3.4 Beispielplan einer Hochverfügbarkeits-Bereitstellung

Nachfolgend wird an einem Beispiel die skalierbare und auf sichere Weise ausgeführte Hochverfügbarkeits-Bereitstellung von Host Access for the Cloud beschrieben. Die Details variieren je nach Bereitstellung. Ziel dieses Abschnitts ist es, einen bekanntermaßen guten Ausgangspunkt zu beschreiben und übliche Fragen in Bezug auf die Bereitstellung zu beantworten.

3.4.1 Architektur

Die Bereitstellung besteht aus folgenden Komponenten:

  • Sitzungsserver-Lastverteiler

  • Zwei Sitzungsserver

  • MSS-Lastverteiler

  • Drei MSS-Server

  • Terminal ID Manager

  • LDAP- oder Identitätsmanagement-Server

  • Host/Mainframe

Vorteile der Bereitstellung

An diesem Beispiel werden die folgenden Merkmale illustriert:

  • Kapazität für bis zu dreitausend Hostsitzungen und Möglichkeit zur Skalierung nach Bedarf

  • Hochverfügbarkeit der wesentlichen Services; Minimierung einzelner Ausfallpunkte und Verteilen der Last mittels Lastverteilern

  • Fähigkeit zur Bewältigung des gleichzeitigen Ausfalls eines Sitzungsservers und eines MSS ohne wesentliche Minderung der Leistung am Webclient, dank integriertem Toleranzbereich

  • Authentifizierungs- und Autorisierungsoptionen für MSS

  • Sichere Kommunikation über HTTPS

Bereitstellungsschritte

Wir empfehlen, zum Bereitstellen die folgenden Schritte zu befolgen:

  1. Grundlegendes Wissen zur Bereitstellung aneignen

  2. Ressourcen basierend auf den Systemanforderungen und den Leitlinien zur Ermittlung der Systemgröße bereitstellen

  3. MSS installieren und ein Cluster erstellen

  4. MSS-Lastverteiler konfigurieren

  5. Sitzungsserver installieren

  6. Sitzungsserver-Lastverteiler konfigurieren

  7. Bereitstellung überprüfen

  8. Single Sign-On konfigurieren (optional)

  9. Terminal ID Manager konfigurieren (optional)

Informationen zu den Grundlagen der Bereitstellung, zu den Systemanforderungen und zur Ermittlung der Systemgröße haben Sie bereits in den vorigen Abschnitten erhalten.

Installieren von MSS

Installieren Sie drei MSS-Server und konfigurieren Sie für jeden die Replikation. Die Dokumentation führt Sie durch den Prozess:

  1. Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet..

  2. Installieren Sie MSS und dann die Host Access for the Cloud-Komponenten für MSS, indem Sie das Host Access for the Cloud-Installationsprogramm auf jedem MSS-Server ausführen.

  3. Konfigurieren Sie für jeden Server die Replikation.

  4. Konfigurieren Sie auf jedem MSS-Server die allgemeinen Einstellungen, die Sicherheitseinstellungen und je nach Bedarf andere Einstellungen.

Weitere Ressourcen:

Konfigurieren eines MSS-Lastverteilers

Verwenden Sie wie im Abschnitt Verwenden eines Lastverteilers dieses Handbuchs beschrieben die folgenden Werte zum Konfigurieren des MSS-Lastverteilers:

  • Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)

  • Sitzungsbeständigkeit: aktiviert, vorhandenen JSESSIONID-Cookie verwenden

    • Weil Cookies auf dem Sitzungsserver nicht gespeichert werden, wenn dieser als Client für MSS fungiert, muss der MSS-Lastverteiler entweder den vorhandenen JSESSIONID-Cookie oder die Ursprungs-IP (bzw. einen ähnlichen Wert) zur Gewährleistung der Beständigkeit verwenden.
  • Systemdiagnose-Endpunkt: https://<MSS-Server/mss/

  • TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.

Installieren der Sitzungsserver

Installieren Sie zwei oder mehr Sitzungsserver.

Führen Sie für jeden Sitzungsserver die folgenden Schritte aus:

  1. Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet.

  2. Installieren Sie den Sitzungsserver. Wählen Sie während der Installation die Verwendung eines MSS-Remoteservers und geben Sie die Adresse und den Port des MSS-Lastverteilers ein.

  3. Importieren Sie das Sitzungsserverzertifikat in den Truststore jedes MSS-Servers: trustedascj.bcfks.

    TIPP:Auf dem MSS-Server, der während der Installation vom Lastverteiler gewählt wurde, erfolgt dies automatisch. Auf den anderen Servern muss dies jedoch manuell ausgeführt werden. Es empfiehlt sich, auf jedem MSS-Server das Zertifikat zu importieren oder das Vorhandensein des Zertifikats zu überprüfen.

Weitere Ressourcen:

Konfigurieren des Sitzungsserver-Lastverteilers

Verwenden Sie beim Konfigurieren des Lastverteilers die folgenden Einstellungen:

  • Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)

  • Sitzungsbeständigkeit: aktiviert, JSESSIONID oder einen neuen Cookie verwenden Im Gegensatz zum MSS-Lastverteiler ist es hier nicht erforderlich, den vorhandenen JSESSIONID-Cookie zu verwenden.

  • Systemdiagnose-Endpunkt: https://<Sitzungsserver>/actuator/health

    • Gehen Sie insbesondere für den Sitzungsserver mit Bedacht vor, während Sie konfigurieren, wie ein Knotenausfall ermittelt wird und was bei einem Ausfall geschehen soll. Wenn noch Benutzer mit der Instanz verbunden sind, verlieren diese Benutzer unter Umständen ihre Hostverbindungen. Um zu verhindern, dass eine Instanz vorzeitig als ausgefallen betrachtet wird, erwägen Sie höhere Werte für Zeitüberschreitungen und Wiederholungen. Einige Lastverteiler bieten einen Ausgleichmodus („drain mode“), bei dem vorhandene Benutzer verbunden bleiben können, neue Benutzer hingegen an andere Instanzen geleitet werden.
  • TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.

Konfigurieren der MSS-Callback-Adresse

MSS stellt dem Sitzungsserver bei jedem Erstellen oder Bearbeiten einer Sitzung eine Callback-Adresse bereit. Standardmäßig wird die in management.server.url angegebene Adresse verwendet.

Wenn sich der MSS-Server hinter einem Proxy befindet und der Sitzungsserver die Adresse nicht erreichen kann:

  • Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.

  • Wenn der Sitzungsserver mit HTTP eine Verbindung zur MSS-Callback-Adresse herstellt, legen Sie die Eigenschaft management.server.callback.address.http auf True (wahr) fest.

  • Starten Sie den Server neu, um die neuen Eigenschaftswerte zu übernehmen.

Überprüfen der Installation

Führen Sie die folgenden Schritte aus, nachdem Sie alle Komponenten installiert und konfiguriert haben:

  • Melden Sie sich (über den MSS-Lastverteiler) bei der MSS-Verwaltungskonsole an.

  • Wechseln Sie zu „Manage Sessions > Add a New Session“ (Sitzungen verwalten > Neue Sitzung hinzufügen) und erstellen Sie eine Testsitzung.

  • Weisen Sie die Testsitzung einem Benutzer zu.

  • Melden Sie sich als Testbenutzer über den Sitzungsserver-Lastverteiler beim Sitzungsserver an.

  • Überprüfen Sie, ob die zugewiesene Sitzung verfügbar ist, geöffnet werden kann und eine Verbindung herstellen kann.

Konfigurieren von Single Sign-On (optional)

Im Folgenden werden einige zusätzliche Überlegungen erläutert, die beim Konfigurieren von Single Sign-On für eine Hochverfügbarkeits-Bereitstellung von Bedeutung sind.

SAML (Security Assertion Markup Language)

Das MSS-Administratorhandbuch enthält Anweisungen zur SAML-Authentifizierung.

  1. Importieren Sie das MSS-Lastverteilerzertifikat als verbürgtes Zertifikat in jeden MSS-Keystore servletcontainer.bcfks.

  2. Aktualisieren Sie management.server.url in jeder MSS-Datei container.properties auf die MSS-Lastverteileradresse.

  3. Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.

  4. Starten Sie die MSS-Server neu.

  5. Melden Sie sich bei der Verwaltungskonsole des aktiven MSS-Servers an, um die SAML-Authentifizierung zu konfigurieren.

    • Überprüfen Sie, ob das MSS-Lastverteiler-DNS im Feld Assertion consumer service prefix URL (Assertionsverbraucherdienst-Präfix-URL) verwendet wird, und fügen Sie den MSS- und Host Access for the Cloud-Lastverteiler-DNS zur SAML-Positivliste hinzu.

X.509

Das MSS-Administratorhandbuch enthält Anweisungen zur X.509-Authentifizierung.

In jedem Fall muss das verwendete Zertifikat über einen alternativen Antragstellernamen (SAN, Subject Alternative Name) verfügen, der alle DNS-Namen der MSS-Server und den DNS-Namen des Lastverteilers enthält.

  1. Überprüfen Sie, ob die Firewall auf dem MSS-Server HTTP-Verkehr über den Port für beiderseitige Authentifizierung zulässt. Standardmäßig ist dies Port 8003.

  2. Führen Sie auf jedem MSS die folgenden Schritte aus:

    • Ersetzen Sie das Zertifikat des Servlet-Engine-Eintrags in den servletcontainer.bcfks-Dateien.

    • Ersetzen Sie das Zertifikat des Systemeintrags in den system-keystore.bcfks-Dateien.

  3. Importieren Sie das Zertifikat als verbürgtes Zertifikat:

    • in die Datei trustcerts.bcfks jedes Sitzungsservers.

  4. Starten Sie MSS und die Sitzungsserver neu.

  5. Konfigurieren Sie den MSS- und den Host Access for Cloud-Lastverteiler zur Verwendung von TLS-Passthrough.

  6. Konfigurieren Sie die X.509-Authentifizierung wie unter Konfigurieren der X.509-Authentifizierung dokumentiert.