将 Secure Private Access 部署为群集
Secure Private Access 本地解决方案可以作为群集进行部署,以提供高可用性、高吞吐量和可扩展性。建议为大型部署(例如,超过 5000 名用户)部署独立的 Secure Private Access 节点。
创建 Secure Private Access 节点
-
创建一个新的 Secure Private Access 站点。有关详细信息,请参阅设置 Secure Private Access 站点。
-
将所需数量的群集节点添加到 Secure Private Access 站点。有关详细信息,请参阅通过加入现有站点设置 Secure Private Access。
-
在每个 Secure Private Access 节点中,配置相同的服务器证书。证书使用者常用名称或主题备用名称必须与负载平衡器 FQDN 相匹配。
-
在 Secure Private Access 中配置第一个节点时,使用负载平衡器名称。要添加后续节点,请在“集成”选项卡中指定数据库地址,然后手动运行数据库脚本。有关使用脚本升级数据库的详细信息,请参阅使用脚本升级数据库。
负载平衡器配置
Secure Private Access 群集设置没有特定的负载平衡配置要求。如果您使用 NetScaler 作为负载平衡器,请注意以下几点:
- 用于访问 StoreFront 的 FQDN 作为主题备用名称 (SAN) 包含在 DNS 字段中。如果您使用负载平衡器,则同时包括单个服务器的 FQDN 和负载平衡器 FQDN。这适用于 SSL 证书。对于 Secure Private Access,配置负载平衡器就足够了。有关详细信息,请参阅使用 NetScaler 进行负载平衡。 在配置 Secure Private Access 之前,必须配置 StoreFront 应用商店。如果使用负载平衡器,请使用负载平衡器名称配置基本 URL,并使用 HTTPS 进行安全通信。有关详情,请参阅使用 HTTPS 保护 StoreFront。
- 建议使用 HTTPS 运行 Secure Private Access 服务,但这不是强制性要求。Secure Private Access 服务也可以作为 HTTP 部署。
- 支持 SSL 卸载或 SSL 桥接,因此可以使用任何负载平衡器配置。使用 SSL 网桥时,请确保在每个 Secure Private Access 节点中配置相同的服务器证书。此外,证书使用者公用名称或使用者备用名称 (SAN) 必须与负载平衡器 FQDN 相匹配。此外,必须在负载平衡器服务中配置 SAN。
- 正确的 SSL 证书绑定到 IIS 服务器和 NetScaler。
- 使用安全密码。
- Secure Private Access 服务(包括管理员和运行时)是无状态的,因此不需要持久性。
-
负载平衡器(例如 NetScaler)具有用于后端服务器的默认内置监视器(探测器)。如果您必须为 Secure Private Access 本地服务器配置基于 HTTP 的自定义监视器(探测器),则可以使用以下端点:
/secureAccess/health预期回应:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->有关配置 NetScaler 负载平衡器的详细信息, 请参见设置基本负载平衡。
为 Secure Private Access 创建监视器
使用以下 CLI 命令为 Secure Private Access 创建监视器。
add lb monitor SPAHealth HTTP -respCode 200 -httpRequest "GET /secureAccess/health" -secure YES
创建监视器后,将证书绑定到显示器。
有关使用 NetScaler 用户界面创建监视器的详细信息,请参阅创建监视器。