3.4 Beispielplan einer Hochverfügbarkeits-Bereitstellung

Nachfolgend wird an einem Beispiel die skalierbare und auf sichere Weise ausgeführte Hochverfügbarkeits-Bereitstellung von Host Access for the Cloud beschrieben. Während die Details jeder Bereitstellung variieren (Sie können beispielsweise drei oder mehr Sitzungsserver bereitstellen), ist das Ziel hier, einen bekannt guten Ausgangspunkt zu beschreiben und allgemeine Fragen zur Bereitstellung zu beantworten.

3.4.1 Architektur

Die Bereitstellung besteht aus folgenden Komponenten:

  • Sitzungsserver-Lastverteiler

  • Zwei oder mehr Sitzungsserver

  • MSS-Lastverteiler

  • Drei oder mehr MSS-Server

  • Terminal ID Manager

  • LDAP- oder Identitätsmanagement-Server

  • Host/Mainframe

Vorteile der Bereitstellung

An diesem Beispiel werden die folgenden Merkmale illustriert:

  • Kapazität für bis zu dreitausend Hostsitzungen und Möglichkeit zur Skalierung nach Bedarf

  • Hochverfügbarkeit der wesentlichen Services; Minimierung einzelner Ausfallpunkte und Verteilen der Last mittels Lastverteilern

  • Fähigkeit zur Bewältigung des gleichzeitigen Ausfalls eines Sitzungsservers und eines MSS ohne wesentliche Minderung der Leistung am Webclient, dank integriertem Toleranzbereich

  • Authentifizierungs- und Autorisierungsoptionen für MSS

  • Sichere Kommunikation über HTTPS

Bereitstellungsschritte

Wir empfehlen, zum Bereitstellen die folgenden Schritte zu befolgen:

  1. Grundlegendes Wissen zur Bereitstellung aneignen

  2. Ressourcen basierend auf den Systemanforderungen und den Leitlinien zur Ermittlung der Systemgröße bereitstellen

  3. MSS installieren und ein Cluster erstellen

  4. MSS-Lastverteiler konfigurieren

  5. Sitzungsserver installieren

  6. Sitzungsserver-Lastverteiler konfigurieren

  7. Bereitstellung überprüfen

  8. Single Sign-On konfigurieren (optional)

  9. Terminal ID Manager konfigurieren (optional)

Informationen zu den Grundlagen der Bereitstellung, zu den Systemanforderungen und zur Ermittlung der Systemgröße haben Sie bereits in den vorigen Abschnitten erhalten.

Installieren von MSS

Installieren Sie drei MSS-Server und konfigurieren Sie jeden zum Clustering. Die Dokumentation führt Sie durch den Prozess:

  1. Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet..

  2. Installieren Sie MSS und dann die Host Access for the Cloud-Komponenten für MSS, indem Sie das Host Access for the Cloud-Installationsprogramm auf jedem MSS-Server ausführen.

  3. Fügen Sie jeden Server zu einem Cluster hinzu.

  4. Konfigurieren Sie auf jedem MSS-Server die allgemeinen Einstellungen, die Sicherheitseinstellungen und je nach Bedarf andere Einstellungen.

Weitere Ressourcen:

Konfigurieren eines MSS-Lastverteilers

Verwenden Sie wie im Abschnitt Verwenden eines Lastverteilers dieses Handbuchs beschrieben die folgenden Werte zum Konfigurieren des MSS-Lastverteilers für die Hochverfügbarkeit:

  • Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)

  • Sitzungsbeständigkeit: aktiviert, vorhandenen JSESSIONID-Cookie verwenden

    • Weil Cookies auf dem Sitzungsserver nicht gespeichert werden, wenn dieser als Client für MSS fungiert, muss der MSS-Lastverteiler entweder den vorhandenen JSESSIONID-Cookie oder die Ursprungs-IP (bzw. einen ähnlichen Wert) zur Gewährleistung der Beständigkeit verwenden.

    • Falls Sie die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) verwenden, beachten Sie die weiteren Informationen in Konfigurieren der Liste „Assigned Sessions“ (Zugewiesene Sitzungen) (optional).

  • Systemdiagnose-Endpunkt: https://<MSS-Server/mss/

  • TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.

Installieren der Sitzungsserver

Installieren Sie zwei oder mehr Sitzungsserver.

Führen Sie für jeden Sitzungsserver die folgenden Schritte aus:

  1. Öffnen Sie die Ports in der Firewall. Die von MSS und Host Access for the Cloud verwendeten Ports sind hier aufgelistet.

  2. Installieren Sie den Sitzungsserver. Wählen Sie während der Installation die Verwendung eines MSS-Remoteservers und geben Sie die Adresse und den Port des MSS-Lastverteilers ein.

  3. Importieren Sie das Sitzungserverzertifikat in den Truststore jedes vertrauenswürdigen MSS-Teilsystems: system-trustcerts.bcfks.

    TIPP:Auf dem MSS-Server, der während der Installation vom Lastverteiler gewählt wurde, erfolgt dies automatisch. Auf den anderen Servern muss dies jedoch manuell ausgeführt werden. Es empfiehlt sich, auf jedem MSS-Server das Zertifikat zu importieren oder das Vorhandensein des Zertifikats zu überprüfen.

  4. Installieren Sie jedes MSS-Zertifikat im Truststore des Sitzungsservers: trustcerts.bcfks.

Weitere Ressourcen:

Konfigurieren des Sitzungsserver-Lastverteilers

Verwenden Sie beim Konfigurieren des Lastverteilers die folgenden Einstellungen:

  • Lastausgleichalgorithmus: geringste Anzahl an Verbindungen (oder ähnliche Einstellung)

  • Sitzungsbeständigkeit: aktiviert, JSESSIONID oder einen neuen Cookie verwenden Im Gegensatz zum MSS-Lastverteiler ist es hier nicht erforderlich, den vorhandenen JSESSIONID-Cookie zu verwenden.

  • Systemdiagnose-Endpunkt: https://<Sitzungsserver>/actuator/health

    • Gehen Sie insbesondere für den Sitzungsserver mit Bedacht vor, während Sie konfigurieren, wie ein Knotenausfall ermittelt wird und was bei einem Ausfall geschehen soll. Wenn noch Benutzer mit der Instanz verbunden sind, verlieren diese Benutzer unter Umständen ihre Hostverbindungen. Um zu verhindern, dass eine Instanz vorzeitig als ausgefallen betrachtet wird, erwägen Sie höhere Werte für Zeitüberschreitungen und Wiederholungen. Einige Lastverteiler bieten einen Ausgleichmodus („drain mode“), bei dem vorhandene Benutzer verbunden bleiben können, neue Benutzer hingegen an andere Instanzen geleitet werden.
  • TLS: Konfigurieren Sie TLS und installieren Sie je nach Bedarf Zertifikate.

Konfigurieren der MSS-Callback-Adresse

MSS stellt dem Sitzungsserver bei jedem Erstellen oder Bearbeiten einer Sitzung eine Callback-Adresse bereit. Standardmäßig wird die in management.server.url angegebene Adresse verwendet.

Wenn sich der MSS-Server hinter einem Proxy befindet und der Sitzungsserver die Adresse nicht erreichen kann:

  • Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.

    HINWEIS:Wenn der Sitzungsserver mit HTTP eine Verbindung zur MSS-Callback-Adresse herstellt, legen Sie in der Datei container.properties jedes Sitzungsservers die Eigenschaft management.server.callback.address.http auf True (wahr) fest.

  • Starten Sie den Server neu, um die neuen Eigenschaftswerte zu übernehmen.

Überprüfen der Installation

Führen Sie die folgenden Schritte aus, nachdem Sie alle Komponenten installiert und konfiguriert haben:

  • Melden Sie sich (über den MSS-Lastverteiler) bei der MSS-Verwaltungskonsole an.

  • Wechseln Sie zu „Manage Sessions > Add a New Session“ (Sitzungen verwalten > Neue Sitzung hinzufügen) und erstellen Sie eine Testsitzung.

  • Weisen Sie die Testsitzung einem Benutzer zu.

  • Melden Sie sich als Testbenutzer über den Sitzungsserver-Lastverteiler beim Sitzungsserver an.

  • Überprüfen Sie, ob die zugewiesene Sitzung verfügbar ist, geöffnet werden kann und eine Verbindung herstellen kann.

Konfigurieren von Single Sign-On (optional)

Im Folgenden werden einige zusätzliche Überlegungen erläutert, die beim Konfigurieren von Single Sign-On für eine Hochverfügbarkeits-Bereitstellung von Bedeutung sind.

SAML (Security Assertion Markup Language)

  1. Importieren Sie das MSS-Lastverteilerzertifikat als verbürgtes Zertifikat in jeden MSS-Keystore servletcontainer.bcfks.

  2. Aktualisieren Sie management.server.url in jeder MSS-Datei container.properties auf die MSS-Lastverteileradresse.

  3. Legen Sie die Eigenschaft management.server.callback.address in jeder MSS-Datei container.properties auf eine Adresse fest, die der Sitzungsserver für eine bestimmte MSS-Instanz erreichen kann.

  4. Starten Sie die MSS-Server neu.

  5. Melden Sie sich bei der Verwaltungskonsole des aktiven MSS-Servers an, um die SAML-Authentifizierung zu konfigurieren.

    • Überprüfen Sie, ob das MSS-Lastverteiler-DNS im Feld Assertion consumer service prefix URL (Assertionsverbraucherdienst-Präfix-URL) verwendet wird, und fügen Sie den MSS- und Host Access for the Cloud-Lastverteiler-DNS zur SAML-Positivliste hinzu.
  6. Laden Sie die Metadaten des Service-Anbieters herunter und bearbeiten Sie sie, um jede MSS-Serveradresse als AssertionConsumerService einzufügen. Importieren Sie die aktualisierten Metadaten in den SAML-Identitätsanbieter.

    Beispiel:

    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-loadbalancer:8443/mss/callback/SAML2Client" index="0"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-1:8443/mss/callback/SAML2Client" index="1"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-2:8443/mss/callback/SAML2Client" index="2"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-3:8443/mss/callback/SAML2Client" index="3"/

X.509

In jedem Fall muss das verwendete Zertifikat über einen alternativen Antragstellernamen (SAN, Subject Alternative Name) verfügen, der alle DNS-Namen der MSS-Server und den DNS-Namen des Lastverteilers enthält.

  1. Überprüfen Sie, ob die Firewall auf dem MSS-Server HTTP-Verkehr über den Port für beiderseitige Authentifizierung zulässt. Standardmäßig ist dies Port 8003.

  2. Führen Sie auf jedem MSS die folgenden Schritte aus:

    • Ersetzen Sie das Zertifikat des Servlet-Engine-Eintrags in den servletcontainer.bcfks-Dateien.

    • Ersetzen Sie das Zertifikat des Systemeintrags in den system-keystore.bcfks-Dateien.

  3. Importieren Sie das Zertifikat als verbürgtes Zertifikat:

    • in die Datei trustcerts.bcfks jedes Sitzungsservers.

  4. Starten Sie MSS und die Sitzungsserver neu.

  5. Konfigurieren Sie den MSS- und den HACloud-Lastverteiler zur Verwendung von TLS-Passthrough.

  6. Konfigurieren Sie die X.509-Authentifizierung wie unter Konfigurieren der X.509-Authentifizierung dokumentiert.

Konfigurieren der Liste „Assigned Sessions“ (Zugewiesene Sitzungen) (optional)

Um die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) zum Starten neuer Sitzungen zu verwenden, ist eine zusätzliche Konfiguration erforderlich:

  • Konfigurieren Sie den MSS-Lastverteiler so, dass zuerst SESSIONID und dann die JSESSIONID-Cookies angehängt werden. Die Stickiness muss in dieser spezifischen Reihenfolge konfiguriert werden.

  • Der Zugriff auf die Liste „Assigned Sessions“ (Zugewiesene Sitzungen) muss über den gleichen MSS-Lastverteiler erfolgen, über den auch der HACloud-Sitzungsserver eine Verbindung zu MSS herstellt.

Weitere Informationen hierzu finden Sie unter: