设置负载平衡的 Web Studio 部署

要设置高可用的 Web Studio 部署,您可以选择诸如 NetScaler ADC 或 Windows 网络负载平衡之类的工具。本文提供有关如何使用 NetScaler ADC 设备设置负载平衡的 Web Studio 部署的分步指南。

高可用性 Web Studio 示意图

证书要求

从商业证书颁发机构购买证书或通过您的企业证书颁发机构颁发证书之前,请根据您的需求考虑使用以下选项:

选项 优点 缺点
选项 1:在 NetScaler ADC 设备负载平衡器服务器和 Web Studio 服务器上使用 *.example.com 通配符证书。

  • 简化配置
  • 更易于管理(单一证书)
  • 可以在不更新证书的情况下添加新子域
  • 如果通配符证书遭到泄露,所有子域都将面临风险
  • 并非所有应用程序都支持通配符证书
  • 可能比单个证书更昂贵
选项 2:同时在 NetScaler ADC 设备负载平衡器服务器和 Web Studio 服务器上使用具有使用者备用名称 (SAN) 的证书。

  • 灵活,可以包括多个特定域和子域
  • 集中管理多个域
  • 支持多个不同的名称,与通配符相比,能够提供更大的灵活性
  • 随着域数量的增加,管理 SAN 条目可能会变得复杂
  • 添加新域需要重新颁发证书
  • 受 CA 支持的 SAN 条目数量的限制
选项 3:为每个 Web Studio 服务器和 NetScaler ADC 设备负载平衡器服务器使用证书
  • 每台服务器都是独立且安全的
  • 一个证书的泄露不会影响其他证书
  • 可以使用根据每台服务器的需求量身定制的特定证书
  • 管理开销更高,因为每个证书都必须单独管理
  • 更多证书需要续订,成本可能更高
  • 必须确保所有证书的配置一致
 
 

在负载平衡器上配置服务器证书

  1. 登录到 NetScaler ADC 设备管理 GUI。
  2. 选择 Traffic Management(流量管理)> SSL > Certificates(证书)> Server Certificates(服务器证书)
  3. 单击安装
  4. 安装服务器证书页面上,输入证书-密钥对名称,单击选择文件,然后浏览证书文件。如果证书文件不包含私钥,请选择 Key File(密钥文件)。

    证书安装屏幕的屏幕截图

步骤 1:添加 Web Studio 服务器节点

将所有 Web Studio 服务器节点(例如 Studio-eu-1Studio-eu-2)添加到负载平衡器。

  1. 登录 NetScaler ADC 管理 GUI。
  2. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Servers(服务器)。单击添加

  3. 输入 Web Studio 服务器节点的服务器 IP 地址。

  4. 重复步骤 2-3 添加其他 Web Studio 服务器。

    包含两台服务器的“服务器”屏幕的屏幕截图

步骤 2:为 Web Studio 服务器节点添加监视器

在负载平衡器中设置监视器以检查所有 Web Studio 服务器节点的状态。

  1. 选择 Traffic Management(流量管理)> Load Balancing(负载平衡)> Monitors(监视器)> Add(添加)
  2. Configuration(配置)选项卡上,完成以下设置并保留其他默认设置:
    • 输入 Web Studio 作为名称
    • 选择 HTTPSSL 作为类型
    • 选择安全选项。
    • 输入 HEAD/citrix/studio/ 作为 HTTP 请求

    包含两台服务器的“服务器”屏幕的屏幕截图

步骤 3:为 Web Studio 服务器节点创建服务组

  1. 选择 Traffic Management(流量管理)> Load Balancing(负载平衡)> Service Groups(服务组)> Add(添加)。要通过 HTTPS 连接到 Web Studio 服务器,请选择“SSL”协议,将其他设置保留为默认设置,然后单击确定

  2. 在您的服务组中,在 Service Group Members(服务组成员)下,单击 No Service Group Member(无服务组成员),然后按照以下步骤添加成员:

    1. 单击 Service Based(基于服务)。
    2. 选择您之前添加的所有服务器。
    3. 输入 443 作为端口。

      “创建服务组成员”页面的屏幕截图

  3. 添加 Monitors(监视器)部分并选择您之前创建的 Web Studio 监视器。

    “Monitor”(监视器)屏幕的屏幕截图,其中列出了一个监视器

  4. 添加证书部分并完成以下设置:

    1. 绑定客户端证书。
    2. 绑定用于为您之前导入的服务器证书进行签名的 CA 证书,以及可能属于 PKI 信任链的任何其他 CA。

      添加绑定屏幕

  5. 添加 Settings(设置)部分,选择 Insert Client IP Header(插入客户端 IP 标头),然后输入 X-Forwarded-For 的标头名称。此设置允许您在策略中使用客户端 IP 地址。

步骤 4:创建虚拟服务器

创建负载平衡器虚拟服务器供用户访问 Web Studio 服务器组。

  1. 导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Virtual Servers(虚拟服务器),然后单击 Add(添加)。

  2. 输入名称,选择 SSL 作为 Protocol(协议),输入 443 作为 Port(端口),然后单击 OK(确定)。

    “NetScaler 负载平衡虚拟服务器”屏幕的屏幕截图

  3. 将您之前创建的服务组绑定到负载平衡虚拟服务器。

  4. 步骤 3:为 Web Studio 服务器节点创建服务组中绑定到服务组的 CA 证书。

  5. 添加 Method(方法)部分并选择负载平衡方法。Web Studio 负载平衡的常用选项为 ROUNDROBINLEASTCONNECTION

    “负载平衡方法”部分的屏幕截图

  6. 添加永久性部分并完成以下设置:

    1. 将永久性方法设置为 COOKIEINSERT

    2. 将超时设置为与 Web Studio 中的会话超时相同(默认为 20 分钟)。

    3. 为 cookie 命名以便于将来进行调试。例如,NSC_SFPersistence

    4. 将备份永久性设置为 NONE(无)。

      “永久性”部分的屏幕截图

    注意:

    如果不允许客户端存储 HTTP cookie,则后续请求不会包含 HTTP cookie,并且不使用“Persistence”(永久性)。

步骤 5:为虚拟服务器创建 DNS 记录

在域控制器上,创建 DNS 和 PTR 记录,将虚拟服务器的 IP 地址映射到 FQDN。您的网络中的 Web Studio 用户使用此 FQDN 来访问 Web Studio 服务器组。例如,webstudio.example.com 解析为负载平衡器虚拟服务器 IP 地址 (VIP)。

“永久性”部分的屏幕截图

请提供以下 URL 以供用户访问 Web Studio 服务器:https://<FQDN of the virtual server>/<text you entered in the HTTP Request field when creating a monitor>。示例:https://webstudio.example.com/citrix/studio

设置负载平衡的 Web Studio 部署