Citrix ADC

Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB

Sie können schnell und effizient ein Paar VPX-Instanzen im HA-INC-Modus bereitstellen, indem Sie die Standardvorlage für Intranetanwendungen verwenden. Der interne Azure-Load Balancer (ILB) verwendet eine interne oder private IP-Adresse für das Front-End, wie in Abbildung 1 dargestellt. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs Netzwerkkarten. Die Subnetze sind für Verwaltungs-, Client- und serverseitigen Datenverkehr vorgesehen, wobei jedes Subnetz zu einer anderen NIC auf jedem Gerät gehört.

Abbildung 1: Citrix ADC HA-Paar für Clients in einem internen Netzwerk

HA-Paar in einem internen Netzwerk

Sie können diese Bereitstellung auch verwenden, wenn sich das Citrix ADC HA-Paar hinter einer Firewall befindet, wie in Abbildung 2 dargestellt. Die öffentliche IP-Adresse gehört zur Firewall und ist zur Front-End-IP-Adresse des ILB NAT.

Abbildung 2: Citrix ADC HA-Paar mit Firewall mit öffentlicher IP-Adresse

HA-Paar mit Firewall

Sie können die Citrix ADC HA-Paar-Vorlage für Intranetanwendungen im Azure-Portalabrufen.

Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein Hochverfügbarkeits-VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.

  1. Navigieren Sie vom Azure-Portal zur Seite Benutzerdefinierte Bereitstellung.

  2. Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe. Geben Sie auf der Registerkarte Parameter Details für die Region, den Admin-Benutzernamen, das Admin-Kennwort, den Lizenztyp (VM sku) und andere Felder ein.

    Seite "Grundlagen"

  3. Klicken Sie auf Weiter: Überprüfen + erstellen.

    Es kann einen Moment dauern, bis die Azure-Ressourcengruppe mit den erforderlichen Konfigurationen erstellt wird. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools und Health Probes anzuzeigen. Das Hochverfügbarkeitspaar wird als ADC-VPX-0 und ADC-VPX-1 angezeigt.

    Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Sie dies über das Azure-Portal vornehmen.

    Sobald die erforderliche Konfiguration abgeschlossen ist, werden die folgenden Ressourcen erstellt.

    HA-ILB-Ressourcengruppe

  4. Sie müssen sich bei ADC-VPX-0 und ADC-VPX-1-Knoten anmelden, um die folgende Konfiguration zu überprüfen:

    • NSIP-Adressen für beide Knoten müssen sich im Management-Subnetz befinden.
    • Auf den primären (ADC-VPX-0) und sekundären (ADC-VPX-1) -Knoten müssen Sie zwei SNIP-Adressen sehen. Ein SNIP (Client-Subnetz) wird für die Reaktion auf ILB-Prüfpunkte verwendet, und das andere SNIP (Serversubnetz) wird für die Back-End-Server-Kommunikation verwendet.

    Hinweis:

    Im HA-INC-Modus unterscheiden sich die SNIP-Adresse der ADC-VPX-0- und ADC-VPX-1-VMs im selben Subnetz, im Gegensatz zu der klassischen lokalen ADC HA-Bereitstellung, bei der beide gleich sind. Um Bereitstellungen zu unterstützen, wenn sich das VPX-Paar SNIP in verschiedenen Subnetzen befindet oder wenn sich der VIP nicht im selben Subnetz wie ein SNIP befindet, müssen Sie entweder Mac-Based Forwarding (MBF) aktivieren oder jedem VPX-Knoten eine statische Host-Route für jeden VIP hinzufügen.

    Auf dem primären Knoten (ADC-VPX-0)

    Zeige IP CLI auf dem primären Knoten

    Zeigt die CLI des Hochverfügbarkeitsknotens auf dem primären Knoten

    Auf dem sekundären Knoten (ADC-VPX-1)

    Zeige IP CLI auf dem sekundären Knoten

    Zeige CLI für Hochverfügbarkeitsknoten auf dem sekundären Knoten

  5. Nachdem der primäre und sekundäre Knoten UP sind und der Synchronisierungsstatus ERFOLGist, müssen Sie den virtuellen Lastausgleichsserver oder den virtuellen Gateway-Server auf dem primären Knoten (ADC-VPX-0) mit der privaten Floating-IP (FIP) -Adresse des ADC Azure Load Balancers konfigurieren. Weitere Informationen finden Sie im Abschnitt Beispielkonfiguration .

  6. Um die private IP-Adresse des ADC Azure Load Balancers zu finden, navigieren Sie zum Azure-Portal > ADC Azure Load Balancer > Frontend IP-Konfiguration.

    ALB Front-End-IP-Konfiguration

  7. Auf der Azure Load Balancer-Konfigurationsseite hilft die Bereitstellung der ARM-Vorlage beim Erstellen der LB-Regel, Back-End-Pools und Health Probes.

    ARM-Vorlage erstellt LB-Regel

    • Die LB-Regel (lBrule1) verwendet standardmäßig Port 80.

      LB Rule verwendet Port 80

    • Bearbeiten Sie die Regel, um Port 443 zu verwenden, und speichern Sie die Änderungen.

      Hinweis:

      Zur Erhöhung der Sicherheit empfiehlt Citrix, den SSL-Port 443 für den virtuellen LB- oder virtuellen Gateway-Server zu verwenden.

      LB Rule verwendet Port 443

Um weitere VIP-Adressen zum ADC hinzuzufügen, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zu Azure Load Balancer > Frontend-IP-Konfigurationund klicken Sie auf Hinzufügen, um eine neue interne Load Balancer-IP-Adresse zu erstellen.

    Fügen Sie weitere VIP-Adressen

  2. Geben Sie auf der Seite Frontend-IP-Adresse hinzufügen einen Namen ein, wählen Sie das Client-Subnetz, weisen Sie entweder dynamische oder statische IP-Adresse zu und klicken Sie auf Hinzufügen.

    Fügen Sie die Front-End-IP-Adresse hinzu

  3. Die Front-End-IP-Adresse wird erstellt, aber eine LB-Regel ist nicht zugeordnet. Erstellen Sie eine neue Lastausgleichsregel, und ordnen Sie sie der Front-End-IP-Adresse zu.

    Erstellen einer neuen Lastausgleichsregel

  4. Wählen Sie auf der Seite Azure Load Balancer die Option Load Balancing-Regelnaus, und klicken Sie dann auf Hinzufügen.

    Hinzufügen von LB-Regeln

  5. Erstellen Sie eine neue LB-Regel, indem Sie die neue Front-End-IP-Adresse und den Port auswählen. Dasschwebende IP-Feld muss auf Aktiviertfestgelegt sein.

    Floating IP aktiviert

  6. Jetzt zeigt die Frontend-IP-Konfiguration die angewendete LB-Regel an.

    Anwenden der LB-Regel

Beispielkonfiguration

Um einen virtuellen Gateway-VPN-Server und einen virtuellen Lastausgleichsserver zu konfigurieren, führen Sie die folgenden Befehle auf dem primären Knoten (ADC-VPX-0) aus. Die Konfiguration wird automatisch mit dem sekundären Knoten (ADC-VPX-1) synchronisiert.

Gateway-Beispiel

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp
<!--NeedCopy-->

Beispielkonfiguration für Lastenausgleich

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp
<!--NeedCopy-->

Sie können jetzt mit dem vollqualifizierten Domänennamen (FQDN), der mit der internen IP-Adresse des ILB verknüpft ist, auf den Lastenausgleich oder virtuellen VPN-Server zugreifen.

Im Abschnitt Ressourcen finden Sie weitere Informationen zur Konfiguration des virtuellen Lastenausgleichsservers.

Ressourcen:

Die folgenden Links enthalten zusätzliche Informationen zur HA-Bereitstellung und zur Konfiguration virtueller Server:

Verwandte Ressourcen:

Konfigurieren von HA-INC-Knoten mit der Citrix Hochverfügbarkeitsvorlage mit Azure ILB