NetScaler的部署实验之四更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
应用型负载均衡 ALB,每月750个小时 15LCU
Digicert DV 证书 单域名,20个 3个月
简介:

更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

Citrix的DDC安装完成之后默认是同时接受80和443的请求的。我的实验过程会以443端口来进行,在有安全要求的生产环境中,有可能要求关闭80端口的监听及请求。这个过程在官方网站上面的eDoc里有介绍,我这里不作说明,也不会有实验过程阐述如何关闭DDC对80端口请求的响应。确有要求的自己去官方网站找。

在对NetScaler进行配置之前,首先要对DDC的证书做配置,否则两边的证书互不信任,SSL通信就无从谈起了。
在配置DDC的证书时有两个方法:IIS管理器或者证书控制台+PowerShell命令。我的实验过程会用IIS管理器来配置,图形界面比较简单。否则就得去注册表找DDC的borker的UUID,然后使用命令将证书与该UUID绑定(这会是一条有3~4行长度的命令)。除非你确实没有安装服务器角色组件的权限,否则就别难为自己了,IIS又快又方便,大不了装完证书再把IIS控制台卸了。

首先,为DDC安装IIS控制台,
attachimg.gif wKioL1SzpAHhptkaAAkcqYEaHlM807_small.jpg

1.jpg (370.07 KB)

2015-1-12 18:34



attachimg.gif wKiom1SzozqxTv9_AAmIHLRzqWE721_small.jpg

2.jpg (387.02 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAPyLXF4AAizuIFnKH8170_small.jpg

3.jpg (352.94 KB)

2015-1-12 18:34



顺带把.Net 3.5也装了,安装的时候注意指向.Net的安装文件路径,
attachimg.gif wKiom1SzozyyvNfxAAjzGRYCvvk379_small.jpg

4.jpg (362.96 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAWDqgARAAlmi_GmpG8837_small.jpg

5.jpg (380.08 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szoz7wL9XLAAnILu9PhBo597_small.jpg

6.jpg (396.25 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAfDHLmzAAkoe3CESaI377_small.jpg

7.jpg (163.25 KB)

2015-1-12 18:34



完成对所有DDC的IIS安装过程。
attachimg.gif wKiom1Szoz-RhhS2AAqPW72Vgjs267_small.jpg

8.jpg (416.98 KB)

2015-1-12 18:34




安装完成之后,打开DDC上的IIS管理控制台
attachimg.gif wKioL1SzpAjCsw3YAAiwWT9O95g042_small.jpg

9.jpg (343.35 KB)

2015-1-12 18:34



在IIS控制台里,打开“服务器名” -> Server Certificates,
attachimg.gif wKiom1Szo0Gx6_LnAAky1AfvTmo677_small.jpg

10.jpg (365.38 KB)

2015-1-12 18:34



在右边操作选项中选择“Import”,(这里的服务器证书同样是Wildcard证书)
attachimg.gif wKioL1SzpAqjh4nhAARRXdK8aic346_small.jpg

11.JPG (189.84 KB)

2015-1-12 18:34



选择带有私钥的服务器证书,并输入该证书导出时所设置的密码,
attachimg.gif wKiom1Szo0OAogckAAT2oUUdXLY135_small.jpg

12.JPG (214.72 KB)

2015-1-12 18:34



证书安装完毕后,去证书管理控制台检查证书是否有对应的私钥绑定。注意此处如果导入的证书没有对应的私钥绑定,这张证书对这台服务器是不生效的。实在不行就用IIS向授信根从新申请一张服务器证书吧。
attachimg.gif wKioL1SzpAvC6GixAAcgzgvmrf4866_small.jpg

13.JPG (301.21 KB)

2015-1-12 18:34



回到IIS控制台,将刚才导入的服务器证书与443端口作绑定,
attachimg.gif wKiom1Szo0TSXsd3AAlCCr1EM0k791_small.jpg

14.jpg (367.64 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpA3jV42LAAjjZrV47kg702_small.jpg

15.jpg (353.61 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szo0aRqeyyAAlVsSBhhXE934_small.jpg

16.jpg (371.18 KB)

2015-1-12 18:34



作绑定之后最好重启broker服务,保险起见可以将服务器重启一次。这样DDC的证书就安装好了。然后再所有DDC上重复上述证书的安装步骤,保证所有DDC的443端口都有对应的证书绑定。
先吃饭了,吃完再回来
继续继续,配置完DDC,就要开始NetScaler的配置过程了。
首先,登录到NetScaler的控制页面,依次点开“Traffic Management” -> "Load Balance" -> "Servers",在这里配置后端实际应用的服务器信息。因为NetScaler需要知道它在为哪些服务器作负载均衡。
attachimg.gif wKioL1SzzIXhasI9AAiyUodIXgY192_small.jpg

1.jpg (346.21 KB)

2015-1-12 21:27



点击“Add”,添加具体的服务器信息,在服务器地址这块,可以使用IP地址,也可以使用FQDN。如果是用服务器的FQDN,确保NetScaler能够正常联系DNS解析服务器的地址。
attachimg.gif wKioL1SzzIXDCxeYAAhCepxMhAk727_small.jpg

2.jpg (331.75 KB)

2015-1-12 21:27



重复上述步骤,添加所有DDC的服务器信息,
attachimg.gif wKiom1Szy77DGxd0AAjp8Tv-x2o447_small.jpg

3.jpg (354.09 KB)

2015-1-12 21:27



然后依次点开"Traffic Management" -> "Load Balance" -> "Monitor",在此处添加对DDC服务器上各项XenDesktop服务的监视器。在这里可以定制负载均衡服务如何对后端服务器应用服务或者服务器web页面进行健康检查。这个监视至器关重要,比如对于一个应用服务来说你如何确定服务是UP的状态,最简单的是ping包,也可以写正则表达式监视服务通信过程中的某个字段来确认服务的健康状态。而对于Web服务来说,可以检查服务器的responder返回了哪些内容来确认Web页面的健康状态。所有的这一切需要管理员自己来通过正则表达式来定义,不同的应用不同的web页面都有自己特殊的不同设置。而对于Citrix XenDesktop来说,NetScaler为我们定义了一套模板来对后端DDC服务器作健康检查。我印象中是从10.1版本开始有的。Thanks god。否则,光是写正则表达式就是个头疼的任务。
点击“Add”,添加DDC的监视器,
attachimg.gif wKioL1SzzIeigXsHAAnUGRsYXkA565_small.jpg

4.jpg (395.25 KB)

2015-1-12 21:27



输入监视器的名字,在"Type"选项中选择“CITRIX-XD-DDC”,
attachimg.gif wKiom1Szy8CyZsyHAAiZ6-RcUOk878_small.jpg

5.jpg (344.91 KB)

2015-1-12 21:27



在同一页面最下方勾选“Secure”,然后创建该监视器,
attachimg.gif wKioL1SzzIniDmfnAAc1JDygOGM373_small.jpg

6.jpg (292.33 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8HC4eU8AAlTM0Mdrxw219_small.jpg

7.jpg (382.12 KB)

2015-1-12 21:27



再次点开"Traffic Management" -> "Load Balance" -> "Services" -> "Add",添加后端DDC服务器的服务。负载均衡器使用这些服务有后端服务器进行通信,同时使用刚才创建的监视器对通信过程及结果进行筛选以确认后端服务器的健康状态。
attachimg.gif wKioL1SzzIvSJE5nAAhFtdtTxJQ179_small.jpg

8.jpg (333.21 KB)

2015-1-12 21:27



在创建服务页面,填入对应的服务名称,勾选”Exist Servers“,在”Server“条目选择刚才的创建的后端DDC服务器信息的其中一个,
attachimg.gif wKiom1Szy8OhUoERAAecY9D-qwc035_small.jpg

9.jpg (313.24 KB)

2015-1-12 21:27



在"Protocol"条目选择”SSL“
attachimg.gif wKioL1SzzIyyw_gBAAesPTI8eT8081_small.jpg

10.jpg (316.6 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8WDy5Y6AAd2wuUpitc017_small.jpg

11.jpg (140.51 KB)

2015-1-12 21:27



点击"OK",创建该服务。
attachimg.gif wKioL1SzzI7x-9kUAAh6Nb61HT0524_small.jpg

12.jpg (156.38 KB)

2015-1-12 21:27



点击该服务属性清单页面中的”Monitor“条目,将之前创建的DDC的监视器添加到该服务中来,
attachimg.gif wKiom1Szy8fDdxiaAAg2-gIYS2M002_small.jpg

13.jpg (343.46 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJCA6IgjAAZ8k8eZsxs424_small.jpg

14.jpg (268.86 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8jwPIEiAAZuxApRbMc425_small.jpg

15.jpg (268.8 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJHD9mi9AAfN664gyu0381_small.jpg

16.jpg (328.21 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8qghmtRAAZyHwUEAKM620_small.jpg

17.jpg (269.49 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJPBAlVEAAaECAbWd2U854_small.jpg

18.jpg (125.97 KB)

2015-1-12 21:27



之后点击右侧带+号的”Certificates“,
attachimg.gif wKiom1Szy8zw6LkPAAgRze4N1A0264_small.jpg

19.jpg (337.86 KB)

2015-1-12 21:27



当Certificates条目出现在负载均衡服务的清单中之后,添加之前章节中在NetScaler上面的创建的服务器证书及CA证书,用以保证负载均衡服务器与后端DDC之间的身份合法性,
attachimg.gif wKioL1SzzJXCAySWAAg6a6cXeDc410_small.jpg

20.jpg (345.74 KB)

2015-1-12 21:27



点击"CA Certiface"条目右侧的小箭头,添加CA证书,
attachimg.gif wKiom1Szy82yBrbvAAglOd2Uy94457_small.jpg

21.jpg (340.5 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJfghYdnAAZBoib-Ess351_small.jpg

22.jpg (259.08 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8-ymtHfAAajhgbP0bQ904_small.jpg

23.jpg (274.58 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJjQpKGeAAZE1bHmWQQ693_small.jpg

24.jpg (260 KB)

2015-1-12 21:27



点击"Client Certificate"条目右侧的小箭头,添加服务器证书,
attachimg.gif wKiom1Szy9GCKS5KAAgt5rNaKig502_small.jpg

25.jpg (341.2 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJrADwf2AAY84ldu7I4074_small.jpg

26.jpg (121.32 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy9OAVqORAAagBekHz-E904_small.jpg

27.jpg (275.04 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJyCbeAhAAY4yVCuUss460_small.jpg

28.jpg (121.04 KB)

2015-1-12 21:27



然后点击负载均衡服务清单页面的”Done",完成一条服务的配置。
attachimg.gif wKiom1Szy9Ty55QpAAgIx4pF2FI118_small.jpg

29.jpg (338.82 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJ2QwWiFAAext5s5tqg421_small.jpg

30.jpg (316.46 KB)

2015-1-12 21:27



之后,重复上述步骤完成对各台后端DDC的服务配置。注:每台DDC对应一条服务。 attachimg.gifwKiom1Sz0X2Spmj8AAiCnzKSEQQ229_small.jpg

31.jpg (150.33 KB)

2015-1-12 21:51




突然键盘失灵了,感觉到电脑有暴走的可能,先编辑一下把东西上传了吧。要不白做就崩溃了。

创建完所有DDC服务器对应的服务之后,创建DDC的负载均衡虚拟服务器,
依次点开"Traffic Management" -> "Load Balance" -> "Virtual Servers", 点击“Add"添加虚拟服务器
attachimg.gif wKioL1Sz0kaANEMBAAlUL6kdFrw385_small.jpg

32.jpg (389.88 KB)

2015-1-12 21:51



输入虚拟服务器的FQDN,IP地址,在"Protocol”条目选择“SSL”,然后点击创建
attachimg.gif wKiom1Sz0X_gdTsJAAmbIOGK8J8292_small.jpg

33.jpg (180.11 KB)

2015-1-12 21:51



在负载均衡虚拟服务器的清单页面,添加刚才创建的负载均衡服务
attachimg.gif wKioL1Sz0kiSjQ3UAAoRC7KcjSU366_small.jpg

34.jpg (411.52 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YCx-TWCAAkoIdNel3g386_small.jpg

35.jpg (170.58 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0krhmZ_VAAll1OP433Q545_small.jpg

36.jpg (171.69 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YLAswAbAAks_DxbDx8139_small.jpg

37.jpg (170.46 KB)

2015-1-12 21:51



添加完毕,点击“OK”完成负载均衡服务的装载,
attachimg.gif wKioL1Sz0kuzSKyfAAoOCLR3WNM871_small.jpg

38.jpg (185.81 KB)

2015-1-12 21:51


之后完成负载均衡虚拟服务器的证书配置,注意不要把CA证书和服务器证书装反了,
attachimg.gif wKiom1Sz0YTylGCJAApopuxtXPk682_small.jpg

39.jpg (428.02 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k3DOfLfAAkWTMJe5Jw607_small.jpg

40.jpg (168.49 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YWwso8OAAlzWmkaqys946_small.jpg

41.jpg (173.18 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k_Cof5vAAkVp53t5GM345_small.jpg

42.jpg (168.63 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YeBro0YAAphUXCjPW8906_small.jpg

43.jpg (426.85 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lDDgmgPAAkogX60OMU671_small.jpg

44.jpg (170.07 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0Ymi210yAAl-biDpHbc468_small.jpg

45.jpg (173.42 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lKgGZM9AAka8Ac0iJo491_small.jpg

46.jpg (169.16 KB)

2015-1-12 21:51



证书配置完毕,点击“OK” -> “Done",创建该负载均衡虚拟服务器
attachimg.gif wKiom1Sz0YugQm7WAApGD3fwmOc317_small.jpg

47.jpg (190.79 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lSBV56PAAodoaXFWjY290_small.jpg

48.jpg (190.41 KB)

2015-1-12 21:51



创建完毕,负载均衡虚拟服务器会根据所装载的服务及各个服务所装载的监视器对后端各个DDC进行健康检查和负载均衡。
attachimg.gif wKiom1Sz0YzDJhciAAnBSNeSGu8807_small.jpg

49.jpg (181.63 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lXQVxWbAAnHhalwe5Y266_small.jpg

50.jpg (181.36 KB)

2015-1-12 21:51


负载均衡虚拟服务器创建完毕之后,在活动目录DNS服务器上创建该虚拟服务器对应的A记录,
attachimg.gif wKiom1Sz1nLhRWFEAAnDzAespQ8623_small.jpg

51.jpg (182.42 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz1zvhfoA7AArVcsiqsWw393_small.jpg

52.jpg (198.03 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nTxQ2ctAArAbuAUqLc142_small.jpg

53.jpg (198.67 KB)

2015-1-12 22:13



随后,暂停一台DDC,以测试负载均衡器的健康检查功能是否生效,这直接决定了负载均衡功能的正常与否。
attachimg.gif wKioL1Sz1z2SLkWiAAXdj7ZofCA215_small.jpg

54.jpg (116.23 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nbhdk1kAAaPkRD4ZQ4919_small.jpg

55.jpg (127.77 KB)

2015-1-12 22:13



待DDC offline之后,回到NetScaler的负载均衡页面,检查负载均衡虚拟服务器的状态,
attachimg.gif wKioL1Sz1z_QCDboAAfswjbfhIA864_small.jpg

56.jpg (323.06 KB)

2015-1-12 22:13



如图所示,如果负载均衡器能够检查到后端DDC服务的异常,那么负载均衡虚拟服务器就能够在分发前端request的时候绕过故障服务器,保障业务的正常进行。
attachimg.gif wKiom1Sz1nfQ-5X1AAaBAorqTZk728_small.jpg

57.jpg (126.34 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz10CAzmnMAAcB10U2xYI476_small.jpg

58.jpg (133.41 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nmiSJ15AAf8R_AjfQc880_small.jpg

59.jpg (147.84 KB)

2015-1-12 22:13




至此,DDC的负载均衡已经配置完毕。在这个过程中,其实还有一块负载均衡概念中的重要内容没有涉及:“会话保持”。这块内容会在NetScaler Gateway或者StoreFront的负载均衡中配置。
会话保持的作用就是在有负载均衡的前提下,如何保持用户会话的请求给同一台服务器,而不会被负载均衡到其他服务器上。这个功能在我们日常生活中随时随地会遇到:网络支付页面。
后面的内容就是StoreFront了。

本文转自sandshell博客51CTO博客,原文链接http://blog.51cto.com/sandshell/1967611如需转载请自行联系原作者


sandshell

相关实践学习
SLB负载均衡实践
本场景通过使用阿里云负载均衡 SLB 以及对负载均衡 SLB 后端服务器 ECS 的权重进行修改,快速解决服务器响应速度慢的问题
负载均衡入门与产品使用指南
负载均衡(Server Load Balancer)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 本课程主要介绍负载均衡的相关技术以及阿里云负载均衡产品的使用方法。
相关文章
|
22天前
|
弹性计算 负载均衡 网络协议
配置SLB监听器
配置SLB监听器
88 63
|
19天前
|
弹性计算 负载均衡 监控
slb配置健康检查
slb配置健康检查
27 5
|
22天前
|
监控 负载均衡 容灾
slb测试配置
slb测试配置
29 5
|
28天前
|
域名解析 监控 网络协议
slb配置域名注意事项
slb配置域名注意事项
35 11
|
25天前
|
弹性计算 监控 负载均衡
slb部署使用路径规则进行更细粒度控制
slb部署使用路径规则进行更细粒度控制
26 7
|
22天前
|
负载均衡 前端开发 应用服务中间件
负载均衡指南:Nginx与HAProxy的配置与优化
负载均衡指南:Nginx与HAProxy的配置与优化
43 3
|
25天前
|
域名解析 监控 负载均衡
slb部署虚拟主机(Virtual Hosts)
slb部署虚拟主机(Virtual Hosts)
27 5
|
26天前
|
负载均衡 网络协议 安全
slb多站点或多域名部署
slb多站点或多域名部署
33 4
|
27天前
|
域名解析 监控 安全
slb配置检查域名说明注意事项
slb配置检查域名说明注意事项
29 5
|
27天前
|
负载均衡 安全 网络安全
slb配置健康检查域名
slb配置健康检查域名
26 4