Web Studio-Bereitstellung mit Lastenausgleich einrichten

Um Web Studio-Bereitstellungen mit hoher Verfügbarkeit einzurichten, können Sie Tools wie NetScaler ADC oder Windows-Netzwerklastenausgleich auswählen. Dieser Artikel enthält eine schrittweise Anleitung zum Einrichten einer Web Studio-Bereitstellung mit Lastenausgleich über eine NetScaler ADC Appliance.

HA Web Studio-Diagramm

Zertifikatanforderungen

Bevor Sie ein Zertifikat von einer kommerziellen Zertifizierungsstelle erwerben oder von der Zertifizierungsstelle Ihres Unternehmens ausstellen lassen, ziehen Sie die folgenden Optionen in Betracht.

Option Vorteile Nachteile
Option 1: Verwenden Sie ein Platzhalterzertifikat vom Typ *.example.com sowohl auf dem Load Balancer-Server der NetScaler ADC Appliance als auch auf den Web Studio-Servern.

  • Vereinfacht die Konfiguration
  • Einfacher zu verwalten (einzelnes Zertifikat)
  • Kann neue Unterdomänen hinzufügen, ohne das Zertifikat zu aktualisieren
  • Wenn das Wildcard-Zertifikat kompromittiert ist, sind alle Unterdomänen gefährdet
  • Nicht alle Anwendungen unterstützen Platzhalterzertifikate
  • Könnte teurer sein als einzelne Zertifikate
Option 2: Verwenden Sie ein Zertifikat, das Subject Alternative Names (SANs) enthält, sowohl auf dem Load Balancer-Server der NetScaler ADC Appliance als auch auf den Web Studio-Servern.

  • Flexibel, kann mehrere spezifische Domänen und Unterdomänen enthalten
  • Zentralisiert die Verwaltung für mehrere Domänem
  • Unterstützt mehrere unterschiedliche Namen und bietet so mehr Flexibilität als Platzhalter
  • Die Verwaltung von SAN-Einträgen kann mit steigender Anzahl von Domänen komplex werden
  • Das Hinzufügen neuer Domänen erfordert eine Neuausstellung des Zertifikats
  • Limitiert durch die Anzahl der von der CA unterstützten SAN-Einträge
Option 3: Verwenden Sie ein Zertifikat für jeden Web Studio-Server und den Load Balancer-Server der NetScaler ADC Appliance
  • Jeder Server ist unabhängig gesichert
  • Die Kompromittierung eines Zertifikats wirkt sich nicht auf andere aus
  • Kann spezifische Zertifikate verwenden, die auf die Bedürfnisse jedes Servers zugeschnitten sind
  • Höherer Verwaltungsaufwand, da jedes Zertifikat separat verwaltet werden muss
  • Mehr Zertifikate zum Erneuern und möglicherweise höhere Kosten
  • Muss sicherstellen, dass alle Zertifikate konsistent konfiguriert sind
 
 

Serverzertifikat auf dem Load Balancer konfigurieren

  1. Melden Sie sich bei der Verwaltungs-GUI der NetScaler ADC Appliance an.
  2. Wählen Sie Traffic Management > SSL > Certificates > Server Certificates.
  3. Klicken Sie auf Installieren.
  4. Geben Sie auf der Seite Install Server Certificate einen Namen für das Zertifikatsschlüsselpaar ein, klicken Sie auf Choose File und steuern Sie die Zertifikatdatei an. Wenn die Zertifikatsdatei den privaten Schlüssel nicht enthält, wählen Sie eine Schlüsseldatei aus.

    Screenshot des Fensters zur Installation des Zertifikats

Schritt 1: Web Studio-Serverknoten hinzufügen

Fügen Sie alle Web Studio-Serverknoten (z. B. Studio-eu-1 und Studio-eu-2) zum Load Balancer hinzu.

  1. Melden Sie sich bei der NetScaler ADC-Verwaltungskonsole an.
  2. Navigieren Sie zu Traffic Management > Load Balancing > Servers. Klicken Sie auf Hinzufügen.

  3. Geben Sie die Server-IP-Adresse eines Web Studio-Serverknotens ein.

  4. Wiederholen Sie die Schritte 2—3, um die anderen Web Studio-Server hinzuzufügen.

    Screenshot des Fensters "Server" mit zwei Servern

Schritt 2: Einen Monitor für Web Studio-Serverknoten hinzufügen

Richten Sie im Load Balancer einen Monitor ein, um den Status aller Web Studio-Serverknoten zu überprüfen.

  1. Wählen Sie Traffic Management > Load Balancing > Monitors > Add aus.
  2. Nehmen Sie auf der Registerkarte Konfiguration die folgenden Einstellungen vor und behalten Sie die anderen Standardeinstellungen bei:
    • Geben Sie Web Studio als Namen ein.
    • Wählen Sie HTTP oder SSL als Typ aus.
    • Wählen Sie die Option Sicher aus.
    • Geben Sie HEAD/citrix/studio/ für HTTP Request ein.

    Screenshot des Fensters "Server" mit zwei Servern

Schritt 3: Dienstgruppe für Web Studio-Serverknoten erstellen

  1. Wählen Sie Traffic Management > Load Balancing > Service Groups > Add. Um über HTTPS eine Verbindung zu den Web Studio-Servern herzustellen, wählen Sie ein SSL-Protokoll aus, belassen Sie andere Einstellungen als Standard und klicken Sie dann auf OK.

  2. Klicken Sie in Ihrer Dienstgruppe unter Dienstgruppenmitglieder auf Kein Dienstgruppenmitglied und gehen Sie dann wie folgt vor, um Mitglieder hinzuzufügen:

    1. Klicken Sie auf Service Based.
    2. Wählen Sie alle Server aus, die Sie zuvor hinzugefügt haben.
    3. Geben Sie 443 für den Port ein.

      Screenshot der Seite "Create service group member"

  3. Fügen Sie den Bereich Monitors hinzu und wählen Sie den zuvor erstellten Web Studio-Monitor aus.

    Screenshot der Seite "Monitor" mit einem aufgelisteten Monitor

  4. Fügen Sie den Abschnitt Zertifikate hinzu und nehmen Sie die folgenden Einstellungen vor:

    1. Binden Sie das Clientzertifikat.
    2. Binden Sie das Zertifizierungsstellenzertifikat, das zum Signieren des zuvor importierten Serverzertifikats verwendet wurde, sowie jegliche Zertifizierungsstellen, die Teil der PKI-Vertrauenskette sind.

      Bindungsbildschirm hinzufügen

  5. Fügen Sie den Abschnitt Einstellungen hinzu, wählen Sie Client-IP-Header einfügen aus und geben Sie dann den Header-Namen X-Forwarded-For ein. Mit dieser Einstellung kann die Client-IP-Adresse in Richtlinien verwendet werden.

Schritt 4: Virtuellen Server erstellen

Erstellen Sie einen virtuellen Lastausgleichserver, damit Benutzer auf die Web Studio-Servergruppe zugreifen können.

  1. Navigieren Sie auf Traffic Management > Load Balancing > Virtual Servers und klicken Sie auf Add.

  2. Geben Sie einen Namen ein, wählen Sie SSL für das Protokoll aus, geben Sie 443 für den Port ein und klicken Sie dann auf OK.

    Screenshot des Fensters "NetScaler Virtueller Lastausgleichsserver"

  3. Binden Sie die zuvor erstellte Dienstgruppe an den virtuellen Lastenausgleichserver.

  4. Binden Sie das Zertifizierungsstellenzertifikat, das Sie in Schritt 3: Dienstgruppe für Web Studio-Serverknoten erstellen an die Dienstgruppe gebunden haben.

  5. Fügen Sie den Bereich Methode hinzu und wählen Sie die Lastausgleichmethode. Übliche Optionen für den Web Studio-Lastausgleich sind ROUNDROBIN oder LEASTCONNECTION.

    Screenshot des Abschnitts zur Lastausgleichsmethode

  6. Fügen Sie den Abschnitt Persistenz hinzu und nehmen Sie die folgenden Einstellungen vor:

    1. Legen Sie die Persistenzmethode auf COOKIEINSERT fest.

    2. Stellen Sie das Timeout so ein, dass es dem Sitzungstimeout in Web Studio entspricht (standardmäßig 20 Minuten).

    3. Benennen Sie das Cookie, um das zukünftige Debuggen zu erleichtern. Beispiel NSC_SFPersistence.

    4. Legen Sie für “Backup persistence” NONE fest.

      Screenshot des Abschnitts "persistence"

    Hinweis:

    Wenn der Client kein HTTP-Cookie speichern darf, enthalten nachfolgende Anforderungen kein HTTP-Cookie und “Persistence” wird nicht verwendet.

Schritt 5: DNS-Einträge für den virtuellen Server erstellen

Erstellen Sie auf dem Domänencontroller einen DNS- und PTR-Eintrag, um die IP-Adresse des virtuellen Servers einem FQDN zuzuordnen. Web Studio-Benutzer in Ihrem Netzwerk verwenden diesen FQDN, um auf die Web Studio-Servergruppe zuzugreifen. Beispielsweise wird webstudio.example.com in die IP-Adresse des virtuellen Lastausgleichservers (VIP) aufgelöst.

Screenshot des Abschnitts "persistence"

Geben Sie diese URL an, damit Benutzer auf Web Studio-Server zugreifen können: https://<FQDN of the virtual server>/<text you entered in the HTTP Request field when creating a monitor>. Beispiel:https://webstudio.example.com/citrix/studio

Web Studio-Bereitstellung mit Lastenausgleich einrichten