Alta disponibilidad y agrupación en clústeres

Para cualquier PKI con requisitos de disponibilidad, ya sea de la CA, la VA o la RA, es necesario considerar algún tipo de redundancia para garantizar que el fallo de una sola instancia no provoque tiempo de inactividad. Si bien la redundancia para las VA y las RA suele lograrse mediante múltiples instancias independientes, para las CA, la redundancia se logra principalmente mediante algún tipo de agrupación de bases de datos.

La agrupación en clústeres en EJBCA se define como múltiples nodos EJBCA independientes que acceden a la misma base de datos (de alta disponibilidad). EJBCA almacena todos los datos de operación en la base de datos, por lo que el componente central de disponibilidad es la base de datos, mientras que los nodos EJBCA son reemplazables y solo necesitan los certificados TLS adecuados para acceder a los recursos web en los nodos.

Cuando se utiliza el equilibrio de carga frente a varios nodos EJBCA, se recomienda utilizar conexiones web persistentes, ya que las sesiones web a la IU de administración y la IU de RA pueden experimentar problemas cuando se cambian entre nodos EJBCA independientes.

Uso de un sitio de recuperación ante desastres con conmutación por error manual o automática

Esta configuración solo requiere dos centros de datos y ningún balanceador de carga, aunque generalmente requiere una conmutación por error manual y solo proporciona una única capa de redundancia.

imágenes/en línea/e919cabf31cc6bcefc5daef68cbdf6f532b292a1594880683dda16585c8d144a.png

En esta configuración:

  • Todo el tráfico se dirige al sitio principal durante el funcionamiento normal mientras el sitio de recuperación ante desastres está en línea pero inactivo.

  • La conmutación por error se gestiona manualmente, donde el tráfico se redirige al sitio de recuperación ante desastres si el sitio principal falla.

  • Los dos sitios están separados geográficamente.

  • Los HSM de cada sitio son funcionalmente idénticos, ya sea que operen en un clúster o se mantengan sincronizados manualmente mediante la creación de una copia de seguridad del sitio principal y su restauración en el sitio de recuperación ante desastres.

  • Las bases de datos de cada sitio están conectadas y configuradas como una base de datos principal y una réplica, lo que significa que cualquier escritura en el sitio principal se replica en el sitio de recuperación ante desastres. La sincronización entre los sitios puede ser síncrona o asíncrona. PrimeKey recomienda la replicación síncrona entre los sitios para evitar la pérdida de datos tras una conmutación por error al sitio de recuperación ante desastres.

  • La conmutación por error puede ser manual o automática, según la tecnología del clúster de bases de datos utilizada. Se puede activar una conmutación por error automática o una alarma mediante EJBCA Healthcheck .

Uso de varios sitios con equilibrio de carga

Una solución más avanzada, pero más versátil, consiste en equilibrar la carga entre varios sitios activos simultáneamente. Esto puede proporcionar múltiples niveles de redundancia y mejorar el rendimiento.

imágenes/en línea/9c8d668c1fa41c622a2612975207910b44ba8b83aae28c942403ca207f7db5f0.png

En esta configuración:

  • La base de datos que utiliza cada nodo puede realizar operaciones de lectura y escritura en el clúster. Galera es una tecnología común de clústeres de bases de datos que se utiliza con EJBCA. Si se utiliza Galera, PrimeKey recomienda tres nodos de base de datos, cada uno ubicado en su propio centro de datos.

  • Los sitios están separados geográficamente.

  • Un balanceador de carga frente al clúster de bases de datos puede realizar balanceo de carga (p. ej., round-robin) entre los nodos. Si un nodo falla, el balanceador de carga puede expulsar automáticamente el tráfico del nodo mediante EJBCA Healthcheck .

  • Los HSM de cada sitio son funcionalmente idénticos: operan en un clúster o se mantienen sincronizados manualmente creando una copia de seguridad de un sitio y restaurándola en el otro sitio.

Para una solución que sea fácil de configurar, el dispositivo de hardware EJBCA viene con agrupación en clústeres Galera incorporada y es fácil de configurar.

Autoridades de validación y registro que utilizan sistemas de pares

EMPRESA Esta es una característica de EJBCA Enterprise.

Las autoridades de validación y registro redundantes suelen configurarse mediante varias instancias independientes que operan en paralelo. Al distribuir las autoridades de validación en múltiples ubicaciones geográficas, se puede lograr una alta disponibilidad y un alto rendimiento, lo cual suele ser crucial para los respondedores de OCSP. PrimeKey recomienda el uso de varias autoridades de validación y registro, cada una conectada a un único clúster de CA mediante conectores de pares.

imágenes/en línea/bf7d4de76d491af6e397851b8fd30a484e2e16590e1c74d3fc01523885acacca.png

En esta configuración:

  • Cada VA o RA está conectado a una base de datos independiente.

  • La carga se distribuye entre las instancias VA o RA mediante un equilibrador de carga, DNS y/o anycast.

  • Las solicitudes de RA se procesan, se obtienen de la instancia de RA y son procesadas por la CA.

  • La información de revocación se publica desde la CA a cada VA individualmente mediante sistemas pares.

  • Un sistema de monitoreo puede desalojar automáticamente el tráfico de instancias VA o RA defectuosas mediante EJBCA Healthcheck .

Para instalaciones muy grandes, se puede usar la agrupación en clústeres entre VA ubicados en el mismo sitio. EJBCA puede entonces publicar solo en un VA en cada sitio mediante un publicador multigrupo para minimizar el tráfico saliente.