Citrix ADC

Konfigurieren von HA-INC-Knoten mithilfe der Citrix Hochverfügbarkeitsvorlage mit Azure ILB

Sie können schnell und effizient ein Paar VPX-Instanzen im HA-INC-Modus bereitstellen, indem Sie die Standardvorlage für Intranetanwendungen verwenden. Der interne Azure-Load Balancer (ILB) verwendet eine interne oder private IP-Adresse für das Front-End, wie in Abbildung 1 dargestellt. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs Netzwerkkarten. Die Subnetze sind für Verwaltungs-, Client- und serverseitigen Datenverkehr vorgesehen, wobei jedes Subnetz zu einer anderen NIC auf jedem Gerät gehört.

Abbildung 1: Citrix ADC HA-Paar für Clients in einem internen Netzwerk

HA-Paar in einem internen Netzwerk

Sie können diese Bereitstellung auch verwenden, wenn sich das Citrix ADC HA-Paar hinter einer Firewall befindet, wie in Abbildung 2 dargestellt. Die öffentliche IP-Adresse gehört zur Firewall und ist zur Front-End-IP-Adresse des ILB NAT.

Abbildung 2: Citrix ADC HA-Paar mit Firewall mit öffentlicher IP-Adresse

HA-Paar mit Firewall

Sie können die Citrix ADC HA-Paarvorlage für Intranetanwendungen unter der abrufen Azure-Portal.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein Hochverfügbarkeits-VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.

  1. Navigieren Sie vom Azure-Portal zur Seite Benutzerdefinierte Bereitstellung.

  2. Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe. Geben Sie auf der Registerkarte Parameter Details für die Felder Region, Admin-Benutzername, Admin-Kennwort, Lizenztyp (VM SKU) und andere ein.

    Seite "Grundlagen"

  3. Klicken Sie auf Weiter: Überprüfen + erstellen.

    Es kann einen Moment dauern, bis die Azure-Ressourcengruppe mit den erforderlichen Konfigurationen erstellt wird. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools und Health Probes anzuzeigen. Das Hochverfügbarkeitspaar wird als ADC-VPX-0 und ADC-VPX-1 angezeigt.

    Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Sie dies über das Azure-Portal vornehmen.

    Sobald die erforderliche Konfiguration abgeschlossen ist, werden die folgenden Ressourcen erstellt.

    HA ilb Ressourcengruppe

  4. Sie müssen sich bei ADC-VPX-0 und ADC-VPX-1-Knoten anmelden, um die folgende Konfiguration zu überprüfen:

    • NSIP-Adressen für beide Knoten müssen sich im Management-Subnetz befinden.
    • Auf den primären (ADC-VPX-0) und sekundären (ADC-VPX-1) -Knoten müssen Sie zwei SNIP-Adressen sehen. Ein SNIP (Client-Subnetz) wird für die Reaktion auf ILB-Prüfpunkte verwendet, und das andere SNIP (Serversubnetz) wird für die Back-End-Server-Kommunikation verwendet.

    Hinweis:

    Im HA-INC-Modus unterscheiden sich die SNIP-Adresse der ADC-VPX-0- und ADC-VPX-1-VMs im selben Subnetz, im Gegensatz zu der klassischen lokalen ADC HA-Bereitstellung, bei der beide gleich sind. Um Bereitstellungen zu unterstützen, wenn sich das VPX-Paar SNIP in verschiedenen Subnetzen befindet oder sich der VIP nicht im selben Subnetz wie ein SNIP befindet, müssen Sie entweder Mac-Based Forwarding (MBF) aktivieren oder jedem VPX-Knoten eine statische Host-Route für jeden VIP hinzufügen.

    Auf dem primären Knoten (ADC-VPX-0)

    Zeige IP CLI auf dem primären Knoten

    Zeigen Sie HA-Knoten-CLI auf dem primären Knoten

    Auf dem sekundären Knoten (ADC-VPX-1)

    Zeige IP CLI auf dem sekundären Knoten

    Anzeige HA-Knoten-CLI auf dem sekundären Knoten

  5. Nachdem der primäre und sekundäre Knoten UP sind und der Synchronisierungsstatus ERFOLGist, müssen Sie den virtuellen Lastausgleichsserver oder den virtuellen Gateway-Server auf dem primären Knoten (ADC-VPX-0) mit der privaten Floating-IP (FIP) -Adresse des ADC Azure Load Balancers konfigurieren. Weitere Informationen finden Sie unter Beispielkonfiguration.

  6. Um die private IP-Adresse des ADC Azure Load Balancers zu finden, navigieren Sie zum Azure-Portal > ADC Azure Load Balancer > Frontend IP-Konfiguration.

    ALB Frontend-IP-Konfiguration

  7. Auf der Azure Load Balancer-Konfigurationsseite hilft die Bereitstellung der ARM-Vorlage beim Erstellen der LB-Regel, Back-End-Pools und Health Probes.

    ARM-Vorlage erstellt LB-Regel

    • Die LB-Regel (lBrule1) verwendet standardmäßig Port 80.

      LB Rule verwendet Port 80

    • Bearbeiten Sie die Regel, um Port 443 zu verwenden, und speichern Sie die Änderungen.

      Hinweis:

      Zur Erhöhung der Sicherheit empfiehlt Citrix, den SSL-Port 443 für den virtuellen LB- oder virtuellen Gateway-Server zu verwenden.

      LB Rule verwendet Port 443

Um weitere VIP-Adressen zum ADC hinzuzufügen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Azure Load Balancer > Frontend-IP-Konfigurationund klicken Sie auf Hinzufügen, um eine neue interne Load Balancer-IP-Adresse zu erstellen.

    Fügen Sie weitere VIP-Adressen

  2. Geben Sie auf der Seite Frontend-IP-Adresse hinzufügen einen Namen ein, wählen Sie das Client-Subnetz, weisen Sie entweder dynamische oder statische IP-Adresse zu und klicken Sie auf Hinzufügen.

    Fügen Sie die Front-End-IP-Adresse hinzu

  3. Die Front-End-IP-Adresse wird erstellt, aber eine LB-Regel ist nicht zugeordnet. Erstellen Sie eine neue Lastausgleichsregel, und ordnen Sie sie der Front-End-IP-Adresse zu.

    Erstellen einer neuen Lastausgleichsregel

  4. Wählen Sie auf der Seite Azure Load Balancer die Option Load Balancing-Regelnaus, und klicken Sie dann auf Hinzufügen.

    Hinzufügen von LB-Regeln

  5. Erstellen Sie eine neue LB-Regel, indem Sie die neue Front-End-IP-Adresse und den Port auswählen. Dasschwebende IP-Feld muss auf Aktiviertfestgelegt sein.

    Floating IP aktiviert

  6. Jetzt zeigt die Frontend-IP-Konfiguration die angewendete LB-Regel an.

    Anwenden der LB-Regel

Beispielkonfiguration

Um einen virtuellen Gateway-VPN-Server und einen virtuellen Lastausgleichsserver zu konfigurieren, führen Sie die folgenden Befehle auf dem primären Knoten (ADC-VPX-0) aus. Die Konfiguration wird automatisch mit dem sekundären Knoten (ADC-VPX-1) synchronisiert.

Gateway-Beispiel

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp

Beispielkonfiguration für Lastenausgleich

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp

Sie können jetzt mit dem vollqualifizierten Domänennamen (FQDN), der mit der internen IP-Adresse des ILB verknüpft ist, auf den Lastenausgleich oder virtuellen VPN-Server zugreifen.

Im Abschnitt Ressourcen finden Sie weitere Informationen zur Konfiguration des virtuellen Lastenausgleichsservers.

Ressourcen:

Die folgenden Links enthalten zusätzliche Informationen zur HA-Bereitstellung und zur Konfiguration virtueller Server:

Verwandte Ressourcen:

Konfigurieren von HA-INC-Knoten mithilfe der Citrix Hochverfügbarkeitsvorlage mit Azure ILB