Etapa 3: planejar uma implantação de cluster com balanceamento de carga
A próxima etapa é planejar a configuração do balanceamento de carga e a implantação do cluster.
Tarefa | Descrição |
---|---|
3.1 Planejar balanceamento de carga | Decida se deseja usar o NLB (Balanceamento de Carga de Rede do Windows) ou um ELB (balanceador de carga externo). |
3.2 Planejar IP-HTTPS | Se um certificado autoassinado não for usado, o servidor de Acesso Remoto precisará de um certificado SSL em cada servidor no cluster para autenticar conexões IP-HTTPS. |
3.3 Planejar conexões de cliente VPN | Observe os requisitos de conexões de cliente VPN. |
3.4 Planejar o servidor de local de rede | Se o site do servidor de local de rede estiver hospedado no servidor de Acesso Remoto e um certificado autoassinado não for usado, verifique se cada servidor no cluster tem um certificado de servidor para autenticar a conexão com o site. |
3.1 Planejar balanceamento de carga
O Acesso Remoto pode ser implantado em um único servidor ou em um cluster de servidores de Acesso Remoto. O tráfego para o cluster pode ter balanceamento de carga a fim de fornecer alta disponibilidade e escalabilidade a clientes do DirectAccess. Há duas opções de balanceamento de carga:
O Windows NLB-Windows NLB é um recurso do Windows Server. Para usá-lo, você não precisa de hardware adicional porque todos os servidores no cluster são responsáveis pelo gerenciamento da carga de tráfego. O NLB do Windows dá suporte a no máximo oito servidores em um cluster de Acesso Remoto.
Balanceador de carga externo – o uso de um balanceador de carga externo requer hardware externo para gerenciar a carga de tráfego entre os servidores de cluster de Acesso Remoto. Além disso, o uso de um balanceador de carga externo dá suporte a um máximo de 32 servidores de Acesso Remoto em um cluster. Alguns pontos a serem considerados ao configurar o balanceamento de carga externo são:
O administrador precisa garantir que os IPs virtuais configurados por meio do assistente de balanceamento de carga do Acesso Remoto sejam usados nos balanceadores de carga externos (como o sistema do Gerenciador de Tráfego Local F5 Big-Ip). Quando o balanceamento de carga externo estiver habilitado, os endereços IP nas interfaces externas e internas serão promovidos para endereços IP virtuais e deverão ser inseridos nos balanceadores de carga. Isso é feito para que o administrador não precise alterar a entrada DNS do nome público da implantação do cluster. Além disso, os pontos de extremidade de túnel IPsec são derivados dos IPs do servidor. Se o administrador fornecer IPs virtuais diferentes, o cliente não poderá se conectar ao servidor. Consulte o exemplo para configurar o DirectAccess com o Balanceamento de Carga Externo no exemplo de configuração de Load Balancer Externo 3.1.1.
Muitos balanceadores de carga externos (incluindo F5) não dão suporte ao balanceamento de carga de 6to4 e ISATAP. Se o servidor de Acesso Remoto for um roteador ISATAP, a função ISATAP deverá ser movida para um computador diferente. Além disso, quando a função ISATAP está em um computador diferente, os servidores DirectAccess precisam ter conectividade IPv6 nativa com o roteador ISATAP. Observe que essa conectividade deve estar presente antes da configuração do DirectAccess.
Para balanceamento de carga externo, se o Teredo precisar ser usado, todos os servidores de Acesso Remoto precisarão ter dois endereços IPv4 públicos consecutivos como endereços IP dedicados. Os IPs virtuais do cluster também precisam ter dois endereços IPv4 públicos consecutivos. Isso não é verdadeiro para o NLB do Windows, em que apenas os IPs virtuais do cluster precisam ter dois endereços IPv4 públicos consecutivos. Se o Teredo não for usado, não serão necessários dois endereços IP consecutivos.
O administrador pode alternar do NLB do Windows para o balanceador de carga externo e vice-versa. Observe que o administrador não poderá alternar do balanceador de carga externo para o NLB do Windows se ele tiver mais de oito servidores na implantação do balanceador de carga externo.
3.1.1 Exemplo de configuração de Load Balancer externo
Esta seção descreve as etapas de configuração para habilitar um balanceador de carga externo em uma nova implantação do Acesso Remoto. Ao usar um balanceador de carga externo, o cluster de Acesso Remoto pode ser semelhante ao da figura abaixo, em que os servidores de Acesso Remoto estão conectados à rede corporativa por meio de um balanceador de carga na rede interna e à Internet por meio de um balanceador de carga conectado à rede externa:
Informações de planejamento
Os VIPs externos (IPs que o cliente usará para se conectar ao Acesso Remoto) escolhidos foram 131.107.0.102, 131.107.0.103
Balanceador de carga em autoIPs de rede externa – 131.107.0.245 (Internet), 131.107.1.245
A rede de perímetro (também conhecida como zona desmilitarizada e DMZ) fica entre o balanceador de carga na rede externa e o servidor de Acesso Remoto.
Endereços IP para o servidor de Acesso Remoto na rede de perímetro – 131.107.1.102, 131.107.1.103
Endereços IP para o servidor de Acesso Remoto na rede ELB (ou seja, entre o servidor de Acesso Remoto e o balanceador de carga na rede interna) – 30.11.1.101, 2006:2005:11:1::101
Balanceador de carga em autoIPs de rede interna – 30.11.1.245 2006:2005:11:1::245 (ELB), 30.1.1.245 2006:2005:1:1::245 (Corpnet)
Os VIPs internos (endereços IP usados para investigação da Web do cliente e para o servidor de local de rede, se instalados nos servidores de Acesso Remoto) foram decididos como 30.1.1.10, 2006:2005:1:1::10
Etapas
Configure o adaptador de rede externa do servidor de Acesso Remoto (que está conectado à rede de perímetro) com os endereços 131.107.0.102, 131.107.0.103. Essa etapa é necessária para que a configuração do DirectAccess detecte os pontos de extremidade corretos do túnel IPsec.
Configure o adaptador de rede interno do servidor de Acesso Remoto (que está conectado à rede ELB) com os endereços IP do servidor de local de rede/investigação da Web (30.1.1.10, 2006:2005:1:1::10). Essa etapa é necessária para permitir que os clientes acessem o IP de investigação da Web, ou seja, o assistente de conectividade de rede indica corretamente o status da conexão com o DirectAccess. Essa etapa também permite o acesso ao servidor de local de rede, se ele estiver configurado no servidor DirectAccess.
Observação
Verifique se o controlador de domínio pode ser acessado no servidor de Acesso Remoto com essa configuração.
Configure o servidor único DirectAccess no servidor do Remote Access.
Habilite o balanceamento de carga externo na configuração do DirectAccess. Use 131.107.1.102 como o DIP (endereço IP dedicado externo) (131.107.1.103 será selecionado automaticamente); use 30.11.1.101, 2006:2005:11:1::101 como DIPs internos.
Configure os VIPs (IPs virtuais externos) no balanceador de carga externo com os endereços 131.107.0.102 e 131.107.0.103. Além disso, configure os VIPs internos no balanceador de carga externo com os endereços 30.1.1.10 e 2006:2005:1:1::10.
O servidor de Acesso Remoto agora será configurado com os endereços IP planejados e os endereços IP externos e internos do cluster serão configurados de acordo com os endereços IP planejados.
3.2 Planejar IP-HTTPS
Requisitos de certificado – durante a implantação do único servidor de Acesso Remoto, você selecionou o uso de um certificado IP-HTTPS emitido por uma AC (autoridade de certificação) pública ou interna ou um certificado autoassinado. Para a implantação do cluster, você precisa usar um tipo idêntico de certificado em cada membro do cluster de Acesso Remoto. Ou seja, se você usou um certificado emitido por uma AC pública (recomendado), precisará instalar um certificado emitido por uma AC pública em cada membro do cluster. O nome da entidade do novo certificado deve ser idêntico ao nome da entidade do certificado IP-HTTPS usado atualmente em sua implantação. Observe que, se você estiver usando certificados autoassinados, eles serão configurados automaticamente em cada servidor durante a implantação do cluster.
Requisitos de prefixo – o Acesso Remoto permite o balanceamento de carga do tráfego baseado em SSL e do tráfego do DirectAccess. Para balancear a carga de todo o tráfego do DirectAccess baseado em IPv6, o Acesso Remoto precisará examinar todas as tecnologias de transição no túnel IPv4. Como o tráfego IP-HTTPS é criptografado, não é possível examinar o conteúdo do túnel IPv4. Para habilitar o balanceamento de carga do tráfego IP-HTTPS, você precisará alocar um prefixo IPv6 largo o suficiente para que um prefixo IPv6 /64 diferente possa ser atribuído a cada membro do cluster. Você pode configurar um máximo de 32 servidores em um cluster com balanceamento de carga, ou seja, você precisa especificar um prefixo /59. Esse prefixo precisa ser roteável para o endereço IPv6 interno do cluster de Acesso Remoto e é configurado no assistente de Instalação do Servidor de Acesso Remoto.
Observação
Os requisitos de prefixo são relevantes apenas em uma rede interna habilitada para IPv6 (somente IPv6 ou IPV4+IPv6). Em uma rede corporativa somente IPv4, o prefixo do cliente é configurado automaticamente e o administrador não pode alterá-lo.
3.3 Planejar conexões de cliente VPN
Há várias considerações em relação a conexões de cliente VPN:
O tráfego do cliente VPN não poderá ser balanceado se os endereços do cliente VPN forem alocados usando DHCP. Um pool de endereços estáticos é obrigatório.
O RRAS pode ser habilitado em um cluster com balanceamento de carga que foi implantado somente para DirectAccess, usando Habilitar VPN no painel Tarefas do console de Gerenciamento de Acesso Remoto.
Todas as alterações de VPN concluídas no console de Gerenciamento de Acesso Remoto e Roteamento (rrasmgmt.msc) precisarão ser replicadas manualmente em todos os servidores de Acesso Remoto no cluster.
Para habilitar o balanceamento de carga do tráfego de cliente VPN IPv6, você precisará especificar um prefixo IPv6 de 59 bits.
3.4 Planejar o servidor de local de rede
Se você estiver executando o site do servidor de local de rede no único servidor de Acesso Remoto, durante a implantação você escolheu usar um certificado emitido por uma AC (autoridade de certificação) interna ou um certificado autoassinado. Observe o seguinte:
Cada membro do cluster de Acesso Remoto precisa ter um certificado para o servidor de local de rede que corresponda à entrada DNS do site do servidor de local de rede.
O certificado para cada servidor de cluster precisa ser emitido da mesma forma que o certificado no certificado de servidor de local de rede atual do servidor de Acesso Remoto único. Por exemplo, se você usou um certificado emitido por uma AC interna, precisará instalar um certificado emitido pela AC interna em cada membro do cluster.
Se você usou um certificado autoassinado, um certificado autoassinado será configurado automaticamente para cada servidor durante a implantação do cluster.
O nome da entidade do certificado não pode ser idêntico ao nome de nenhum dos servidores na implantação de Acesso Remoto.