Problema al balancear servicios Citrix con los CSS (Balanceadores de Cisco).
Para balancear la granja Citrix se están usando los CSS de Cisco. La granja Citrix levanta el protocolo ICA sobre SSL porque en este caso así estaba configurado
Casuística:
Citrix tiene dos módulos el de autenticación (con el que vas inicialmente al logearte en el portal) y el de autorización (siguiente módulo con el que el módulo de autenticación se comunica para ver los permisos que tiene cada usuario y dependiendo de estos te aparecen unos iconos de aplicativos u otros).
Pues bien cuando el balanceo se hacía a través del balanceador las sesiones no llegan a superar las 2 horas; Se probó para descartar problemas de otros equipos de red intermedios el forzar las sesiones únicamente hacia uno de los nodos de la granja (aunque pasando por el balanceador puesto que todos los servicios en este zona de subred actualmente son balanceados) y las sesiones si que llegan a sobrepasar las 8 horas. Con lo que se dedujo que el problema estaba únicamente en la configuración del balanceador (CSS)
El balanceo que se les hace es “advanced-balance sticky-srcip” (permite balancear por IP origen); este balanceo creímos que es el que interesaba porque de no ser de este modo el balanceo, una vez que el usuario se autentica al pasarle la sesión al módulo de autorización sino va al mismo nodo donde se autenticó le aparece el promp como que debe volver a autenticarse porque no lo reconoce como usuario autenticado.
Por defecto el timeout de este balanceo es muy superior a 2 horas (65500 minutos) pero aún así se forzó a 65000 minutos con el siguiente comando “ticky-inact-timeout 65000”; aún así las sesiones no llegan a mantenerse activas ni 2 horas estando el usuario trabando sobre el sistema.
Tras muchos quebraderos de cabeza al final se escaló la consulta a Cisco y la respuesta fue que nos faltó añadir un parámetro más en el content del servicio:
flow-timeout-multiplier: Configures flow inactivity timeout values for TCP and UDP flows on a per content rule and per source group basis
Casuística:
Citrix tiene dos módulos el de autenticación (con el que vas inicialmente al logearte en el portal) y el de autorización (siguiente módulo con el que el módulo de autenticación se comunica para ver los permisos que tiene cada usuario y dependiendo de estos te aparecen unos iconos de aplicativos u otros).
Pues bien cuando el balanceo se hacía a través del balanceador las sesiones no llegan a superar las 2 horas; Se probó para descartar problemas de otros equipos de red intermedios el forzar las sesiones únicamente hacia uno de los nodos de la granja (aunque pasando por el balanceador puesto que todos los servicios en este zona de subred actualmente son balanceados) y las sesiones si que llegan a sobrepasar las 8 horas. Con lo que se dedujo que el problema estaba únicamente en la configuración del balanceador (CSS)
El balanceo que se les hace es “advanced-balance sticky-srcip” (permite balancear por IP origen); este balanceo creímos que es el que interesaba porque de no ser de este modo el balanceo, una vez que el usuario se autentica al pasarle la sesión al módulo de autorización sino va al mismo nodo donde se autenticó le aparece el promp como que debe volver a autenticarse porque no lo reconoce como usuario autenticado.
Por defecto el timeout de este balanceo es muy superior a 2 horas (65500 minutos) pero aún así se forzó a 65000 minutos con el siguiente comando “ticky-inact-timeout 65000”; aún así las sesiones no llegan a mantenerse activas ni 2 horas estando el usuario trabando sobre el sistema.
Tras muchos quebraderos de cabeza al final se escaló la consulta a Cisco y la respuesta fue que nos faltó añadir un parámetro más en el content del servicio:
flow-timeout-multiplier: Configures flow inactivity timeout values for TCP and UDP flows on a per content rule and per source group basis
Resultado:
La configuración del balanceo del servicio debe quedar:
content Portal_111_ssl
add service ssl40
add service ssl41
advanced-balance sticky-srcip
sticky-inact-timeout 65000
port 443
protocol tcp
flow-timeout-multiplier 675
vip address X.X.X.X
active
posted by Laura Celdrán Subiela @ 9:49 AM
0 comentarios:
Publicar un comentario en la entrada
<< Home