Modelo de distribución de alta disponibilidad
A continuación, se proporciona un ejemplo de cómo distribuir Host Access for the Cloud de forma segura y ampliable, y con alta disponibilidad. Aunque variarán los detalles de cada distribución, por ejemplo, es posible que distribuya tres o más servidores de sesión, el objetivo de este documento es proporcionar un punto de partida eficaz y dar respuesta a las preguntas de distribución más frecuentes.
Arquitectura
Esta distribución consta de:
- Equilibrador de carga del servidor de sesión
- Dos o más servidores de sesión
- Equilibrador de carga del servidor MSS
- Tres o más servidores MSS
- Administrador de ID de Terminal
- Servidor de gestión de identidades o LDAP
- Host/sistema mainframe
Ventajas de la distribución
En este ejemplo, comprobará:
- La capacidad de hasta 3.000 sesiones de host y de ampliación según se necesario.
- La alta disponibilidad de servicios clave, minimizando los únicos puntos de fallo y distribuyendo la carga mediante equilibradores de carga.
- La capacidad de gestionar simultáneamente el fallo de un servidor de sesión y MSS sin una reducción considerable del rendimiento del cliente Web debido a la capacidad de aumento integrada.
- Opciones de autenticación y autorización de MSS
- Comunicación segura a través de HTTPS
Pasos al realizar la distribución
Varios pasos de distribución requieren la configuración de la Consola Administrativa de MSS.
Es recomendable que siga estos pasos al realizar la distribución:
- Obtenga información sobre los procedimientos básicos de distribución.
- Proporcione recursos en función de los requisitos del sistema y las directrices de ajuste de tamaño.
- Instale MSS y cree un clúster.
- Configure el equilibrador de carga de MSS.
- Instale los servidores de sesión.
- Configure el equilibrador de carga del servidor de sesión.
- Configurar la autenticación y la autorización
- Compruebe la distribución.
Ha aprendido los conceptos básicos de distribución, los requisitos del sistema y las directrices de ajuste de tamaño en las secciones anteriores.
Instalación de MSS
Consulte la Guía de instalación de MSS para obtener instrucciones completas.
Instale tres servidores MSS y configure cada uno de ellos para la agrupación en clúster. Existe documentación que puede guiarle por este proceso:
- Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí..
- Instale MSS y, a continuación, los componentes de Host Access for the Cloud para MSS. Para ello, ejecute el programa de instalación de Host Access for the Cloud en cada servidor MSS.
- Añada cada servidor a un clúster.
- En cada servidor de MSS, configure los valores de configuración generales, los ajustes de seguridad y otras opciones según sea necesario.
Más información
- Puertos
- Guía de instalación de MSS
- MSS Clustering (Agrupación en clúster de MSS)
Configuración de un equilibrador de carga de MSS
Utilice estos valores cuando configure el equilibrador de carga de MSS:
- Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).
- Persistencia de sesión:
Configure el equilibrador de carga de MSS para que se mantenga en las cookies y los parámetros de URL existentes en el orden especificado a continuación:
- Persistencia en **SESSIONID** de cookie
- Persistencia en **sessid** de parámetro de URL (solo es necesario si se ha configurado la entrada única a través de IIS como método de autenticación)
- Persistencia en **JSESSIONID** de cookie
- Persistencia en **jsessionid** de parámetro de URL
- Health check endpoint (Puesto final de comprobación de estado):
https://<mss-server>/mss/actuator/health
- TLS: configure TLS e instale los certificados según sea necesario.
Más información
- MSS Using a Load Balancer (MSS mediante un equilibrador de carga)
Instalación de servidores de sesión
Instale dos o más servidores de sesión.
En cada servidor de sesión:
- Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí.
- Instale el servidor de sesión. Durante la instalación, opte por utilizar un servidor MSS remoto e introduzca la dirección y el puerto del equilibrador de carga de MSS.
- Importe el certificado del servidor de sesión en cada uno de los almacenes de confianza del subsistema de confianza de MSS:
system-trustcerts.bcfks
. Esta acción se realiza automáticamente en el servidor MSS seleccionado por el equilibrador de carga durante la instalación, pero debe realizarse manualmente en los demás servidores. Es recomendable importar o verificar su presencia en cada servidor MSS.
Más información
Configuración del equilibrador de carga del servidor de sesión
Utilice estos valores para configurar el equilibrador de carga:
- Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).
- Session persistence (Persistencia de sesión): habilitada; utilice JSESSIONID o una cookie nueva. A diferencia del equilibrador de carga de MSS, no es necesario que utilice la cookie JSESSIONID existente.
- Health check endpoint
https://<session-server:7443>/actuator/health
(Puesto final de comprobación de estado): en el servidor de sesión específico, tenga cuidado al configurar cómo determinar si un nodo ha fallado y qué hacer cuando se produzca este fallo. Si aún hay usuarios conectados a la instancia, esos usuarios pueden perder sus conexiones de host. Para evitar marcar una instancia como fallida demasiado pronto, considere la posibilidad de aumentar los tiempos de espera o el número de reintentos. Algunos equilibradores de carga proporcionan un "modo de purga", que permite a los usuarios existentes seguir conectados, pero que enviará a los nuevos usuarios a otras instancias. - TLS: configure TLS e instale los certificados según sea necesario.
Configuración de la autenticación y la autorización
Consulte Autenticación y autorización para obtener más información sobre cómo elegir y configurar la autenticación y la autorización.
Verificación de la instalación
Tras instalar y configurar todos los componentes, deberá:
- Entrar a la Consola Administrativa de MSS (a través del equilibrador de carga de MSS).
- Desplácese a Gestionar sesiones > Añadir una nueva sesión y cree una sesión de prueba.
- Asigne la sesión de prueba a un usuario de prueba.
- Entre en el servidor de sesión como usuario de prueba a través del equilibrador de carga del servidor de sesión.
- Compruebe que la sesión asignada esté disponible, se abra y se pueda conectar.
Configuración de la entrada única (opcional)
A continuación, se muestran algunas consideraciones adicionales que se deben tener en cuenta al configurar la entrada única en una distribución de alta disponibilidad.
SAML (Lenguaje de marcado de aserción de la seguridad)
La Guía del administrador de MSS incluye instrucciones de autenticación SAML.
- Importe el equilibrador de carga de MSS en el elemento
servletcontainer.bcfks
de cada servidor MSS como certificado de confianza. - Actualice
management.server.url
en el archivocontainer.properties
de cada servidor MSS para utilizar la dirección del equilibrador de cada MSS. - Defina la propiedad
management.server.callback.address
en cada archivocontainer.properties
de MSS en una dirección a la que pueda acceder el servidor de sesión para una instancia de MSS específica. - Reinicie los servidores MSS.
- Entre en la Consola Administrativa del servidor MSS activo para configurar la autenticación SAML. Confirme que el DNS del equilibrador de carga de MSS se utilice en el campo Assertion consumer service prefix URL (URL de prefijo del servicio de consumidor de aserción) y añada el DNS de los equilibradores de carga de MSS y Host Access for the Cloud en la lista blanca de SAML
-
Descargue y edite los metadatos del proveedor de servicios para insertar cada dirección del servidor MSS como AssertionConsumerService e importe los metadatos actualizados en el proveedor de identidades de SAML. Por ejemplo:
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-loadbalancer:8443/mss/callback/SAML2Client" index="0"/> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-1:8443/mss/callback/SAML2Client" index="1"/> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-2:8443/mss/callback/SAML2Client" index="2"/> <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-3:8443/mss/callback/SAML2Client" index="3"/`
-
Ajuste el indicador de cookie SameSite en "None". Consulte Definición del atributo SameSite.
X.509
La Guía del administrador de MSS incluye instrucciones de configuración de X.509.
En cada caso, el certificado utilizado debe tener un Nombre alternativo del firmante (SAN) que contenga todos los nombres DNS del servidor MSS, junto con el nombre DNS del equilibrador de carga.
-
Compruebe que el cortafuegos del servidor MSS permita el tráfico HTTP en el puerto de autenticación mutua; 8003 es el valor por defecto.
-
En cada MSS:
- Sustituya el certificado de la entrada de motor servlet en los archivos
servletcontainer.bcfks
. - Sustituya el certificado de la entrada del sistema en los archivos
system-keystore.bcfks
.
- Sustituya el certificado de la entrada de motor servlet en los archivos
- Importe el certificado en el archivo
trustcerts.bcfks
de cada servidor de sesión como certificado de confianza. - Reinicie MSS y los servidores de sesión.
- Configure los equilibradores de carga de MSS y HACloud para la transferencia directa de TLS.
- Configure la autenticación X.509 como se documenta aquí: Cómo configurar la autenticación X.509.
Configuración de la lista de sesiones asignadas
Tiene la opción de usar la lista de sesiones asignadas para iniciar nuevas sesiones. Para ello, se necesita una configuración adicional:
-
Configure el equilibrador de carga de MSS para mantener primero el SESSIONID y, a continuación, las cookies JSESSIONID. Es importante configurar la persistencia en ese orden específico.
-
El acceso a la lista de sesiones asignadas debe realizarse a través del mismo equilibrador de carga de MSS que el servidor de sesión de HACloud utiliza para conectarse a MSS.
Más información: