Bereitstellen eines Hochverfügbarkeitspaars in AWS

Sie können zwei Citrix ADC VPX-Instanzen in AWS als Hochverfügbarkeitspaar (HA) in derselben AWS-Zone konfigurieren, in der sich beide VPX-Instanzen im selben Subnetz befinden. HA wird erreicht, indem sekundäre private IP-Adressen, die nach einem Failover an die Netzwerkkarten (Client- und serverseitige Netzwerkkarten) des primären HA-Knotens an den sekundären HA-Knoten angeschlossen sind, migriert werden.

Die folgende Abbildung ein HA-Failover-Szenario mithilfe von sekundären privaten IP-Adressen migrieren.

Abbildung 1. Ein Citrix ADC VPX HA-Paar in AWS mit privater IP-Migration

HA-Pip-Migration

Lesen Sie vor dem Starten des Dokuments die folgenden Dokumente:

Bereitstellen eines VPX-HA-Paares in derselben Zone

Hier ist die Zusammenfassung der Schritte zum Bereitstellen eines VPX-HA-Paares in derselben Zone:

  1. Erstellen Sie zwei VPX-Instanzen in AWS mit jeweils drei Netzwerkkarten
  2. Weisen Sie AWS sekundäre private IP-Adresse zu VIP und SNIP des primären Knotens zu
  3. Konfigurieren von VIP und SNIP auf primären Knoten mithilfe von sekundären privaten AWS-IP-Adressen
  4. Konfigurieren von HA auf beiden Knoten

Schritt 1. Erstellen Sie zwei VPX-Instanzen (primäre und sekundäre Knoten) mit derselben VPC, jeweils mit drei Netzwerkkarten (eth 0, eth 1, eth 2)

Folgen Sie den Schritten in Bereitstellen einer Citrix ADC VPX-Instanz in AWS mithilfe der AWS-Webkonsole.

Schritt 2. Weisen Sie auf dem primären Knoten sekundäre private IP-Adressen für eth 1 (Client-IP oder VIP) und eth 2 (Back-End-Server-IP oder SNIP) zu

Die AWS-Konsole weist den konfigurierten Netzwerkkarten automatisch primäre private IP-Adressen zu. Sie müssen VIP und SNIP weitere private IP-Adressen zuweisen, die als sekundäre private IP-Adressen bezeichnet werden.

Gehen Sie folgendermaßen vor, um einer Netzwerkschnittstelle eine sekundäre private IPv4-Adresse zuzuweisen:

  1. Öffnen Sie die Amazon EC2 Konsole unter https://console.aws.amazon.com/ec2/.
  2. Wählen Sie im Navigationsbereich die Option Netzwerkschnittstellen, und wählen Sie dann die Netzwerkschnittstelle aus, die der Instanz zugeordnet ist.
  3. Wählen Sie Aktionen, IP-Adressen verwalten.
  4. Wählen Sie unter IPv4-Adressen die Option Neue IP zuweisen.
  5. Geben Sie eine bestimmte IPv4-Adresse ein, die sich innerhalb des Subnetzbereichs für die Instanz befindet, oder lassen Sie das Feld leer, damit Amazon eine IP-Adresse für Sie auswählen kann.
  6. (Optional) Wählen Sie Neuzuweisung zulassen, damit die sekundäre private IP-Adresse neu zugewiesen werden kann, wenn sie bereits einer anderen Netzwerkschnittstelle zugewiesen ist.
  7. Wählen Sie Ja, Aktualisieren.

Unter Instanzbeschreibung werden die zugewiesenen sekundären privaten IP-Adressen angezeigt.

Schritt 3. Konfigurieren Sie VIP und SNIP auf dem primären Knoten unter Verwendung sekundärer privater IP-Adressen

Greifen Sie mit SSH auf den primären Knoten zu. Öffnen Sie einen SSH-Client und geben Sie Folgendes ein:

ssh -i <location of your private key> nsroot@<public DNS of the instance>

Als nächstes konfigurieren Sie VIP und SNIP.

Geben Sie für VIP Folgendes ein:

add ns ip <IPAddress> <netmask> -type <type>

Geben Sie für SNIP Folgendes ein:

add ns ip <IPAddress> <netmask> -type SNIP

Geben Sie zum Speichern save config ein.

Geben Sie den folgenden Befehl ein, um die konfigurierten IP-Adressen anzuzeigen:

show ns ip

Weitere Informationen finden Sie in den folgenden Themen:

Schritt 4: Konfigurieren von HA auf beiden Instanzen

Öffnen Sie auf dem primären Knoten einen Shell-Client, und geben Sie den folgenden Befehl ein:

add ha node <id> <private IP address of the management NIC of the secondary node>

Geben Sie auf dem sekundären Knoten den folgenden Befehl ein:

add ha node <id> < private IP address of the management NIC of the primary node >

Geben Sie einsave config, um die Konfiguration zu speichern.

Geben Sie ein, um die konfigurierten HA-Knoten anzuzeigenshow ha node.

Beim Failover werden die sekundären privaten IP-Adressen, die als VIP und SNIP auf dem vorherigen primären Knoten konfiguriert sind, auf den neuen primären Knoten migriert.

Um ein Failover auf einem Knoten zu erzwingen, geben Sieforce HAFailover ein.

Legacy-Methode für die Bereitstellung eines VPX-HA-Paares

Vor der Veröffentlichung 13.0 41.x wurde HA innerhalb derselben Zone durch die Migration von AWS Elastic Network Interface (ENI) erreicht. Diese Methode ist jedoch langsam veraltet.

Die folgende Abbildung zeigt ein Beispiel für die HA-Bereitstellungsarchitektur für Citrix ADC VPX -Instanzen in AWS.

Abbildung 1. Ein Citrix ADC VPX HA-Paar in AWS mit ENI-Migration

HA-Bild

Sie können zwei VPX-Instanzen in AWS als HA-Paar bereitstellen, indem Sie eine der folgenden Optionen verwenden:

  • Erstellen Sie die Instanzen mit der IAM-Rolle manuell mithilfe der AWS Management Console, und konfigurieren Sie dann HA für sie.
  • Oder automatisieren Sie die Hochverfügbarkeitsbereitstellung mithilfe der Citrix CloudFormation-Vorlage.

Die CloudFormation-Vorlage verringert die Anzahl der Schritte, die zum Erstellen eines HA-Paares erforderlich sind, erheblich und erstellt automatisch eine IAM-Rolle. Dieser Abschnitt zeigt, wie Sie ein Citrix ADC VPX HA-Paar (aktiv-passiv) mithilfe der Citrix CloudFormation-Vorlage bereitstellen.

Beachten Sie beim Bereitstellen von zwei Citrix ADC VPX-Instanzen als HA-Paar die folgenden Punkte.

Wichtige Punkte

  • HA in AWS erfordert, dass der primäre Knoten über mindestens zwei ENIs verfügt (eine für die Verwaltung und die andere für den Datenverkehr), und der sekundäre Knoten muss über eine Management-ENI verfügen. Erstellen Sie jedoch aus Sicherheitsgründen drei ENIs auf dem primären Knoten, da Sie mit diesem Setup private und öffentliche Netzwerke trennen können (empfohlen).
  • Der sekundäre Knoten hat immer eine ENI-Schnittstelle (für die Verwaltung) und der primäre Knoten kann bis zu vier ENIs haben.
  • Die NSIP-Adressen für jede VPX-Instanz in einem Hochverfügbarkeitspaar müssen auf dem Standard-ENI der Instanz konfiguriert werden.
  • Amazon erlaubt keine Broadcast-/Multicast-Pakete in AWS. Daher werden in einem HA-Setup ENIs auf Datenebene von der primären zur sekundären VPX-Instanz migriert, wenn die primäre VPX-Instanz ausfällt.
  • Da die standardmäßige (Verwaltungs-) ENI nicht in eine andere VPX-Instanz verschoben werden kann, verwenden Sie nicht die Standard-ENI für Client- und Serververkehr (Datenebenenverkehr).
  • Die Meldung AWSCONFIG IOCTL NSAPI_HOTPLUG_INTF Erfolgsausgabe 0 im /var/log/ns.log gibt an, dass die beiden Daten ENIs erfolgreich an die sekundäre Instanz (die neue primäre Instanz) angehängt wurden.
  • Das Failover kann aufgrund des AWS-ENI-Mechanismus zum Trennen und Anhängen bis zu 20 Sekunden dauern.
  • Nach einem Failover wird die fehlgeschlagene Instanz immer neu gestartet.
  • Die Heartbeat-Pakete werden nur auf der Management-Schnittstelle empfangen.
  • Die Konfigurationsdatei der primären und sekundären VPX-Instanzen wird synchronisiert, einschließlich desnsroot Kennworts. Dasnsroot Kennwort des sekundären Knotens wird nach der HA-Konfigurationssynchronisierung auf das des primären Knotens festgelegt.
  • Um Zugriff auf die AWS-API-Server zu haben, muss entweder der VPX-Instanz eine öffentliche IP-Adresse zugewiesen sein, oder das Routing muss auf VPC-Subnetzebene korrekt eingerichtet werden, die auf das Internet-Gateway der VPC verweist.
  • Nameservers/DNS-Server werden auf VPC-Ebene mit DHCP-Optionen konfiguriert.
  • Die Citrix CloudFormation-Vorlage erstellt kein HA-Setup zwischen verschiedenen Availability Zones.
  • Die Citrix CloudFormation-Vorlage erstellt keinen INC-Modus.
  • Die AWS-Debug-Meldungen sind in der Protokolldatei /var/log/ns.log auf der VPX-Instanz verfügbar.

Bereitstellen eines Hochverfügbarkeitspaars mithilfe der Citrix CloudFormation-Vorlage

Bevor Sie die CloudFormation-Vorlage starten, stellen Sie sicher, dass Sie die folgenden Anforderungen erfüllen:

  • VPC
  • Drei Subnetze innerhalb der VPC
  • Eine Sicherheitsgruppe mit offenen UDP 3003, TCP 3009—3010, HTTP, SSH-Ports
  • Ein Schlüsselpaar
  • Erstellen eines Internet-Gateway
  • Routentabellen für Client- und Management-Netzwerke bearbeiten, um auf das Internet-Gateway zu verweisen

Hinweis:

Die Citrix CloudFormation-Vorlage erstellt automatisch eine IAM-Rolle. Vorhandene IAM-Rollen werden nicht in der Vorlage angezeigt.

So starten Sie die Citrix CloudFormation-Vorlage:

  1. MeldenAWS-MarktplatzSie sich mit Ihren AWS-Anmeldeinformationen am an.
  2. Geben Sie im Suchfeld NetScaler ADC VPX ein, um nach dem Citrix ADC AMI zu suchen, und klicken Sie auf *Los .
  3. Klicken Sie auf der Suchergebnisseite auf das gewünschte Citrix ADC VPX Angebot.
  4. Klicken Sie auf die Registerkarte Preise, um zu Preisinformationen zu gelangen.
  5. Wählen Sie die Region und die Fulfillment-Option als Netscaler AWS-VPX-Cluster aus.
  6. Klicken Sie auf Weiter, um Abonnieren.
  7. Überprüfen Sie die Details auf der Seite Abonnieren und klicken Sie auf Weiter zum Abonnieren.
  8. Wählen Sie Fulfillment-Option als CloudFormation-Vorlage aus.

    lokalisierte Grafik

  9. Wählen Sie Softwareversion und klicken Sie auf Weiter, um zu starten .

  10. Wählen Sie unter Aktion auswählen die Option CloudFormation starten aus, und klicken Sie auf Starten.

  11. Die Seite Vorlage auswählen wird angezeigt. Klicken Sie auf Weiter.

  12. Die Option Details angeben wird angezeigt. Geben Sie die folgenden Details ein.

    • Geben Sie einen Stapelnamen ein. Der Name muss innerhalb von 25 Zeichen sein.

    • Wählen Sie Ja unter Hochverfügbarkeitskonfiguration im Menü HA-Paar erstellen?.

    • Führen Sie unter Konfiguration virtueller privater Netzwerkedie folgenden Schritte aus:

      • Wählen Sie die VPC aus, die Sie bereits für die VPC-IDerstellt haben.

      • Geben Sie Remote SSH CIDR IPein.

      • Geben Sie Remote HTTP CIDR IPein.

      • Geben Sie Remote HTTPS CIDR IPein.

      • Wählen Sie das Schlüsselpaar, das Sie bereits erstellt haben, aus dem Menü für Schlüsselpaar.

    • Führen Sie unter Konfiguration der Netzwerkschnittstelle Folgendes aus:

      • Wählen Sie Verwaltungsteilnetz, Client-Subnetzund Server-Subnetzaus. Stellen Sie sicher, dass Sie die richtigen Teilnetze auswählen, die Sie in der VPC erstellt haben, die Sie unter VPC-ID ausgewählt haben.

      • Fügen Sie primäre Verwaltungs-IP, sekundäre Verwaltungs-IP, Client-IP und Server-IP hinzu. Die IP-Adressen müssen zu denselben Subnetzen der jeweiligen Teilnetze gehören. Alternativ können Sie die Vorlage die IP-Adressen automatisch zuweisen lassen.

    • Führen Sie unter Andere ParameterFolgendes aus:

      • Wählen Sie m4.large für Instant Type.

      • Wählen Sie den Standardwert für Mandantenart aus.

      • Standardmäßig ist die AWS CloudWatch-Metrik-Option auf Ja festgelegt. Wenn Sie diese Option deaktivieren möchten, wählen Sie Nein.

      lokalisierte Grafik

      Weitere Informationen zu CloudWatch-Metriken finden Sie unter Überwachen Sie Ihre Instanzen mit Amazon CloudWatch.

    • Klicken Sie auf Weiter.

  13. Die Seite Optionen wird angezeigt. (Dies ist eine optionale Seite.). Klicken Sie auf Weiter.

  14. Die Seite Überprüfen wird angezeigt. Nehmen Sie sich einen Moment Zeit, um die Einstellungen zu überprüfen und ggf. notwendige Änderungen vorzunehmen.

  15. Wählen Sie die Option Ich bestätige, dass AWS CloudFormation IAM-Ressourcen erstellt., und klicken Sie dann auf Erstellen.

  16. Der Status CREATE-IN-PROGRESS wird angezeigt. Warten Sie bis der Status CREATE-COMPLETE ist. Wenn sich der Status nicht in “COMPLETE” ändert, überprüfen Sie die Registerkarte Ereignisse auf den Grund des Fehlers, und erstellen Sie die Instanz mit den richtigen Konfigurationen neu.

    lokalisierte Grafik

  17. Nachdem eine IAM-Ressource erstellt wurde, wechseln Sie zu EC2 Management Console > Instanzen. Sie finden zwei VPX-Instanzen, die mit IAM-Rolle erstellt wurden. Der primäre Knoten wird mit drei privaten IP-Adressen und drei Netzwerkschnittstellen erstellt.

    Hochverfügbarkeit von AWS

    Der sekundäre Knoten wird mit einer privaten IP-Adresse und einer Netzwerkschnittstelle erstellt.

    Hinweis:

    Der sekundäre Knoten wird standardmäßig mit einer Schnittstelle in AWS erstellt. Während des Failovers wird die Schnittstelle vom primären Knoten mit dem sekundären Knoten (dem neuen primären Knoten) verbunden und vom ursprünglichen primären Knoten (dem neuen sekundären Knoten) getrennt.

  18. Melden Sie sich am primären Knoten mit dem Benutzernamennsroot und der Instanz-ID als Kennwort an. Wechseln Sie von der GUI zu System > Hochverfügbarkeit. Das Citrix ADC VPX HA-Paar wird angezeigt.

    Konfigurieren Sie als Nächstes die HA-Pairing auf beiden Instanzen. Konfigurieren Sie die Instanz mit drei ENIs, bevor Sie HA auf der Instanz mit einem ENI konfigurieren). Verwenden Sie den Befehl add HA-Knoten innerhalb der VPX CLI oder über die GUI.

    add HA node <private IP of the first instance>

    add HA node <private IP of the second instance>

    Nachdem Sie die Befehle add HA-Knoten ausgeführt haben, bilden die beiden Knoten ein HA-Paar, und Konfigurationsinformationen werden zwischen den beiden VPX-Instanzen synchronisiert.

Überwachen Sie Ihre Instanzen mit Amazon CloudWatch

Sie können den Amazon CloudWatch-Dienst verwenden, um eine Reihe von Citrix ADC VPX Metriken wie CPU- und Speicherauslastung und Durchsatz zu überwachen. CloudWatch überwacht Ressourcen und Anwendungen, die in AWS ausgeführt werden, in Echtzeit. Sie können über die AWS Management Console auf das Amazon CloudWatch-Dashboard zugreifen. Weitere Informationen finden Sie unter Amazon CloudWatch.

Wichtige Punkte

  • Wenn Sie eine Citrix ADC VPX-Instanz in AWS mithilfe der AWS-Webkonsole bereitstellen, ist CloudWatch-Service standardmäßig aktiviert.
  • Wenn Sie eine Citrix ADC VPX-Instanz mithilfe der Citrix CloudFormation-Vorlage bereitstellen, ist die Standardoption Ja. Wenn Sie den CloudWatch-Dienst deaktivieren möchten, wählen Sie Nein.
  • Metriken stehen für CPU (Management und Packet CPU-Auslastung), Arbeitsspeicher und Durchsatz (ein- und ausgehend) zur Verfügung.

So zeigen Sie CloudWatch-Metriken an

Gehen Sie folgendermaßen vor, um CloudWatch-Metriken für Ihre Instanz anzuzeigen:

  1. Melden Sie sich bei AWS Management Console > EC2 > Instanzenan.
  2. Wählen Sie die Instanz aus.
  3. Klicken Sie auf Überwachung.
  4. Klicken Sie auf Alle CloudWatch-Metriken anzeigen.

    lokalisierte Grafik

  5. Klicken Sie unter Alle Metriken auf Ihre Instanz-ID.

    lokalisierte Grafik

  6. Klicken Sie auf die Metriken, die Sie anzeigen möchten, und legen Sie die Dauer fest (nach Minuten, Stunden, Tagen, Wochen, Monaten).
  7. Klicken Sie auf Grafisch dargestellte Metriken, um die Nutzungsstatistiken anzuzeigen. Verwenden Sie die Graph Optionen, um das Diagramm anzupassen.

Abbildung. Grafisch dargestellte Metriken für die CPU-Auslastung

lokalisierte Grafik

Konfigurieren von SR-IOV auf einem Hochverfügbarkeits-Setup

Unterstützung für SR-IOV-Schnittstellen in einem Hochverfügbarkeits-Setup ist ab Citrix ADC Version 12.0 57.19 verfügbar. Weitere Hinweise zum Konfigurieren von SR-IOV finden Sie unterKonfigurieren von Citrix ADC VPX-Instanzen für die Verwendung der SR-IOV-Netzwerkschnittstelle.

Zugehörige Ressourcen

Funktionsweise der Hochverfügbarkeit in AWS