Geo-redundancia
Solo SCEPman Enterprise Edition
Esta arquitectura de referencia muestra cómo ejecutar una aplicación de Azure App Service en múltiples regiones para lograr alta disponibilidad.
La geo-redundancia / alta disponibilidad actualmente solo está disponible para el App Service (principal) de SCEPman. Razonamiento: Los usuarios de Certificate Master son administradores con cargas de trabajo de certificados típicamente no críticas en cuanto al tiempo y con conocimiento de los procedimientos para manejar tales escenarios.
Arquitectura
Como se ilustra arriba, la implementación geo-redundante aprovecha un perfil de Azure Traffic Manager, que enruta (basado en DNS) las solicitudes al CA de SCEPman hacia un par de instancias de SCEPman que se despliegan en diferentes ubicaciones geográficas. Las instancias individuales de SCEPman se comunican con el mismo KeyVault, Cuenta de Almacenamiento y AAD y por tanto comparten la misma CA raíz. Además de equilibrar la carga del tráfico según un conjunto de algoritmos de enrutamiento que puedes elegir, Traffic Manager también comprueba constantemente ambas instancias de SCEPman. En caso de que una instancia deje de estar disponible, todo el tráfico se dirigirá automáticamente a la instancia disponible.
Microsoft discute en este artículo tres estrategias diferentes de Geo-Redundancia que se pueden usar para gestionar este tipo de arquitectura. Sin embargo, en nuestro caso utilizaremos el Activo/Activo enfoque. Esto significa que ambas regiones están activas y las solicitudes se equilibran entre ellas. Si una región se vuelve no disponible o presenta alguna latencia por cualquier motivo, Traffic Manager dirigirá el tráfico al segundo App Service.
Asegúrate de echar un vistazo a la lista de regiones disponibles de Microsoft y su región emparejada correspondiente. Usar regiones no emparejadas puede provocar problemas durante la configuración de esta redundancia.
Flujo de trabajo
Primero, el App Service de SCEPman será clonado en otra ubicación geográfica.
Luego, se configura el Traffic Manager y se añaden sus Endpoints conectándolos a ambos App Services de SCEPman.
A continuación, se configuran los dominios personalizados para ambos App Services.
Finalmente, se configura el registro DNS CNAME, apuntando tu dominio personalizado al Traffic Manager.
Clonar App
Para clonar un App Service, primero necesitas crear un nuevo Plan de App Service en una segunda ubicación geográfica; aquí es donde se desplegará la App clonada. Puedes crearlo en el mismo grupo de recursos de SCEPman o en uno nuevo. Ver captura de pantalla abajo:
Requisitos para clonar App Service (vía Módulo PowerShell de SCEPman):
SCEPman 2.2 o arriba
Módulo PowerShell de SCEPman 1.6.3.0 o arriba
Permisos de administrador global
El siguiente comando CMDlet clonará tu App Service de SCEPman y configurará todos los permisos necesarios:
SourceAppServiceName: El nombre del App Service de SCEPman existente.
TargetAppServiceName: El nombre del nuevo App Service de SCEPman clonado.
TargetAppServicePlan: El nombre del Plan de App Service para la instancia clonada de SCEPman. El Plan de App Service debe existir ya en el TargetResourceGroup.
SourceResourceGroup: (Opcional) El grupo de recursos de Azure que aloja el App Service de SCEPman existente. Dejar vacío para detección automática.
TargetResourceGroup: (Opcional) El grupo de recursos de Azure que alojará el nuevo App Service de SCEPman. Dejar vacío para detectar automáticamente el grupo de recursos del Plan de App Service.
SourceSubscriptionId: (Opcional) El ID de la Suscripción donde SCEPman está instalado. Se puede omitir si ya está preseleccionada en az o usar la bandera SearchAllSubscriptions para buscar en todas las suscripciones accesibles
TargetSubscriptionId: (Opcional) El ID de la Suscripción donde se instalará SCEPman. Se puede omitir si es la misma que SourceSubscriptionId.
SearchAllSubscriptions: (Opcional) Establece esta bandera para buscar en todas las suscripciones el App Service de SCEPman. De lo contrario, preselecciona la suscripción correcta en az o pasa el SubscriptionId correcto.
Ejemplo
Clonar un App Service existente "as-scepman-nrg5reuov63vk"
Después de que la implementación haya finalizado correctamente, navega al App Service clonado y comprueba en la página principal de SCEPman que todos los permisos estén configurados correctamente y que todo esté en verde y conectado (esto podría tardar hasta 3 minutos después de que la implementación haya finalizado).
Para evitar un único punto de fallo, recomendamos establecer el WEBSITE_RUN_FROM_PACKAGE del App Service clonado al segundo host de artefactos independiente en Azure.
Canal de producción:
https://install.scepman.com/dist/Artifacts.zip
El App Service original debería tener por defecto el primer host de artefactos, que apunta a un repositorio de GitHub. Para más información por favor consulta Artefactos de la aplicación.
Clonar un App Service tiene algunas restricciones como autoescalado configuraciones, programación de copias de seguridad configuraciones, App Insights, etc. Las configuraciones que no pueden clonarse deben configurarse manualmente de nuevo en el App Service clonado. Adicionalmente, los cambios en las configuraciones de un App Service no se sincronizarán automáticamente al segundo App Service si se realizan después de la operación de clonación. Para más información visita https://docs.microsoft.com/en-us/azure/app-service/app-service-web-app-cloning#current-restrictions
Configurar Traffic Manager
Sigue los pasos abajo para crear y configurar el Traffic Manager y balancear el tráfico entre ambas instancias de SCEPman:
Busca en el Marketplace perfil de Traffic Manager y haga clic en Crear.
Rellena los campos y elige tu grupo de recursos de SCEPman
Luego haz clic en Crear.
Después de que tu Traffic Manager esté desplegado, ábrelo y haz clic en Configuración
Cambia los ajustes como sigue y guarda
Añadiendo Endpoints
Primer Endpoint
Luego bajo Configuración elige Endpoints
Elige "Azure Endpoint" como Escribe, proporciona un nombre para el primer Endpoint, y "App Service" como Tipo de recurso destino
Elige tu App Service SCEPman primario como Recurso destino
Segundo Endpoint
Repite los mismos pasos para el segundo endpoint y elige el segundo App Service de SCEPman (clonado) como un Recurso destino
Configuración de dominio personalizado
Después de un despliegue y configuración exitosos de los Endpoints del Traffic Manager, necesitas configurar el mismo dominio personalizado para ambas instancias de SCEPman como se describe aquí.
Asegúrate de cambiar el valor de la configuración AppConfig:BaseUrl para ambas App Services de SCEPman después de que los dominios personalizados hayan sido creados.
Configuración DNS
En el Traffic Manager Visión general, encontrarás el nombre DNS, que debe ser añadido a tu DNS
Navega al servicio de gestión DNS que uses (por ejemplo, Zonas DNS de Azure)
Elimina cualquier entrada CNAME posiblemente existente y errónea que apunte a una de las instancias de Azure App Service y añade un CNAME que mapee el dominio personalizado creado de SCEPman al nombre DNS de Traffic Manager. En el ejemplo abajo el CNAME debería apuntar a gk-blueprint-scepman.trafficmanager.net.
En Zona DNS de Azure, para modificar un registro, primero debes quitar el bloqueo DNS navegando a Bloqueos.
Al completar la configuración, asegúrate de actualizar la URL del servidor SCEP en tu(s) perfil(es) SCEP en Intune. La nueva URL debe ser el dominio personalizado que creaste con "/certsrv/mscep/mscep.dll" al final.
Ejemplo: https://scepman.contoso.com/certsrv/mscep/mscep.dll
Geo-redundancia de la Cuenta de Almacenamiento
La Cuenta de Almacenamiento utilizada para SCEPman también debe configurarse para redundancia. La configuración predeterminada de SCEPman usa Almacenamiento Localmente Redundante (LRS), que usa solo una región. Por ejemplo, configura almacenamiento geo-redundante (GRS).
Última actualización
¿Te fue útil?