Géo-redondance
Uniquement SCEPman Enterprise Edition
Cette architecture de référence montre comment exécuter une application Azure App Service dans plusieurs régions pour atteindre une haute disponibilité.
La géo-redondance / haute disponibilité n'est actuellement disponible que pour le (principal) App Service SCEPman. Raisonnement : les utilisateurs de Certificate Master sont des administrateurs ayant généralement des charges de travail de certificats non urgentes et connaissent les procédures pour gérer de tels scénarios.
Architecture
Comme illustré ci-dessus, le déploiement géo-redondant s'appuie sur un profil Azure Traffic Manager, qui route (basé sur DNS) les requêtes vers la CA SCEPman vers une paire d'instances SCEPman déployées dans différentes géolocalisations. Les instances SCEPman individuelles communiquent avec le même KeyVault, compte de stockage et AAD et partagent ainsi la même CA racine. En plus d'équilibrer la charge du trafic selon un ensemble d'algorithmes de routage que vous pouvez choisir, Traffic Manager sonde également en permanence les deux instances de SCEPman. Si une instance devient indisponible, tout le trafic sera automatiquement routé vers l'instance disponible.
Microsoft discute dans cet article trois stratégies différentes de géo-redondance qui peuvent être utilisées pour gérer ce type d'architecture. Cependant, dans notre cas, nous utiliserons l'approche Active/Active Cela signifie que les deux régions sont actives et que les requêtes sont réparties entre elles. Si une région devient indisponible ou présente une latence pour quelque raison que ce soit, Traffic Manager dirigera le trafic vers le second App Service.
Assurez-vous de consulter la liste des régions disponibles de Microsoft et leur région appariée correspondante. L'utilisation de régions non appariées peut entraîner des problèmes lors de la configuration de cette redondance.
Flux de travail
Tout d'abord, l'App Service SCEPman sera cloné dans une autre géolocalisation.
Ensuite, le Traffic Manager est configuré et ses points de terminaison sont ajoutés et connectés aux deux App Services SCEPman.
Puis, les domaines personnalisés pour les deux App Services sont configurés.
Enfin, l'enregistrement DNS CNAME est configuré, pointant votre domaine personnalisé vers le Traffic Manager.
Cloner l'application
Pour cloner un App Service, vous devez d'abord créer un nouveau Plan App Service dans une deuxième géolocalisation, c'est là que l'application clonée sera déployée. Vous pouvez le créer dans le même groupe de ressources SCEPman ou dans un nouveau. Voir capture d'écran ci-dessous :
Exigences pour cloner un App Service (via Module PowerShell SCEPman):
SCEPman 2.2 ou ci-dessus
Module PowerShell SCEPman 1.6.3.0 ou ci-dessus
Autorisations d'administrateur global
La commande CMDlet suivante clorera votre App Service SCEPman et configurera toutes les autorisations requises :
SourceAppServiceName : Le nom de l'App Service SCEPman existant.
TargetAppServiceName : Le nom du nouveau App Service SCEPman cloné.
TargetAppServicePlan : Le nom du Plan App Service pour l'instance SCEPman clonée. Le Plan App Service doit déjà exister dans le TargetResourceGroup.
SourceResourceGroup : (Optionnel) Le groupe de ressources Azure hébergeant l'App Service SCEPman existant. Laisser vide pour la détection automatique.
TargetResourceGroup : (Optionnel) Le groupe de ressources Azure hébergeant le nouvel App Service SCEPman. Laisser vide pour détecter automatiquement le groupe de ressources du Plan App Service.
SourceSubscriptionId : (Optionnel) L'ID de l'abonnement où SCEPman est installé. Peut être omis s'il est déjà pré-sélectionné dans az ou utilisez le drapeau SearchAllSubscriptions pour rechercher dans tous les abonnements accessibles
TargetSubscriptionId : (Optionnel) L'ID de l'abonnement où SCEPman doit être installé. Peut être omis s'il est identique à SourceSubscriptionId.
SearchAllSubscriptions : (Optionnel) Définissez ce paramètre pour rechercher dans tous les abonnements l'App Service SCEPman. Sinon, pré-sélectionnez le bon abonnement dans az ou fournissez le SubscriptionId correct.
Exemple
Cloner un App Service SCEPman existant "as-scepman-nrg5reuov63vk"
Après la fin réussie du déploiement, accédez à l'App Service cloné et vérifiez sur la page d'accueil de SCEPman que toutes les autorisations sont correctement définies et que tout est vert et connecté (cela peut prendre jusqu'à 3 minutes après la fin du déploiement).
Pour éviter un point de défaillance unique, nous recommandons de définir le WEBSITE_RUN_FROM_PACKAGE de l'App Service cloné vers le deuxième hôte d'artefacts indépendant sur Azure.
Canal de production :
https://install.scepman.com/dist/Artifacts.zip
L'App Service original devrait avoir par défaut le premier hôte d'artefacts, qui pointe vers un dépôt GitHub. Pour plus d'informations, veuillez consulter Artefacts d'application.
Le clonage d'un App Service comporte certaines restrictions telles que mise à l'échelle automatique paramètres, plan de sauvegarde paramètres, App Insights, etc. Les configurations qui ne peuvent pas être clonées doivent être reconfigurées manuellement sur l'App Service cloné. De plus, les modifications apportées aux paramètres d'un App Service ne seront pas synchronisées automatiquement vers le second App Service si elles sont effectuées après l'opération de clonage. Pour plus d'informations, visitez https://docs.microsoft.com/en-us/azure/app-service/app-service-web-app-cloning#current-restrictions
Configurer le Traffic Manager
Suivez les étapes ci-dessous pour créer et configurer le Traffic Manager et équilibrer le trafic entre les deux instances SCEPman :
Recherchez dans le Marketplace profil Traffic Manager et cliquez sur Créer.
Remplissez les champs et choisissez votre groupe de ressources SCEPman
Puis cliquez Créer.
Après le déploiement de votre Traffic Manager, ouvrez-le et cliquez sur Configuration
Modifiez les paramètres comme suit et enregistrez
Ajout de points de terminaison
Premier point de terminaison
Puis sous Paramètres choisissez Points de terminaison
Choisissez "Endpoint Azure" comme Tapez, fournissez un nom pour le premier point de terminaison, et "App Service" comme Type de ressource cible
Choisissez votre App Service SCEPman principal comme Ressource cible
Second point de terminaison
Répétez les mêmes étapes pour le second point de terminaison et choisissez le second App Service SCEPman (cloné) comme Ressource cible
Configuration du domaine personnalisé
Après un déploiement réussi et la configuration des points de terminaison du Traffic Manager, vous devez configurer le même domaine personnalisé pour les deux instances SCEPman comme décrit ici.
Assurez-vous de modifier la valeur du paramètre AppConfig:BaseUrl pour les deux dans les App Services SCEPman après la création des domaines personnalisés.
Configuration DNS
Dans le Traffic Manager Vue d'ensemble, vous trouverez le nom DNS qui doit être ajouté à votre DNS
Accédez à votre service de gestion DNS (par exemple, Zones DNS Azure)
Supprimez toute entrée CNAME éventuellement incorrecte pointant vers l'une des instances Azure App Service et ajoutez un CNAME qui mappe le domaine personnalisé SCEPman créé vers le nom DNS du Traffic Manager. Dans l'exemple ci-dessous, le CNAME doit pointer vers gk-blueprint-scepman.trafficmanager.net.
Dans Zone DNS Azure, pour modifier un enregistrement, vous devez d'abord supprimer le verrou DNS en naviguant vers Verrous.
Après avoir terminé la configuration, assurez-vous de mettre à jour l'URL du serveur SCEP dans votre/ vos profil(s) SCEP dans Intune. La nouvelle URL doit être le domaine personnalisé que vous avez créé avec "/certsrv/mscep/mscep.dll" à la fin.
Exemple : https://scepman.contoso.com/certsrv/mscep/mscep.dll
Géo-redondance du compte de stockage
Le compte de stockage utilisé pour SCEPman doit également être configuré pour la redondance. La configuration SCEPman par défaut utilise le stockage localement redondant (LRS), qui n'utilise qu'une seule région. Par exemple, configurez un stockage géo-redondant (GRS).
Mis à jour
Ce contenu vous a-t-il été utile ?