Geo-redundancia
solo en SCEPman Enterprise Edition
Esta arquitectura de referencia muestra cómo ejecutar una aplicación de Azure App Service en varias regiones para lograr alta disponibilidad.
La geo-redundancia / alta disponibilidad está actualmente disponible solo para el App Service principal de SCEPman. Justificación: los usuarios de Certificate Master son administradores con cargas de trabajo de certificados normalmente no críticas en cuanto al tiempo y con conocimiento de los procedimientos para manejar tales escenarios.
Arquitectura
Como se ilustra arriba, la implementación georreduntante aprovecha un perfil de Azure Traffic Manager, que dirige las solicitudes (basadas en DNS) a la CA de SCEPman hacia un par de instancias de SCEPman desplegadas en diferentes ubicaciones geográficas. Las instancias individuales de SCEPman se comunican con el mismo KeyVault, Storage Account y AAD, y por lo tanto comparten la misma Root CA. Además de equilibrar el tráfico en función de un conjunto de algoritmos de enrutamiento entre los que puede elegir, Traffic Manager también sondea constantemente ambas instancias de SCEPman. En caso de que una instancia deje de estar disponible, todo el tráfico se enrutará automáticamente a la instancia disponible.
Microsoft analiza en este artículo tres estrategias diferentes de Geo-Redundancy que pueden utilizarse para gestionar este tipo de arquitectura. Sin embargo, en nuestro caso utilizaremos el enfoque Active/Active . Esto significa que ambas regiones están activas y las solicitudes se equilibran entre ellas. Si una región deja de estar disponible o presenta cierta latencia por cualquier motivo, Traffic Manager redirigirá el tráfico al segundo App Service.
Asegúrese de echar un vistazo a la lista de regiones disponibles de Microsoft y a su región emparejada correspondiente. Usar regiones no emparejadas puede provocar problemas durante la configuración de esta redundancia.
Flujo de trabajo
Primero, el App Service de SCEPman se clonará en otra ubicación geográfica.
Luego, se configura Traffic Manager y se agregan y conectan sus endpoints a ambos App Services de SCEPman.
Luego, se configuran los dominios personalizados para ambos App Services.
Por último, se configura el registro DNS CNAME, apuntando su dominio personalizado a Traffic Manager.
Clonar aplicación
Para clonar un App Service, primero debe crear un nuevo App Service Plan en una segunda ubicación geográfica; allí se implementará la aplicación clonada. Puede crearlo en el mismo grupo de recursos de SCEPman o en uno nuevo. Vea la captura de pantalla a continuación:
Requisitos para clonar App Service (mediante SCEPman PowerShell Module):
SCEPman 2.2 o superior
SCEPman PowerShell Module 1.6.3.0 o superior
permisos de Global Admin
El siguiente comando CMDlet clonará su App Service de SCEPman y configurará todos los permisos necesarios:
SourceAppServiceName: El nombre del App Service de SCEPman existente.
TargetAppServiceName: El nombre del nuevo App Service de SCEPman clonado.
TargetAppServicePlan: El nombre del App Service Plan para la instancia clonada de SCEPman. El App Service Plan ya debe existir en TargetResourceGroup.
SourceResourceGroup: (Opcional) El grupo de recursos de Azure que aloja el App Service de SCEPman existente. Déjelo vacío para la autodetección.
TargetResourceGroup: (Opcional) El grupo de recursos de Azure que alojará el nuevo App Service de SCEPman. Déjelo vacío para detectar automáticamente el grupo de recursos del App Service Plan.
SourceSubscriptionId: (Opcional) El ID de la suscripción donde SCEPman está instalado. Puede omitirse si ya está preseleccionado en az o usar la marca SearchAllSubscriptions para buscar en todas las suscripciones accesibles
TargetSubscriptionId: (Opcional) El ID de la suscripción donde se instalará SCEPman. Puede omitirse si es el mismo que SourceSubscriptionId.
SearchAllSubscriptions: (Opcional) Establezca esta marca para buscar en todas las suscripciones el App Service de SCEPman. De lo contrario, preseleccione la suscripción correcta en az o pase el SubscriptionId correcto.
Ejemplo
Clonar un App Service de SCEPman existente "as-scepman-nrg5reuov63vk"
Después de que la implementación haya finalizado correctamente, vaya al App Service clonado y compruebe en la página principal de SCEPman que todos los permisos están configurados correctamente y que todo está en verde y conectado (esto puede tardar hasta 3 minutos después de que finalice la implementación).
Para evitar un único punto de falla, recomendamos establecer WEBSITE_RUN_FROM_PACKAGE del App Service clonado al segundo host de artefactos independiente en Azure.
Canal de producción:
https://install.scepman.com/dist/Artifacts.zip
El App Service original debería tener por defecto el primer host de artefactos, que apunta a un repositorio de GitHub. Para más información, consulte Artefactos de aplicación.
Clonar un App Service tiene algunas restricciones, como autoscale configuración, programación de copias de seguridad configuración, App Insights, etc.. Las configuraciones que no puedan clonarse deben configurarse manualmente de nuevo en el App Service clonado. Además, los cambios en la configuración de un AppService no se sincronizarán automáticamente con el segundo App Service si se realizan después de la operación de clonación. Para más información visite https://docs.microsoft.com/en-us/azure/app-service/app-service-web-app-cloning#current-restrictions
Configurar Traffic Manager
Siga los pasos a continuación para crear y configurar Traffic Manager y equilibrar el tráfico entre ambas instancias de SCEPman:
Busque en Marketplace perfil de Traffic Manager y haga clic en Crear.
Complete los campos y elija su grupo de recursos de SCEPman
Luego haga clic en Crear.
Después de que Traffic Manager se haya implementado, ábralo y haga clic en Configuración
Cambie la configuración de la siguiente manera y guarde
Agregar endpoints
Primer endpoint
Luego, en Configuración elija Endpoints
Elija "Azure Endpoint" como Escribe, proporcione un nombre para el primer endpoint y "App Service" como Tipo de recurso de destino
Elija su App Service principal de SCEPman como Recurso de destino
Segundo endpoint
Repita los mismos pasos para el segundo endpoint y elija el segundo App Service de SCEPman (clonado) como Recurso de destino
Configuración de dominio personalizado
Después de una implementación y configuración correctas de los endpoints de Traffic Manager, debe configurar el mismo dominio personalizado para ambas instancias de SCEPman como se describe aquí.
Asegúrese de cambiar el valor de la configuración AppConfig:BaseUrl para ambas de los App Services de SCEPman después de que se hayan creado los dominios personalizados.
Configuración de DNS
En la Vista general de Traffic Manager, encontrará el nombre DNS que debe agregarse a su DNS
Vaya a su servicio de administración de DNS (p. ej. Azure DNS Zones)
Elimine cualquier entrada CNAME incorrecta que pueda existir apuntando a una de las instancias de Azure App Service y agregue un CNAME que asigne el dominio personalizado de SCEPman creado al nombre DNS de Traffic Manager. En el ejemplo siguiente, el CNAME debe apuntar a gk-blueprint-scepman.trafficmanager.net.
En Azure DNS Zone, para modificar un registro, primero debe quitar el bloqueo de DNS navegando a Locks.
Al completar la configuración, asegúrese de actualizar la URL del servidor SCEP en su(s) perfil(es) SCEP en Intune. La nueva URL debe ser el dominio personalizado que ha creado con "/certsrv/mscep/mscep.dll" al final.
Ejemplo: https://scepman.contoso.com/certsrv/mscep/mscep.dll
Redundancia de Storage Account geográfica
El Storage Account utilizado para SCEPman también debe configurarse para redundancia. La configuración predeterminada de SCEPman usa Locally Redundant Storage (LRS), que utiliza solo una única región. Por ejemplo, configure Geo-redundant storage (GRS).
Última actualización
¿Te fue útil?