Secure Private Accessをクラスターとしてデプロイ
Secure Private Access オンプレミスソリューションはクラスターとしてデプロイできるため、高可用性、高スループット、スケーラビリティを実現できます。大規模な展開 (ユーザー数が 5000 人を超える場合など) には、スタンドアロンの Secure Private Access ノードをデプロイすることをお勧めします。
NetScaler Gatewayのバージョン13.0または13.1ビルド48.47以前を使用している場合は、Secure Private AccessをStoreFront と共同ホストすることをお勧めします。
Secure Private Accessノードの作成
-
新しいSecure Private Accessサイトを作成します。詳細については、「 Secure Private Accessサイトのセットアップ」を参照してください。
-
必要な数のクラスターノードをSecure Private Accessサイトに追加します。詳細については、「 既存のサイトに参加してSecure Private Accessを設定する」を参照してください。
-
各Secure Private Accessノードで、同じサーバー証明書を設定します。証明書のサブジェクトの共通名またはサブジェクト代替名は、ロードバランサーの FQDN と一致する必要があります。
ロードバランサー構成
Secure Private Access クラスターのセットアップには、特定の負荷分散構成要件はありません。NetScalerをロードバランサーとして使用している場合は、次の点に注意してください。
- Secure Private Accessサービス (管理とランタイムの両方) はステートレスなので、永続性は必要ありません。
- Secure Private Accessサービスは HTTPS として実行することをお勧めしますが、これは必須要件ではありません。Secure Private Accessサービスは HTTP としてもデプロイできます。
- SSL オフロードまたは SSL ブリッジがサポートされているため、任意のロードバランサー設定を使用できます。SSL ブリッジを使用するときは、各Secure Private Accessノードで同じサーバー証明書を設定してください。また、証明書のサブジェクトの共通名またはサブジェクト代替名 (SAN) は、ロードバランサーの FQDN と一致する必要があります。また、ロードバランサーサービスで SAN を設定する必要があります。
-
ロードバランサー(NetScalerなど)には、バックエンドサーバー用のデフォルトのビルトインモニター(プローブ)があります。Secure Private Access オンプレミスサーバー用にカスタム HTTP ベースのモニター (プローブ) を設定する必要がある場合は、次のエンドポイントを使用できます。
/secureAccess/health期待される応答:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
NetScalerロードバランサーの構成について詳しくは、「 基本的な負荷分散の設定」を参照してください。