Session Manager de escalado - Amazon DCV Session Manager
Paso 1: Crear un perfil de instanciaPaso 2: Preparar el certificado SSL para el equilibrador de cargaPaso 3: Crear el equilibrador de carga de aplicación de brokerPaso 4: Lanzar los brokersPaso 5: Crear un equilibrador de carga de aplicación del agentePaso 6: Lanzar los agentes

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Session Manager de escalado

Para permitir una alta disponibilidad y mejorar el rendimiento puede configurar Session Manager para que utilice varios agentes y brokers. Si tiene intención de utilizar varios agentes y corredores, le recomendamos que instale y configure solo un host de agente y corredor, cree imágenes de Amazon Machines (AMI) a partir de esos hosts y, a continuación, lance los hosts restantes desde AMIs.

De forma predeterminada, Session Manager admite el uso de varios agentes sin necesidad de configuración adicional. Sin embargo, si tiene intención de utilizar varios brokers, debe utilizar un equilibrador de carga para equilibrar el tráfico entre el cliente frontend y los brokers, y entre estos y los agentes. Usted es el propietario exclusivo y el gestor de la instalación y la configuración del equilibrador de carga.

En la siguiente sección, se explica cómo configurar Session Manager para utilizar varios hosts con un Equilibrador de carga de aplicación.

Paso 1: Crear un perfil de instancia

Debe adjuntar un perfil de instancia a los hosts Broker y Agent que les concedan permiso para usar Elastic Load Balancing APIs. Para obtener más información, consulta las funciones de IAM para Amazon EC2 en la Guía del EC2 usuario de Amazon.

Cómo crear un perfil de instancia

  1. Crea un rol AWS Identity and Access Management (IAM) que defina los permisos que se van a usar en el perfil de la instancia. Utilice la siguiente política de confianza:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "ec2.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

    Asocie la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:DescribeInstances"
      ],
      "Effect": "Allow",
      "Resource": "*"
    },
    {
      "Action": [
        "elasticloadbalancing:DescribeTargetHealth"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

    Para obtener más información, consulte Creación de un rol de IAM (AWS CLI) en Guía del usuario de IAM.

  2. Cree un nuevo perfil de instancia. Para obtener más información, consulte create-instance-profile en la Referencia de los comandos de AWS CLI .

  3. Agregue el Rol de IAM al perfil de instancias. Para obtener más información, consulte add-role-to-instance-profile en la Referencia de AWS CLI comandos.

  4. Asocie el perfil de instancia a los hosts de broker. Para obtener más información, consulta Cómo adjuntar un rol de IAM a una instancia en la Guía EC2 del usuario de Amazon.

Paso 2: Preparar el certificado SSL para el equilibrador de carga

Cuando se utiliza HTTPS para el agente de escucha del equilibrador de carga, es preciso implementar en él un certificado SSL. El equilibrador de carga usará dicho certificado para terminar la conexión y descifrar las solicitudes de los clientes antes de enviárselas a los destinos.

Para preparar el certificado SSL

  1. Cree una entidad de certificación (CA) privada AWS Certificate Manager Private Certificate Authority (ACM PCA). Para obtener más información, consulte Procedimientos para crear una CA en la Guía del usuario de AWS Certificate Manager Private Certificate Authority.

  2. Instale la CA. Para obtener más información, consulte Instalación de un certificado de CA raíz en la Guía del usuario de AWS Certificate Manager Private Certificate Authority.

  3. Solicite un nuevo certificado privado firmado por la CA. Como nombre de dominio, utilice *.region.elb.amazonaws.com y especifique la región en la que desea crear el equilibrador de carga. Para obtener más información, consulte Solicitud de un certificado privado en la Guía del usuario de AWS Certificate Manager Private Certificate Authority.

Paso 3: Crear el equilibrador de carga de aplicación de broker

Cree un equilibrador de carga de aplicación para equilibrar el tráfico entre sus clientes front-end y los brokers.

Para crear el equilibrador de carga

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

    En el panel de navegación, elija Equilibradores de carga y, a continuación, elija Crear equilibrador de carga. En Tipo de equilibrador de carga, elija Equilibrador de carga de aplicación.

  2. En Paso 1: Configurar equilibrador de carga, haga lo siguiente:

    1. En Nombre, escriba un nombre descriptivo para el equilibrador de carga.

    2. En Esquema, seleccione Con acceso a Internet.

    3. En Protocolo de equilibrador de carga, seleccione HTTPS y, en Puerto de equilibrador de carga, introduzca 8443.

    4. Para VPC, seleccione la VPC que desee utilizar y, a continuación, seleccione todas las subredes de esa VPC.

    5. Elija Next (Siguiente).

  3. En Paso 2: Configurar grupo de seguridad, haga lo siguiente:

    1. En Tipo de certificado, seleccione Elegir un certificado de ACM.

    2. En Nombre del certificado, seleccione el certificado privado que solicitó anteriormente.

    3. Elija Next (Siguiente).

  4. En el Paso 3: Configurar grupos de seguridad, cree un nuevo grupo de seguridad o seleccione un grupo de seguridad existente que permita tráfico entrante y saliente entre su cliente front-end y los brokers a través de HTTPS y el puerto 8443.

    Elija Next (Siguiente).

  5. En Paso 4: Configurar enrutamiento, haga lo siguiente:

    1. En Grupo de destino, seleccione Nuevo grupo de destino.

    2. En Name (Nombre), escriba un nombre para el grupo de destino.

    3. En Tipo de destino, elija Instancia.

    4. En Protocolo, seleccione HTTPS. En Puerto, escriba 8443. Para la versión de protocolo, elija HTTP1.

    5. En Protocolo de comprobación de estado, elija HTTPS y en Ruta, introduzca /health.

    6. Elija Next (Siguiente).

  6. En Paso 5: Registrar destinos, seleccione Siguiente.

  7. Seleccione Crear.

Paso 4: Lanzar los brokers

Cree un broker inicial y configúrelo para utilizar el equilibrador de carga, cree una AMI desde el broker y, a continuación, utilícela para lanzar los brokers restantes. Esto garantiza que todos los brokers estén configurados para utilizar la misma CA y la misma configuración de equilibrador de carga.

Para lanzar los brokers

  1. Inicie y configure el host del broker inicial. Para obtener más información sobre cómo instalar y configurar el broker, consulte Paso 2: configuración del broker de Amazon DCV Session Manager.

    nota

    No se necesita un certificado autofirmado del broker, ya que utilizamos un equilibrador de carga de aplicación.

  2. Conéctese al broker, abra /etc/dcv-session-manager-broker/session-manager-broker.properties con su editor de texto preferido y haga lo siguiente:

    1. Comente el parámetro broker-to-broker-discovery-addresses colocando un hash (#) al principio de la línea.

    2. Para broker-to-broker-discovery-aws-region, introduzca la región en la que creó el equilibrador de carga de aplicación.

    3. Para broker-to-broker-discovery-aws-alb-target-group-arn, introduzca el ARN del grupo de destino asociado al equilibrador de carga del broker.

    4. Guarde y cierre el archivo.

  3. Detenga la instancia de broker.

  4. Cree una AMI a partir de la instancia de broker detenida. Para obtener más información, consulte Creación de una AMI de Linux a partir de una instancia en la Guía del EC2 usuario de Amazon para instancias de Linux.

  5. Utilice la AMI para lanzar los brokers restantes.

  6. Asigne el perfil de instancia que creó a todas las instancias de broker.

  7. Asigne un grupo de seguridad que permita a tráfico de red de broker a broker y de broker a equilibrador de carga a todas las instancias de broker. Para obtener más información sobre puertos de red, consulte Archivo de configuración del broker.

  8. Registre todas las instancias de broker como destinos para el equilibrador de carga de broker. Para obtener más información, consulte Registro de destinos con el grupo de destino en la Guía del usuario de los equilibradores de carga de aplicación.

Paso 5: Crear un equilibrador de carga de aplicación del agente

Cree un equilibrador de carga de aplicación para equilibrar los agentes y los brokers.

Para crear el equilibrador de carga

  1. Abre la EC2 consola de Amazon en https://console.aws.amazon.com/ec2/.

    En el panel de navegación, elija Equilibradores de carga y, a continuación, elija Crear equilibrador de carga. En Tipo de equilibrador de carga, elija Equilibrador de carga de aplicación.

  2. En Paso 1: Configurar equilibrador de carga, haga lo siguiente:

    1. En Nombre, escriba un nombre descriptivo para el equilibrador de carga.

    2. En Esquema, seleccione Con acceso a Internet.

    3. En Protocolo de equilibrador de carga, seleccione HTTPS y, en Puerto de equilibrador de carga, introduzca 8445.

    4. Para VPC, seleccione la VPC que desee utilizar y, a continuación, seleccione todas las subredes de esa VPC.

    5. Elija Next (Siguiente).

  3. En Paso 2: Configurar grupo de seguridad, haga lo siguiente:

    1. En Tipo de certificado, seleccione Elegir un certificado de ACM.

    2. En Nombre del certificado, seleccione el certificado privado que solicitó anteriormente.

    3. Elija Next (Siguiente).

  4. En Paso 3: Configurar grupos de seguridad, cree un nuevo grupo de seguridad o seleccione un grupo de seguridad existente que permita tráfico entrante y saliente de agentes y brokers a través de HTTPS y el puerto 8445.

    Elija Next (Siguiente).

  5. En Paso 4: Configurar enrutamiento, haga lo siguiente:

    1. En Grupo de destino, seleccione Nuevo grupo de destino.

    2. En Name (Nombre), escriba un nombre para el grupo de destino.

    3. En Tipo de destino, elija Instancia.

    4. En Protocolo, seleccione HTTPS. En Puerto, escriba 8445. Para la versión de protocolo, elija HTTP1.

    5. En Protocolo de comprobación de estado, elija HTTPS y, en Ruta, introduzca /health.

    6. Elija Next (Siguiente).

  6. En Paso 5: Registrar destinos, seleccione todas las instancias de broker y elija Agregar a registrado. Elija Siguiente: Revisar.

  7. Seleccione Crear.

Paso 6: Lanzar los agentes

Cree un agente inicial y configúrelo para utilizar el equilibrador de carga, cree una AMI desde el agente y, a continuación, utilícela para lanzar los agentes restantes. Esto garantiza que todos los agentes estén configurados para utilizar la misma configuración de equilibrador de carga.

Para iniciar los agentes

  1. Prepare el servidor Amazon DCV. Para obtener más información, consulte Paso 1: preparación de los servidores Amazon DCV.

  2. Coloque una copia de la clave pública de CA creada en Paso 2: Preparar el certificado SSL para el equilibrador de carga. Elija o cree un directorio que pueda leer cualquier usuario. El archivo de clave pública de CA también debe ser legible para cualquier usuario.

  3. Instale y configure el agente. Para obtener más información acerca de cómo instalar y configurar el agente, consulte Paso 3: configuración del agente de Amazon DCV Session Manager.

    importante

    Cuando modifique el archivo de configuración del agente:

    • para el parámetro broker_host, introduzca el DNS del equilibrador de carga del agente

    • para el parámetro ca_file, introduzca la ruta del archivo de clave pública de CA creado en el paso anterior

  4. Configure el servidor Amazon DCV para utilizar el broker como servidor de autenticación. Para obtener más información, consulte Paso 4: configuración del servidor Amazon DCV para utilizar el broker como servidor de autenticación.

    importante

    Al modificar el archivo de configuración del servidor Amazon DCV:

    • para el parámetro ca-file, introduzca la misma ruta del archivo de clave pública de CA creado en el paso anterior

    • para el auth-token-verifier parámetro, utilice el DNS del balanceador de cargas del agente para broker_ip_or_dns

  5. Detenga la instancia del agente.

  6. Cree una AMI a partir de la instancia de agente detenida. Para obtener más información, consulte Creación de una AMI de Linux a partir de una instancia en la Guía del EC2 usuario de Amazon para instancias de Linux.

  7. Utilice la AMI para lanzar los agentes restantes y asignarles el perfil de instancia que creó a todos ellos.

  8. Asigne un grupo de seguridad que permita a tráfico de red de agente a equilibrador de carga a todas las instancias de agente. Para obtener más información sobre puertos de red, consulte Archivo de configuración del agente.