Citrix ADC

Funktionsweise der Hochverfügbarkeit in AWS

Sie können zwei Citrix ADC VPX -Instanzen in AWS als aktives und passives High Availability (HA) -Paar konfigurieren. Wenn Sie eine Instanz als primären Knoten und die andere als sekundären Knoten konfigurieren, akzeptiert der primäre Knoten Verbindungen und verwaltet Server. Der sekundäre Knoten überwacht den primären. Wenn der primäre Knoten aus irgendeinem Grund keine Verbindungen akzeptieren kann, übernimmt der sekundäre Knoten die Übernahme.

In AWS werden die folgenden Bereitstellungstypen für VPX-Instanzen unterstützt:

  • Hohe Verfügbarkeit innerhalb derselben Zone
  • Hohe Verfügbarkeit über verschiedene Zonen hinweg

Hinweis:

Stellen Sie sicher, dass beide Citrix ADC VPX Instanzen mit IAM-Rollen verknüpft und dem NSIP mit der Elastic IP (EIP) -Adresse zugewiesen sind. Sie müssen kein EIP für NSIP zuweisen, wenn der NSIP über die NAT-Instanz ins Internet gelangen kann.

Hohe Verfügbarkeit innerhalb derselben Zonen

In einer Hochverfügbarkeitsbereitstellung innerhalb derselben Zonen müssen beide VPX-Instanzen ähnliche Netzwerkkonfigurationen aufweisen.

Folgen Sie diesen beiden Regeln:

Regel 1. Jede NIC auf einer VPX-Instanz muss sich im selben Subnetz wie die entsprechende NIC in der anderen VPX befinden. Beide Instanzen müssen Folgendes haben:

  • Verwaltungsschnittstelle im selben Subnetz (als Management-Subnetz bezeichnet)
  • Clientschnittstelle im selben Subnetz (als Client-Subnetz bezeichnet)
  • Serverschnittstelle im selben Subnetz (als Server-Subnetz bezeichnet)

Regel 2. Die Reihenfolge der mgmt NIC, der Client-NIC und der Server-NIC auf beiden Instanzen muss identisch sein. Beispielsweise wird das folgende Szenario nicht unterstützt.

VPX-Instanz 1

NIC 0: Verwaltungs-NIC 1: Client-NIC 2: Server

VPX-Instanz 2

NIC 0: Verwaltung

NIC 1: Server

NIC 2: Client

In diesem Szenario befindet sich NIC 1 von Instanz 1 im Clientsubnetz, während NIC 1 von Instanz 2 im Serversubnetz ist. Damit HA funktioniert, muss NIC 1 der beiden Instanzen entweder im Client-Subnetz oder im Serversubnetz sein.

Ab 13.0 41.xx kann eine hohe Verfügbarkeit erreicht werden, indem sekundäre private IP-Adressen migriert werden, die an die Netzwerkkarten (Client- und serverseitige Netzwerkkarten) des primären HA-Knotens nach dem Failover angeschlossen sind. In dieser Bereitstellung gilt:

  • Beide VPX-Instanzen haben die gleiche Anzahl von Netzwerkkarten und Subnetzzuordnung gemäß der NIC-Aufzählung.

  • Jede VPX-Netzwerkkarte verfügt über eine zusätzliche private IP-Adresse, mit Ausnahme der ersten Netzwerkkarte, die der Verwaltungs-IP-Adresse entspricht. Die zusätzliche private IP-Adresse wird als primäre private IP-Adresse in der AWS-Webkonsole angezeigt. In unserem Dokument verweisen wir auf diese zusätzliche IP-Adresse als Dummy-IP-Adresse).

  • Die Dummy-IP-Adressen dürfen auf der Citrix ADC Instanz nicht als VIP und SNIP konfiguriert werden.

  • Andere sekundäre private IP-Adressen müssen bei Bedarf erstellt und als VIP und SNIP konfiguriert werden.

  • Bei einem Failover sucht der neue primäre Knoten nach konfigurierten SNIPs und VIPs und verschiebt sie von Netzwerkkarten, die an vorherige primäre an die entsprechenden Netzwerkkarten auf neuen primären.

  • Citrix ADC Instanzen erfordern IAM-Berechtigungen, damit HA funktioniert. Hinzufügen der folgenden IAM-Berechtigungen zu jeder Instanz hinzugefügten IAM-Richtlinie

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeNetworkInterfaces" "ec2:AssignPrivateIpAddresses"

Hinweis:unassignPrivateIpAddress ist nicht erforderlich.

Diese Methode ist schneller als die Legacy-Methode. Bei der älteren Methode hängt HA von der Migration elastischer AWS-Netzwerkschnittstellen des primären Knotens zum sekundären Knoten ab.

Für Legacy-Methode sind die folgenden Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Bereitstellen eines Hochverfügbarkeitspaars in AWS.

Hohe Verfügbarkeit über verschiedene Zonen hinweg

Sie können zwei Citrix ADC VPX -Instanzen in zwei verschiedenen Subnetzen oder zwei verschiedenen AWS Availability Zones als aktives und passives High Availability Pair im Independent Network Configuration (INC) -Modus konfigurieren. Beim Failover migriert die EIP (Elastic IP) des VIP der primären Instanz auf die sekundäre, die als neue primäre Instanz übernommen wird. AWS-API im Failover-Prozess:

  • Überprüft die virtuellen Server, auf denen IPSets angeschlossen sind.
  • Sucht die IP-Adresse mit einer zugeordneten öffentlichen IP-Adresse aus den beiden IP-Adressen, die der virtuelle Server überwacht. Eine, die direkt an den virtuellen Server angeschlossen ist, und eine, die über den IP-Satz verbunden ist.
  • Verknüpfen Sie die öffentliche IP (EIP) mit der privaten IP, die zum neuen primären VIP gehört.

Für HA über verschiedene Zonen hinweg sind folgende Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Hohe Verfügbarkeit über AWS Availability Zones hinweg.

Bevor Sie mit der Bereitstellung beginnen

Bevor Sie eine HA-Bereitstellung in AWS starten, lesen Sie das folgende Dokument:

Funktionsweise der Hochverfügbarkeit in AWS