将 Secure Private Access 部署为群集

Secure Private Access 本地解决方案可以部署为集群,以实现高可用性、高吞吐量和可扩展性。 对于大型部署(例如,超过 5000 个用户),可以部署多个单独的 Secure Private Access 节点来分配工作负载并增强可扩展性。

创建 Secure Private Access 节点

  • 创建新的 Secure Private Access 站点。 有关详细信息,请参阅 设置 Secure Private Access 站点.

  • 将所需数量的群集节点添加到 Secure Private Access 站点。 有关详细信息,请参阅 通过加入现有站点设置 Secure Private Access.

  • 在每个 Secure Private Access 节点中,配置相同的服务器证书。 证书使用者公用名或使用者备用名称必须与负载均衡器 FQDN 匹配。

  • 在 Secure Private Access 中配置第一个节点时,请使用负载均衡器名称。 要添加后续节点,请在 Integrations 选项卡中指定数据库地址,然后手动运行数据库脚本。 有关使用脚本升级数据库的详细信息,请参阅 使用脚本升级数据库.

    Integrations (集成) 选项卡

负载均衡器配置

Secure Private Access 群集设置没有特定的负载平衡配置要求。 如果您使用 NetScaler 作为负载均衡器,请注意以下事项:

  • 用于访问 StoreFront 的 FQDN 作为主题备用名称 (SAN) 包含在 DNS 字段中。 如果您使用的是负载均衡器,请同时包含单个服务器的 FQDN 和负载均衡器 FQDN。 这适用于 SSL 证书。 对于 Secure Private Access,配置负载均衡器就足够了。 有关详细信息,请参阅 使用 NetScaler 进行负载平衡. 在配置 Secure Private Access 之前,必须配置 StoreFront Store。 如果使用负载均衡器,请使用负载均衡器名称配置基 URL,并使用 HTTPS 进行安全通信。 有关详细信息,请参阅 使用 HTTPS 保护 StoreFront.
  • 建议 Secure Private Access 服务以 HTTPS 格式运行,但这不是强制性要求。 Secure Private Access 服务也可以部署为 HTTP。
  • 支持 SSL 卸载或 SSL 网桥,因此可以使用任何负载均衡器配置。 使用 SSL 网桥时,请确保在每个 Secure Private Access 节点中配置相同的服务器证书。 此外,证书使用者公用名或使用者备用名称 (SAN) 必须与负载均衡器 FQDN 匹配。 此外,必须在负载均衡器服务中配置 SAN。
  • 正确的 SSL 证书绑定到 IIS 服务器和 NetScaler。
  • 使用安全密码。
  • Secure Private Access 服务(管理员和运行时)是无状态的,因此不需要持久性。
  • 负载均衡器(例如 NetScaler)具有用于后端服务器的默认内置监视器(探测器)。 如果必须为 Secure Private Access 本地服务器配置基于 HTTP 的自定义监控器(探测),则可以使用以下终端节点:

    /secureAccess/health

    预期响应:

       Http status code: 200 OK
    
       Payload:
    
       {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}}
     <!--NeedCopy-->
    

    有关配置 NetScaler 负载均衡器的详细信息,请参阅 设置基本负载均衡.

为 Secure Private Access 创建监控器

使用以下 CLI 命令为 Secure Private Access 创建监控器。

add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES

创建监控器后,将证书绑定到监控器。

有关使用 NetScaler UI 创建监视器的详细信息,请参阅 创建监视器.

将 Secure Private Access 部署为群集