VMware Identity Manager负载平衡

本主题假设您已经设置了一个Identity Manager设备,详情请参见http://tujack.com/2018/02/13/vmware-identity-manager-3-1-0/

导航

  • NetScaler配置
    • CLI命令
  • 负载平衡FQDN
  • 克隆设备
  • 附加连接器
  • 添加到NetScaler
  • 多数据中心

NetScaler配置

TLS 1.0在Identity Manager 2.6及更新版本中被禁用。如果您的负载均衡器不支持TLS 1.2,请参阅2144805  在VMware Identity Manager 2.6中启用TLS 1.0协议。NetScaler MPX / SDX在10.5 build 58的后端添加了TLS 1.2。NetScaler VPX在11.0 build 65的后端添加了TLS 1.2。

在Identity Manager 2.7及更新版本中,VMware建议至少有三个节点。请参阅  VMware Pubs上的VMware Identity Manager群集中推荐的节点数

在克隆设备之前设置负载平衡。本节中的GUI说明。或者跳转到CLI命令。

  1. 在您的NetScaler中,转至流量管理>负载平衡>监视器并添加监视器。
  2. 给它一个名字并选择HTTP作为Type 

  3. 在“ 标准参数”选项卡上,选中“ 安全 ”旁边的框。
  4. 特殊参数选项卡上将 HTTP请求设置为GET / SAAS / auth / login
  5. 转到流量管理>负载平衡>服务器并添加一个指向Identity Manager设备的IP地址的服务器。

  6. 转到流量管理>负载平衡>服务组并添加一个服务组。
  7. 给它一个名字。
  8. 该协议是SSL。注意:如果您在Identity Manager中配置了基于证书的客户端身份验证,请使用SSL_BRIDGE而不是SSL。
  9. 绑定一个成员并指定端口443
  10. 在右侧,添加设置部分。
  11. 选中客户端IP的框并输入X-Forwarded-For
  12. 绑定监视器并选择您之前创建的Identity Manager监视器。
  13. 转到流量管理> SSL>证书并安装证书。
  14. 转至流量管理>负载平衡>虚拟服务器并添加虚拟服务器。
  15. 给它一个名字并输入一个VIP。
  16. 协议= SSL。注意:如果您在Identity Manager中配置了基于证书的客户端身份验证,请使用SSL_BRIDGE而不是SSL。
  17. 绑定之前创建的服务组。
  18. 绑定证书。此证书必须与用户用来访问Identity Manager的名称相匹配。
  19. 在右侧添加持久性
  20. 选择SSLSESSION并给它超时60分钟或更长时间。
  21. 如果您尚未启用默认SSL配置文件,请执行其他正常的SSL配置,包括:禁用SSLv3,绑定现代密码组并启用严格传输安全性。
    bind ssl vserver MyvServer -certkeyName MyCert 
    
    set ssl vserver MyvServer -ssl3 DISABLED -tls11 ENABLED -tls12 ENABLED 
    
    unbind ssl vserver MyvServer -cipherName ALL 
    
    bind ssl vserver MyvServer -cipherName Modern 
    
    bind ssl vserver MyvServer -eccCurveName ALL 
    
    bind lb vserver MyvServer -policyName insert_STS_header -priority 100 -gotoPriorityExpression END-type RESPONSE
  22. 在HTTP端口80上创建另一个负载平衡虚拟服务器。将其配置为将HTTP重定向到HTTPS。

CLI命令

以下是上面显示的配置的CLI命令:

add server IM01 10.2.2.61
add server IM02 10.2.2.25
add server IM03 10.2.2.26
add server 127.0.0.1 127.0.0.1
add lb monitor Identity HTTP -respCode 200 -httpRequest "GET /SAAS/auth/login" -secure YES
add service AlwaysUp 127.0.0.1 HTTP 80
add serviceGroup svcgrp-IM SSL -cip ENABLED X-Forwarded-For
bind serviceGroup svcgrp-IM IM01 443
bind serviceGroup svcgrp-IM IM02 443
bind serviceGroup svcgrp-IM IM03 443
add lb vserver lbvip-IM-SSL SSL 10.2.5.202 443 -persistenceType SSLSESSION -timeout 60
add lb vserver identity.corp.com-HTTP-SSLRedirect HTTP 10.2.5.202 80
add responder action http_to_ssl_redirect_responderact redirect "\"https://\" + HTTP.REQ.HOSTNAME.HTTP_URL_SAFE + HTTP.REQ.URL.PATH_AND_QUERY.HTTP_URL_SAFE"
add responder policy http_to_ssl_redirect_responderpol HTTP.REQ.IS_VALID http_to_ssl_redirect_responderact
bind lb vserver identity.corp.com-HTTP-SSLRedirect AlwaysUp
bind lb vserver lbvip-IM-SSL svcgrp-IM
bind lb vserver identity.corp.com-HTTP-SSLRedirect -policyName http_to_ssl_redirect_responderpol -priority 100 -gotoPriorityExpression END -type REQUEST
set ssl vserver lbvip-IM-SSL -sslRedirect ENABLED -ssl3 DISABLED -tls11 ENABLED -tls12 ENABLED
bind ssl vserver lbvip-IM-SSL -cipherName Modern
bind ssl vserver lbvip-IM-SSL -certkeyName WildCorpCom
bind ssl vserver lbvip-IM-SSL -eccCurveName ALL

负载平衡FQDN

  1. Identity Manager必须能够连接到HTTPS 443上的负载平衡FQDN。负载平衡证书必须与负载平衡FQDN相匹配,并且必须由Identity Manager信任。请参阅下文将根证书导入到Identity Manager。另请参见VMware博文  工作区门户 – 更改FQDN时遇到问题
  2. 在Identity Manager设备中,转到“ 设备设置”>“管理配置”
  3. 在左侧,点击安装证书
  4. 在右侧,切换到负载 平衡器选项卡终止SSL
  5. 以PEM(Base64)格式粘贴根证书。点击保存
  6. 单击确定重新启动设备。

  7. 在左侧,单击  Identity Manager FQDN  页面。
  8. 输入解析到负载均衡器上的VIP的FQDN,然后单击保存
  9. 设备将重新启动。
  10. 连接到负载平衡的DNS名称,选择本地用户,然后以管理员身份登录。
  11. 转至  目录>设置
  12. 在左侧,点击  新建最终用户门户界面
  13. 在右侧,如果尚未启用,请点击  启用新门户网站界面
  14. 然后,您应该可以登录到用户门户并获取您的应用程序列表。

克隆设备

在Identity Manager 2.7及更新版本中,VMware建议至少有三个节点。请参阅  VMware Pubs上的VMware Identity Manager群集中推荐的节点数

  1. 登录到设备控制台。
  2. 如果您看到文件/etc/udev/rules.d/70-persistent-net.rules,请将其删除。
  3. 关闭原始的Identity Manager设备。
  4. 克隆Identity Manager设备。
  5. 为克隆的设备指定一个名称并选择一个文件夹。
  6. 选择克隆选项页面中,请勿自定义,并且不要启动机器。在启动新VM之前,应打开原始VM的电源。点击下一步
  7. 在“ 自定义vApp属性”页面中,展开“ 网络属性”
  8. 更改新设备的主机名和IP地址。点击下一步,然后完成

  9. 克隆完成后,可以打开原始Identity Manager设备的电源。
  10. 一旦原始设备运行(显示蓝色登录屏幕),您就可以打开克隆设备的电源。
  11. 一旦两台设备都启动后,登录其中一台并运行curl –XGET 'http://localhost:9200/_cluster/health?pretty=true'。确保它说两个节点和状态是绿色的。在两个节点聚集之前可能需要几分钟的时间。在加入群集之前,您可能必须重新引导克隆的节点。
  12. 同时运行rabbitmqctl cluster_status并确保它显示两个节点。

附加连接器

  1. 在管理门户中,转至身份和访问管理>设置>连接器。找到新的克隆连接器并单击加入域
  2. 选择域名。
  3. 输入可加入域的凭证,然后单击加入域
  4. 连接器选项卡上,单击原始连接器的蓝色主机名链接。
  5. 切换到身份验证适配器选项卡并记下哪些已启用。
  6. 点击每个启用的适配器并记下其设置。
  7. 回到“ 连接器”屏幕中,单击新克隆的连接器主机名的蓝色链接。
  8. 切换到Auth Adapters选项卡。
  9. 单击要启用并配置的任何适配器的链接。
  10. 对于需要启用和配置的任何其他适配器重复此步骤。
  11. 如果您返回身份和访问管理>设置>连接器,请注意两个连接器均启用了身份验证,但只有其中一个连接启用了Sync。只有一个连接器可以执行目录同步。要更改配置的连接器,请参阅VMware Pubs 发生故障在另一实例上启用目录同步

添加到NetScaler

  1. 在NetScaler中,转到流量管理>负载平衡>服务器,然后为新设备添加服务器。

  2. 转到流量管理>负载平衡>服务组,并编辑现有的Identity Manager服务组。
  3. 绑定一个新成员,并在端口443上选择新的设备。负载平衡的其余部分应该已经被配置。

多数据中心

对于多数据中心,请参阅在VMware Pubs 中的辅助数据中心中部署VMware Identity Manager以实现故障转移和冗余

  • 主数据中心中的数据库被复制到辅助数据中心。
  • 辅助数据中心中的Identity Manager设备与辅助数据中心中的数据库具有只读连接。
  • Horizo​​n Connection Server组按故障转移顺序配置。
  • NetScaler GSLB或F5 GTM处理Identity Manager DNS名称的故障转移。

发表评论

电子邮件地址不会被公开。 必填项已用*标注