Geo-Redundância

Apenas SCEPman Enterprise Edition

Esta arquitetura de referência mostra como executar uma aplicação Azure App Service em várias regiões para alcançar alta disponibilidade.

Geo-redundância / alta disponibilidade está atualmente disponível apenas para o App Service (principal) do SCEPman. Justificativa: Os utilizadores do Certificate Master são administradores com cargas de trabalho de certificados tipicamente não críticas em termos de tempo e com conhecimento dos procedimentos para lidar com tais cenários.

Arquitetura

Como ilustrado acima, a implantação geo-redundante aproveita um perfil do Azure Traffic Manager, que encaminha requisições (baseadas em DNS) para a CA do SCEPman a um par de instâncias do SCEPman implantadas em diferentes geolocalizações. As instâncias individuais do SCEPman comunicam-se com o mesmo KeyVault, Conta de Armazenamento e AAD e, portanto, compartilham a mesma Root CA. Além de balancear a carga de tráfego com base em um conjunto de algoritmos de roteamento que você pode escolher, o Traffic Manager também sondará constantemente ambas as instâncias do SCEPman. Caso uma instância se torne indisponível, todo o tráfego será automaticamente roteado para a instância disponível.

A Microsoft discute em este artigo três diferentes estratégias de Geo-Redundância que podem ser usadas para gerenciar este tipo de arquitetura. No entanto, no nosso caso, usaremos a Abordagem Ativo/Ativo (Active/Active). Isso significa que ambas as regiões estão ativas e as requisições são balanceadas entre elas. Se uma região ficar indisponível ou apresentar latência por qualquer motivo, o Traffic Manager redirecionará o tráfego para o segundo App Service.

Certifique-se de dar uma olhada em lista de regiões disponíveis da Microsoft e na sua região pareada correspondente. Usar regiões não pareadas pode levar a problemas durante a configuração desta redundância.

Fluxo de trabalho

Primeiro, o App Service SCEPman será clonado em outra geolocalização.
Em seguida, o Traffic Manager é configurado e seus Endpoints são adicionados e conectados a ambos os App Services SCEPman.
Depois, os domínios personalizados para ambos os App Services são configurados.
Finalmente, o registro DNS CNAME é configurado, apontando seu domínio personalizado para o Traffic Manager.

Clonar App

Para clonar um App Service, primeiro você precisa criar um novo Plano de App Service em uma segunda geolocalização; é aqui que o App clonado será implantado. Você pode criá-lo no mesmo grupo de recursos do SCEPman ou em um novo. Veja a captura de tela abaixo:

Requisitos para clonar App Service (via Módulo PowerShell do SCEPman):

SCEPman 2.2 ou acima
Módulo PowerShell do SCEPman 1.6.3.0 ou acima
Permissões de Administrador Global

O comando CMDlet a seguir irá clonar seu App Service SCEPman e configurar todas as permissões necessárias:

New-SCEPmanClone -SourceAppServiceName <Seu Nome do App Service SCEPman> -TargetAppServiceName <Seu Nome do App Service clonado> -TargetAppServicePlan <Seu segundo Plano de App Service na segunda Geo Localização> -SearchAllSubscriptions 6>&1

SourceAppServiceName: O nome do App Service SCEPman existente.
TargetAppServiceName: O nome do novo App Service SCEPman clonado.
TargetAppServicePlan: O nome do Plano de App Service para a instância SCEPman clonada. O Plano de App Service deve já existir no TargetResourceGroup.
SourceResourceGroup: (Opcional) O grupo de recursos do Azure que hospeda o App Service SCEPman existente. Deixe vazio para auto-detecção.
TargetResourceGroup: (Opcional) O grupo de recursos do Azure que hospeda o novo App Service SCEPman. Deixe vazio para auto-detectar o grupo de recursos do Plano de App Service.
SourceSubscriptionId: (Opcional) O ID da Assinatura onde o SCEPman está instalado. Pode ser omitido se já estiver pré-selecionado no az ou use a flag SearchAllSubscriptions para procurar em todas as assinaturas acessíveis
TargetSubscriptionId: (Opcional) O ID da Assinatura onde o SCEPman deverá ser instalado. Pode ser omitido se for o mesmo que SourceSubscriptionId.
SearchAllSubscriptions: (Opcional) Defina essa flag para procurar o App Service SCEPman em todas as assinaturas. Caso contrário, pré-selecione a assinatura correta no az ou passe o SubscriptionId correto.

Exemplo

Clonar um App Service SCEPman existente "as-scepman-nrg5reuov63vk"

New-SCEPmanClone -SourceAppServiceName as-scepman-nrg5reuov63vk -TargetAppServiceName as-scepman-clone -TargetAppServicePlan asp-scepman-geo2 -SearchAllSubscriptions 6>&1

Após a conclusão bem-sucedida da implantação, navegue até o App Service clonado e verifique na página inicial do SCEPman se todas as permissões estão definidas corretamente e tudo está verde e conectado (isso pode levar até 3 minutos após a conclusão da implantação).

Para evitar um ponto único de falha, recomendamos definir o WEBSITE_RUN_FROM_PACKAGE do App Service clonado para o segundo host de artefatos independente no Azure.

Canal de produção:

https://install.scepman.com/dist/Artifacts.zip

O App Service original deve ter o primeiro host de artefatos por padrão, que aponta para um repositório do GitHub. Para mais informações, por favor verifique Artefatos da Aplicação.

Clonar um App Service tem algumas restrições, tais como autoscale configurações, agenda de backup configurações, App Insights, etc. Configurações que não podem ser clonadas devem ser configuradas manualmente novamente no App Service clonado. Adicionalmente, alterações nas configurações de um App Service não serão sincronizadas automaticamente para o segundo App Service se forem realizadas após a operação de clonagem. Para mais informações visite https://docs.microsoft.com/en-us/azure/app-service/app-service-web-app-cloning#current-restrictions

Configurar Traffic Manager

Siga os passos abaixo para criar e configurar o Traffic Manager e balancear o tráfego entre ambas as instâncias do SCEPman:

Pesquise no Marketplace por perfil do Traffic Manager e clique Criar.
Preencha os campos e escolha seu grupo de recursos do SCEPman

Em seguida clique em Criar.
Após o seu Traffic Manager ser implantado, abra-o e clique em Configuração
Altere as configurações conforme abaixo e salve

Adicionando Endpoints

Primeiro Endpoint

Então, em Configurações escolha Endpoints
Escolha "Azure Endpoint" como Digite, forneça um nome para o primeiro Endpoint, e "App Service" como Tipo de recurso de destino
Escolha seu SCEPman App Service primário como Recurso de destino

Segundo Endpoint

Repita os mesmos passos para o segundo endpoint e escolha o segundo App Service SCEPman (clonado) como um Recurso de destino

Configuração de Domínio Personalizado

Após uma implantação bem-sucedida e configuração dos Endpoints do Traffic Manager, você precisa configurar o mesmo domínio personalizado para ambas instâncias do SCEPman conforme descrito aqui.

Certifique-se de alterar o valor da configuração AppConfig:BaseUrl para ambas nos App Services SCEPman após os domínios personalizados terem sido criados.

Configuração de DNS

No Traffic Manager Visão Geral, você encontrará o nome DNS, que precisa ser adicionado ao seu DNS

Navegue até seu serviço de gerenciamento de DNS (por exemplo, Zonas DNS do Azure)
Remova quaisquer entradas CNAME possivelmente existentes e incorretas apontando para uma das instâncias do Azure App Service e adicione um CNAME que mapeie o domínio personalizado criado do SCEPman para o nome DNS do Traffic Manager. No exemplo abaixo o CNAME deve apontar para gk-blueprint-scepman.trafficmanager.net.

Em Zona DNS do Azure, para modificar um registro, primeiro você precisa remover o bloqueio de DNS navegando até Bloqueios.

Ao completar a configuração, certifique-se de atualizar a URL do Servidor SCEP nos seus perfis SCEP no Intune. A nova URL deve ser o domínio personalizado que você criou com "/certsrv/mscep/mscep.dll" no final.

Exemplo: https://scepman.contoso.com/certsrv/mscep/mscep.dll