【2022争霸赛*干货满满】零信任aTrust多数据中心分布式集群

本文介绍零信任多数据中心分布式部署的场景部署

【背景】

某公司在上海、深圳城市均有大量业务系统，员工需要频繁接入到多个数据中心内网访问相应业务系统。当前在各大数据中心分别部署了VPN设备，当员工出差时，无法同时通过VPN接入至多个数据中心访问业务系统，极大地影响了办公效率。且当前数据中心均采用单台VPN设备，如果VPN故障，将无法远程接入，存在单点故障。用户通过VPN远程接入后访问内网资源无清晰的日志记录，如果存在违规行为，难以实现溯源。

该公司希望采用新的方案架构满足在多套数据中心场景下，能实现统一接入认证访问应用。同时能实现设备分布式集群部署，保障设备和业务访问高可靠性，提供良好的日志审计能力。

【价值】

1、控制中心支持分布式集群部署，支持在多个数据中心部署多套控制中心设备，通过分布式集群实现配置数据同步，用户会话信息同步，提高设备灾备能力；

2、代理网关支持分布式部署，代理网关可在多个数据中心部署，统一接入控制中心联动，实现代理网关既能快速的代理本数据中心业务，又能实现灾备能力。

【拓扑】

【设备部署】

控制中心和代理网关均单臂部署两地的DMZ区，配置好分配的地址接入到网络，分别映射对应的端口到公网（控制中心：443；代理网关：441）；分布式集群场景还需映射控制中心的442端口

基础配置略过

【集群-控制中心配置】

1、进入特性中心，启用分布式集群

2、进入深圳的控制中心，点击<启用集群-作为中心单元创建集群>创建本节点作为整个分布式集群的中心单元

配置本地对应的信息，两地专线打通的情况下，此处可填写内网地址；如经过NAT环境，需填写NAT后的地址

通信端口默认为443，数据同步端口默认为442

配置完成后，点击创建分布式集群

3、进入上海的控制中心，先启用分布式集群，点击<启用集群-作为分支单元创建集群>

配置本地对应的信息，与深圳的类似；点击加入集群

填入中心端的ip端口，及集群密钥

提交完成后，等待中心端激活

4、登入深圳的控制中心，激活分支设备

数据同步完成后，状态如下

【集群-代理网关配置】

1、登入深圳的控制中心，新建代理网关区域

记录密钥

2、登入深圳的代理网关，点击加入控制中心

填写本机名称，控制中心地址（此处需填写中心节点对外映射的公网地址及端口），密钥；点击确定，等待控制中心激活

3、登入上海的代理网关，配置跟深圳的一样

4、登入中心节点的控制中心，激活代理网关

激活成功后，状态如下

到这里，我们的分布式部署就完成了

【注意事项】

1、用户接入域名地址需为智能dns域名（可结合AD做）

2、中心节点的整体配置建议高于分支节点，中心节点承担业务负载和数据同步功能，采用更高配置的硬件可以缓解数据同步和业务负载带来的性能抢占

3、控制器需要对外暴露443端口、442端口，443端口用于用户端认证、442端口用于控制器之间数据同步

4、控制器分布式集群暂不支持自动切换，但是中心节点挂了，从节点依然可以继续工作，不影响用户的认证和应用访问

5、组建分布式集群，要求控制中心个分支节点的软件版本（包括定制包和补丁包）必须一致

专家点评：感谢楼主分享！文章介绍了分布式部署的过程，图文并茂，但未说明专线的用途和效果，期待楼主后续带来更多有价值的分享！

感谢楼主分享经验，努力学习中！

感谢楼主分享经验，努力学习中！