じサーバー証明書を設定します。証明書のサブジェクトの共通名またはサブジェクト代替名は、ロードバランサーの FQDN と一致する必要があります。

ロードバランサー構成

Secure Private Access クラスターのセットアップには、特定の負荷分散構成要件はありません。NetScalerをロードバランサーとして使用している場合は、次の点に注意してください:

  • Secure Private Accessサービス (管理とランタイムの両方) はステートレスなので、永続性は必要ありません。
  • Secure Private Accessサービスは HTTPS として実行することをお勧めしますが、これは必須要件ではありません。Secure Private Accessサービスは HTTP としても展開できます。
  • SSL オフロードまたは SSL ブリッジがサポートされているため、任意のロードバランサー設定を使用できます。SSL ブリッジを使用するときは、各Secure Private Accessノードで同じサーバー証明書を設定してください。また、証明書のサブジェクトの共通名またはサブジェクト代替名 (SAN) は、ロードバランサーの FQDN と一致する必要があります。また、ロードバランサーサービスで SAN を設定する必要があります。
  • ロードバランサー(NetScalerなど)には、バックエンドサーバー用のデフォルトのビルトインモニター(プローブ)があります。Secure Private Access オンプレミスサーバー用にカスタム HTTP ベースのモニター (プローブ) を設定する必要がある場合は、次のエンドポイントを使用できます。

    /secureAccess/health

    期待される応答:

     Http status code: 200 OK
    
     Payload:
    
     {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}}
     <!--NeedCopy-->
    

NetScalerロードバランサーの構成について詳しくは、「 基本的な負荷分散の設定」を参照してください。

Secure Private Accessをクラスターとして展開