En esta tarea se describen los pasos que se deben llevar a cabo para establecer la comunicación entre una célula dentro de un cortafuegos y un
DMZ Secure Proxy Server for IBM® WebSphere Application Server fuera del cortafuegos.
Antes de empezar
- Cree un DMZ Secure Proxy Server for IBM WebSphere Application Server en la máquina que está fuera del cortafuegos, si todavía no hay ninguno.
- Configure puentes de grupo principal entre los grupos principales que están ubicados dentro del cortafuegos pero que residen en distintas células, si todavía no existen.
- Lea el tema Configuraciones avanzadas de puente de grupo principal, que describe cómo se utiliza un grupo de punto de acceso de túnel para configurar un túnel del puente de grupo principal entre una célula dentro de un cortafuegos y un
DMZ Secure Proxy Server for IBM WebSphere Application Server
Acerca de esta tarea
Avoid trouble: Al configurar puentes de grupos principales, recuerde los siguientes requisitos:
- Siempre que se efectúa un cambio en una configuración de puente de grupo principal, incluida la adición de un nuevo puente, o la eliminación de un puente existente, debe concluir completamente y, a continuación, volver a iniciar todos los puentes de grupos principales en los grupos de puntos de acceso afectados.
- Debe haber como mínimo un puente de grupo principal en ejecución en cada grupo principal.
Si configura dos puentes en cada grupo principal, un error individual del servidor no interrumpe la funcionalidad del puente. Además, si configura dos puentes puede desactivar periódicamente uno de los puentes.
Si todos los puentes de grupo principal de un grupo principal se han concluido, se pierde el estado del grupo principal de todos los grupos principales foráneos.
gotcha
Best practice: También se recomienda que:
- Los puentes de grupos principales se configuren en su propio proceso de servidor dedicado y que estos procesos tengan su política de supervisión establecida para el reinicio automático.
- Para cada uno de los grupos principales, establezca la propiedad personalizada de grupo principal IBM_CS_WIRE_FORMAT_VERSION en el valor más alto soportado en su entorno.
- Para conservar recursos, no cree más de dos interfaces de puente de grupos principales cuando defina un
punto de acceso de grupo principal. Para fines de carga de trabajo puede utilizar una interfaz y para alta
disponibilidad puede utilizar otra interfaz. Asegúrese de que estas interfaces están en nodos diferentes para
fines de alta disponibilidad. Para obtener más información, consulte la información de preguntas frecuentes
sobre los puentes de grupos principales.
- Normalmente, debe especificar SÓLO dos interfaces puente por grupo principal. Tener al menos dos interfaces puente es necesario para la alta disponibilidad. Tener más de dos interfaces puente añade una sobrecarga innecesaria en memoria y CPU.
bprac
Complete las acciones siguientes para crear un grupo de punto de acceso de túnel
que contenga el punto de acceso de grupo principal para el
DMZ Secure Proxy Server for IBM WebSphere Application Server,
y un punto de acceso de igual de túnel que representa la célula que se encuentra dentro del
cortafuegos.
Procedimiento
- En la consola administrativa, pulse para crear una plantilla de túnel nueva que representará los
valores de túnel de puente de grupo principal que se pueden exportar al DMZ Secure Proxy Server for IBM WebSphere Application Server.
- Seleccione los puntos de acceso de grupo que quiera incluir en este
grupo.
Cuando especifique los puntos de acceso de grupo principal
para el grupo de punto de acceso de túnel, utilice las flechas para colocar los puntos
de acceso de grupo principal en el orden correcto. El orden especificado determina el orden en el que el DMZ Secure Proxy Server for IBM WebSphere Application Server define los grupos de principales de iguales de un punto de acceso de igual de túnel. Durante el inicio, el servidor proxy intenta conectarse a los grupos principales de iguales en función del orden en el que se listan.
- Pulse Aceptar.
- Pulse Plantillas de túnel, seleccione el nombre de la plantilla
que acaba de crear y pulse Exportar.
El archivo se exporta al archivo WAS_DMGR_PROFILE_ROOT/TUNNEL_TEMPLATE_NAME.props.
- En DMZ Secure Proxy Server for IBM WebSphere Application Server,
importe los valores de plantilla de túnel en el archivo de configuración
de DMZ Secure Proxy Server for IBM WebSphere Application Server.
Para importar la
plantilla de túnel, emita uno de los mandatos siguientes:
$AdminTask importTunnelTemplate -interactive
o bien
$AdminTask importTunnelTemplate {-inputFileName nombre_plantilla_túnel
-bridgeInterfaceNodeName DMZ_PROXY_NODE_NAME
-bridgeInterfaceServerName nombre_proxy_seguro}
y luego emita el mandato
$AdminConfig save .
Donde nombre_plantilla_túnel es el nombre
que ha dado a la plantilla de túnel que acaba de crear y nombre_proxy_seguro es
el nombre de su DMZ Secure Proxy Server for IBM WebSphere Application Server.
- Opcional: Configure el protocolo de High Availability Manager para establecer soporte de migración tras error de puente transparente.
Durante las reconstrucciones del estado del puente de grupo principal, el estado entre grupos principales se puede trasladar entre puentes en ejecución.
Esta situación podría causar que los datos estuvieran temporalmente no disponibles hasta que el puente haya completado el proceso de reconstrucción.
Si está ejecutando en la versión 7.0.0.1 o posterior, establezca la propiedad personalizada de grupo principal IBM_CS_HAM_PROTOCOL_VERSION en 6.0.2.31 para todos los grupos principales para evitar una parada del estado de alta disponibilidad durante una migración tras error del puente de grupo principal. Cuando esta propiedad personalizada se establece en 6.0.2.31, los puentes restantes recuperan el estado de alta disponibilidad del puente anómalo sin los datos que no están disponibles en el grupo principal local.
Lleve a cabo las siguientes acciones para establecer la propiedad personalizada de grupo principal IBM_CS_HAM_PROTOCOL_VERSION en 6.0.2.31 para todos los grupos principales.
- Concluya todos los puentes de grupo principal de todos los grupos principales.
- Repita las siguientes acciones para cada grupo principal en cada una de las células:
- En la consola administrativa, pulse nombre_grupo_principal > Propiedades
personalizadas.
- Especifique IBM_CS_HAM_PROTOCOL_VERSION en el campo Nombre y 6.0.2.31 en el campo Valor.
- Guarde los cambios.
- Sincronice los cambios en toda la topología.
- Reinicie todos los puentes de la topología.
Todos los grupos principales de esta topología utilizan el protocolo de High Availability Manager 6.0.2.31.
Resultados
Se crea un grupo de punto de acceso de túnel
que contiene el punto de acceso de grupo principal para el
DMZ Secure Proxy Server for IBM WebSphere Application Server,
y un punto de acceso de igual de túnel que representa la célula que se encuentra dentro del
cortafuegos.