Di seguito è riportato un esempio di come distribuire Host Access for the Cloud in modo scalabile, sicuro e ad alta disponibilità. Anche se i dettagli di ogni implementazione saranno diversi, ad esempio potreste implementare tre o più server di sessione. L'obiettivo è quello di fornire un buon punto di partenza conosciuto e di rispondere alle domande di implementazione più comuni.
Questa distribuzione è composta da:
Un sistema di bilanciamento del carico per il server di sessione
Due o più server di sessione
Bilanciamento del carico per MSS
Tre o più server MSS
Terminal ID Manager
Un server LDAP o un server di gestione delle identità
Un sistema host/mainframe
In questo esempio viene mostrata una configurazione con le seguenti caratteristiche:
Capacità per un massimo di 3.000 sessioni host con la possibilità di ridimensionamento in base alle esigenze
Alta disponibilità dei principali servizi, riduzione del numero dei singoli punti di errore e distribuzione del carico mediante sistemi di bilanciamento del carico
Possibilità di gestire contemporaneamente errori di un server di sessione e di un server MSS senza una significativa riduzione delle prestazioni del client Web, grazie alla capacità aggiuntiva integrata
Opzioni di autenticazione e autorizzazione per MSS
Protezione delle comunicazioni tramite HTTPS
Per effettuare la distribuzione, è necessario completare i passaggi seguenti:
Acquisire familiarità con i concetti di base della distribuzione
Effettuare il provisioning delle risorse in base ai requisiti di sistema e alle linee guida per il dimensionamento
Installare MSS e creare un cluster
Configurare il sistema di bilanciamento del carico per MSS
Installare i server di sessione
Configurare il sistema di bilanciamento del carico per il server di sessione
Verificare la distribuzione
Configurare il Single Sign-On (facoltativo)
Configurare Terminal ID Manager (facoltativo)
I concetti di base della distribuzione, i requisiti di sistema e le linee guida per il dimensionamento sono stati indicati nelle sezioni precedenti.
Installare tre server MSS e configurare ciascuno di essi per la replica. È disponibile della documentazione con i dettagli sui passaggi del processo:
Aprire le porte sul firewall. Le porte utilizzate da MSS e Host Access for the Cloud sono elencate qui.
Installare MSS, quindi i componenti di Host Access for the Cloud per MSS eseguendo il programma di installazione di Host Access for the Cloud su ciascun server MSS.
Configurare ciascun server per la replica.
Su ciascun server MSS configurare le impostazioni generali, le impostazioni di sicurezza e altre impostazioni, in base alle esigenze.
Altre risorse:
MSS Installation Guide (Guida all'installazione di MSS)
MSS Clustering and Replication (Gestione in cluster e replica in MSS)
Come descritto nella sezione Utilizzo dei sistemi di bilanciamento del carico di questo manuale, per la configurazione del sistema di bilanciamento del carico per MSS, è possibile utilizzare questi valori:
Algoritmo di bilanciamento del carico: Least Connections (Connessioni minime) (o un'impostazione analoga)
Persistenza della sessione: Enabled (Abilitata) - Utilizzare il cookie JSESSIONID esistente
Endpoint del controllo integrità: https://<server-mss>/mss/
TLS: configurare TLS e installare i certificati in base alle esigenze.
Installare due o più server di sessione.
Per ciascun server di sessione, effettuare le seguenti operazioni:
Aprire le porte sul firewall. Le porte utilizzate da MSS e Host Access for the Cloud sono elencate qui
Installare il server di sessione. Durante l'installazione, scegliere di utilizzare un server MSS remoto e immettere l'indirizzo e la porta del sistema di bilanciamento del carico di MSS.
Importare il certificato del server di sessione nell'archivio attendibilità di ogni sottosistema attendibile di MSS: system-trustcerts.bcfks.
SUGGERIMENTO:Questa operazione viene effettuata automaticamente sul server MSS scelto dal sistema di bilanciamento del carico durante l'installazione, ma deve essere eseguita manualmente sugli altri server. È consigliabile importare o verificare la presenza del certificato su ciascun server MSS.
Altre risorse:
Per configurare il sistema di bilanciamento del carico, utilizzare questi valori:
Algoritmo di bilanciamento del carico: Least Connections (Connessioni minime) (o un'impostazione analoga)
Persistenza della sessione: Enabled (Abilitata) - Utilizzare JSESSIONID o un nuovo cookie. A differenza del sistema di bilanciamento del carico di MSS, non è necessario utilizzare il cookie JSESSIONID esistente.
Endpoint per la verifica dello stato: https://<server di sessione>/actuator/health
TLS: configurare TLS e installare i certificati in base alle esigenze.
In MSS viene fornito un indirizzo di richiamata al server di sessione ogni volta che si crea o si modifica una sessione. Per default, viene utilizzato l'indirizzo specificato in management.server.url.
Se il server MSS si trova dietro un proxy e il server di sessione non è in grado di raggiungere l'indirizzo:
Impostare la proprietà management.server.callback.address in ciascun file container.properties di MSS su un indirizzo che il server di sessione, di uno specifico MSS, possa raggiungere.
Se il server di sessione utilizza HTTP per eseguire la connessione all'indirizzo di richiamata MSS, impostare la proprietà management.server.callback.address.http su True.
Riavviare il server per rendere effettivi i nuovi valori delle proprietà.
Dopo l'installazione e la configurazione di tutti i componenti, sarà necessario:
Eseguire il login a MSS Administrative Console (mediante il sistema di bilanciamento del carico di MSS).
Accedere a Gestisci sessioni > Aggiungi una nuova sessione e creare una sessione di prova.
Assegnare la sessione di prova a un utente di prova.
Eseguire il login al server di sessione come utente di prova, tramite il sistema di bilanciamento del carico del server di sessione.
Verificare che la sessione assegnata sia disponibile, sia aperta e in grado di connettersi.
Di seguito sono riportate alcune considerazioni da fare quando si configura il Single Sign-On in una distribuzione ad alta disponibilità.
La MSS Administrator Guide (Guida dell'amministratore di MSS) fornisce istruzioni per l'autenticazione SAML.
Importare il certificato del sistema di bilanciamento del carico in ogni servletcontainer.bcfks di MSS come certificato attendibile.
Aggiornare management.server.url in ciascun file container.properties di MSS affinché utilizzi l'indirizzo del sistema di bilanciamento del carico di MSS.
Impostare la proprietà management.server.callback.address in ciascun file container.properties di MSS su un indirizzo che il server di sessione, di uno specifico MSS, possa raggiungere.
Riavviare i server MSS.
Accedere ad Administrative Console del server MSS attivo per configurare l'autenticazione SAML.
La MSS Administrator Guide (Guida dell'amministratore di MSS) fornisce istruzioni sull'autenticazione con X.509.
In ogni caso, il certificato utilizzato deve avere un nome alternativo del soggetto (Subject Alternative Name, SAN) contenente tutti i nomi DNS del server MSS, oltre al nome DNS del sistema di bilanciamento del carico.
Verificare che il firewall sul server MSS consenta il traffico HTTP sulla porta di autenticazione reciproca: il valore predefinito è 8003.
In ciascun server MSS:
Sostituire il certificato della voce servlet-engine nei file servletcontainer.bcfks.
Sostituire il certificato della voce di sistema nei file system-keystore.bcfks.
Importare il certificato in ciascun server di sessione:
Il file trustcerts.bcfks come certificato attendibile.
Riavviare i server MSS e di sessione.
Configurare i sistemi di bilanciamento del carico di MSS e di HA Cloud per il metodo pass-through TSL.
Configurare l'autenticazione X.509 come mostrato qui: Configurazione dell'autenticazione X.509.