NetScaler的部署实验之四更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置-阿里云开发者社区

开发者社区> 科技探索者> 正文

NetScaler的部署实验之四更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

简介:
+关注继续查看

更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

Citrix的DDC安装完成之后默认是同时接受80和443的请求的。我的实验过程会以443端口来进行,在有安全要求的生产环境中,有可能要求关闭80端口的监听及请求。这个过程在官方网站上面的eDoc里有介绍,我这里不作说明,也不会有实验过程阐述如何关闭DDC对80端口请求的响应。确有要求的自己去官方网站找。

在对NetScaler进行配置之前,首先要对DDC的证书做配置,否则两边的证书互不信任,SSL通信就无从谈起了。
在配置DDC的证书时有两个方法:IIS管理器或者证书控制台+PowerShell命令。我的实验过程会用IIS管理器来配置,图形界面比较简单。否则就得去注册表找DDC的borker的UUID,然后使用命令将证书与该UUID绑定(这会是一条有3~4行长度的命令)。除非你确实没有安装服务器角色组件的权限,否则就别难为自己了,IIS又快又方便,大不了装完证书再把IIS控制台卸了。

首先,为DDC安装IIS控制台,
attachimg.gif wKioL1SzpAHhptkaAAkcqYEaHlM807_small.jpg

1.jpg (370.07 KB)

2015-1-12 18:34



attachimg.gif wKiom1SzozqxTv9_AAmIHLRzqWE721_small.jpg

2.jpg (387.02 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAPyLXF4AAizuIFnKH8170_small.jpg

3.jpg (352.94 KB)

2015-1-12 18:34



顺带把.Net 3.5也装了,安装的时候注意指向.Net的安装文件路径,
attachimg.gif wKiom1SzozyyvNfxAAjzGRYCvvk379_small.jpg

4.jpg (362.96 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAWDqgARAAlmi_GmpG8837_small.jpg

5.jpg (380.08 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szoz7wL9XLAAnILu9PhBo597_small.jpg

6.jpg (396.25 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAfDHLmzAAkoe3CESaI377_small.jpg

7.jpg (163.25 KB)

2015-1-12 18:34



完成对所有DDC的IIS安装过程。
attachimg.gif wKiom1Szoz-RhhS2AAqPW72Vgjs267_small.jpg

8.jpg (416.98 KB)

2015-1-12 18:34




安装完成之后,打开DDC上的IIS管理控制台
attachimg.gif wKioL1SzpAjCsw3YAAiwWT9O95g042_small.jpg

9.jpg (343.35 KB)

2015-1-12 18:34



在IIS控制台里,打开“服务器名” -> Server Certificates,
attachimg.gif wKiom1Szo0Gx6_LnAAky1AfvTmo677_small.jpg

10.jpg (365.38 KB)

2015-1-12 18:34



在右边操作选项中选择“Import”,(这里的服务器证书同样是Wildcard证书)
attachimg.gif wKioL1SzpAqjh4nhAARRXdK8aic346_small.jpg

11.JPG (189.84 KB)

2015-1-12 18:34



选择带有私钥的服务器证书,并输入该证书导出时所设置的密码,
attachimg.gif wKiom1Szo0OAogckAAT2oUUdXLY135_small.jpg

12.JPG (214.72 KB)

2015-1-12 18:34



证书安装完毕后,去证书管理控制台检查证书是否有对应的私钥绑定。注意此处如果导入的证书没有对应的私钥绑定,这张证书对这台服务器是不生效的。实在不行就用IIS向授信根从新申请一张服务器证书吧。
attachimg.gif wKioL1SzpAvC6GixAAcgzgvmrf4866_small.jpg

13.JPG (301.21 KB)

2015-1-12 18:34



回到IIS控制台,将刚才导入的服务器证书与443端口作绑定,
attachimg.gif wKiom1Szo0TSXsd3AAlCCr1EM0k791_small.jpg

14.jpg (367.64 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpA3jV42LAAjjZrV47kg702_small.jpg

15.jpg (353.61 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szo0aRqeyyAAlVsSBhhXE934_small.jpg

16.jpg (371.18 KB)

2015-1-12 18:34



作绑定之后最好重启broker服务,保险起见可以将服务器重启一次。这样DDC的证书就安装好了。然后再所有DDC上重复上述证书的安装步骤,保证所有DDC的443端口都有对应的证书绑定。
先吃饭了,吃完再回来
继续继续,配置完DDC,就要开始NetScaler的配置过程了。
首先,登录到NetScaler的控制页面,依次点开“Traffic Management” -> "Load Balance" -> "Servers",在这里配置后端实际应用的服务器信息。因为NetScaler需要知道它在为哪些服务器作负载均衡。
attachimg.gif wKioL1SzzIXhasI9AAiyUodIXgY192_small.jpg

1.jpg (346.21 KB)

2015-1-12 21:27



点击“Add”,添加具体的服务器信息,在服务器地址这块,可以使用IP地址,也可以使用FQDN。如果是用服务器的FQDN,确保NetScaler能够正常联系DNS解析服务器的地址。
attachimg.gif wKioL1SzzIXDCxeYAAhCepxMhAk727_small.jpg

2.jpg (331.75 KB)

2015-1-12 21:27



重复上述步骤,添加所有DDC的服务器信息,
attachimg.gif wKiom1Szy77DGxd0AAjp8Tv-x2o447_small.jpg

3.jpg (354.09 KB)

2015-1-12 21:27



然后依次点开"Traffic Management" -> "Load Balance" -> "Monitor",在此处添加对DDC服务器上各项XenDesktop服务的监视器。在这里可以定制负载均衡服务如何对后端服务器应用服务或者服务器web页面进行健康检查。这个监视至器关重要,比如对于一个应用服务来说你如何确定服务是UP的状态,最简单的是ping包,也可以写正则表达式监视服务通信过程中的某个字段来确认服务的健康状态。而对于Web服务来说,可以检查服务器的responder返回了哪些内容来确认Web页面的健康状态。所有的这一切需要管理员自己来通过正则表达式来定义,不同的应用不同的web页面都有自己特殊的不同设置。而对于Citrix XenDesktop来说,NetScaler为我们定义了一套模板来对后端DDC服务器作健康检查。我印象中是从10.1版本开始有的。Thanks god。否则,光是写正则表达式就是个头疼的任务。
点击“Add”,添加DDC的监视器,
attachimg.gif wKioL1SzzIeigXsHAAnUGRsYXkA565_small.jpg

4.jpg (395.25 KB)

2015-1-12 21:27



输入监视器的名字,在"Type"选项中选择“CITRIX-XD-DDC”,
attachimg.gif wKiom1Szy8CyZsyHAAiZ6-RcUOk878_small.jpg

5.jpg (344.91 KB)

2015-1-12 21:27



在同一页面最下方勾选“Secure”,然后创建该监视器,
attachimg.gif wKioL1SzzIniDmfnAAc1JDygOGM373_small.jpg

6.jpg (292.33 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8HC4eU8AAlTM0Mdrxw219_small.jpg

7.jpg (382.12 KB)

2015-1-12 21:27



再次点开"Traffic Management" -> "Load Balance" -> "Services" -> "Add",添加后端DDC服务器的服务。负载均衡器使用这些服务有后端服务器进行通信,同时使用刚才创建的监视器对通信过程及结果进行筛选以确认后端服务器的健康状态。
attachimg.gif wKioL1SzzIvSJE5nAAhFtdtTxJQ179_small.jpg

8.jpg (333.21 KB)

2015-1-12 21:27



在创建服务页面,填入对应的服务名称,勾选”Exist Servers“,在”Server“条目选择刚才的创建的后端DDC服务器信息的其中一个,
attachimg.gif wKiom1Szy8OhUoERAAecY9D-qwc035_small.jpg

9.jpg (313.24 KB)

2015-1-12 21:27



在"Protocol"条目选择”SSL“
attachimg.gif wKioL1SzzIyyw_gBAAesPTI8eT8081_small.jpg

10.jpg (316.6 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8WDy5Y6AAd2wuUpitc017_small.jpg

11.jpg (140.51 KB)

2015-1-12 21:27



点击"OK",创建该服务。
attachimg.gif wKioL1SzzI7x-9kUAAh6Nb61HT0524_small.jpg

12.jpg (156.38 KB)

2015-1-12 21:27



点击该服务属性清单页面中的”Monitor“条目,将之前创建的DDC的监视器添加到该服务中来,
attachimg.gif wKiom1Szy8fDdxiaAAg2-gIYS2M002_small.jpg

13.jpg (343.46 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJCA6IgjAAZ8k8eZsxs424_small.jpg

14.jpg (268.86 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8jwPIEiAAZuxApRbMc425_small.jpg

15.jpg (268.8 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJHD9mi9AAfN664gyu0381_small.jpg

16.jpg (328.21 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8qghmtRAAZyHwUEAKM620_small.jpg

17.jpg (269.49 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJPBAlVEAAaECAbWd2U854_small.jpg

18.jpg (125.97 KB)

2015-1-12 21:27



之后点击右侧带+号的”Certificates“,
attachimg.gif wKiom1Szy8zw6LkPAAgRze4N1A0264_small.jpg

19.jpg (337.86 KB)

2015-1-12 21:27



当Certificates条目出现在负载均衡服务的清单中之后,添加之前章节中在NetScaler上面的创建的服务器证书及CA证书,用以保证负载均衡服务器与后端DDC之间的身份合法性,
attachimg.gif wKioL1SzzJXCAySWAAg6a6cXeDc410_small.jpg

20.jpg (345.74 KB)

2015-1-12 21:27



点击"CA Certiface"条目右侧的小箭头,添加CA证书,
attachimg.gif wKiom1Szy82yBrbvAAglOd2Uy94457_small.jpg

21.jpg (340.5 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJfghYdnAAZBoib-Ess351_small.jpg

22.jpg (259.08 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8-ymtHfAAajhgbP0bQ904_small.jpg

23.jpg (274.58 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJjQpKGeAAZE1bHmWQQ693_small.jpg

24.jpg (260 KB)

2015-1-12 21:27



点击"Client Certificate"条目右侧的小箭头,添加服务器证书,
attachimg.gif wKiom1Szy9GCKS5KAAgt5rNaKig502_small.jpg

25.jpg (341.2 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJrADwf2AAY84ldu7I4074_small.jpg

26.jpg (121.32 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy9OAVqORAAagBekHz-E904_small.jpg

27.jpg (275.04 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJyCbeAhAAY4yVCuUss460_small.jpg

28.jpg (121.04 KB)

2015-1-12 21:27



然后点击负载均衡服务清单页面的”Done",完成一条服务的配置。
attachimg.gif wKiom1Szy9Ty55QpAAgIx4pF2FI118_small.jpg

29.jpg (338.82 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJ2QwWiFAAext5s5tqg421_small.jpg

30.jpg (316.46 KB)

2015-1-12 21:27



之后,重复上述步骤完成对各台后端DDC的服务配置。注:每台DDC对应一条服务。 attachimg.gifwKiom1Sz0X2Spmj8AAiCnzKSEQQ229_small.jpg

31.jpg (150.33 KB)

2015-1-12 21:51




突然键盘失灵了,感觉到电脑有暴走的可能,先编辑一下把东西上传了吧。要不白做就崩溃了。

创建完所有DDC服务器对应的服务之后,创建DDC的负载均衡虚拟服务器,
依次点开"Traffic Management" -> "Load Balance" -> "Virtual Servers", 点击“Add"添加虚拟服务器
attachimg.gif wKioL1Sz0kaANEMBAAlUL6kdFrw385_small.jpg

32.jpg (389.88 KB)

2015-1-12 21:51



输入虚拟服务器的FQDN,IP地址,在"Protocol”条目选择“SSL”,然后点击创建
attachimg.gif wKiom1Sz0X_gdTsJAAmbIOGK8J8292_small.jpg

33.jpg (180.11 KB)

2015-1-12 21:51



在负载均衡虚拟服务器的清单页面,添加刚才创建的负载均衡服务
attachimg.gif wKioL1Sz0kiSjQ3UAAoRC7KcjSU366_small.jpg

34.jpg (411.52 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YCx-TWCAAkoIdNel3g386_small.jpg

35.jpg (170.58 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0krhmZ_VAAll1OP433Q545_small.jpg

36.jpg (171.69 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YLAswAbAAks_DxbDx8139_small.jpg

37.jpg (170.46 KB)

2015-1-12 21:51



添加完毕,点击“OK”完成负载均衡服务的装载,
attachimg.gif wKioL1Sz0kuzSKyfAAoOCLR3WNM871_small.jpg

38.jpg (185.81 KB)

2015-1-12 21:51


之后完成负载均衡虚拟服务器的证书配置,注意不要把CA证书和服务器证书装反了,
attachimg.gif wKiom1Sz0YTylGCJAApopuxtXPk682_small.jpg

39.jpg (428.02 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k3DOfLfAAkWTMJe5Jw607_small.jpg

40.jpg (168.49 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YWwso8OAAlzWmkaqys946_small.jpg

41.jpg (173.18 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k_Cof5vAAkVp53t5GM345_small.jpg

42.jpg (168.63 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YeBro0YAAphUXCjPW8906_small.jpg

43.jpg (426.85 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lDDgmgPAAkogX60OMU671_small.jpg

44.jpg (170.07 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0Ymi210yAAl-biDpHbc468_small.jpg

45.jpg (173.42 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lKgGZM9AAka8Ac0iJo491_small.jpg

46.jpg (169.16 KB)

2015-1-12 21:51



证书配置完毕,点击“OK” -> “Done",创建该负载均衡虚拟服务器
attachimg.gif wKiom1Sz0YugQm7WAApGD3fwmOc317_small.jpg

47.jpg (190.79 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lSBV56PAAodoaXFWjY290_small.jpg

48.jpg (190.41 KB)

2015-1-12 21:51



创建完毕,负载均衡虚拟服务器会根据所装载的服务及各个服务所装载的监视器对后端各个DDC进行健康检查和负载均衡。
attachimg.gif wKiom1Sz0YzDJhciAAnBSNeSGu8807_small.jpg

49.jpg (181.63 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lXQVxWbAAnHhalwe5Y266_small.jpg

50.jpg (181.36 KB)

2015-1-12 21:51


负载均衡虚拟服务器创建完毕之后,在活动目录DNS服务器上创建该虚拟服务器对应的A记录,
attachimg.gif wKiom1Sz1nLhRWFEAAnDzAespQ8623_small.jpg

51.jpg (182.42 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz1zvhfoA7AArVcsiqsWw393_small.jpg

52.jpg (198.03 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nTxQ2ctAArAbuAUqLc142_small.jpg

53.jpg (198.67 KB)

2015-1-12 22:13



随后,暂停一台DDC,以测试负载均衡器的健康检查功能是否生效,这直接决定了负载均衡功能的正常与否。
attachimg.gif wKioL1Sz1z2SLkWiAAXdj7ZofCA215_small.jpg

54.jpg (116.23 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nbhdk1kAAaPkRD4ZQ4919_small.jpg

55.jpg (127.77 KB)

2015-1-12 22:13



待DDC offline之后,回到NetScaler的负载均衡页面,检查负载均衡虚拟服务器的状态,
attachimg.gif wKioL1Sz1z_QCDboAAfswjbfhIA864_small.jpg

56.jpg (323.06 KB)

2015-1-12 22:13



如图所示,如果负载均衡器能够检查到后端DDC服务的异常,那么负载均衡虚拟服务器就能够在分发前端request的时候绕过故障服务器,保障业务的正常进行。
attachimg.gif wKiom1Sz1nfQ-5X1AAaBAorqTZk728_small.jpg

57.jpg (126.34 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz10CAzmnMAAcB10U2xYI476_small.jpg

58.jpg (133.41 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nmiSJ15AAf8R_AjfQc880_small.jpg

59.jpg (147.84 KB)

2015-1-12 22:13




至此,DDC的负载均衡已经配置完毕。在这个过程中,其实还有一块负载均衡概念中的重要内容没有涉及:“会话保持”。这块内容会在NetScaler Gateway或者StoreFront的负载均衡中配置。
会话保持的作用就是在有负载均衡的前提下,如何保持用户会话的请求给同一台服务器,而不会被负载均衡到其他服务器上。这个功能在我们日常生活中随时随地会遇到:网络支付页面。
后面的内容就是StoreFront了。

本文转自sandshell博客51CTO博客,原文链接http://blog.51cto.com/sandshell/1967611如需转载请自行联系原作者


sandshell

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
8448 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,大概有三种登录方式:
2759 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
10881 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10234 0
使用OpenApi弹性释放和设置云服务器ECS释放
云服务器ECS的一个重要特性就是按需创建资源。您可以在业务高峰期按需弹性的自定义规则进行资源创建,在完成业务计算的时候释放资源。本篇将提供几个Tips帮助您更加容易和自动化的完成云服务器的释放和弹性设置。
11834 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
12095 0
windows server 2008阿里云ECS服务器安全设置
最近我们Sinesafe安全公司在为客户使用阿里云ecs服务器做安全的过程中,发现服务器基础安全性都没有做。为了为站长们提供更加有效的安全基础解决方案,我们Sinesafe将对阿里云服务器win2008 系统进行基础安全部署实战过程! 比较重要的几部分 1.
8690 0
腾讯云服务器 设置ngxin + fastdfs +tomcat 开机自启动
在tomcat中新建一个可以启动的 .sh 脚本文件 /usr/local/tomcat7/bin/ export JAVA_HOME=/usr/local/java/jdk7 export PATH=$JAVA_HOME/bin/:$PATH export CLASSPATH=.
4543 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,云吞铺子总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系统盘、创建快照、配置安全组等操作如何登录ECS云服务器控制台? 1、先登录到阿里云ECS服务器控制台 2、点击顶部的“控制台” 3、通过左侧栏,切换到“云服务器ECS”即可,如下图所示 通过ECS控制台的远程连接来登录到云服务器 阿里云ECS云服务器自带远程连接功能,使用该功能可以登录到云服务器,简单且方便,如下图:点击“远程连接”,第一次连接会自动生成6位数字密码,输入密码即可登录到云服务器上。
21599 0
5489
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载