Hohe Verfügbarkeit über AWS Availability Zones hinweg

Sie können zwei Citrix ADC VPX -Instanzen in zwei verschiedenen Subnetzen oder zwei verschiedenen AWS Availability Zones als aktives und passives High Availability Pair im Independent Network Configuration (INC) -Modus konfigurieren. Wenn der primäre Knoten aus irgendeinem Grund keine Verbindungen akzeptieren kann, übernimmt der sekundäre Knoten die Übernahme.

Weitere Hinweise zur Hochverfügbarkeit finden Sie unter Hohe Verfügbarkeit. Weitere Informationen zu INC finden Sie unterKonfigurieren von Hochverfügbarkeitsknoten in verschiedenen Subnetzen.

Wichtige Punkte

  • Lesen Sie die folgenden Dokumente, bevor Sie mit der Bereitstellung beginnen:
  • Das VPX-Hochverfügbarkeitspaar kann sich entweder in derselben Availability Zone in einem anderen Subnetz oder in zwei verschiedenen AWS Availability Zones befinden.
  • Citrix empfiehlt, verschiedene Subnetze für Management (NSIP), Clientdatenverkehr (VIP) und Back-End-Server (SNIP) zu verwenden.
  • Hochverfügbarkeit muss im Independent Network Configuration (INC) -Modus festgelegt werden, damit ein Failover funktioniert.
  • Die beiden Instanzen müssen Port 3003 für UDP-Datenverkehr geöffnet haben, da dieser für Heartbeats verwendet wird.
  • Die Management-Subnetze beider Knoten müssen über interne NAT Zugriff auf das Internet oder auf den AWS-API-Server haben, damit die restlichen APIs funktionsfähig sind.
  • Die IAM-Rolle muss über die E2-Berechtigung für die öffentliche IP- oder Elastic IP (EIP) -Migration verfügen.

Funktionsweise von Hochverfügbarkeit in AWS Availability Zones

Beim Failover migriert die EIP des VIP der primären Instanz auf die sekundäre Instanz, die als neue primäre Instanz übernommen wird. Im Failover-Prozess wird die AWS-API

  1. Überprüft die virtuellen Server, auf denen IPSets angeschlossen sind.
  2. Sucht die IP-Adresse mit einer zugeordneten öffentlichen IP-Adresse aus den beiden IP-Adressen, die der virtuelle Server überwacht. Eine, die direkt an den virtuellen Server angeschlossen ist, und eine, die über den IP-Satz verbunden ist.
  3. Verknüpfen Sie die öffentliche IP (EIP) mit der privaten IP, die zum neuen primären VIP gehört.

Hinweis:

Um Ihr Netzwerk vor Angriffen wie Denial-of-Service (DoS) zu schützen, können Sie bei Verwendung einer EIP Sicherheitsgruppen in AWS erstellen, um den IP-Zugriff zu beschränken. Zur Hochverfügbarkeit können Sie gemäß Ihren Bereitstellungen von EIP zu einer privaten IP-Verlagungslösung wechseln.

Bereitstellen eines VPX-Hochverfügbarkeitspaars über verschiedene AWS-Zonen

Im Folgenden finden Sie eine Zusammenfassung der Schritte zum Bereitstellen eines VPX-Paares in zwei verschiedenen Subnetzen oder zwei verschiedenen AWS-Availability Zones.

  1. Erstellen Sie eine virtuelle private Amazon Cloud.
  2. Stellen Sie zwei VPX-Instanzen in zwei verschiedenen Availability Zones oder in derselben Zone, aber in verschiedenen Subnetzen bereit.
  3. Konfigurieren der Hochverfügbarkeit
    1. Richten Sie Hochverfügbarkeit im INC-Modus in beiden Instanzen ein.
    2. Fügen Sie den IP-Satz in beiden Instanzen hinzu.
    3. Binden Sie IP, die in beiden Instanzen festgelegt ist, an den VIP.
    4. Fügen Sie einen virtuellen Server in der primären Instanz hinzu.

Verwenden Sie für die Schritte 1 und 2 die AWS-Konsole. Verwenden Sie für Schritt 3 die Citrix ADC VPX GUI oder die CLI.

Schritt 1. Erstellen Sie eine virtuelle private Cloud (VPC) von Amazon.

Schritt 2. Stellen Sie zwei VPX-Instanz in zwei verschiedenen Availability Zones oder in derselben Zone, aber in verschiedenen Subnetzen bereit. Schließen Sie eine EIP an die VIP des primären VPX an.

(Weitere Informationen zum Erstellen einer VPC und Bereitstellen einer VPX-Instanz in AWS finden Sie unterBereitstellen einer eigenständigen Citrix ADC VPX-Instanz in AWS/en-us/citrix-adc/13/deploying-vpx/deploy-aws[()]undSzenario: eigenständige Instanz[]/en-us/citrix-adc/13/deploying-vpx/deploy-aws/scenarios.html)

Schritt 3. Konfigurieren Sie Hochverfügbarkeit. Sie können die Citrix ADC VPX CLI oder die GUI verwenden, um eine hohe Verfügbarkeit einzurichten.

Konfigurieren der Hochverfügbarkeit mit der CLI

  1. Richten Sie Hochverfügbarkeit im INC-Modus in beiden Instanzen ein.

    Auf dem primären Knoten:

    add ha node 1 <sec_ip> -inc ENABLED in primary

    Auf dem sekundären Knoten:

    add ha node 1 <prim_ip> -inc ENABLED in secondary

    <sec_ip>bezieht sich auf die private IP-Adresse der Management-NIC des sekundären Knotens

    <prim_ip>bezieht sich auf die private IP-Adresse der Management-NIC des primären Knotens

  2. Fügen Sie den IP-Satz in beiden Instanzen hinzu.

    Geben Sie den folgenden Befehl für beide Instanzen ein.

    <ipsetname>ipset hinzufügen

  3. Binden Sie den IP-Satz an den VIP-Satz auf beiden Instanzen.

    Geben Sie den folgenden Befehl für beide Instanzen ein:

    add ns ip <secondary vip> <subnet> -type VIP

    bind ipset <ipsetname> <secondary VIP>

    Hinweis:

    Sie können den IP-Satz an den primären VIP oder an den sekundären VIP binden. Wenn Sie jedoch den IP-Satz an den primären VIP binden, verwenden Sie den sekundären VIP, um dem virtuellen Server hinzuzufügen, und umgekehrt.

  4. Fügen Sie einen virtuellen Server auf der primären Instanz hinzu.

    Geben Sie den folgenden Befehl ein:

    add <server_type> vserver <vserver_name> <protocol> <primary_vip> <port> -ipset <ipset_name>

Konfigurieren der Hochverfügbarkeit mit der GUI

  1. Einrichten der Hochverfügbarkeit im INC-Modus auf beiden Instanzen

  2. Melden Sie sich am primären Knoten mit dem Benutzernamen nsroot und der Instanz-ID als Kennwort an.

  3. Gehen Sie auf der GUI zu Konfiguration > System > Hochverfügbarkeit . Klicken Sie auf Hinzufügen.

  4. Fügen Sie im Feld IP-Adresse des Remoteknotens die private IP-Adresse der Verwaltungs-NIC des sekundären Knotens hinzu.

  5. Wählen Sie NIC (Independent Network Configuration) Modus auf Selbstknoten aktivieren .

  6. Fügen Sie unter Anmeldeinformationen des Remote-Systems den Benutzernamen und das Kennwort für den sekundären Knoten hinzu, und klicken Sie auf Erstellen.

  7. Wiederholen Sie die Schritte im sekundären Knoten.

  8. Fügen Sie den IP-Satz hinzu und binden Sie den VIP-Satz an beide Instanzen.

  9. Navigieren Sie über die Benutzeroberfläche zu Traffic Management > Netzwerk > IPs > Hinzufügen.

  10. Fügen Sie die erforderlichen Werte für IP-Adresse, Netzmaske, IP-Typ (virtuelle IP) hinzu, und klicken Sie auf Erstellen.

  11. Navigieren Sie zu Traffic Management > Netzwerk > IP-Sets > Hinzufügen. Fügen Sie einen IP-Setnamen hinzu, und klicken Sie auf Einfügen.

  12. Wählen Sie auf der Seite IPv4s die virtuelle IP aus, und klicken Sie auf Einfügen. Klicken Sie auf Erstellen, um den IP-Satz zu erstellen.

  13. Hinzufügen eines virtuellen Servers in der primären Instanz

    Gehen Sie auf der grafischen Benutzeroberfläche zu Konfiguration > Verkehrsverwaltung > Virtuelle Server > Hinzufügen.

    Hinzufügen eines virtuellen Servers

Szenario

In diesem Szenario wird eine einzelne VPC erstellt. In dieser VPC werden zwei VPX-Instanzen in zwei Availability Zones erstellt. Jede Instanz verfügt über drei Subnetze - eines für die Verwaltung, eines für den Client und eines für den Backend-Server. Eine EIP ist an die VIP des primären Knotens angehängt.

Diagramm: Dieses Diagramm veranschaulicht das Hochverfügbarkeits-Setup von Citrix ADC VPX im INC-Modus auf AWS

Citrix ADC VPX Hochverfügbarkeits-Setup im INC-Modus

Verwenden Sie für dieses Szenario CLI, um Hochverfügbarkeit zu konfigurieren.

  1. Richten Sie Hochverfügbarkeit im INC-Modus auf beiden Instanzen ein.

    Geben Sie die folgenden Befehle für den primären und den sekundären Knoten ein.

    Primär:

    add ha node 1 192.168.6.82 -inc enabled

    Hier bezieht sich 192.168.6.82 auf die private IP-Adresse der Management-NIC des sekundären Knotens.

    Auf Sekundärstufe:

    add ha node 1 192.168.1.108 -inc enabled

    Hier bezieht sich 192.168.1.108 auf die private IP-Adresse der Management-NIC des primären Knotens.

  2. Fügen Sie einen IP-Satz hinzu und binden Sie den IP-Satz an den VIP auf beiden Instanzen

    Primär:

    add ipset ipset123

    add ns ip 192.168.7.68 255.255.255.0 -type VIP

    bindipset ipset123 192.168.7.68

    Auf Sekundärstufe:

    add ipset ipset123

    add ns ip 192.168.7.68 255.255.255.0 -type VIP

    bind ipset ipset123 192.168.7.68

  3. Fügen Sie einen virtuellen Server auf der primären Instanz hinzu.

    Der folgende Befehl:

    add lbvserver vserver1 http 192.168.2.129 80 -ipset ipset123

  4. Speichern Sie die Konfiguration.

    Primary

  5. Nach einem erzwungenen Failover wird der sekundäre zum neuen primären.

    Erzwungenes Failover