Geo-Redundanz
Nur SCEPman Enterprise Edition
Diese Referenzarchitektur zeigt, wie eine Azure App Service-Anwendung in mehreren Regionen betrieben wird, um hohe Verfügbarkeit zu erreichen.
Geo-Redundanz / Hochverfügbarkeit ist derzeit nur für den (Haupt-) SCEPman App Service verfügbar. Begründung: Die Nutzer von Certificate Master sind Administratoren mit typischerweise nicht zeitkritischen Zertifikatsaufgaben und Kenntnis der Verfahren, um mit solchen Szenarien umzugehen.
Architektur
Wie oben dargestellt, nutzt die geo-redundante Bereitstellung ein Azure Traffic Manager-Profil, das (DNS-basierte) Anfragen an die SCEPman CA an ein Paar von SCEPman-Instanzen weiterleitet, die in verschiedenen Geostandorten bereitgestellt sind. Die einzelnen SCEPman-Instanzen kommunizieren mit demselben KeyVault, Storage Account und AAD und teilen somit dieselbe Root-CA. Neben dem Lastenausgleich des Datenverkehrs basierend auf einer Auswahl von Routing-Algorithmen, die Sie wählen können, sondiert Traffic Manager auch ständig beide SCEPman-Instanzen. Falls eine Instanz nicht verfügbar wird, wird der gesamte Verkehr automatisch zur verfügbaren Instanz umgeleitet.
Microsoft erörtert in diesem Artikel drei verschiedene Geo-Redundanz‑Strategien, die verwendet werden können, um diesen Architekturtyp zu verwalten. In unserem Fall verwenden wir jedoch den Active/Active Ansatz. Das bedeutet, beide Regionen sind aktiv und Anfragen werden zwischen ihnen lastverteilt. Wenn eine Region aus irgendeinem Grund nicht verfügbar ist oder Latenzprobleme hat, leitet Traffic Manager den Verkehr zur zweiten App Service-Instanz.
Stellen Sie sicher, dass Sie einen Blick auf Microsofts Liste der verfügbaren Regionen und deren jeweilige gekoppelte Region werfen. Die Verwendung nicht gekoppelter Regionen kann beim Einrichten dieser Redundanz zu Problemen führen.
Ablauf
Zuerst wird der SCEPman App Service in einen anderen Geostandort geklont.
Anschließend wird der Traffic Manager konfiguriert und seine Endpunkte werden hinzugefügt und mit beiden SCEPman App Services verbunden.
Danach werden die benutzerdefinierten Domains für beide App Services konfiguriert.
Schließlich wird der DNS CNAME-Eintrag konfiguriert, der Ihre benutzerdefinierte Domain auf den Traffic Manager verweist.
App klonen
Um einen App Service zu klonen, müssen Sie zuerst einen neuen App Service Plan in einem zweiten Geostandort erstellen, dort wird die geklonte App bereitgestellt. Sie können ihn in derselben SCEPman-Ressourcengruppe oder in einer neuen erstellen. Siehe Screenshot unten:
Anforderungen für das Klonen eines App Service (über SCEPman PowerShell Modul):
SCEPman 2.2 oder oben
SCEPman PowerShell Modul 1.6.3.0 oder oben
Global Admin Berechtigungen
Der folgende CMDlet-Befehl wird Ihren SCEPman App Service klonen und alle erforderlichen Berechtigungen konfigurieren:
SourceAppServiceName: Der Name des bestehenden SCEPman App Service.
TargetAppServiceName: Der Name des neu geklonten SCEPman App Service.
TargetAppServicePlan: Der Name des App Service Plans für die geklonte SCEPman-Instanz. Der App Service Plan muss bereits in der Ziel-Ressourcengruppe existieren.
SourceResourceGroup: (Optional) Die Azure-Ressourcengruppe, die den bestehenden SCEPman App Service hostet. Leer lassen für automatische Erkennung.
TargetResourceGroup: (Optional) Die Azure-Ressourcengruppe, die den neuen SCEPman App Service hostet. Leer lassen, um die Ressourcengruppe des App Service Plans automatisch zu erkennen.
SourceSubscriptionId: (Optional) Die ID des Abonnements, in dem SCEPman installiert ist. Kann weggelassen werden, wenn es bereits in az vorausgewählt ist, oder verwenden Sie das Flag SearchAllSubscriptions, um alle zugänglichen Abonnements zu durchsuchen
TargetSubscriptionId: (Optional) Die ID des Abonnements, in dem SCEPman installiert werden soll. Kann weggelassen werden, wenn es dieselbe wie SourceSubscriptionId ist.
SearchAllSubscriptions: (Optional) Setzen Sie dieses Flag, um alle Abonnements nach dem SCEPman App Service zu durchsuchen. Andernfalls wählen Sie das richtige Abonnement in az vor oder übergeben die korrekte SubscriptionId.
Intune MDM
Einen bestehenden SCEPman App Service "as-scepman-nrg5reuov63vk" klonen
Nachdem die Bereitstellung erfolgreich abgeschlossen wurde, navigieren Sie zum geklonten App Service und prüfen Sie auf der SCEPman-Startseite, dass alle Berechtigungen korrekt gesetzt sind und alles grün und verbunden ist (dies kann bis zu 3 Minuten nach Abschluss der Bereitstellung dauern).
Um einen einzelnen Ausfallpunkt zu vermeiden, empfehlen wir, den WEBSITE_RUN_FROM_PACKAGE des geklonten App Service auf den zweiten unabhängigen Artifact-Host in Azure zu setzen.
Produktionskanal:
https://install.scepman.com/dist/Artifacts.zip
Der ursprüngliche App Service sollte standardmäßig den ersten Artifact-Host haben, der auf ein GitHub-Repository zeigt. Für weitere Informationen prüfen Sie bitte Anwendungsartefakte.
Das Klonen eines App Service hat einige Einschränkungen wie Autoscale Einstellungen, Backup-Zeitplan Einstellungen, App Insights, usw. Konfigurationen, die nicht geklont werden können, müssen auf dem geklonten App Service manuell erneut konfiguriert werden. Zusätzlich werden Änderungen an den Einstellungen eines App Service nach der Klon-Operation nicht automatisch mit dem zweiten App Service synchronisiert. Für weitere Informationen besuchen Sie https://docs.microsoft.com/en-us/azure/app-service/app-service-web-app-cloning#current-restrictions
Traffic Manager einrichten
Befolgen Sie die folgenden Schritte, um den Traffic Manager zu erstellen und zu konfigurieren und den Verkehr zwischen beiden SCEPman-Instanzen auszugleichen:
Suchen Sie im Marketplace nach Traffic Manager-Profil und klicken Sie Erstellen.
Füllen Sie die Felder aus und wählen Sie Ihre SCEPman-Ressourcengruppe
Klicken Sie dann auf Erstellen.
Nachdem Ihr Traffic Manager bereitgestellt wurde, öffnen Sie ihn und klicken Sie auf Konfiguration
Ändern Sie die Einstellungen wie folgt und speichern Sie
Hinzufügen von Endpunkten
Erster Endpunkt
Dann unter Einstellungen wählen Endpunkte
Wählen Sie "Azure-Endpunkt" als Geben Sie, geben Sie einen Namen für den ersten Endpunkt an, und "App Service" als Ziel-Ressourcentyp
Wählen Sie Ihren primären SCEPman App Service als Ziel-Ressource
Zweiter Endpunkt
Wiederholen Sie dieselben Schritte für den zweiten Endpunkt und wählen Sie den zweiten (geklonten) SCEPman App Service als Ziel-Ressource
Konfiguration der benutzerdefinierten Domain
Nach einer erfolgreichen Bereitstellung und Konfiguration der Traffic Manager-Endpunkte müssen Sie die gleiche benutzerdefinierte Domain für beide SCEPman-Instanzen wie beschrieben einrichten Die S/MIME-Funktion ist im neuesten Outlook-Client nicht verfügbar. Mehr Info.
Stellen Sie sicher, dass Sie den Wert der Einstellung AppConfig:BaseUrl für beide auf den SCEPman App Services ändern, nachdem die benutzerdefinierten Domains erstellt wurden.
DNS-Konfiguration
Im Traffic Manager Übersicht, finden Sie den DNS-Namen, der in Ihren DNS hinzugefügt werden muss
Navigieren Sie zu Ihrem DNS-Verwaltungsdienst (z. B. Azure DNS-Zonen)
Entfernen Sie gegebenenfalls vorhandene falsche CNAME-Einträge, die auf eine der Azure App Service-Instanzen verweisen, und fügen Sie einen CNAME hinzu, der die erstellte SCEPman-Benutzerdomain auf den Traffic Manager-DNS-Namen abbildet. Im folgenden Beispiel sollte der CNAME auf gk-blueprint-scepman.trafficmanager.net.
zeigen InAzure DNS Zone , um einen Datensatz zu ändern, müssen Sie zuerst die DNS-Sperre entfernen, indem Sie zu.
Sperren
Nach Abschluss der Konfiguration stellen Sie sicher, die SCEP-Server-URL in Ihrem/ Ihren SCEP-Profil(en) in Intune zu aktualisieren. Die neue URL sollte die von Ihnen erstellte benutzerdefinierte Domain mit "/certsrv/mscep/mscep.dll" am Ende sein. Beispiel
Beispiel:
Geo-Redundanz des Storage Accounts
Zuletzt aktualisiert
War das hilfreich?