Implemente el acceso privado seguro como un clúster
La solución local Secure Private Access se puede implementar como un clúster para proporcionar alta disponibilidad, alto rendimiento y escalabilidad. Se recomienda implementar nodos de acceso privado seguro independientes para despliegues grandes (por ejemplo, más de 5000 usuarios).
Si utiliza las versiones 13.0 o 13.1 de NetScaler Gateway, compilación 48.47 o anteriores, se recomienda hospedar Secure Private Access de forma conjunta con StoreFront.
Creación de nodos de acceso privado seguro
-
Cree un nuevo sitio de acceso privado seguro. Para obtener más información, consulte Configurar un sitio de acceso privado seguro .
-
Agregue la cantidad requerida de nodos del clúster al sitio de Secure Private Access. Para obtener más información, consulte Configurar el acceso privado seguro uniéndose a un sitio existente .
-
En cada nodo de Secure Private Access, configure los mismos certificados de servidor. El nombre común o el nombre alternativo del sujeto del certificado deben coincidir con el FQDN del balanceador de cargas.
Configuración del balanceador de carga
No hay requisitos de configuración de equilibrio de carga específicos para la configuración del clúster de Secure Private Access. Si utiliza NetScaler como balanceador de cargas, tenga en cuenta lo siguiente:
- Los servicios de acceso privado seguro (tanto de administración como de ejecución) no tienen estado, por lo que no es necesaria la persistencia.
- Se recomienda que los servicios de acceso privado seguro se ejecuten como HTTPS, pero este no es un requisito obligatorio. Los servicios de acceso privado seguro también se pueden implementar como HTTP.
- Se admite la descarga SSL o el puente SSL, por lo que se puede usar cualquier configuración de balanceador de cargas. Cuando utilice un puente SSL, asegúrese de configurar los mismos certificados de servidor en cada nodo de Secure Private Access. Además, el nombre común o el nombre alternativo del sujeto (SAN) del sujeto del certificado deben coincidir con el FQDN del balanceador de cargas. Además, la SAN debe configurarse en el servicio Load Balancer.
-
Los balanceadores de carga (por ejemplo, NetScaler) tienen monitores integrados predeterminados (sondas) para los servidores back-end. Si debe configurar un monitor (sonda) basado en HTTP personalizado para los servidores locales de Secure Private Access, se puede usar el siguiente punto final:
/secureAccess/healthRespuesta esperada:
Http status code: 200 OK Payload: {"status":"OK","details":{"duration":"00:00:00.0084206","status":"OK"}} <!--NeedCopy-->
Para obtener más información sobre la configuración de un balanceador de cargas de NetScaler, consulte Configurar el balanceo de cargas básico.