Designentscheidung: Anforderungen und Einschränkungen

Innerhalb der Azure-Cloud verfügen die virtuellen und containerisierten Citrix ADC Appliances über reduzierte Funktionen. Einige Funktionen, wie VLAN-Tagging, sind nicht mehr erforderlich, da Azure die Funktionalität auf Infrastrukturebene ausführt. Das Verständnis der Einschränkungen und Anforderungen ist der Schlüssel zur Planung Ihrer Migration. Die Verwendung von GSLB und Azure für den HSM Key Vault hat andere Anforderungen, die Sie beachten sollten.

Azure Schlüsseltres

Citrix ADC ist in Azure Key Vault integriert und speichert seine privaten Schlüssel im Key Vault, was den Sicherheitsschutz der Schlüssel erhöht. Die Verwendung von Azure Key Vault vereinfacht die Speicherung und Verwaltung von Schlüsseln. Azure Key Vault bietet einen zentralen Schlüsselverwaltungsstandort für alle ADC-Appliances von Unternehmen sowohl in Azure als auch in den on-premises Rechenzentren.

Einige Fragen, die während der Planungsphase beantwortet werden müssen, könnten die folgenden sein:

Wie lässt sich die ADC-Anwendung in Azure Key Vault integrieren und was sind ihre Einschränkungen?

  • Die Citrix ADC-Integration mit Azure Key Vault erfordert die Verwendung des TLS 1.3-Protokolls

  • Die FIPS 140-2 Level 2-Konformität erfordert eine Azure Key Vault Premium-Preisstufe und die Verwendung von mit dem Hardwaresicherheitsmodul (HSM) unterstützten Schlüsseln

  • Der ADC greift für jeden SSL-Handshake auf den Key Vault zu

  • Für den Zugriff auf den Azure Key Vault ist eine Azure Enterprise-Anwendung und ein

  • Die Verwendung von Azure Key Vault durch Citrix ADC weist die folgenden Einschränkungen auf:

    • Azure Key Vault begrenzt die Anzahl der gleichzeitigen Aufrufe und die Grenzwerte variieren je nach Anforderungs- und Schlüsseltyp
    • Schlüssel für Ellipsenkurven-Kryptografie (ECC) werden nicht unterstützt
    • Die Protokolle HDX Enlightened Data Transport (EDT) und Datagram Transport Layer Security (DTLS) können nicht zur Kommunikation mit Azure Key Vault verwendet werden
    • Clustering- und Admin-Partitionen werden nicht unterstützt
    • Die Azure-Anwendung, Azure Key Vault und das HSM-Zertifikatschlüsselpaar können in Azure nicht aktualisiert werden, nachdem sie der Citrix ADC Appliance hinzugefügt wurden
    • HSM-Zertifikatspakete werden nicht unterstützt
    • Ein HSM-Schlüssel kann nicht an einen virtuellen DTLS-Server gebunden werden
    • Weder SSL-Service- noch Online Certificate Status Protocol (OCSP) -Anforderungen können ein mit dem HSM-Schlüssel erstelltes Zertifikatschlüsselpaar verwenden.
    • Bei Nichtübereinstimmung zwischen HSM-Schlüssel und Zertifikat wird kein Fehler generiert

GSLB

Wenn Unternehmen ihre Workloads auf die Azure Cloud umstellen, benötigen sie ein Hybridmodell, das eine sichere DNS-Auflösung ermöglicht. Der Azure DNS Private Zone-Dienst ist der Schlüssel zu diesem Übergang. Mit privaten DNS-Zonen können Unternehmen ein Hybridmodell erstellen, das eine DNS-Auflösung sowohl für on-premises als auch für Azure-basierte Server ermöglicht. Die Azure-Server können über einen ExpressRoute- oder VPN-Tunnel mit dem lokalen Rechenzentrum verbunden werden. Citrix ADC bietet eine nahtlose Möglichkeit, den Datenverkehr sowohl auf on-premises als auch auf Azure-Workloads auf globaler Ebene zu verteilen. Die Funktion Global Server Load Balancing (GSLB) bietet diese globale Skalierung und stützt sich auf den ADNS-Dienst in der Citrix ADC Konsole.

Diese GSLB-Funktion unterstützt Geschäftsziele wie: Migration von on-premises zur Azure-Cloud, DNS-basiertes Failover und Blue-Green-Umgebungstests. Es sind sowohl Round Robin- als auch standortbasierte (statische Proximity) Server-Routingmethoden verfügbar GSLB kann für jede Service- oder Host-Auflösung verwendet werden, einschließlich StoreFront.

Was sind die Anforderungen und Einschränkungen bei der Verwendung von Citrix ADC for GSLB sowohl in meiner on-premises als auch in meiner Azure-Cloud-Hybridbereitstellung?

  • Der ADNS-Dienst ist ein DNS-Server, der auf der Citrix ADC Appliance ausgeführt wird. ADNS unterstützt die Delegierung von DNS-Namensräumen, sodass der Citrix ADC der autoritative Namenserver für die Zone und alle darin enthaltenen Hosts ist

  • Die Unterstützung für GSLB Private DNS-Zonen wird mithilfe von Citrix ADC Appliances in der Azure-Cloud implementiert, auf denen der ADNS-

  • Planen Sie die Verwendung von DNS-Weiterleitungen für virtuelle Netzwerke und Rechenzentrumsnetzwerke

  • Alle DNS-Abfragen werden zuerst an den lokalen DNS-Forwarder weitergeleitet, um die beste Benutzererfahrung zu bieten

  • Der GSLB DBS Service erfordert Folgendes:

    • Citrix ADC Version 12.0.57 oder höher und Microsoft Azure Load Balancer-Instanzen
    • Citrix ADC GSLB Service Group - Funktionserweiterungen
    • GSLB-Dienstgruppen-Entität: Citrix ADC Version 12.057 oder höher
    • DBS-Funktionskomponenten müssen an die GSLB-Servicegruppe gebunden sein

Was sind die Einschränkungen beim Ausführen von Citrix ADC VPX-Instanzen in Azure?

  • Ein sicherer Tunnel zwischen Azure und dem on-premises Rechenzentrum muss bestehen, typischerweise über eine ExpressRoute- oder VPN-Verbindung

  • Weisen Sie der virtuellen Citrix ADC-Maschine eine statische interne IP-Adresse zu, um Probleme zu vermeiden, die durch die Änderung der IP-Adresse nach einer VM-Freigabe verursacht werden

Welche Citrix ADC-Funktionalität für Rechenzentren ist im Azure Citrix ADC nicht verfügbar?

  • Hochverfügbarkeit funktioniert nicht, wenn die Public IP (PIP) -Adresse mit der VPX-Instanz verknüpft ist, anstatt mit einem Azure Load Balancer

  • Die Azure-Architektur unterstützt die folgenden Citrix ADC-Funktionen nicht:
    • Clustering, sofern es nicht über die Citrix ADM Autoscale-Funktion bereitgestellt wird
    • IPv6
    • Unentgeltliches ARP (GARP)
    • L2-Modus (Bridging); Transparente virtuelle Server mit MAC-Rewrite (L2) funktionieren jedoch für Server im selben Subnetz wie das SNIP des ADC
    • Getagged VLAN
    • Dynamisches Routing
    • Virtueller MAC
    • USIP
    • Jumbo Frames
  • Öffentliche IP-Adressen unterstützen keine Protokolle, bei denen die Portzuordnung dynamisch geöffnet wird, wie passives FTP oder ALG

Azure Key Vault-Dienstbeschränkungen

Unterstützung für Azure Key Vault

Bereitstellungshandbuch Citrix ADC VPX auf Azure — GSLB

Citrix ADC VPX auf Azure Bereitstellungshandbuch

Konfigurieren einer eigenständigen Citrix ADC VPX-Instanz

Bereitstellungshandbuch Citrix ADC VPX auf Azure — Disaster Recovery

Auf NetScaler auf Azure beobachtete MAC-Bewegungen

Designentscheidung: Anforderungen und Einschränkungen