Déployez un accès privé sécurisé en tant que cluster
La solution d’accès privé sécurisé sur site peut être déployée sous forme de cluster pour fournir une haute disponibilité, un haut débit et une évolutivité. Il est recommandé de déployer des nœuds d’accès privé sécurisé autonomes pour les déploiements de grande envergure (par exemple, plus de 5 000 utilisateurs).
Si vous utilisez les versions 13.0 ou 13.1 build 48.47 ou antérieures de NetScaler Gateway, il est recommandé de co-héberger Secure Private Access avec StoreFront.
Création de nœuds d’accès privé sécurisés
-
Créez un nouveau site d’accès privé sécurisé. Pour plus de détails, voir Configuration d’un site d’accès privé sécurisé .
-
Ajoutez le nombre requis de nœuds de cluster au site Secure Private Access. Pour plus de détails, voir Configurer un accès privé sécurisé en rejoignant un site existant .
-
Dans chaque nœud Secure Private Access, configurez les mêmes certificats de serveur. Le nom commun du sujet du certificat ou le nom alternatif du sujet doit correspondre au nom de domaine complet de l’équilibreur de charge.
Configuration de l’équilibreur de charge
Il n’existe aucune exigence de configuration d’équilibrage de charge spécifique pour la configuration du cluster Secure Private Access. Si vous utilisez NetScaler comme équilibreur de charge, tenez compte des points suivants :
- Les services d’accès privé sécurisé (à la fois d’administration et d’exécution) sont sans état, et la persistance n’est donc pas requise.
- Il est recommandé que les services d’accès privé sécurisé soient exécutés en HTTPS, mais ce n’est pas une exigence obligatoire. Les services d’accès privé sécurisé peuvent également être déployés en HTTP.
- Le déchargement SSL ou le pont SSL sont pris en charge, de sorte que n’importe quelle configuration d’équilibreur de charge peut être utilisée. Lorsque vous utilisez un pont SSL, assurez-vous de configurer les mêmes certificats de serveur dans chaque nœud d’accès privé sécurisé. En outre, le nom commun du sujet du certificat ou le nom alternatif du sujet (SAN) doit correspondre au nom de domaine complet de l’équilibreur de charge. Le SAN doit également être configuré dans le service Load Balancer.
-
Les équilibreurs de charge (par exemple NetScaler) sont dotés de moniteurs intégrés par défaut (sondes) pour les serveurs principaux. Si vous devez configurer un moniteur (sonde) HTTP personnalisé pour les serveurs locaux Secure Private Access, le point de terminaison suivant peut être utilisé :
/secureAccess/healthRéponse attendue :
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
Pour plus d’informations sur la configuration d’un équilibreur de charge NetScaler, consultez la section Configuration de l’équilibrage de charge de base.