Citrix ADC

Funktionsweise der Hochverfügbarkeit in AWS

Sie können zwei Citrix ADC VPX -Instanzen in AWS als aktives und passives High Availability (HA) -Paar konfigurieren. Wenn Sie eine Instanz als primären Knoten und die andere als sekundären Knoten konfigurieren, akzeptiert der primäre Knoten Verbindungen und verwaltet Server. Der sekundäre Knoten überwacht den primären. Wenn der primäre Knoten aus irgendeinem Grund keine Verbindungen akzeptieren kann, übernimmt der sekundäre Knoten die Übernahme.

In AWS werden die folgenden Bereitstellungstypen für VPX-Instanzen unterstützt:

  • Hohe Verfügbarkeit innerhalb derselben Zone
  • Hohe Verfügbarkeit über verschiedene Zonen hinweg

Hinweis:

Stellen Sie sicher, dass beide Citrix ADC VPX Instanzen mit IAM-Rollen verknüpft und dem NSIP mit der Elastic IP (EIP) -Adresse zugewiesen sind. Sie müssen kein EIP für NSIP zuweisen, wenn der NSIP über die NAT-Instanz ins Internet gelangen kann.

Hohe Verfügbarkeit innerhalb derselben Zonen

In einer Hochverfügbarkeitsbereitstellung innerhalb derselben Zonen müssen beide VPX-Instanzen ähnliche Netzwerkkonfigurationen haben.

Folgen Sie diesen beiden Regeln:

Regel 1. Jede NIC auf einer VPX-Instanz muss sich im selben Subnetz wie die entsprechende NIC in der anderen VPX befinden. Beide Instanzen müssen Folgendes haben:

  • Verwaltungsschnittstelle im selben Subnetz (als Management-Subnetz bezeichnet)
  • Clientschnittstelle im selben Subnetz (als Client-Subnetz bezeichnet)
  • Serverschnittstelle im selben Subnetz (als Server-Subnetz bezeichnet)

Regel 2. Die Reihenfolge der Mgmt-NIC, der Client-NIC und der Server-NIC auf beiden Instanzen muss identisch sein. Beispielsweise wird das folgende Szenario nicht unterstützt.

VPX-Instanz 1

NIC 0: Verwaltungs-NIC 1: Client-NIC 2: Server

VPX-Instanz 2

NIC 0: Verwaltung

NIC 1: Server

NIC 2: Client

In diesem Szenario befindet sich NIC 1 von Instanz 1 im Clientsubnetz, während NIC 1 von Instanz 2 im Serversubnetz ist. Damit HA funktioniert, muss sich NIC 1 der beiden Instanzen entweder im Client-Subnetz oder im Serversubnetz befinden.

Ab 13.0 41.xx kann eine hohe Verfügbarkeit erreicht werden, indem sekundäre private IP-Adressen migriert werden, die an die Netzwerkkarten (Client- und serverseitige Netzwerkkarten) des primären HA-Knotens nach dem Failover angeschlossen sind. In dieser Bereitstellung gilt:

  • Beide VPX-Instanzen haben die gleiche Anzahl von Netzwerkkarten und Subnetzzuordnung gemäß der NIC-Aufzählung.

  • Jede VPX-NIC hat eine zusätzliche private IP-Adresse, mit Ausnahme der ersten NIC - die der Verwaltungs-IP-Adresse entspricht. Die zusätzliche private IP-Adresse wird als primäre private IP-Adresse in der AWS-Webkonsole angezeigt. In unserem Dokument verweisen wir auf diese zusätzliche IP-Adresse als Dummy-IP-Adresse).

  • Die Dummy-IP-Adressen dürfen auf der Citrix ADC Instanz nicht als VIP und SNIP konfiguriert werden.

  • Andere sekundäre private IP-Adressen müssen bei Bedarf erstellt und als VIP und SNIP konfiguriert werden.

  • Bei Failover sucht der neue Primärknoten nach konfigurierten SNIPs und VIPs und verschiebt sie von NICs, die an den vorherigen primären Knoten angeschlossen sind, auf die entsprechenden Netzwerkkarten auf dem neuen Primärbereich.

  • Citrix ADC Instanzen erfordern IAM-Berechtigungen, damit HA funktioniert. Fügen Sie der IAM-Richtlinie, die jeder Instanz hinzugefügt wurde, die folgenden IAM-Berechtigungen hinzu.

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeNetworkInterfaces" "ec2:AssignPrivateIpAddresses"

Hinweis:unassignPrivateIpAddress ist nicht erforderlich.

Diese Methode ist schneller als die Legacy-Methode. Bei der älteren Methode hängt HA von der Migration elastischer AWS-Netzwerkschnittstellen des primären Knotens zum sekundären Knoten ab.

Für eine Legacy-Methode sind die folgenden Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Bereitstellen eines Hochverfügbarkeitspaares in AWS.

Hohe Verfügbarkeit über verschiedene Zonen hinweg

Sie können zwei Citrix ADC VPX -Instanzen in zwei verschiedenen Subnetzen oder zwei verschiedenen AWS Availability Zones als aktives und passives High Availability Pair im Independent Network Configuration (INC) -Modus konfigurieren. Beim Failover migriert die EIP (Elastic IP) des VIP der primären Instanz auf die sekundäre, die als neue primäre Instanz übernommen wird. Im Failover-Prozess wird die AWS-API:

  • Überprüft die virtuellen Server, die IPSets an sie angeschlossen sind.
  • Sucht die IP-Adresse mit einer zugeordneten öffentlichen IP-Adresse aus den beiden IP-Adressen, die der virtuelle Server überwacht. Eine, die direkt an den virtuellen Server angeschlossen ist, und eine, die über den IP-Satz verbunden ist.
  • Verknüpfen Sie die öffentliche IP (EIP) mit der privaten IP, die zum neuen primären VIP gehört.

Für HA über verschiedene Zonen hinweg sind folgende Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Hochverfügbarkeit in AWS Availability Zones.

Bevor Sie mit der Bereitstellung beginnen

Bevor Sie eine HA-Bereitstellung in AWS starten, lesen Sie das folgende Dokument:

Funktionsweise der Hochverfügbarkeit in AWS