Modelo de distribución de alta disponibilidad

A continuación, se proporciona un ejemplo de cómo distribuir Host Access for the Cloud de forma segura y ampliable, y con alta disponibilidad. Aunque variarán los detalles de cada distribución, por ejemplo, es posible que distribuya tres o más servidores de sesión, el objetivo de este documento es proporcionar un punto de partida eficaz y dar respuesta a las preguntas de distribución más frecuentes.

Arquitectura

diagrama

Esta distribución consta de:

Equilibrador de carga del servidor de sesión
Dos o más servidores de sesión
Equilibrador de carga del servidor MSS
Tres o más servidores MSS
Administrador de ID de Terminal
Servidor de gestión de identidades o LDAP
Host/sistema mainframe

Ventajas de la distribución

En este ejemplo, comprobará:

La capacidad de hasta 3.000 sesiones de host y de ampliación según se necesario.
La alta disponibilidad de servicios clave, minimizando los únicos puntos de fallo y distribuyendo la carga mediante equilibradores de carga.
La capacidad de gestionar simultáneamente el fallo de un servidor de sesión y MSS sin una reducción considerable del rendimiento del cliente Web debido a la capacidad de aumento integrada.
Opciones de autenticación y autorización de MSS
Comunicación segura a través de HTTPS

Pasos al realizar la distribución

Varios pasos de distribución requieren la configuración de la Consola Administrativa de MSS.

Es recomendable que siga estos pasos al realizar la distribución:

Obtenga información sobre los procedimientos básicos de distribución.
Proporcione recursos en función de los requisitos del sistema y las directrices de ajuste de tamaño.
Instale MSS y cree un clúster.
Configure el equilibrador de carga de MSS.
Instale los servidores de sesión.
Configure el equilibrador de carga del servidor de sesión.
Configurar la autenticación y la autorización
Compruebe la distribución.

Ha aprendido los conceptos básicos de distribución, los requisitos del sistema y las directrices de ajuste de tamaño en las secciones anteriores.

Instalación de MSS

Consulte la Guía de instalación de MSS para obtener instrucciones completas.

Instale tres servidores MSS y configure cada uno de ellos para la agrupación en clúster. Existe documentación que puede guiarle por este proceso:

Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí..
Instale MSS y, a continuación, los componentes de Host Access for the Cloud para MSS. Para ello, ejecute el programa de instalación de Host Access for the Cloud en cada servidor MSS.
Añada cada servidor a un clúster.
En cada servidor de MSS, configure los valores de configuración generales, los ajustes de seguridad y otras opciones según sea necesario.

Más información

Configuración de un equilibrador de carga de MSS

Los siguientes valores se utilizan para configurar el equilibrador de carga de MSS para la alta disponibilidad.

Como se describe en la sección Configuración del equilibrador de carga del servidor de sesión, utilice estos valores al utilizar el equilibrador de carga de MSS:

Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).
Session persistence (Persistencia de sesión): habilitada; utilice la cookie JSESSIONID existente.

Como las cookies no se almacenan en el servidor de sesión cuando actúa como un cliente en MSS, el equilibrador de carga de MSS debe usar la cookie JSESSIONID existente o la dirección IP de origen (o algo similar) para la persistencia.
Health check endpoint(Puesto final de comprobación de estado): https://<servidor-de-mss>/mss/
TLS: configure TLS e instale los certificados según sea necesario.

Instalación de servidores de sesión

Instale dos o más servidores de sesión.

En cada servidor de sesión:

Abra los puertos en el cortafuegos. Los puertos utilizados por MSS y Host Access for the Cloud se muestran aquí.
Instale el servidor de sesión. Durante la instalación, opte por utilizar un servidor MSS remoto e introduzca la dirección y el puerto del equilibrador de carga de MSS.
Importe el certificado del servidor de sesión en cada uno de los almacenes de confianza del subsistema de confianza de MSS: system-trustcerts.bcfks. Esta acción se realiza automáticamente en el servidor MSS seleccionado por el equilibrador de carga durante la instalación, pero debe realizarse manualmente en los demás servidores. Es recomendable importar o verificar su presencia en cada servidor MSS.

Más información

Configuración del equilibrador de carga del servidor de sesión

Utilice estos valores para configurar el equilibrador de carga:

Load balancing algorithm (Algoritmo de equilibrador de carga): el número mínimo de conexiones (o algo similar).
Session persistence (Persistencia de sesión): habilitada; utilice JSESSIONID o una cookie nueva. A diferencia del equilibrador de carga de MSS, no es necesario que utilice la cookie JSESSIONID existente.
Health check endpoint https://<session-server:7443>/actuator/health (Puesto final de comprobación de estado): en el servidor de sesión específico, tenga cuidado al configurar cómo determinar si un nodo ha fallado y qué hacer cuando se produzca este fallo. Si aún hay usuarios conectados a la instancia, esos usuarios pueden perder sus conexiones de host. Para evitar marcar una instancia como fallida demasiado pronto, considere la posibilidad de aumentar los tiempos de espera o el número de reintentos. Algunos equilibradores de carga proporcionan un "modo de purga", que permite a los usuarios existentes seguir conectados, pero que enviará a los nuevos usuarios a otras instancias.
TLS: configure TLS e instale los certificados según sea necesario.

Configuración de la autenticación y la autorización{ #configuring-authentication-and-authorization }

Consulte Autenticación y autorización para obtener más información sobre cómo elegir y configurar la autenticación y la autorización.

Verificación de la instalación

Tras instalar y configurar todos los componentes, deberá:

Entrar a la Consola Administrativa de MSS (a través del equilibrador de carga de MSS).
Desplácese a Gestionar sesiones > Añadir una nueva sesión y cree una sesión de prueba.
Asigne la sesión de prueba a un usuario de prueba.
Entre en el servidor de sesión como usuario de prueba a través del equilibrador de carga del servidor de sesión.
Compruebe que la sesión asignada esté disponible, se abra y se pueda conectar.

Configuración de la entrada única (opcional)

A continuación, se muestran algunas consideraciones adicionales que se deben tener en cuenta al configurar la entrada única en una distribución de alta disponibilidad.

SAML (Lenguaje de marcado de aserción de la seguridad)

La Guía del administrador de MSS incluye instrucciones de autenticación SAML.

Importe el equilibrador de carga de MSS en el elemento servletcontainer.bcfks de cada servidor MSS como certificado de confianza.
Actualice management.server.url en el archivo container.properties de cada servidor MSS para utilizar la dirección del equilibrador de cada MSS.
Defina la propiedad management.server.callback.address en cada archivo container.properties de MSS en una dirección a la que pueda acceder el servidor de sesión para una instancia de MSS específica.
Reinicie los servidores MSS.
Entre en la Consola Administrativa del servidor MSS activo para configurar la autenticación SAML. Confirme que el DNS del equilibrador de carga de MSS se utilice en el campo Assertion consumer service prefix URL (URL de prefijo del servicio de consumidor de aserción) y añada el DNS de los equilibradores de carga de MSS y Host Access for the Cloud en la lista blanca de SAML

Descargue y edite los metadatos del proveedor de servicios para insertar cada dirección del servidor MSS como AssertionConsumerService e importe los metadatos actualizados en el proveedor de identidades de SAML. Por ejemplo:

 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-loadbalancer:8443/mss/callback/SAML2Client" index="0"/> 
 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-1:8443/mss/callback/SAML2Client" index="1"/> 
 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-2:8443/mss/callback/SAML2Client" index="2"/> 
 <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://mss-server-3:8443/mss/callback/SAML2Client" index="3"/`

X.509

La Guía del administrador de MSS incluye instrucciones de configuración de X.509.

En cada caso, el certificado utilizado debe tener un Nombre alternativo del firmante (SAN) que contenga todos los nombres DNS del servidor MSS, junto con el nombre DNS del equilibrador de carga.

Compruebe que el cortafuegos del servidor MSS permita el tráfico HTTP en el puerto de autenticación mutua; 8003 es el valor por defecto.
En cada MSS:
- Sustituya el certificado de la entrada de motor servlet en los archivos servletcontainer.bcfks.
- Sustituya el certificado de la entrada del sistema en los archivos system-keystore.bcfks.
Importe el certificado en el archivo trustcerts.bcfks de cada servidor de sesión como certificado de confianza.
Reinicie MSS y los servidores de sesión.
Configure los equilibradores de carga de MSS y HACloud para la transferencia directa de TLS.
Configure la autenticación X.509 como se documenta aquí: Cómo configurar la autenticación X.509.

Configuración de la lista de sesiones asignadas

Tiene la opción de usar la lista de sesiones asignadas para iniciar nuevas sesiones. Para ello, se necesita una configuración adicional:

Configure el equilibrador de carga de MSS para mantener primero el SESSIONID y, a continuación, las cookies JSESSIONID. Es importante configurar la persistencia en ese orden específico.
El acceso a la lista de sesiones asignadas debe realizarse a través del mismo equilibrador de carga de MSS que el servidor de sesión de HACloud utiliza para conectarse a MSS.

Más información: