負荷分散されたWeb Studio展開のセットアップ

可用性の高いWeb Studio展開をセットアップするには、NetScaler ADCやWindowsネットワーク負荷分散などのツールを選択できます。この記事では、NetScaler ADCアプライアンスを使用して負荷分散されたWeb Studio展開を設定する方法について、ステップごとのガイダンスを提供します。

HA Web Studioの図

証明書の要件

商用証明機関から証明書を購入する、またはエンタープライズ証明機関から発行しようとする前に、必要であれば次のオプションについて検討します:

オプション メリット デメリット
オプション1:*.example.comワイルドカード証明書をNetScaler ADCアプライアンスのロードバランサーサーバーとWeb Studioサーバーの両方で使用します。

  • 構成を簡素化
  • 管理が簡単(単一の証明書)
  • 証明書を更新せずに新しいサブドメインを追加できる
  • ワイルドカード証明書が侵害された場合、すべてのサブドメインが危険にさらされる
  • すべてのアプリケーションがワイルドカード証明書をサポートしているわけではない
  • 個別の証明書よりもコストがかかる可能性がある
オプション2: サブジェクトの別名(SAN)を含む証明書をNetScaler ADCアプライアンスのロードバランサーサーバーとWeb Studioサーバーの両方で使用します。

  • 柔軟性があり、複数の特定のドメインとサブドメインを含めることができる
  • 複数のドメインを一元管理
  • 複数の異なる名前をサポートし、ワイルドカードよりも柔軟性が高くなる
  • ドメイン数が増えるとSANエントリの管理が複雑になる可能性がある
  • 新しいドメインを追加するには証明書の再発行が必要
  • 証明機関がサポートするSANエントリの数によって制限される
オプション3: 各Web StudioサーバーとNetScaler ADCアプライアンスのロードバランサーサーバーで証明書を使用します
  • 各サーバーは独立して保護されている
  • 1つの証明書が侵害されても他の証明書には影響しない
  • 各サーバーのニーズに合わせてカスタマイズされた特定の証明書を使用できる
  • 各証明書を個別に管理する必要があるため、管理のオーバーヘッドが高くなる
  • 更新する証明書が増え、コストが上昇する可能性がある
  • すべての証明書が一貫して構成されていることを確認する必要がある
 
 

ロードバランサーでサーバー証明書を構成する

  1. NetScaler ADCアプライアンス管理GUIにログオンします。
  2. [Traffic Management]>[SSL]>[Certificates]>[Server Certificates]を選択します。
  3. [Install] をクリックします。
  4. [Install Server Certificate] ページで、証明書とキーのペアの名前を入力し、[Choose File] をクリックして証明書ファイルを参照します。証明書ファイルに秘密キーが含まれていない場合は、キーファイルを選択します。

    証明書のインストール画面のスクリーンショット

手順1:Web Studioサーバーノードを追加する

すべてのWeb Studioサーバーノード(Studio-eu-1Studio-eu-2など)をロードバランサーに追加します。

  1. NetScaler ADC管理GUIにログオンします。
  2. [Traffic Management]>[Load Balancing]>[Servers] の順に移動します。[追加] をクリックします。

  3. Web StudioサーバーノードのサーバーIPアドレスを入力します。

  4. 手順2~3を繰り返して、他のWeb Studioサーバーを追加します。

    2台のサーバーがあるサーバー画面のスクリーンショット

手順2:Web Studioサーバーノードのモニターを追加する

ロードバランサーにモニターを設定して、すべてのWeb Studioサーバーノードの状態を確認します。

  1. [Traffic Management]>[Load Balancing]>[Monitors]>[Add] を選択します。
  2. [Configuration] タブで次の設定を完了し、他の設定はデフォルトのままにします:
    • [Name] に 「Web Studio」と入力します。
    • [Type] として [HTTP] または [SSL] を選択します。
    • [Secure] オプションを選択します。
    • [HTTP Request] に「HEAD/citrix/studio/」と入力します。

    2台のサーバーがあるサーバー画面のスクリーンショット

手順3:Web Studioサーバーノードのサービスグループを作成する

  1. [トラフィック管理]>[負荷分散]>[サービスグループ]>[追加] の順に選択します。HTTPS経由でWeb Studioサーバーに接続するには、SSLプロトコルを選択し、他の設定はデフォルトのままにして、[OK] をクリックします。

  2. サービスグループ内の [Service Group Members] で、[No Service Group Member] をクリックして、次の手順でメンバーを追加します:

    1. [サービスベース] をクリックします。
    2. 以前に追加したすべてのサーバーを選択します。
    3. ポートに443と入力します。

      [Create service group member]ページのスクリーンショット

  3. [モニター] セクションを追加し、前に作成したWeb Studioモニターを選択します。

    モニターがリスト表示されているMonitor画面のスクリーンショット

  4. [Certificates] セクションを追加し、次の設定を完了します:

    1. クライアント証明書をバインドします。
    2. 以前にインポートしたサーバー証明書の署名に使用されたCA証明書と、PKIチェーン信頼の一部の可能性があるそのほかのCAをバインドします。

      [Add binding]の追加画面

  5. [Settings] セクションを追加して [Insert Client IP Header] を選択してから、X-Forwarded-Forのヘッダー名を入力します。この設定により、クライアントIPアドレスをポリシーで使用できるようになります。

手順4:仮想サーバーを作成する

ユーザーがWeb Studioサーバーグループにアクセスできるように、ロードバランサー仮想サーバーを作成します。

  1. [Traffic Management]>[Load Balancing]>[Virtual Server] の順にクリックし、[Add] をクリックします。

  2. 名前を入力し、[Protocol][SSL]を選択し、[Port] に「443」を入力して、[OK] をクリックします。

    [NetScaler Load Balancing Virtual Server]画面のスクリーンショット

  3. 前に作成したサービスグループを負荷分散仮想サーバーにバインドします。

  4. 手順3:Web Studioサーバーノードのサービスグループを作成する」でサービスグループにバインディングされたCA証明書をバインドします。

  5. [方法] セクションを追加し、負荷分散方法を選択します。Web Studioの負荷分散の一般的な選択肢は、ROUNDROBINまたはLEASTCONNECTIONです。

    [load balancing method]セクションのスクリーンショット

  6. [Persistence] セクションを追加し、次の設定を完了します:

    1. パーシステンス方式をCOOKIEINSERTに設定します。

    2. タイムアウトをWeb Studio内のセッションタイムアウトと同じ値に設定します(デフォルトでは20分)。

    3. 将来のデバッグを容易にするために、Cookieに名前を付けます。たとえば、NSC_SFPersistenceです。

    4. バックアップパーシステンスを [NONE] に設定します。

      [Persistance]セクションのスクリーンショット

    注:

    クライアントがHTTP Cookieを保存できない場合は、以降の要求にHTTP Cookieが含まれなくなり、パーシステンスは適用されません。

手順5:仮想サーバーのDNSレコードを作成する

ドメインコントローラーで、DNSレコードとPTRレコードを作成し、仮想サーバーのIPアドレスをFQDNに割り当てます。ネットワーク内のWeb Studioユーザーは、このFQDNを使用してWeb Studioサーバーグループにアクセスします。たとえば、webstudio.example.comはロードバランサー仮想サーバーのIPアドレス(VIP)に解決されます。

[Persistance]セクションのスクリーンショット

ユーザーがWeb Studioサーバーにアクセスできるように、このURLを指定します:https://<FQDN of the virtual server>/<text you entered in the HTTP Request field when creating a monitor>。例:https://webstudio.example.com/citrix/studio

負荷分散されたWeb Studio展開のセットアップ