3.4 Huella de distribución de alta disponibilidad

A continuación, se proporciona un ejemplo de cómo distribuir Host Access for the Cloud de forma segura y ampliable, y con alta disponibilidad. Aunque variarán los detalles de cada distribución, por ejemplo, es posible que distribuya tres o más servidores de sesión, el objetivo de este documento es proporcionar un punto de partida eficaz y dar respuesta a las preguntas de distribución más frecuentes.

3.4.1 Arquitectura

Esta distribución consta de:

  • Equilibrador de carga del servidor de sesión

  • Dos o más servidores de sesión

  • Equilibrador de carga del servidor MSS

  • Tres o más servidores MSS

  • Administrador de ID de Terminal

  • Servidor de gestión de identidades o LDAP

  • Host/sistema mainframe

Ventajas de la distribución

En este ejemplo, comprobará:

  • La capacidad de hasta 3.000 sesiones de host y de ampliación según se necesario.

  • La alta disponibilidad de servicios clave, minimizando los únicos puntos de fallo y distribuyendo la carga mediante equilibradores de carga.

  • La capacidad de gestionar simultáneamente el fallo de un servidor de sesión y MSS sin una reducción considerable del rendimiento del cliente Web debido a la capacidad de aumento integrada.

  • Opciones de autenticación y autorización de MSS

  • Comunicación segura a través de HTTPS

Pasos al realizar la distribución

Es recomendable que siga estos pasos al realizar la distribución:

  1. Obtenga información sobre los procedimientos básicos de distribución.

  2. Proporcione recursos en función de los requisitos del sistema y las directrices de ajuste de tamaño.

  3. Instale MSS y cree un clúster.

  4. Configure el equilibrador de carga de MSS.

  5. Instale los servidores de sesión.

  6. Configure el equilibrador de carga del servidor de sesión.

  7. Compruebe la distribución.

  8. Configure la entrada única (opcional).

  9. Configure el Administrador de ID de Terminal (opcional).

Ha aprendido los conceptos básicos de distribución, los requisitos del sistema y las directrices de ajuste de tamaño en las secciones anteriores.

Instalación de MSS

Instale tres servidores MSS y configure cada uno de ellos para la agrupación en clúster. Existe documentación que puede guiarle por este proceso:

  1. Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí..

  2. Instale MSS y, a continuación, los componentes de Host Access for the Cloud para MSS. Para ello, ejecute el programa de instalación de Host Access for the Cloud en cada servidor MSS.

  3. Añada cada servidor a un clúster.

  4. En cada servidor de MSS, configure los valores de configuración generales, los ajustes de seguridad y otras opciones según sea necesario.

Recursos adicionales:

Configuración de un equilibrador de carga de MSS

Como se describe en la sección Uso de equilibradores de carga de esta guía, utilice estos valores al configurar el equilibrador de carga de MSS para la alta disponibilidad:

  • Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).

  • Session persistence (Persistencia de sesión): habilitada; utilice la cookie JSESSIONID existente.

    • Como las cookies no se almacenan en el servidor de sesión cuando actúa como un cliente en MSS, el equilibrador de carga de MSS debe usar la cookie JSESSIONID existente o la dirección IP de origen (o algo similar) para la persistencia.

    • Si utiliza la lista de sesiones asignadas, consulte Configuración de la lista de sesiones asignadas (opcional) para obtener información adicional.

  • Health check endpoint (Puerto final de comprobación de estado): https://<servidor-de-mss>/mss/

  • TLS: configure TLS e instale los certificados según sea necesario.

Instalación de servidores de sesión

Instale dos o más servidores de sesión.

En cada servidor de sesión:

  1. Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí.

  2. Instale el servidor de sesión. Durante la instalación, opte por utilizar un servidor MSS remoto e introduzca la dirección y el puerto del equilibrador de carga de MSS.

  3. Importe el certificado del servidor de sesión en cada uno de los almacenes de confianza del subsistema de confianza de MSS: system-trustcerts.bcfks.

    SUGERENCIA:Esta acción se realiza automáticamente en el servidor MSS seleccionado por el equilibrador de carga durante la instalación, pero debe realizarse manualmente en los demás servidores. Es recomendable importar o verificar su presencia en cada servidor MSS.

  4. Instale cada certificado de MSS en el almacén de confianza del servidor de sesión: trustcerts.bcfks.

Recursos adicionales:

Configuración del equilibrador de carga del servidor de sesión

Utilice estos valores para configurar el equilibrador de carga:

  • Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).

  • Session persistence (Persistencia de sesión): habilitada; utilice JSESSIONID o una cookie nueva. A diferencia del equilibrador de carga de MSS, no es necesario que utilice la cookie JSESSIONID existente.

  • Health check endpoint: (Puesto final de comprobación de estado): https://<session-server>/actuator/health

    • En el servidor de sesión específico, tenga cuidado al configurar cómo determinar si un nodo ha fallado y qué hacer cuando se produzca este fallo. Si aún hay usuarios conectados a la instancia, esos usuarios pueden perder sus conexiones de host. Para evitar marcar una instancia como fallida demasiado pronto, considere la posibilidad de aumentar los tiempos de espera o el número de reintentos. Algunos equilibradores de carga proporcionan un "modo de purga", que permite a los usuarios existentes seguir conectados, pero que enviará a los nuevos usuarios a otras instancias.
  • TLS: configure TLS e instale los certificados según sea necesario.

Configuración de la dirección de devolución de llamada de MSS

MSS proporciona una dirección de devolución de llamada al servidor de sesión cada vez que crea o edita una sesión. Por defecto, se utiliza la dirección especificada en management.server.url.

Si el servidor de MSS está detrás de un apoderado (proxy) y el servidor de sesión no puede acceder a la dirección:

  • Defina la propiedad management.server.callback.address en cada archivo container.properties de MSS en una dirección a la que pueda acceder el servidor de sesión para una instancia de MSS específica.

    NOTA:Si se utiliza HTTP para que el servidor de sesión se conecte a la dirección de devolución de llamada de MSS, defina la propiedad management.server.callback.address.http en True (Verdadero) en el archivo·container.properties de cada servidor de sesión.

  • Reinicie el servidor para que se apliquen los nuevos valores de propiedades.

Verificación de la instalación

Tras instalar y configurar todos los componentes, deberá:

  • Entrar a la Consola Administrativa de MSS (a través del equilibrador de carga de MSS).

  • Desplácese a Gestionar sesiones > Añadir una nueva sesión y cree una sesión de prueba.

  • Asigne la sesión de prueba a un usuario de prueba.

  • Entre en el servidor de sesión como usuario de prueba a través del equilibrador de carga del servidor de sesión.

  • Compruebe que la sesión asignada esté disponible, se abra y se pueda conectar.

Configuración de la entrada única (opcional)

A continuación, se muestran algunas consideraciones adicionales que se deben tener en cuenta al configurar la entrada única en una distribución de alta disponibilidad.

SAML (Lenguaje de marcado de aserción de la seguridad)

  1. Importe el equilibrador de carga de MSS en el elemento servletcontainer.bcfks de cada servidor MSS como certificado de confianza.

  2. Actualice management.server.url en el archivo container.properties de cada servidor MSS para utilizar la dirección del equilibrador de cada MSS.

  3. Defina la propiedad management.server.callback.address en cada archivo container.properties de MSS en una dirección a la que pueda acceder el servidor de sesión para una instancia de MSS específica.

  4. Reinicie los servidores MSS.

  5. Entre en la Consola Administrativa del servidor MSS activo para configurar la autenticación SAML.

    • Confirme que el DNS del equilibrador de carga de MSS se utilice en el campo Assertion consumer service prefix URL (URL de prefijo del servicio de consumidor de aserción) y añada el DNS de los equilibradores de carga de MSS y Host Access for the Cloud en la lista blanca de SAML.
  6. Descargue y edite los metadatos del proveedor de servicios para insertar cada dirección del servidor MSS como AssertionConsumerService e importe los metadatos actualizados en el proveedor de identidades de SAML.

    Por ejemplo:

    <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-loadbalancer:8443/mss/callback/SAML2Client" index="0"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-1:8443/mss/callback/SAML2Client" index="1"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-2:8443/mss/callback/SAML2Client" index="2"/>
         <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-3:8443/mss/callback/SAML2Client" index="3"/

X.509

En cada caso, el certificado utilizado debe tener un Nombre alternativo del firmante (SAN) que contenga todos los nombres DNS del servidor MSS, junto con el nombre DNS del equilibrador de carga.

  1. Compruebe que el cortafuegos del servidor MSS permita el tráfico HTTP en el puerto de autenticación mutua; 8003 es el valor por defecto.

  2. En cada MSS:

    • Sustituya el certificado de la entrada de motor servlet en los archivos servletcontainer.bcfks.

    • Sustituya el certificado de la entrada del sistema en los archivos system-keystore.bcfks.

  3. Importe el certificado en cada servidor de sesión:

    • Archivo trustcerts.bcfks como un certificado de confianza.

  4. Reinicie MSS y los servidores de sesión.

  5. Configure los equilibradores de carga de MSS y HACloud para la transferencia directa de TLS.

  6. Configure la autenticación X.509, como se describe aquí: Configuración de la autenticación X.509.

Configuración de la lista de sesiones asignadas (opcional)

Para utilizar la lista de sesiones asignadas para lanzar nuevas sesiones, es necesario llevar a cabo una configuración adicional:

  • Configure el equilibrador de carga de MSS para mantener primero el SESSIONID y, a continuación, las cookies JSESSIONID. Es importante configurar la persistencia en ese orden específico.

  • El acceso a la lista de sesiones asignadas debe realizarse a través del mismo equilibrador de carga de MSS que el servidor de sesión de HACloud utiliza para conectarse a MSS.

Para obtener más información, consulte: