NetScaler的部署实验之四更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

更新DDC的SSL证书配置及NetScaler对DDC的负载均衡配置

Citrix的DDC安装完成之后默认是同时接受80和443的请求的。我的实验过程会以443端口来进行，在有安全要求的生产环境中，有可能要求关闭80端口的监听及请求。这个过程在官方网站上面的eDoc里有介绍，我这里不作说明，也不会有实验过程阐述如何关闭DDC对80端口请求的响应。确有要求的自己去官方网站找。

在对NetScaler进行配置之前，首先要对DDC的证书做配置，否则两边的证书互不信任，SSL通信就无从谈起了。

在配置DDC的证书时有两个方法：IIS管理器或者证书控制台+PowerShell命令。我的实验过程会用IIS管理器来配置，图形界面比较简单。否则就得去注册表找DDC的borker的UUID，然后使用命令将证书与该UUID绑定（这会是一条有3~4行长度的命令）。除非你确实没有安装服务器角色组件的权限，否则就别难为自己了，IIS又快又方便，大不了装完证书再把IIS控制台卸了。

首先，为DDC安装IIS控制台，

1.jpg (370.07 KB)

2015-1-12 18:34

2.jpg (387.02 KB)

3.jpg (352.94 KB)

顺带把.Net 3.5也装了，安装的时候注意指向.Net的安装文件路径，

4.jpg (362.96 KB)

5.jpg (380.08 KB)

6.jpg (396.25 KB)

7.jpg (163.25 KB)

完成对所有DDC的IIS安装过程。

8.jpg (416.98 KB)

安装完成之后，打开DDC上的IIS管理控制台

9.jpg (343.35 KB)

在IIS控制台里，打开“服务器名” -> Server Certificates，

10.jpg (365.38 KB)

在右边操作选项中选择“Import”，（这里的服务器证书同样是Wildcard证书）

11.JPG (189.84 KB)

选择带有私钥的服务器证书，并输入该证书导出时所设置的密码，

12.JPG (214.72 KB)

证书安装完毕后，去证书管理控制台检查证书是否有对应的私钥绑定。注意此处如果导入的证书没有对应的私钥绑定，这张证书对这台服务器是不生效的。实在不行就用IIS向授信根从新申请一张服务器证书吧。

13.JPG (301.21 KB)

回到IIS控制台，将刚才导入的服务器证书与443端口作绑定，

14.jpg (367.64 KB)

15.jpg (353.61 KB)

16.jpg (371.18 KB)

作绑定之后最好重启broker服务，保险起见可以将服务器重启一次。这样DDC的证书就安装好了。然后再所有DDC上重复上述证书的安装步骤，保证所有DDC的443端口都有对应的证书绑定。

先吃饭了，吃完再回来

继续继续，配置完DDC，就要开始NetScaler的配置过程了。

首先，登录到NetScaler的控制页面，依次点开“Traffic Management” -> "Load Balance" -> "Servers"，在这里配置后端实际应用的服务器信息。因为NetScaler需要知道它在为哪些服务器作负载均衡。

1.jpg (346.21 KB)

2015-1-12 21:27

点击“Add”，添加具体的服务器信息，在服务器地址这块，可以使用IP地址，也可以使用FQDN。如果是用服务器的FQDN，确保NetScaler能够正常联系DNS解析服务器的地址。

2.jpg (331.75 KB)

重复上述步骤，添加所有DDC的服务器信息，

3.jpg (354.09 KB)

然后依次点开"Traffic Management" -> "Load Balance" -> "Monitor"，在此处添加对DDC服务器上各项XenDesktop服务的监视器。在这里可以定制负载均衡服务如何对后端服务器应用服务或者服务器web页面进行健康检查。这个监视至器关重要，比如对于一个应用服务来说你如何确定服务是UP的状态，最简单的是ping包，也可以写正则表达式监视服务通信过程中的某个字段来确认服务的健康状态。而对于Web服务来说，可以检查服务器的responder返回了哪些内容来确认Web页面的健康状态。所有的这一切需要管理员自己来通过正则表达式来定义，不同的应用不同的web页面都有自己特殊的不同设置。而对于Citrix XenDesktop来说，NetScaler为我们定义了一套模板来对后端DDC服务器作健康检查。我印象中是从10.1版本开始有的。Thanks god。否则，光是写正则表达式就是个头疼的任务。

点击“Add”，添加DDC的监视器，

4.jpg (395.25 KB)

输入监视器的名字，在"Type"选项中选择“CITRIX-XD-DDC”，

5.jpg (344.91 KB)

在同一页面最下方勾选“Secure”，然后创建该监视器，

6.jpg (292.33 KB)

7.jpg (382.12 KB)

再次点开"Traffic Management" -> "Load Balance" -> "Services" -> "Add"，添加后端DDC服务器的服务。负载均衡器使用这些服务有后端服务器进行通信，同时使用刚才创建的监视器对通信过程及结果进行筛选以确认后端服务器的健康状态。

8.jpg (333.21 KB)

在创建服务页面，填入对应的服务名称，勾选”Exist Servers“，在”Server“条目选择刚才的创建的后端DDC服务器信息的其中一个，

9.jpg (313.24 KB)

在"Protocol"条目选择”SSL“

10.jpg (316.6 KB)

11.jpg (140.51 KB)

点击"OK"，创建该服务。

12.jpg (156.38 KB)

点击该服务属性清单页面中的”Monitor“条目，将之前创建的DDC的监视器添加到该服务中来，

13.jpg (343.46 KB)

14.jpg (268.86 KB)

15.jpg (268.8 KB)

16.jpg (328.21 KB)

17.jpg (269.49 KB)

18.jpg (125.97 KB)

之后点击右侧带+号的”Certificates“，

19.jpg (337.86 KB)

当Certificates条目出现在负载均衡服务的清单中之后，添加之前章节中在NetScaler上面的创建的服务器证书及CA证书，用以保证负载均衡服务器与后端DDC之间的身份合法性，

20.jpg (345.74 KB)

点击"CA Certiface"条目右侧的小箭头，添加CA证书，

21.jpg (340.5 KB)

22.jpg (259.08 KB)

23.jpg (274.58 KB)

24.jpg (260 KB)

点击"Client Certificate"条目右侧的小箭头，添加服务器证书，

25.jpg (341.2 KB)

26.jpg (121.32 KB)

27.jpg (275.04 KB)

28.jpg (121.04 KB)

然后点击负载均衡服务清单页面的”Done"，完成一条服务的配置。

29.jpg (338.82 KB)

30.jpg (316.46 KB)

之后，重复上述步骤完成对各台后端DDC的服务配置。注：每台DDC对应一条服务。

31.jpg (150.33 KB)

2015-1-12 21:51

突然键盘失灵了，感觉到电脑有暴走的可能，先编辑一下把东西上传了吧。要不白做就崩溃了。

创建完所有DDC服务器对应的服务之后，创建DDC的负载均衡虚拟服务器，

依次点开"Traffic Management" -> "Load Balance" -> "Virtual Servers", 点击“Add"添加虚拟服务器

32.jpg (389.88 KB)

输入虚拟服务器的FQDN，IP地址，在"Protocol”条目选择“SSL”，然后点击创建

33.jpg (180.11 KB)

在负载均衡虚拟服务器的清单页面，添加刚才创建的负载均衡服务

34.jpg (411.52 KB)

35.jpg (170.58 KB)

36.jpg (171.69 KB)

37.jpg (170.46 KB)

添加完毕，点击“OK”完成负载均衡服务的装载，

38.jpg (185.81 KB)

之后完成负载均衡虚拟服务器的证书配置，注意不要把CA证书和服务器证书装反了，

39.jpg (428.02 KB)

40.jpg (168.49 KB)

41.jpg (173.18 KB)

42.jpg (168.63 KB)

43.jpg (426.85 KB)

44.jpg (170.07 KB)

45.jpg (173.42 KB)

46.jpg (169.16 KB)

证书配置完毕，点击“OK” -> “Done"，创建该负载均衡虚拟服务器

47.jpg (190.79 KB)

48.jpg (190.41 KB)

创建完毕，负载均衡虚拟服务器会根据所装载的服务及各个服务所装载的监视器对后端各个DDC进行健康检查和负载均衡。

49.jpg (181.63 KB)

50.jpg (181.36 KB)

负载均衡虚拟服务器创建完毕之后，在活动目录DNS服务器上创建该虚拟服务器对应的A记录，

51.jpg (182.42 KB)

2015-1-12 22:13

52.jpg (198.03 KB)

53.jpg (198.67 KB)

随后，暂停一台DDC，以测试负载均衡器的健康检查功能是否生效，这直接决定了负载均衡功能的正常与否。

54.jpg (116.23 KB)

55.jpg (127.77 KB)

待DDC offline之后，回到NetScaler的负载均衡页面，检查负载均衡虚拟服务器的状态，

56.jpg (323.06 KB)

如图所示，如果负载均衡器能够检查到后端DDC服务的异常，那么负载均衡虚拟服务器就能够在分发前端request的时候绕过故障服务器，保障业务的正常进行。

57.jpg (126.34 KB)

58.jpg (133.41 KB)

59.jpg (147.84 KB)