NetScaler的部署实验之四更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

本文涉及的产品
传统型负载均衡 CLB,每月750个小时 15LCU
Digicert DV 证书 单域名,20个 3个月
网络型负载均衡 NLB,每月750个小时 15LCU
简介:

更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

Citrix的DDC安装完成之后默认是同时接受80和443的请求的。我的实验过程会以443端口来进行,在有安全要求的生产环境中,有可能要求关闭80端口的监听及请求。这个过程在官方网站上面的eDoc里有介绍,我这里不作说明,也不会有实验过程阐述如何关闭DDC对80端口请求的响应。确有要求的自己去官方网站找。

在对NetScaler进行配置之前,首先要对DDC的证书做配置,否则两边的证书互不信任,SSL通信就无从谈起了。
在配置DDC的证书时有两个方法:IIS管理器或者证书控制台+PowerShell命令。我的实验过程会用IIS管理器来配置,图形界面比较简单。否则就得去注册表找DDC的borker的UUID,然后使用命令将证书与该UUID绑定(这会是一条有3~4行长度的命令)。除非你确实没有安装服务器角色组件的权限,否则就别难为自己了,IIS又快又方便,大不了装完证书再把IIS控制台卸了。

首先,为DDC安装IIS控制台,
attachimg.gif wKioL1SzpAHhptkaAAkcqYEaHlM807_small.jpg

1.jpg (370.07 KB)

2015-1-12 18:34



attachimg.gif wKiom1SzozqxTv9_AAmIHLRzqWE721_small.jpg

2.jpg (387.02 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAPyLXF4AAizuIFnKH8170_small.jpg

3.jpg (352.94 KB)

2015-1-12 18:34



顺带把.Net 3.5也装了,安装的时候注意指向.Net的安装文件路径,
attachimg.gif wKiom1SzozyyvNfxAAjzGRYCvvk379_small.jpg

4.jpg (362.96 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAWDqgARAAlmi_GmpG8837_small.jpg

5.jpg (380.08 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szoz7wL9XLAAnILu9PhBo597_small.jpg

6.jpg (396.25 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpAfDHLmzAAkoe3CESaI377_small.jpg

7.jpg (163.25 KB)

2015-1-12 18:34



完成对所有DDC的IIS安装过程。
attachimg.gif wKiom1Szoz-RhhS2AAqPW72Vgjs267_small.jpg

8.jpg (416.98 KB)

2015-1-12 18:34




安装完成之后,打开DDC上的IIS管理控制台
attachimg.gif wKioL1SzpAjCsw3YAAiwWT9O95g042_small.jpg

9.jpg (343.35 KB)

2015-1-12 18:34



在IIS控制台里,打开“服务器名” -> Server Certificates,
attachimg.gif wKiom1Szo0Gx6_LnAAky1AfvTmo677_small.jpg

10.jpg (365.38 KB)

2015-1-12 18:34



在右边操作选项中选择“Import”,(这里的服务器证书同样是Wildcard证书)
attachimg.gif wKioL1SzpAqjh4nhAARRXdK8aic346_small.jpg

11.JPG (189.84 KB)

2015-1-12 18:34



选择带有私钥的服务器证书,并输入该证书导出时所设置的密码,
attachimg.gif wKiom1Szo0OAogckAAT2oUUdXLY135_small.jpg

12.JPG (214.72 KB)

2015-1-12 18:34



证书安装完毕后,去证书管理控制台检查证书是否有对应的私钥绑定。注意此处如果导入的证书没有对应的私钥绑定,这张证书对这台服务器是不生效的。实在不行就用IIS向授信根从新申请一张服务器证书吧。
attachimg.gif wKioL1SzpAvC6GixAAcgzgvmrf4866_small.jpg

13.JPG (301.21 KB)

2015-1-12 18:34



回到IIS控制台,将刚才导入的服务器证书与443端口作绑定,
attachimg.gif wKiom1Szo0TSXsd3AAlCCr1EM0k791_small.jpg

14.jpg (367.64 KB)

2015-1-12 18:34



attachimg.gif wKioL1SzpA3jV42LAAjjZrV47kg702_small.jpg

15.jpg (353.61 KB)

2015-1-12 18:34



attachimg.gif wKiom1Szo0aRqeyyAAlVsSBhhXE934_small.jpg

16.jpg (371.18 KB)

2015-1-12 18:34



作绑定之后最好重启broker服务,保险起见可以将服务器重启一次。这样DDC的证书就安装好了。然后再所有DDC上重复上述证书的安装步骤,保证所有DDC的443端口都有对应的证书绑定。
先吃饭了,吃完再回来
继续继续,配置完DDC,就要开始NetScaler的配置过程了。
首先,登录到NetScaler的控制页面,依次点开“Traffic Management” -> "Load Balance" -> "Servers",在这里配置后端实际应用的服务器信息。因为NetScaler需要知道它在为哪些服务器作负载均衡。
attachimg.gif wKioL1SzzIXhasI9AAiyUodIXgY192_small.jpg

1.jpg (346.21 KB)

2015-1-12 21:27



点击“Add”,添加具体的服务器信息,在服务器地址这块,可以使用IP地址,也可以使用FQDN。如果是用服务器的FQDN,确保NetScaler能够正常联系DNS解析服务器的地址。
attachimg.gif wKioL1SzzIXDCxeYAAhCepxMhAk727_small.jpg

2.jpg (331.75 KB)

2015-1-12 21:27



重复上述步骤,添加所有DDC的服务器信息,
attachimg.gif wKiom1Szy77DGxd0AAjp8Tv-x2o447_small.jpg

3.jpg (354.09 KB)

2015-1-12 21:27



然后依次点开"Traffic Management" -> "Load Balance" -> "Monitor",在此处添加对DDC服务器上各项XenDesktop服务的监视器。在这里可以定制负载均衡服务如何对后端服务器应用服务或者服务器web页面进行健康检查。这个监视至器关重要,比如对于一个应用服务来说你如何确定服务是UP的状态,最简单的是ping包,也可以写正则表达式监视服务通信过程中的某个字段来确认服务的健康状态。而对于Web服务来说,可以检查服务器的responder返回了哪些内容来确认Web页面的健康状态。所有的这一切需要管理员自己来通过正则表达式来定义,不同的应用不同的web页面都有自己特殊的不同设置。而对于Citrix XenDesktop来说,NetScaler为我们定义了一套模板来对后端DDC服务器作健康检查。我印象中是从10.1版本开始有的。Thanks god。否则,光是写正则表达式就是个头疼的任务。
点击“Add”,添加DDC的监视器,
attachimg.gif wKioL1SzzIeigXsHAAnUGRsYXkA565_small.jpg

4.jpg (395.25 KB)

2015-1-12 21:27



输入监视器的名字,在"Type"选项中选择“CITRIX-XD-DDC”,
attachimg.gif wKiom1Szy8CyZsyHAAiZ6-RcUOk878_small.jpg

5.jpg (344.91 KB)

2015-1-12 21:27



在同一页面最下方勾选“Secure”,然后创建该监视器,
attachimg.gif wKioL1SzzIniDmfnAAc1JDygOGM373_small.jpg

6.jpg (292.33 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8HC4eU8AAlTM0Mdrxw219_small.jpg

7.jpg (382.12 KB)

2015-1-12 21:27



再次点开"Traffic Management" -> "Load Balance" -> "Services" -> "Add",添加后端DDC服务器的服务。负载均衡器使用这些服务有后端服务器进行通信,同时使用刚才创建的监视器对通信过程及结果进行筛选以确认后端服务器的健康状态。
attachimg.gif wKioL1SzzIvSJE5nAAhFtdtTxJQ179_small.jpg

8.jpg (333.21 KB)

2015-1-12 21:27



在创建服务页面,填入对应的服务名称,勾选”Exist Servers“,在”Server“条目选择刚才的创建的后端DDC服务器信息的其中一个,
attachimg.gif wKiom1Szy8OhUoERAAecY9D-qwc035_small.jpg

9.jpg (313.24 KB)

2015-1-12 21:27



在"Protocol"条目选择”SSL“
attachimg.gif wKioL1SzzIyyw_gBAAesPTI8eT8081_small.jpg

10.jpg (316.6 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8WDy5Y6AAd2wuUpitc017_small.jpg

11.jpg (140.51 KB)

2015-1-12 21:27



点击"OK",创建该服务。
attachimg.gif wKioL1SzzI7x-9kUAAh6Nb61HT0524_small.jpg

12.jpg (156.38 KB)

2015-1-12 21:27



点击该服务属性清单页面中的”Monitor“条目,将之前创建的DDC的监视器添加到该服务中来,
attachimg.gif wKiom1Szy8fDdxiaAAg2-gIYS2M002_small.jpg

13.jpg (343.46 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJCA6IgjAAZ8k8eZsxs424_small.jpg

14.jpg (268.86 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8jwPIEiAAZuxApRbMc425_small.jpg

15.jpg (268.8 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJHD9mi9AAfN664gyu0381_small.jpg

16.jpg (328.21 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8qghmtRAAZyHwUEAKM620_small.jpg

17.jpg (269.49 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJPBAlVEAAaECAbWd2U854_small.jpg

18.jpg (125.97 KB)

2015-1-12 21:27



之后点击右侧带+号的”Certificates“,
attachimg.gif wKiom1Szy8zw6LkPAAgRze4N1A0264_small.jpg

19.jpg (337.86 KB)

2015-1-12 21:27



当Certificates条目出现在负载均衡服务的清单中之后,添加之前章节中在NetScaler上面的创建的服务器证书及CA证书,用以保证负载均衡服务器与后端DDC之间的身份合法性,
attachimg.gif wKioL1SzzJXCAySWAAg6a6cXeDc410_small.jpg

20.jpg (345.74 KB)

2015-1-12 21:27



点击"CA Certiface"条目右侧的小箭头,添加CA证书,
attachimg.gif wKiom1Szy82yBrbvAAglOd2Uy94457_small.jpg

21.jpg (340.5 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJfghYdnAAZBoib-Ess351_small.jpg

22.jpg (259.08 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy8-ymtHfAAajhgbP0bQ904_small.jpg

23.jpg (274.58 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJjQpKGeAAZE1bHmWQQ693_small.jpg

24.jpg (260 KB)

2015-1-12 21:27



点击"Client Certificate"条目右侧的小箭头,添加服务器证书,
attachimg.gif wKiom1Szy9GCKS5KAAgt5rNaKig502_small.jpg

25.jpg (341.2 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJrADwf2AAY84ldu7I4074_small.jpg

26.jpg (121.32 KB)

2015-1-12 21:27



attachimg.gif wKiom1Szy9OAVqORAAagBekHz-E904_small.jpg

27.jpg (275.04 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJyCbeAhAAY4yVCuUss460_small.jpg

28.jpg (121.04 KB)

2015-1-12 21:27



然后点击负载均衡服务清单页面的”Done",完成一条服务的配置。
attachimg.gif wKiom1Szy9Ty55QpAAgIx4pF2FI118_small.jpg

29.jpg (338.82 KB)

2015-1-12 21:27



attachimg.gif wKioL1SzzJ2QwWiFAAext5s5tqg421_small.jpg

30.jpg (316.46 KB)

2015-1-12 21:27



之后,重复上述步骤完成对各台后端DDC的服务配置。注:每台DDC对应一条服务。 attachimg.gifwKiom1Sz0X2Spmj8AAiCnzKSEQQ229_small.jpg

31.jpg (150.33 KB)

2015-1-12 21:51




突然键盘失灵了,感觉到电脑有暴走的可能,先编辑一下把东西上传了吧。要不白做就崩溃了。

创建完所有DDC服务器对应的服务之后,创建DDC的负载均衡虚拟服务器,
依次点开"Traffic Management" -> "Load Balance" -> "Virtual Servers", 点击“Add"添加虚拟服务器
attachimg.gif wKioL1Sz0kaANEMBAAlUL6kdFrw385_small.jpg

32.jpg (389.88 KB)

2015-1-12 21:51



输入虚拟服务器的FQDN,IP地址,在"Protocol”条目选择“SSL”,然后点击创建
attachimg.gif wKiom1Sz0X_gdTsJAAmbIOGK8J8292_small.jpg

33.jpg (180.11 KB)

2015-1-12 21:51



在负载均衡虚拟服务器的清单页面,添加刚才创建的负载均衡服务
attachimg.gif wKioL1Sz0kiSjQ3UAAoRC7KcjSU366_small.jpg

34.jpg (411.52 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YCx-TWCAAkoIdNel3g386_small.jpg

35.jpg (170.58 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0krhmZ_VAAll1OP433Q545_small.jpg

36.jpg (171.69 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YLAswAbAAks_DxbDx8139_small.jpg

37.jpg (170.46 KB)

2015-1-12 21:51



添加完毕,点击“OK”完成负载均衡服务的装载,
attachimg.gif wKioL1Sz0kuzSKyfAAoOCLR3WNM871_small.jpg

38.jpg (185.81 KB)

2015-1-12 21:51


之后完成负载均衡虚拟服务器的证书配置,注意不要把CA证书和服务器证书装反了,
attachimg.gif wKiom1Sz0YTylGCJAApopuxtXPk682_small.jpg

39.jpg (428.02 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k3DOfLfAAkWTMJe5Jw607_small.jpg

40.jpg (168.49 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YWwso8OAAlzWmkaqys946_small.jpg

41.jpg (173.18 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0k_Cof5vAAkVp53t5GM345_small.jpg

42.jpg (168.63 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0YeBro0YAAphUXCjPW8906_small.jpg

43.jpg (426.85 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lDDgmgPAAkogX60OMU671_small.jpg

44.jpg (170.07 KB)

2015-1-12 21:51



attachimg.gif wKiom1Sz0Ymi210yAAl-biDpHbc468_small.jpg

45.jpg (173.42 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lKgGZM9AAka8Ac0iJo491_small.jpg

46.jpg (169.16 KB)

2015-1-12 21:51



证书配置完毕,点击“OK” -> “Done",创建该负载均衡虚拟服务器
attachimg.gif wKiom1Sz0YugQm7WAApGD3fwmOc317_small.jpg

47.jpg (190.79 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lSBV56PAAodoaXFWjY290_small.jpg

48.jpg (190.41 KB)

2015-1-12 21:51



创建完毕,负载均衡虚拟服务器会根据所装载的服务及各个服务所装载的监视器对后端各个DDC进行健康检查和负载均衡。
attachimg.gif wKiom1Sz0YzDJhciAAnBSNeSGu8807_small.jpg

49.jpg (181.63 KB)

2015-1-12 21:51



attachimg.gif wKioL1Sz0lXQVxWbAAnHhalwe5Y266_small.jpg

50.jpg (181.36 KB)

2015-1-12 21:51


负载均衡虚拟服务器创建完毕之后,在活动目录DNS服务器上创建该虚拟服务器对应的A记录,
attachimg.gif wKiom1Sz1nLhRWFEAAnDzAespQ8623_small.jpg

51.jpg (182.42 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz1zvhfoA7AArVcsiqsWw393_small.jpg

52.jpg (198.03 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nTxQ2ctAArAbuAUqLc142_small.jpg

53.jpg (198.67 KB)

2015-1-12 22:13



随后,暂停一台DDC,以测试负载均衡器的健康检查功能是否生效,这直接决定了负载均衡功能的正常与否。
attachimg.gif wKioL1Sz1z2SLkWiAAXdj7ZofCA215_small.jpg

54.jpg (116.23 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nbhdk1kAAaPkRD4ZQ4919_small.jpg

55.jpg (127.77 KB)

2015-1-12 22:13



待DDC offline之后,回到NetScaler的负载均衡页面,检查负载均衡虚拟服务器的状态,
attachimg.gif wKioL1Sz1z_QCDboAAfswjbfhIA864_small.jpg

56.jpg (323.06 KB)

2015-1-12 22:13



如图所示,如果负载均衡器能够检查到后端DDC服务的异常,那么负载均衡虚拟服务器就能够在分发前端request的时候绕过故障服务器,保障业务的正常进行。
attachimg.gif wKiom1Sz1nfQ-5X1AAaBAorqTZk728_small.jpg

57.jpg (126.34 KB)

2015-1-12 22:13



attachimg.gif wKioL1Sz10CAzmnMAAcB10U2xYI476_small.jpg

58.jpg (133.41 KB)

2015-1-12 22:13



attachimg.gif wKiom1Sz1nmiSJ15AAf8R_AjfQc880_small.jpg

59.jpg (147.84 KB)

2015-1-12 22:13




至此,DDC的负载均衡已经配置完毕。在这个过程中,其实还有一块负载均衡概念中的重要内容没有涉及:“会话保持”。这块内容会在NetScaler Gateway或者StoreFront的负载均衡中配置。
会话保持的作用就是在有负载均衡的前提下,如何保持用户会话的请求给同一台服务器,而不会被负载均衡到其他服务器上。这个功能在我们日常生活中随时随地会遇到:网络支付页面。
后面的内容就是StoreFront了。

本文转自sandshell博客51CTO博客,原文链接http://blog.51cto.com/sandshell/1967611如需转载请自行联系原作者


sandshell

相关实践学习
使用CloudLens观测ALB下的网站访问情况
通过本实验,您可搭建网站,并使用ALB进行负载均衡,同时使用CloudLens for ALB一键采集ALB日志,进行ALB 7层日志分析、秒级监控指标分析、基于AIOps的自动异常巡检等操作。
负载均衡入门与产品使用指南
负载均衡(Server Load Balancer)是对多台云服务器进行流量分发的负载均衡服务,可以通过流量分发扩展应用系统对外的服务能力,通过消除单点故障提升应用系统的可用性。 本课程主要介绍负载均衡的相关技术以及阿里云负载均衡产品的使用方法。
相关文章
|
2月前
|
负载均衡 网络协议 算法
LVS 负载均衡部署的三种模式 与搭建dr模式具体步骤
LVS 负载均衡部署的三种模式 与搭建dr模式具体步骤
|
8天前
|
Kubernetes Cloud Native 微服务
企业级容器部署实战:基于ACK与ALB灵活构建云原生应用架构
这篇内容概述了云原生架构的优势,特别是通过阿里云容器服务Kubernetes版(ACK)和应用负载均衡器(ALB)实现的解决方案。它强调了ACK相对于自建Kubernetes的便利性,包括优化的云服务集成、自动化管理和更强的生态系统支持。文章提供了部署云原生应用的步骤,包括一键部署和手动部署的流程,并指出手动部署更适合有技术背景的用户。作者建议在预算允许的情况下使用ACK,因为它能提供高效、便捷的管理体验。同时,文章也提出了对文档改进的建议,如添加更多技术细节和解释,以帮助用户更好地理解和实施解决方案。最后,展望了ACK未来在智能化、安全性与边缘计算等方面的潜在发展。水文一篇,太忙了,见谅!
|
11天前
|
负载均衡 算法 Ubuntu
IPVSADM命令详解及负载均衡配置示例
IPVSADM命令详解及负载均衡配置示例
|
15天前
|
负载均衡 网络协议 算法
使用IPVSADM配置LVS负载均衡
使用IPVSADM配置LVS负载均衡
|
2月前
|
网络协议 Linux C语言
Intel HDSLB 高性能四层负载均衡器 — 基本原理和部署配置
本篇主要介绍了 Intel HDSLB 的基本运行原理和部署配置的方式,希望能够帮助读者们顺利的把 HDSLB-DPVS 项目 “玩” 起来。
194 9
Intel HDSLB 高性能四层负载均衡器 — 基本原理和部署配置
|
23天前
|
运维 Kubernetes 负载均衡
Kuberntes部署MetalLB负载均衡器
Kuberntes部署MetalLB负载均衡器
21 1
|
2月前
|
Kubernetes 负载均衡 应用服务中间件
k8s 二进制安装 优化架构之 部署负载均衡,加入master02
k8s 二进制安装 优化架构之 部署负载均衡,加入master02
|
1月前
|
应用服务中间件 网络安全 数据安全/隐私保护
SSL证书在IIS上部署使用
该文介绍了如何在IIS上部署SSL证书以实现HTTPS访问。首先建议使用nginx,但若需使用IIS,需有SSL证书(fullchain.pem和privkey.pem)并熟悉IIS操作。文中提供了两种证书转换方法:已有openssl,使用命令`openssl pkcs12 -export`生成.pfx文件;无openssl,通过Python脚本(pyOpenSSL v23.2.0)转换。转换后的.pfx文件导入Windows,选择“本地用户”并输入密码。最后在IIS中绑定证书,测试https访问应能正常工作。
58 0
|
2月前
|
负载均衡 网络协议
NAT模式 LVS负载均衡部署
NAT模式 LVS负载均衡部署
|
1月前
|
缓存 负载均衡 算法
解读 Nginx:构建高效反向代理和负载均衡的秘密
解读 Nginx:构建高效反向代理和负载均衡的秘密
42 2