Citrix ADC

Konfigurieren von HA-INC-Knoten über die Citrix Hochverfügbarkeitsvorlage mit Azure ILB

Sie können schnell und effizient ein Paar VPX-Instanzen im HA-INC-Modus bereitstellen, indem Sie die Standardvorlage für Intranetanwendungen verwenden. Der Azure Internal Load Balancer (ILB) verwendet eine interne oder private IP-Adresse für das Frontend, wie in Abbildung 1 dargestellt. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs NICs. Die Subnetze dienen der Verwaltung, des Clients und des serverseitigen Datenverkehrs, wobei jedes Subnetz zu einer anderen Netzwerkkarte auf jedem Gerät gehört.

Abbildung 1: Citrix ADC HA-Paar für Clients in einem internen Netzwerk

HA-Paar in einem internen Netzwerk

Sie können diese Bereitstellung auch verwenden, wenn sich das Citrix ADC HA-Paar hinter einer Firewall befindet, wie in Abbildung 2 dargestellt. Die öffentliche IP-Adresse gehört zur Firewall und ist mit NAT der Front-End-IP-Adresse der ILB verbunden.

Abbildung 2: Citrix ADC HA-Paar mit Firewall mit öffentlicher IP-Adresse

HA-Paar mit Firewall

Sie können die Citrix ADC HA-Paarvorlage für Intranetanwendungen im Azure-Portalabrufen

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein Hochverfügbarkeits-VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.

  1. Navigieren Sie im Azure-Portal zur Seite Benutzerdefinierte Bereitstellung .

  2. Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe. Geben Sie auf der Registerkarte Parameter Details für die Region, den Admin-Benutzernamen, das Admin-Kennwort, den Lizenztyp (VM sku) und andere Felder ein.

    Seite "Grundlagen"

  3. Klicken Sie auf Weiter: Überprüfen + erstellen.

    Es kann einen Moment dauern, bis die Azure Resource Group mit den erforderlichen Konfigurationen erstellt wurde. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools und Integritäts-Sonden anzuzeigen. Das Hochverfügbarkeitspaar erscheint als ADC-VPX-0 und ADC-VPX-1.

    Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Sie dies über das Azure-Portal vornehmen.

    Sobald die erforderliche Konfiguration abgeschlossen ist, werden die folgenden Ressourcen erstellt.

    HA-ILB-Ressourcengruppe

  4. Melden Sie sich bei den Knoten ADC-VPX-0 und ADC-VPX-1 an, um die folgende Konfiguration zu überprüfen:

    • NSIP-Adressen für beide Knoten müssen sich im Management-Subnetz befinden.
    • Auf den primären (ADC-VPX-0) und sekundären (ADC-VPX-1) Knoten müssen Sie zwei SNIP-Adressen sehen. Ein SNIP (Client-Subnetz) wird für die Reaktion auf ILB-Prüfpunkte verwendet und das andere SNIP (Serversubnetz) wird für die Back-End-Server-Kommunikation verwendet.

    Hinweis

    Im HA-INC-Modus unterscheiden sich die SNIP-Adresse der ADC-VPX-0- und ADC-VPX-1-VMs im selben Subnetz, im Gegensatz zu der klassischen lokalen ADC HA-Bereitstellung, bei der beide gleich sind. Um Bereitstellungen zu unterstützen, wenn sich das VPX-Paar SNIP in verschiedenen Subnetzen befindet oder wenn sich der VIP nicht im selben Subnetz wie ein SNIP befindet, müssen Sie entweder Mac-Based Forwarding (MBF) aktivieren oder jedem VPX-Knoten eine statische Host-Route für jeden VIP hinzufügen.

    Auf dem primären Knoten (ADC-VPX-0)

    Zeige IP CLI auf dem primären Knoten

    Zeigt die CLI des Hochverfügbarkeitsknotens auf dem primären Knoten

    Auf dem sekundären Knoten (ADC-VPX-1)

    Zeige IP CLI auf dem sekundären Knoten

    Zeige CLI für Hochverfügbarkeitsknoten auf dem sekundären Knoten

  5. Nachdem die primären und sekundären Knoten aktiv sind und der Synchronisierungsstatus ERFOLGREICHist, müssen Sie den virtuellen Lastausgleichsserver oder den virtuellen Gateway-Server auf dem Primärknoten (ADC-VPX-0) mit der privaten Floating IP (FIP) -Adresse des ADC Azure Load Balancers konfigurieren. Weitere Informationen finden Sie im Abschnitt Beispielkonfiguration .

  6. Um die private IP-Adresse des ADC Azure Load Balancers zu finden, navigieren Sie zum Azure-Portal > ADC Azure Load Balancer > Frontend IP-Konfiguration.

    ALB Front-End-IP-Konfiguration

  7. Auf der Azure Load Balancer-Konfigurationsseite hilft die ARM-Vorlagenbereitstellung beim Erstellen der LB-Regel, Back-End-Pools und Gesundheitsproben.

    ARM-Vorlage erstellt LB-Regel

    • Die LB-Regel (LBrule1) verwendet standardmäßig Port 80.

      LB Rule verwendet Port 80

    • Bearbeiten Sie die Regel, um Port 443 zu verwenden, und speichern Sie die Änderungen.

      Hinweis

      Für eine verbesserte Sicherheit empfiehlt Citrix, den SSL-Port 443 für den virtuellen LB-Server oder den virtuellen Gateway-Server zu verwenden.

      LB Rule nutzt Port 443

Gehen Sie wie folgt vor, um weitere VIP-Adressen zum ADC hinzuzufügen:

  1. Navigieren Sie zu Azure Load Balancer > Frontend-IP-Konfiguration, und klicken Sie auf Hinzufügen, um eine neue interne Load Balancer-IP-Adresse zu erstellen.

    Weitere VIP-Adressen hinzufügen

  2. Geben Sie auf der Seite Frontend-IP-Adresse hinzufügen einen Namen ein, wählen Sie das Client-Subnetz aus, weisen Sie entweder dynamische oder statische IP-Adresse zu und klicken Sie auf Hinzufügen.

    Front-End-IP-Adresse hinzufügen

  3. Die Front-End-IP-Adresse wird erstellt, aber eine LB-Regel ist nicht zugeordnet. Erstellen Sie eine neue Lastausgleichsregel, und verknüpfen Sie sie mit der Front-End-IP-Adresse.

    Erstellen einer neuen Load Balancing-Regel

  4. Wählen Sie auf der Seite Azure Load Balancer die Option Load Balancing-Regelnaus, und klicken Sie dann auf Hinzufügen.

    LB-Regeln hinzufügen

  5. Erstellen Sie eine neue LB-Regel, indem Sie die neue Front-End-IP-Adresse und den Port auswählen. DasFloating-IP-Feld muss auf Enabledgesetzt sein.

    Floating IP aktiviert

  6. Jetzt zeigt die Frontend-IP-Konfiguration die angewendete LB-Regel an.

    Wenden Sie die LB-Regel an

Beispiel-Konfiguration

Führen Sie zum Konfigurieren eines virtuellen Gateway-VPN-Servers und eines virtuellen Lastausgleichsservers die folgenden Befehle auf dem primären Knoten aus (ADC-VPX-0). Die Konfiguration synchronisiert sich automatisch mit dem sekundären Knoten (ADC-VPX-1).

Gateway Beispielkonfiguration

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp
<!--NeedCopy-->

Beispielkonfiguration für den Lastausgleich

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp
<!--NeedCopy-->

Sie können jetzt mit dem vollqualifizierten Domänennamen (FQDN), der mit der internen IP-Adresse von ILB verknüpft ist, auf den Lastausgleich- oder virtuellen VPN-Server zugreifen.

Weitere Informationen zum Konfigurieren des virtuellen Lastausgleichsservers finden Sie im Abschnitt Ressourcen .

Ressourcen:

Die folgenden Links bieten zusätzliche Informationen zur HA-Bereitstellung und Konfiguration virtueller Server:

Verwandte Ressourcen:

Konfigurieren von HA-INC-Knoten über die Citrix Hochverfügbarkeitsvorlage mit Azure ILB