Nachfolgend wird an einem Beispiel die skalierbare und auf sichere Weise ausgeführte Hochverfügbarkeits-Bereitstellung von Host Access for the Cloud beschrieben. Während die Details jeder Bereitstellung variieren (Sie können beispielsweise drei oder mehr Sitzungsserver bereitstellen), ist das Ziel hier, einen bekannt guten Ausgangspunkt zu beschreiben und allgemeine Fragen zur Bereitstellung zu beantworten.
Die Bereitstellung besteht aus folgenden Komponenten:
Sitzungsserver-Lastverteiler
Zwei oder mehr Sitzungsserver
MSS-Lastverteiler
Drei oder mehr MSS-Server
Terminal ID Manager
LDAP- oder Identitätsmanagement-Server
Host/Mainframe
An diesem Beispiel werden die folgenden Merkmale illustriert:
Kapazität für bis zu dreitausend Hostsitzungen und Möglichkeit zur Skalierung nach Bedarf
Hochverfügbarkeit der wesentlichen Services; Minimierung einzelner Ausfallpunkte und Verteilen der Last mittels Lastverteilern
Fähigkeit zur Bewältigung des gleichzeitigen Ausfalls eines Sitzungsservers und eines MSS ohne wesentliche Minderung der Leistung am Webclient, dank integriertem Toleranzbereich
Authentifizierungs- und Autorisierungsoptionen für MSS
Sichere Kommunikation über HTTPS
Wir empfehlen, zum Bereitstellen die folgenden Schritte zu befolgen:
Grundlegendes Wissen zur Bereitstellung aneignen
Ressourcen basierend auf den Systemanforderungen und den Leitlinien zur Ermittlung der Systemgröße bereitstellen
MSS installieren und ein Cluster erstellen
MSS-Lastverteiler konfigurieren
Sitzungsserver installieren
Sitzungsserver-Lastverteiler konfigurieren
Bereitstellung überprüfen
Single Sign-On konfigurieren (optional)
Terminal ID Manager konfigurieren (optional)
Informationen zu den Grundlagen der Bereitstellung, zu den Systemanforderungen und zur Ermittlung der Systemgröße haben Sie bereits in den vorigen Abschnitten erhalten.
Installieren Sie drei MSS-Server und konfigurieren Sie jeden zum Clustering. Die Dokumentation führt Sie durch den Prozess:
Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet..
Installieren Sie MSS und dann die Host Access for the Cloud-Komponenten für MSS, indem Sie das Host Access for the Cloud-Installationsprogramm auf jedem MSS-Server ausführen.
Fügen Sie jeden Server zu einem Cluster hinzu.
Konfigurieren Sie auf jedem MSS-Server die allgemeinen Einstellungen, die Sicherheitseinstellungen und je nach Bedarf andere Einstellungen.
Weitere Ressourcen:
Installation Guide (Installationshandbuch)
MSS Clustering (MSS-Clustering)
Verwenden Sie wie im Abschnitt Verwenden eines Lastverteilers dieses Handbuchs beschrieben die folgenden Werte zum Konfigurieren des MSS-Lastverteilers für die Hochverfügbarkeit:
Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)
Sitzungsbeständigkeit: aktiviert, vorhandenen JSESSIONID-Cookie verwenden
Weil Cookies auf dem Sitzungsserver nicht gespeichert werden, wenn dieser als Client für MSS fungiert, muss der MSS-Lastverteiler entweder den vorhandenen JSESSIONID-Cookie oder die Ursprungs-IP (bzw. einen ähnlichen Wert) zur Gewährleistung der Beständigkeit verwenden.
Falls Sie die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) verwenden, beachten Sie die weiteren Informationen in Konfigurieren der Liste „Assigned Sessions“ (Zugewiesene Sitzungen) (optional).
Systemdiagnose-Endpunkt: https://<MSS-Server/mss/
TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.
Installieren Sie zwei oder mehr Sitzungsserver.
Führen Sie für jeden Sitzungsserver die folgenden Schritte aus:
Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet.
Installieren Sie den Sitzungsserver. Wählen Sie während der Installation die Verwendung eines MSS-Remoteservers und geben Sie die Adresse und den Port des MSS-Lastverteilers ein.
Importieren Sie das Sitzungserverzertifikat in den Truststore jedes vertrauenswürdigen MSS-Teilsystems: system-trustcerts.bcfks.
TIPP:Auf dem MSS-Server, der während der Installation vom Lastverteiler gewählt wurde, erfolgt dies automatisch. Auf den anderen Servern muss dies jedoch manuell ausgeführt werden. Es empfiehlt sich, auf jedem MSS-Server das Zertifikat zu importieren oder das Vorhandensein des Zertifikats zu überprüfen.
Installieren Sie jedes MSS-Zertifikat im Truststore des Sitzungsservers: trustcerts.bcfks.
Weitere Ressourcen:
Verwenden Sie beim Konfigurieren des Lastverteilers die folgenden Einstellungen:
Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)
Sitzungsbeständigkeit: aktiviert, JSESSIONID oder einen neuen Cookie verwenden Im Gegensatz zum MSS-Lastverteiler ist es hier nicht erforderlich, den vorhandenen JSESSIONID-Cookie zu verwenden.
Systemdiagnose-Endpunkt: https://<Sitzungsserver>/actuator/health
TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.
MSS stellt dem Sitzungsserver bei jedem Erstellen oder Bearbeiten einer Sitzung eine Callback-Adresse bereit. Standardmäßig wird die in management.server.url angegebene Adresse verwendet.
Wenn sich der MSS-Server hinter einem Proxy befindet und der Sitzungsserver die Adresse nicht erreichen kann:
Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.
HINWEIS:Wenn der Sitzungsserver mit HTTP eine Verbindung zur MSS-Callback-Adresse herstellt, legen Sie in der Datei container.properties jedes Sitzungsservers die Eigenschaft management.server.callback.address.http auf True (wahr) fest.
Starten Sie den Server neu, um die neuen Eigenschaftswerte zu übernehmen.
Führen Sie die folgenden Schritte aus, nachdem Sie alle Komponenten installiert und konfiguriert haben:
Melden Sie sich (über den MSS-Lastverteiler) bei der MSS-Verwaltungskonsole an.
Wechseln Sie zu „Manage Sessions > Add a New Session“ (Sitzungen verwalten > Neue Sitzung hinzufügen) und erstellen Sie eine Testsitzung.
Weisen Sie die Testsitzung einem Benutzer zu.
Melden Sie sich als Testbenutzer über den Sitzungsserver-Lastverteiler beim Sitzungsserver an.
Überprüfen Sie, ob die zugewiesene Sitzung verfügbar ist, geöffnet werden kann und eine Verbindung herstellen kann.
Im Folgenden werden einige zusätzliche Überlegungen erläutert, die beim Konfigurieren von Single Sign-On für eine Hochverfügbarkeits-Bereitstellung von Bedeutung sind.
Importieren Sie das MSS-Lastverteilerzertifikat als verbürgtes Zertifikat in jeden MSS-Keystore servletcontainer.bcfks.
Aktualisieren Sie management.server.url in jeder MSS-Datei container.properties auf die MSS-Lastverteileradresse.
Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.
Starten Sie die MSS-Server neu.
Melden Sie sich bei der Verwaltungskonsole des aktiven MSS-Servers an, um die SAML-Authentifizierung zu konfigurieren.
Laden Sie die Metadaten des Service-Anbieters herunter und bearbeiten Sie sie, um jede MSS-Serveradresse als AssertionConsumerService einzufügen. Importieren Sie die aktualisierten Metadaten in den SAML-Identitätsanbieter.
Beispiel:
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-loadbalancer:8443/mss/callback/SAML2Client" index="0"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-1:8443/mss/callback/SAML2Client" index="1"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-2:8443/mss/callback/SAML2Client" index="2"/>
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-3:8443/mss/callback/SAML2Client" index="3"/
In jedem Fall muss das verwendete Zertifikat über einen alternativen Antragstellernamen (SAN, Subject Alternative Name) verfügen, der alle DNS-Namen der MSS-Server und den DNS-Namen des Lastverteilers enthält.
Überprüfen Sie, ob die Firewall auf dem MSS-Server HTTP-Verkehr über den Port für beiderseitige Authentifizierung zulässt. Standardmäßig ist dies Port 8003.
Führen Sie auf jedem MSS die folgenden Schritte aus:
Ersetzen Sie das Zertifikat des Servlet-Engine-Eintrags in den servletcontainer.bcfks-Dateien.
Ersetzen Sie das Zertifikat des Systemeintrags in den system-keystore.bcfks-Dateien.
Importieren Sie das Zertifikat als verbürgtes Zertifikat:
in die Datei trustcerts.bcfks jedes Sitzungsservers.
Starten Sie MSS und die Sitzungsserver neu.
Konfigurieren Sie den MSS- und den HACloud-Lastverteiler zur Verwendung von TLS-Passthrough.
Konfigurieren Sie die X.509-Authentifizierung wie unter Konfigurieren der X.509-Authentifizierung dokumentiert.
Um die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) zum Starten neuer Sitzungen zu verwenden, ist eine zusätzliche Konfiguration erforderlich:
Konfigurieren Sie den MSS-Lastverteiler so, dass zuerst SESSIONID und dann die JSESSIONID-Cookies angehängt werden. Die Stickiness muss in dieser spezifischen Reihenfolge konfiguriert werden.
Der Zugriff auf die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) muss über den gleichen MSS-Lastverteiler erfolgen, über den auch der HACloud-Sitzungsserver eine Verbindung zu MSS herstellt.
Weitere Informationen hierzu finden Sie unter: