Conceptos avanzados

Diseño de referencia validado de Citrix ADC y Amazon Web Services

Descripción general de Citrix Networking VPX

Citrix ADC es un Delivery Controller de aplicaciones todo en uno que hace que las aplicaciones se ejecuten hasta cinco veces mejor, reduce los costes de propiedad de las aplicaciones, optimiza la experiencia del usuario y garantiza que las aplicaciones estén siempre disponibles mediante:

  • Equilibrio de carga y administración del tráfico de servicios avanzados de nivel 4 a 7
  • Aceleración de aplicaciones comprobada, como compresión HTTP y almacenamiento en caché
  • Un firewall de aplicaciones integrado para la seguridad de las aplicaciones
  • Descarga de servidores para reducir significativamente los costes y consolidar servidores

Como líder indiscutible en la prestación de servicios y aplicaciones, Citrix ADC se implementa en miles de redes de todo el mundo para optimizar, proteger y controlar la prestación de todos los servicios empresariales y en la nube. Implementado directamente frente a servidores web y de bases de datos, Citrix ADC combina equilibrio de carga de alta velocidad y conmutación de contenido, compresión HTTP, almacenamiento en caché de contenido, aceleración SSL, visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión integral que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar directivas mediante un simple motor de directivas declarativas sin necesidad de experiencia en programación.

Descripción general de Citrix ADC en Amazon Web Services

La compatibilidad con Citrix Networking VPX dentro de Amazon Web Services (AWS) está disponible a partir de la versión 10.5-61.11. Citrix Networking VPX está disponible como imagen de máquina de Amazon (AMI) en el mercado de AWS. Citrix Networking VPX en AWS permite a los clientes aprovechar las capacidades de informática en la nube de AWS y utilizar las funciones de equilibrio de carga y administración del tráfico de Citrix ADC para sus necesidades empresariales. Citrix ADC en AWS admite todas las funciones de administración del tráfico de un dispositivo Citrix ADC físico. Las instancias de Citrix ADC que se ejecutan en AWS se pueden implementar como instancias independientes o en pares de alta disponibilidad.

La AMI de Citrix Networking VPX está empaquetada como una instancia EC2 que se inicia dentro de una VPC de AWS. La instancia de AMI VPX requiere un mínimo de 2 CPU virtuales y 2 GB de memoria. Una instancia EC2 lanzada dentro de una VPC de AWS también puede proporcionar las múltiples interfaces, varias direcciones IP por interfaz y direcciones IP públicas y privadas necesarias para la configuración de VPX. Actualmente, en AWS, VPX solo se puede lanzar dentro de una VPC, ya que cada instancia VPX requiere al menos tres direcciones IP. (Aunque VPX en AWS se puede implementar con una o dos interfaces de red elásticas, Citrix recomienda tres interfaces de red para una instalación VPX estándar en AWS). Actualmente, AWS hace que la funcionalidad multiIP esté disponible solo para instancias que se ejecutan dentro de una VPC de AWS. Una instancia VPX en una VPC se puede utilizar para equilibrar la carga de servidores que se ejecutan en instancias EC2.

Una VPC de Amazon le permite crear y controlar un entorno de red virtual, incluido su propio intervalo de direcciones IP, subredes, tablas de rutas y puertas de enlace de red.

Nota:

De forma predeterminada, puede crear hasta 5 instancias de VPC por región de AWS para cada cuenta de AWS. Puede solicitar mayores límites de VPC mediante el envío de un formulario de solicitud de Amazon.

Se inicia una instancia EC2 de Citrix Networking VPX (imagen AMI) dentro de AWS VPC.

La siguiente figura muestra un VPX típico en la implementación de AWS.

netscaler-and-amazon-aws-01

La figura muestra una topología simple de una VPC de AWS con una implementación de Citrix Networking VPX. La VPC de AWS tiene:

  1. Una única Gateway de Internet para enrutar el tráfico de entrada y salida de la VPC.
  2. Conectividad de red entre la Gateway de Internet e Internet.
  3. Tres subredes, una para administración, cliente y servidor cada una.
  4. Conectividad de red entre la Gateway de Internet y las dos subredes (administración y cliente).
  5. Un único Citrix Networking VPX implementado dentro de la VPC. La instancia VPX tiene tres interfaces de red elásticas (ENI), una conectada a cada subred.

Limitaciones y directrices de uso

  • La función de agrupación de clústeres no es compatible con VPX.
  • Para que HA funcione como se esperaba, asocie un dispositivo NAT dedicado a la interfaz de administración o asocie EIP a NSIP. Para obtener más información sobre NAT, consulte la documentación de AWS Instancias NAT.
  • El tráfico de datos y el tráfico de administración deben segregarse mediante el uso de ENIs pertenecientes a diferentes subredes.
  • Solo la dirección del NSIP debe estar presente en el ENI de gestión.
  • Si se utiliza una instancia de NAT para la seguridad en lugar de asignar un EIP al NSIP, se requieren cambios de enrutamiento de nivel de VPC adecuados. Para obtener instrucciones sobre cómo realizar cambios de enrutamiento a nivel de VPC, en la documentación de AWS, consulte Caso 2: VPC con subredes públicas y privadas.
  • Una instancia VPX se puede mover de un tipo de instancia EC2 a otro (por ejemplo, de m3.large a m3.xlarge).
  • Para las opciones de almacenamiento para VPX en AWS, Citrix recomienda EBS, ya que es duradero y los datos están disponibles incluso después de que se hayan separado de la instancia.
  • No se admite la adición dinámica de ENIs a VPX. Debe reiniciar la instancia VPX para aplicar la actualización. Citrix recomienda detener la instancia independiente o de alta disponibilidad, conectar la nueva ENI y reiniciar la instancia.
  • Puede asignar varias direcciones IP a un ENI. El número máximo de direcciones IP por ENI está determinado por el tipo de instancia EC2, consulte Soporte EC2 para ENI y direcciones IP.
  • Citrix recomienda evitar el uso de los comandos enable and disable interface en las interfaces VPX Citrix Networking.

Debido a las limitaciones de AWS, estas funciones no son compatibles:

Limitaciones de la capa 3:

  • Redirección dinámica
  • IPV6

Limitaciones de la capa 2:

  • ARP gratuito (GARP)
  • Modo L2
  • VLAN etiquetada
  • MAC virtual (vMAC)

Instancias EC2 compatibles

La AMI de Citrix ADC se puede iniciar en cualquiera de los siguientes tipos de instancia de EC2:

  • m4.large
  • m4.xlarge
  • m4.2xlarge
  • m4.4xlarge
  • m4.10xlarge
  • m3.large
  • m3.xlarge
  • m3.2xlarge

Para obtener más información, consulte Instancias de Amazon EC2

Soporte ENI

En la siguiente tabla se enumeran los tipos de instancia EC2 y el número correspondiente de ENI admitidos y el número de direcciones IP privadas por ENI.

Nombre de la instancia Cantidad de ENI Direcciones IP privadas por ENI
m4.large 2 10
m4.xlarge 4 15
m4.2xlarge 4 15
m4.4xlarge 8 30
m4.10xlarge 8 30
m3.large 3 10
m3.xlarge 4 15
m3.2xlarge 4 30

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina el equilibrio de carga L4, la gestión del tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de las aplicaciones y otras capacidades esenciales de entrega de aplicaciones en un único VPX, convenientemente disponible a través de AWS Marketplace. Además, todo se rige por un único marco de directivas y se administra con el mismo y potente conjunto de herramientas que se utilizan para administrar implementaciones locales de Citrix ADC. El resultado neto es que Citrix ADC en AWS permite varios casos de uso convincentes que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos empresariales en la nube.

Entrega de producción para aplicaciones web y virtuales y aplicaciones de escritorio

Las empresas que adoptan activamente AWS como una oferta de infraestructura como servicio (IaaS) para la entrega de aplicaciones de producción ahora pueden front-end aquellas aplicaciones con la misma plataforma de red en la nube utilizada por los sitios web y los proveedores de servicios en la nube más grandes del mundo. Se pueden aprovechar amplias capacidades de descarga, aceleración y seguridad para mejorar el rendimiento y reducir los costes.

XenDesktop 7.5 y XenApp 7.5 se han rediseñado como soluciones listas para la nube para entregar cualquier aplicación o escritorio de Windows en un servicio en la nube suministrado a través de cualquier red y a cualquier dispositivo. Al implementar esta plataforma de entrega de aplicaciones y escritorios expandida hoy mismo, se posiciona para aprovechar cualquier infraestructura virtual o plataforma de administración de nube. Esto le da la capacidad de aprovechar las capacidades de automatización y orquestación de la informática en la nube.

Diseños de nube híbrida

Las organizaciones de TI empresariales que siguen una estrategia de nube híbrida obtienen lo mejor de ambos mundos al seleccionar qué aplicaciones y qué casos de uso se ajustan mejor a su nube privada y cuáles se ajustan mejor a una nube pública que les permite flexibilizar, crecer y transformarse para satisfacer las demandas del lugar de trabajo moderno.

Con Citrix ADC en AWS, las nubes híbridas que abarcan centros de datos empresariales y se extienden a AWS pueden beneficiarse de la misma plataforma de red en la nube. Citrix ADC facilita significativamente la transición de aplicaciones y cargas de trabajo entre un centro de datos privado y AWS. El conjunto completo de capacidades, que van desde el equilibrio inteligente de carga de la base de datos con DataStream hasta la visibilidad de las aplicaciones sin precedentes con AppFlow®, y la supervisión y respuesta en tiempo real con Action Analytics, se puede aprovechar con Citrix ADC en AWS.

Continuidad del negocio

Las empresas que quieran utilizar AWS como parte de sus planes de recuperación ante desastres y continuidad empresarial pueden confiar en el equilibrio de carga global del servidor Citrix ADC que se ejecuta tanto en las instalaciones como dentro de AWS para supervisar continuamente la disponibilidad y el rendimiento de los centros de datos empresariales y de los entornos de AWS, lo que garantiza a los usuarios siempre se envían a la ubicación óptima.

Cuando configura GSLB en dispositivos Citrix ADC y habilita el Protocolo de intercambio métrico (MEP), los dispositivos utilizan la infraestructura DNS para conectar el cliente al centro de datos que mejor cumpla los criterios establecidos. Los criterios pueden designar el centro de datos menos cargado, el centro de datos más cercano, el centro de datos que responde más rápidamente a las solicitudes de la ubicación del cliente, una combinación de esas métricas y métricas SNMP. Un dispositivo realiza un seguimiento de la ubicación, el rendimiento, la carga y la disponibilidad de cada centro de datos y utiliza estos factores para seleccionar el centro de datos al que quiere enviar una solicitud de cliente. Una configuración de GSLB consta de un grupo de entidades GSLB en cada dispositivo de la configuración. Estas entidades incluyen sitios GSLB, servicios GSLB, servidores virtuales GSLB, servidores de equilibrio de carga y/o conmutación de contenido, y servicios ADNS.

Desarrollo y pruebas

Las empresas ejecutan la entrega de producción local, pero el uso de AWS para el desarrollo y las pruebas ahora puede incluir Citrix ADC en sus entornos de pruebas de AWS, lo que acelera el tiempo de producción debido a una mejor imitación de la implementación de producción en sus entornos de prueba.

En cada caso de uso, los arquitectos de red también pueden aprovechar Citrix CloudBridge, configurado como instancia independiente o como función de una instancia de Citrix ADC platinum edition, para proteger y optimizar la conexión entre uno o más centros de datos empresariales y la nube de AWS, acelerando así la transferencia de datos/ sincronización y minimizar el coste de la red.

Arquitectura de red de AWS: ENI y EIP

Las instancias de Citrix ADC iniciadas en una VPC pueden tener hasta ocho interfaces de red elásticas (ENI). A su vez, a cada ENI se le puede asignar una o más direcciones IP privadas, y cada una de ellas puede asignarse opcionalmente a una dirección IP elástica que sea enrutable públicamente.

Lo que hace que las interfaces de red y las direcciones IP sean “elásticas” en este caso es la capacidad de reasignarlas mediante programación a otras instancias, una función que permite la recuperación de fallos de la instancia o de la zona de disponibilidad sin tener que esperar a que se reemplacen el hardware o que los cambios DNS se propaguen completamente a todos los sus clientes.

Otros detalles a tener en cuenta son los siguientes:

  • Una instancia puede tener diferentes ENI en diferentes subredes (pero no en diferentes zonas de disponibilidad).
  • Cada ENI debe tener al menos una dirección IP asignada y debe asignarse a un grupo de seguridad (ver más abajo).
  • Las direcciones 1—4 para cada subred (es decir, 10.x.x.1-4) están reservadas para que Amazon las utilice.
  • Citrix ADC solo conoce direcciones IP privadas. Los EIP asignados no aparecen en la CLI de Citrix ADC ni en ninguna herramienta de administración relacionada.

netscaler-and-amazon-aws-02

EC2 frente a VPC

AWS incluye varios servicios diferentes, como Amazon Simple Storage Services (S3), Amazon Elastic Compute Cloud (EC2) y Amazon Virtual Private Cloud (VPC). La distinción entre estos dos últimos es importante en este caso. En particular, con EC2, las instancias de máquinas virtuales se limitan a una única interfaz de red y a una única dirección IP. Además, existen funciones y controles mínimos de red. Esto excluye el uso de EC2 para Citrix ADC, que requiere un mínimo de tres direcciones IP, y es por eso que las instancias de Citrix ADC solo se pueden lanzar dentro de una VPC de AWS.

Las VPC no solo admiten máquinas virtuales con múltiples interfaces y varias direcciones IP privadas y públicas, sino que también le permiten crear y controlar un entorno de red virtual aislado, con su propio intervalo de direcciones IP, subredes, tablas de enrutamiento y puertas de enlace de red.

Regiones y zonas de disponibilidad

Dentro de la nube de AWS, las regiones hacen referencia a una ubicación geográfica específica, como EE. UU. Este. Dentro de cada región hay al menos dos zonas de disponibilidad, cada una de las cuales se puede considerar como un centro de datos en la nube independiente que se ha diseñado para estar aislado de fallas en otras zonas de disponibilidad y para proporcionar conectividad de red económica y de baja latencia a otras zonas de disponibilidad dentro de la misma región.

Al implementar instancias en zonas de disponibilidad separadas, puede proteger sus aplicaciones de fallas que afecten a una sola ubicación.

Entre las limitaciones y dependencias que los arquitectos de red deben tener en cuenta en este nivel se incluyen las siguientes:

  • Aunque una nube privada virtual puede abarcar varias zonas de disponibilidad, no puede abarcar varias regiones.
  • Las subredes individuales de una VPC no pueden abarcar varias zonas de disponibilidad.
  • Todo el tráfico que entra o sale de una VPC debe enrutarse a través de una Gateway de Internet predeterminada correspondiente

Configurar VPX en AWS

En este ejercicio, creará una VPC y una subred e iniciará una instancia pública en la subred. Su instancia podrá comunicarse con Internet y podrá acceder a su instancia desde su equipo local mediante SSH (si se trata de una instancia de Linux) o Escritorio remoto (si se trata de una instancia de Windows). En su entorno real, puede utilizar este caso para crear un servidor web orientado al público; por ejemplo, para alojar un blog.

Nota:

Este ejercicio tiene por objeto ayudarle a configurar rápidamente su propia VPC no predeterminada. Si ya tiene una VPC predeterminada y quiere comenzar a lanzar instancias en ella (y no crear o configurar una VPC nueva), consulte Lanzamiento de una instancia EC2 en su VPC predeterminada.

Para completar este ejercicio, realice lo siguiente:

  • Cree una VPC no predeterminada con una única subred pública. Las subredes permiten agrupar instancias en función de sus necesidades operativas y de seguridad. Una subred pública es una subred que tiene acceso a Internet a través de una Gateway de Internet.
  • Cree un grupo de seguridad para su instancia que permita el tráfico solo a través de puertos específicos.
  • Inicie una instancia de Amazon EC2 en su subred.
  • Asocie una dirección IP elástica a su instancia. Esto permite que su instancia acceda a Internet.

Antes de poder utilizar Amazon VPC por primera vez, debe registrarse en AWS. Cuando se registra, su cuenta de AWS se registra automáticamente en todos los servicios de AWS, incluido Amazon VPC. Si aún no ha creado una cuenta de AWS, vaya a http://aws.amazon.com y, a continuación, elija Crear una cuenta gratuita.

Paso 1: Crear la VPC

En este paso, utilizará el asistente de Amazon VPC en la consola de Amazon VPC para crear una VPC. El asistente realiza los siguientes pasos:

  • Crea una VPC con un bloque /16 CIDR (una red con 65 536 direcciones IP privadas). Para obtener más información acerca de la notación CIDR y el tamaño de una VPC, consulte Your VPC.
  • Adjunta una Gateway de Internet a la VPC. Para obtener más información acerca de las puertas de enlace de Internet, consulte Internet Gateways.
  • Crea una subred de tamaño /24 (un intervalo de 256 direcciones IP privadas) en la VPC.
  • Crea una tabla de rutas personalizada y la asocia a la subred para que el tráfico pueda fluir entre la subred y la Gateway de Internet. Para obtener más información acerca de las tablas de enrutamiento, consulte Route Tables.

El siguiente diagrama representa la arquitectura de la VPC después de completar este paso.

netscaler-and-amazon-aws-03

Crear una VPC con el Asistente de Amazon VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En la barra de navegación, en la parte superior derecha, tome nota de la región en la que va a crear la VPC. Asegúrese de seguir trabajando en la misma región durante el resto de este ejercicio, ya que no puede iniciar una instancia en la VPC desde una región diferente. Para obtener más información acerca de las regiones, consulte Regions and Availability Zones.

  3. En el panel de navegación, elija VPC dashboard y, a continuación, Start VPC Wizard.

    netscaler-and-amazon-aws-04

    Nota:

    No elija Your VPCs en el panel de navegación; no puede acceder al asistente de VPC desde esta página.

  4. Elija la primera opción, VPC with a Single Public Subnet y, a continuación, elija Select.

  5. En la página de configuración, escriba un nombre para la VPC en el campo VPC name (por ejemplo, my-vpc) e introduzca un nombre para la subred en el campo Subnet name. Esto le ayuda a identificar la VPC y la subred en la consola de Amazon VPC después de crearlas. Para este ejercicio, puede dejar el resto de los parámetros de configuración en la página y elegir Create VPC.

    (Opcional) Si lo prefiere, puede modificar los parámetros de configuración de la siguiente manera y, a continuación, elegir Create VPC.

    • El bloque IP CIDR muestra el rango de direcciones IP que utilizará para la VPC (10.0.0.0/16) y el campo Subred pública muestra el rango de direcciones IP que utilizará para la subred (10.0.0.0/24). Si no quiere utilizar los intervalos CIDR predeterminados, puede especificar los suyos propios. Para obtener más información, consulte VPC and Subnet Sizing.

    • La lista Availability Zone permite seleccionar la zona de disponibilidad en la que se creará la subred. Puede dejar la opción No Preference para permitir que AWS elija una zona de disponibilidad por usted. Para obtener más información, consulte Regions and Availability Zones.

    • En la sección Add enpoints for S3 to your subnets, puede seleccionar una subred en la que crear un extremo de VPC en Amazon S3 en la misma región. Para obtener más información, consulte Dispositivos de punto final de VPC.

    • La opción Enable DNS hostnames, cuando se establece en Sí, garantiza que las instancias que se inician en la VPC reciban un nombre de host DNS. Para obtener más información, consulte Using DNS with Your VPC.

    • La opción Hardware tenancy le permite seleccionar si las instancias iniciadas en su VPC se ejecutan en hardware compartido o dedicado. La selección de un contrato de arrendamiento dedicado conlleva costes adicionales. Para obtener más información acerca del arrendamiento de hardware, consulte Dedicated Instances.

  6. Una ventana de estado muestra el trabajo en curso. Cuando finalice el trabajo, elija OK para cerrar la ventana de estado.

  7. Your VPCs page muestra la VPC predeterminada y la VPC que acaba de crear. La VPC que creó es una VPC no predeterminada, por lo que la columna Default VPC muestra No.

netscaler-and-amazon-aws-05

Ver información sobre su VPC

Después de crear la VPC, puede ver información sobre la subred, la Gateway de Internet y las tablas de enrutamiento. La VPC que creó tiene dos tablas de ruta: Una tabla de ruta principal que tienen todas las VPC de forma predeterminada y una tabla de ruta personalizada creada por el asistente. La tabla de rutas personalizada está asociada a la subred, lo que significa que las rutas de esa tabla determinan cómo fluye el tráfico de la subred. Si agrega una nueva subred a la VPC, ésta utiliza la tabla de ruta principal de forma predeterminada.

Para ver información sobre la VPC

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
  2. En el panel de navegación, elija Your VPCs. Tome nota del nombre y el ID de la VPC que creó (busque en las columnas Name y VPC ID). Utilizará esta información para identificar los componentes asociados a la VPC.
  3. En el panel de navegación, elija Subnets. La consola muestra la subred que se creó al crear la VPC. Puede identificar la subred por su nombre en la columna Name, o bien puede utilizar la información de VPC que obtuvo en el paso anterior y buscar en la columna VPC.
  4. En el panel de navegación, elija Internet Gateways. Puede encontrar la Gateway de Internet que está conectada a la VPC mirando la columna VPC, que muestra el ID y el nombre (si corresponde) de la VPC.
  5. En el panel de navegación, elija Route Tables. Hay dos tablas de rutas asociadas a la VPC. Seleccione la tabla de ruta personalizada (la columna Principal muestra No) y, a continuación, elija la ficha Rutas para mostrar la información de ruta en el panel de detalles:
    • La primera fila de la tabla es la ruta local, que permite la comunicación de instancias dentro de la VPC. Esta ruta está presente en todas las tablas de rutas de forma predeterminada y no puede eliminarla.
    • La segunda fila muestra la ruta que agregó el asistente de Amazon VPC para permitir que el tráfico destinado a una dirección IP fuera de la VPC (0.0.0.0/0) fluya desde la subred a la Gateway de Internet.
  6. Seleccione la tabla de ruta principal. La tabla de rutas principal tiene una ruta local, pero no hay otras rutas.

Paso 2: Crear un grupo de seguridad 12

Un grupo de seguridad actúa como un firewall virtual para controlar el tráfico de sus instancias asociadas. Para utilizar un grupo de seguridad, agregue las reglas de entrada para controlar el tráfico entrante a la instancia y las reglas de salida para controlar el tráfico saliente desde la instancia. Para asociar un grupo de seguridad a una instancia, especifique el grupo de seguridad al iniciar la instancia. Si agrega y elimina reglas del grupo de seguridad, aplicaremos esos cambios a las instancias asociadas al grupo de seguridad automáticamente.

La VPC viene con un grupo de seguridad predeterminado. Cualquier instancia que no esté asociada a otro grupo de seguridad durante el lanzamiento se asocia con el grupo de seguridad predeterminado. En este ejercicio, creará un nuevo grupo de seguridad, WebServerSG, y lo especificará cuando inicie una instancia en la VPC.

Temas

Crear su grupo de seguridad WebServerSG

Puede crear su grupo de seguridad mediante la consola de Amazon VPC.

Reglas para el grupo de seguridad WebServerSG

En la tabla siguiente se describen las reglas de entrada y salida del grupo de seguridad WebServerSG. Agregará las reglas de entrada tú mismo. La regla de salida es una regla predeterminada que permite toda la comunicación de salida a cualquier lugar; no es necesario agregar esta regla usted mismo.

Entrante      
IP de origen Protocolo Intervalo de puertos Comentarios
0.0.0.0/0 TCP 80 Permite el acceso HTTP entrante desde cualquier lugar.
0.0.0.0/0 TCP 443 Permite el acceso HTTPS entrante desde cualquier lugar.
Intervalo de direcciones IP públicas de su red doméstica TCP 22 Permite el acceso SSH entrante desde su red doméstica a una instancia Linux/UNIX.
Intervalo de direcciones IP públicas de su red doméstica TCP 3389 Permite el acceso RDP entrante desde su red doméstica a una instancia de Windows.
Saliente      
IP de destino Protocolo Intervalo de puertos Comentarios
0.0.0.0/0 Todo Todo Regla de salida predeterminada que permite toda la comunicación saliente.

Para crear el grupo de seguridad WebServerSG y agregar reglas

  1. Abra la consola de Amazon VPC en https://aws.amazon.com/console/.
  2. En el panel de navegación, elija Security Groups.
  3. Elija Create Security Group.
  4. En el campo Group Name, escriba WebServerSG como nombre del grupo de seguridad y proporcione una descripción. También puede utilizar el campo Name tag para crear una etiqueta para el grupo de seguridad con una clave de nombre y un valor que especifique.
  5. Seleccione el ID of your VPC en el menú VPC y, a continuación, elija Yes, Create.
  6. Seleccione el grupo de seguridad WebServerSG que acaba de crear (puede ver su nombre en la columna Group Name).
  7. En la ficha Inbound Rules, elija Edit y agregue reglas para el tráfico entrante de la siguiente manera; a continuación, elija Save cuando haya terminado:
    • Seleccione HTTP en la lista Type e introduzca 0.0.0.0/0 en el campo Source.
    • Elija Add another rule y, a continuación, seleccione HTTPS en la lista Type e introduzca 0.0.0.0/0 en el campo Source.
    • Elija Add another rule. Si va a iniciar una instancia de Linux, seleccione SSH en la lista Type; si va a iniciar una instancia de Windows, seleccione RDP en la lista Type. Introduzca el intervalo de direcciones IP públicas de su red en el campo Source. Si no conoce este rango de direcciones, puede usar 0.0.0.0/0 para este ejercicio.

Precaución:

Si utiliza 0.0.0.0/0, habilite todas las direcciones IP para acceder a su instancia mediante SSH o RDP. Esto es aceptable para el ejercicio corto, pero no es seguro para los entornos de producción. En producción, solo autorizará a una dirección IP específica o un intervalo de direcciones para acceder a la instancia.

netscaler-and-amazon-aws-06

Paso 3: Inicie una instancia en la VPC 14

Cuando inicia una instancia de EC2 en una VPC, debe especificar la subred en la que se iniciará la instancia. En este caso, iniciará una instancia en la subred pública de la VPC que creó. Utilizará el asistente de inicio de Amazon EC2 en la consola de Amazon EC2 para iniciar la instancia.

El siguiente diagrama representa la arquitectura de la VPC después de completar este paso.

netscaler-and-amazon-aws-07

Para iniciar una instancia de EC2 en una VPC

  1. Abra la consola de Amazon EC2.
  2. En la barra de navegación, en la parte superior derecha, asegúrese de seleccionar la misma región en la que creó la VPC y el grupo de seguridad.
  3. En el panel de mandos, elija Launch Instance.
  4. En la primera página del asistente, elija la AMI que quiera utilizar. Para este ejercicio, le recomendamos que elija una AMI de Amazon Linux o una AMI de Windows.
  5. En la página Choose an Instance Type, puede seleccionar la configuración de hardware y el tamaño de la instancia que quiere iniciar. De forma predeterminada, el asistente selecciona el primer tipo de instancia disponible en función de la AMI seleccionada. Puede dejar la selección predeterminada y, a continuación, elegir Next: Configure Instance Details.
  6. En la página Configure Instance Details, seleccione la VPC que creó en la lista Network y la subred de la lista Subnet. Deje el resto de la configuración predeterminada y vaya a través de las páginas siguientes del asistente hasta que llegue a la página Instancia de etiqueta.
  7. En la página Tag Instance, puede etiquetar la instancia con una etiqueta Name; por ejemplo, Name=MyWebServer. Esto le ayuda a identificar su instancia en la consola de Amazon EC2 después de iniciarla. Seleccione Next: Configure Security Group cuando haya terminado.
  8. En la página Configure Security Group, el asistente define automáticamente el grupo de seguridad launch-wizard-x para que pueda conectarse a la instancia. En su lugar, elija la opción Select an existing security group, seleccione el grupo WebServerSG que creó anteriormente y, a continuación, elija Review and Launch.
  9. En la página Review Instance Launch, compruebe los detalles de la instancia y, a continuación, elija Launch.
  10. En el cuadro de diálogo Select an existing key pair o Create a new key pair, puede elegir un par de claves existente o crear uno. Si crea un par de claves, asegúrese de descargar el archivo y almacenarlo en una ubicación segura. Necesitará el contenido de la clave privada para conectarse a su instancia una vez iniciada. Para iniciar la instancia, active la casilla de confirmación y, a continuación, elija Launch Instances.
  11. En la página de confirmación, elija View Instances para ver la instancia en la página Instances. Seleccione su instancia y consulte detalles en la ficha Description. El campo IP privadas muestra la dirección IP privada asignada a la instancia desde el rango de direcciones IP de la subred.

Paso 4: Asigne una dirección IP elástica a su instancia

En el paso anterior, inició su instancia en una subred pública, una subred que tiene una ruta a una Gateway de Internet. Sin embargo, la instancia de su subred también necesita una dirección IP pública para poder comunicarse con Internet. De forma predeterminada, a una instancia de una VPC no predeterminada no se le asigna una dirección IP pública. En este paso, asignará una dirección IP elástica a su cuenta y, a continuación, la asociará a su instancia. Para obtener más información acerca de las direcciones IP elásticas, consulte Elastic IP Addresses.

El siguiente diagrama representa la arquitectura de la VPC después de completar este paso.

netscaler-and-amazon-aws-08

Para asignar y asignar una dirección IP elástica

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.
  2. En el panel de navegación, elija Elastic IPs.
  3. Elija Allocate New Address y, a continuación, Yes, Allocate.

    Nota:

    Si su cuenta es compatible con EC2-Classic, primero seleccione EC2-VPC de la lista Plataforma de red.

  4. Seleccione la dirección IP elástica de la lista, elija Actions y, a continuación, elija Associate Address.
  5. En el cuadro de diálogo, elija Instance en la lista Associate with y, a continuación, seleccione su instance de la lista Instance. Seleccione Yes, Associate cuando haya terminado.

Ahora se puede acceder a su instancia desde Internet. Puede conectarse a su instancia a través de su dirección IP elástica mediante SSH o Escritorio remoto desde su red doméstica. Para obtener más información sobre cómo conectarse a una instancia de Linux, consulte Connecting to Your Linux Instance en Amazon EC2 User Guide for Linux Instances. Para obtener más información acerca de cómo conectarse a una instancia de Windows, consulte Conectarse a su instancia de Windows mediante RDP en Amazon EC2 User Guide for Windows Instances.

Esto completa el ejercicio; puede optar por seguir mediante su instancia en su VPC o, si no la necesita, puede finalizarla y liberar su dirección IP elástica para evitar incurrir en cargos por ellos. También puede eliminar la VPC; tenga en cuenta que no se le cobrará por los componentes de VPC y VPC creados en este ejercicio (como las subredes y las tablas de enrutamiento).


Configurar Unified Gateway para Citrix Virtual Apps and Desktops

Vaya a la consola de administración de su dispositivo Citrix ADC.

Inicie sesión en Citrix ADC mediante nsroot y el ID de instancia que AWS asignó durante el proceso de compilación.

Instalar certificado SSL:

  1. Desplácese hasta Administración de tráfico: SSL. Haga clic con el botón derecho y habilite esta función.
  2. Importar certificado SSL un par de claves.

Instalar certificado SSL:

  1. Expanda Citrix Gateway y seleccione Servidores virtuales.
  2. Haga clic en Agregar.

    Escriba un nombre para la puerta de enlace y la dirección IP que se encuentran en la subred pública que asignó durante el proceso de compilación de Citrix ADC.

    NOTA:

    Anote esta dirección IP como la necesitemos cuando asignemos las direcciones IP elásticas más adelante.

  3. Haga clic en Aceptar y, a continuación, haga clic en Sin certificado de servidor y seleccione el certificado importado anteriormente. Haga clic en Bind.
  4. Haga clic en Aceptar y Listo, y en esta etapa debería mostrar una Citrix Gateway en estado “Arriba”.

Para configurar Unified Gateway, consulte https://support.citrix.com/article/CTX205485.

Proporcione acceso externo a la instancia de Unified Gateway:

  1. Inicie sesión en su portal de AWS en aws.amazon.com y navegue hasta sus instancias.
  2. Haga clic con el botón secundario en su Citrix ADC, seleccione Redes y, a continuación, Administrar direcciones IP privadas.

    netscaler-and-amazon-aws-09

  3. Haga clic en Asignar nueva IP en la interfaz en la que quiere ejecutar Citrix ADC Gateway.
  4. Asigne la dirección IP asegúrese de utilizar la MISMO dirección que asignó a su Citrix ADC Gateway.

    netscaler-and-amazon-aws-10

  5. Haga clic en Sí Actualizar. Esto asignará la nueva dirección IP a la instancia a nivel de AWS. Ahora puede asignar una nueva IP elástica a esta IP privada.
  6. Desplácese hasta Red y seguridad e IP elásticas.
  7. Haga clic en Asignar nueva dirección, cuando se le solicite, seleccione para obtener una nueva dirección IP.

    netscaler-and-amazon-aws-11

  8. Seleccione la dirección de la lista y seleccione Asociar dirección.

    netscaler-and-amazon-aws-12

  9. Seleccione la instancia de Citrix ADC que creó anteriormente en la Lista de instancias. Una vez seleccionado, podrá seleccionar la dirección IP que ha asignado estáticamente a la instancia (la misma dirección que su Citrix Gateway) y seleccionar Asociar.

    netscaler-and-amazon-aws-13

  10. Dirija su registro de nombres DNS a la dirección IP elástica que le asignó Amazon.
  11. Inicie sesión en Citrix Gateway.

Equilibrio de carga de alta disponibilidad para StoreFront

Consulte Pasos de configuración de Citrix.


Configurar GSLB en dos ubicaciones de AWS

La configuración de GSLB para Citrix ADC en AWS consiste principalmente en configurar Citrix ADC para equilibrar la carga del tráfico hacia servidores ubicados fuera de la VPC a los que pertenece Citrix ADC, como dentro de otra VPC en una región de disponibilidad diferente o en un centro de datos local, etc.

netscaler-and-amazon-aws-14


Servicios basados en nombres de dominio (GSLB DBS) con equilibradores de carga en la nube

Descripción general de GSLB y DBS

La compatibilidad con Citrix ADC GSLB con DBS (Domain Based Services) para equilibradores de carga en la nube permite la detección automática de servicios en la nube dinámicos mediante una solución de equilibrador de carga en la nube. Esta configuración permite al Citrix ADC implementar Global Server Load Balancing Domain Name Based Services (GSLB DBS) en un entorno activo-activo. DBS permite escalar recursos back-end en entornos de AWS y Microsoft Azure desde el descubrimiento de DNS.

En esta sección se tratan las integraciones entre Citrix ADC en los entornos de AWS y Azure Auto Scaling. En la sección final del documento se detalla la capacidad de configurar un par de ADC de alta disponibilidad de Citrix que abarcan dos zonas de disponibilidad (AZ) diferentes específicas de una región de AWS.

Requisitos previos

Los requisitos previos para los grupos de servicio GSLB de Citrix ADC incluyen un entorno de AWS y Microsoft Azure en funcionamiento con el conocimiento y la capacidad de configurar grupos de seguridad, servidores web Linux, ADC Citrix dentro de AWS, direcciones IP elásticas y Elastic Load Balancers.

La integración del servicio GSLB DBS requiere Citrix ADC versión 12.0.57 para las instancias de balanceador de carga de AWS ELB y Microsoft Azure ALB.

Mejoras en la función del grupo de servicios GSLB de Citrix ADC

Entidad del grupo de servicios GSLB: Versión 12.0.57 de Citrix ADC

Se introduce el grupo de servicios GSLB que admite la escalabilidad automática mediante el descubrimiento dinámico de BDS.

Los componentes de entidades de DBS (servicio basado en dominio) se vincularán al grupo de servicios GSLB

Ejemplo:

> add server sydney_server LB-Sydney-xxxxxxxxxx.ap-southeast-2.elb.amazonaws.com
> add gslb serviceGroup sydney_sg HTTP -autoScale DNS -siteName sydney
> bind gslb serviceGroup sydney_sg sydney_server 80
<!--NeedCopy-->

Servicios basados en nombres de dominio: AWS ELB

GLSB DBS utiliza el FQDN de Elastic Load Balancer para actualizar dinámicamente los grupos de servicios GSLB para incluir los servidores back-end que se están creando y eliminando dentro de AWS. Los servidores back-end o las instancias de AWS se pueden configurar para escalar según la demanda de la red o la utilización de la CPU. Para configurar esta función, señalamos el dispositivo Citrix ADC a nuestro Elastic Load Balancer para enrutar dinámicamente a diferentes servidores de AWS sin tener que actualizar manualmente el dispositivo Citrix ADC cada vez que se crea y elimina una instancia dentro de AWS. La función DBS de Citrix ADC para grupos de servicios GSLB utiliza la detección de servicios con reconocimiento DNS para determinar los recursos de servicio miembro del espacio de nombres DBS identificados en el grupo AutoScaler.

Diagrama:

Componentes de AutoScale de DBA de Citrix ADC GSLB con equilibradores de carga en la nube

netscaler-and-amazon-aws-15


Utilizar Citrix ADC HA en AWS en varias zonas de disponibilidad

La implementación del dispositivo Citrix ADC en AWS en diferentes zonas de disponibilidad es una nueva función publicada para Citrix ADC 12.1. Esto se hace adjuntando el dispositivo Citrix ADC a una dirección IP de Elastic Network (ENI).

citrix-adc-ha-in-aws-01

La forma en que funciona la solución es ligeramente diferente a otras, ya que requiere que configure la HA en la VPX y una configuración de red independiente. Esta solución utiliza una nueva capacidad de la función de conjunto de IP para que el servidor virtual mantenga la conmutación por error.

Para comenzar, debe iniciar sesión en Citrix ADC y definir o poner de pie una dirección de red del lado del servidor, una dirección del lado del cliente, así como el enrutamiento a ambos.

citrix-adc-ha-in-aws-03

En la consola de AWS, el primer VPX se ha configurado con una IP elástica.

citrix-adc-ha-in-aws-04

Al entrar en la interfaz elástica, lo primero que debe hacer que la solución funcione es asociar esa IP elástica a la dirección privada existente en esa interfaz.

citrix-adc-ha-in-aws-06

citrix-adc-ha-in-aws-07

Una vez realizada la asociación, está listo para continuar y hacer la conmutación por error.

citrix-adc-ha-in-aws-08

En la parte inferior, debería haber una segunda IP elástica ahora en el VPX.

citrix-adc-ha-in-aws-09

Así que vaya a VPX para iniciar una conmutación por error y volver a la consola de AWS. Esta vez mirando las IP elásticas que pertenecen al primer dispositivo Citrix ADC, observe que el nuevo EIP no está allí, ya que ahora se ha movido al segundo Citrix ADC.

citrix-adc-ha-in-aws-11

citrix-adc-ha-in-aws-12

Para verificar esto, escriba un comando show node en el primer y segundo dispositivo Citrix ADC para ver que el segundo Citrix ADC ahora está configurado en estado primario como antes estaba en espera.

citrix-adc-ha-in-aws-13,1

Ahora puede ver el flujo de tráfico en tiempo real.

citrix-adc-ha-in-aws-14

Puede enviar una solicitud al VIP después de la conmutación por error. Si realiza una estadística en el servidor virtual LB en el Citrix ADC que estaba activo por primera vez, observe que no hay solicitudes recibidas allí. Si ejecuta el mismo comando en el Citrix ADC anteriormente en espera, ahora activo, puede ver que hay un servidor virtual golpeado allí. Al demostrarlo después de la transición de alta disponibilidad, el tráfico se dirigió al nuevo dispositivo Citrix ADC.

citrix-adc-ha-in-aws-15

Ahora, si quiere realizar alguna depuración o ver cuál es el estado actual, puede pasar al shell y buscar los registros que le muestren cuándo se produjo la conmutación por error de alta disponibilidad, así como cuándo se realizó la llamada a la configuración de AWS o a la API para pasar todas las EIP del dispositivo Citrix ADC principal al secundario.

citrix-adc-ha-in-aws-16


Configurar componentes de AWS

Grupos de seguridad

Nota:

Se recomienda crear diferentes grupos de seguridad para la instancia ELB, Citrix ADC GSLB e Linux, ya que el conjunto de reglas requeridas para cada una de estas entidades será diferente. Este ejemplo tiene una configuración consolidada de grupo de seguridad para mayor brevedad.

Consulte Grupos de seguridad para su VPC para garantizar la configuración correcta del firewall virtual.

Paso 1:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. En EC2, vaya a NETWORK & SECURITY > Security Groups.

netscaler-and-amazon-aws-16

Paso 2:

Haga clic en Create Security Group y proporcione un nombre y una descripción. Este grupo de seguridad incluye los servidores web back-end de Citrix ADC y Linux.

netscaler-and-amazon-aws-17

Paso 3:

Agregue las reglas de puerto de entrada de la siguiente captura de pantalla.

Nota:

Se recomienda limitar el acceso IP de origen para el endurecimiento granular.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-web-server

netscaler-and-amazon-aws-18

Servicios web back-end de Amazon Linux

Paso 4:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. Dentro de EC2, vaya a Instances.

netscaler-and-amazon-aws-19

Paso 5:

Haga clic en Launch Instance mediante los detalles siguientes para configurar la instancia de Amazon Linux.

Rellene los detalles sobre la configuración de un servidor web o servicio back-end en esta instancia.

netscaler-and-amazon-aws-20

Configuración de Citrix ADC

Paso 6:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. Dentro de EC2, vaya a Instances.

netscaler-and-amazon-aws-21

Paso 7:

Haga clic en Launch Instance mediante los detalles siguientes para configurar la instancia de Amazon AMI.

netscaler-and-amazon-aws-22

Configuración de IP elástica

Nota:

Citrix ADC también puede ejecutarse con una IP elástica única si es necesario para reducir el coste al no tener IP pública para el NSIP. En su lugar, conecte la IP elástica al SNIP que puede cubrir el acceso de administración a la caja, así como la IP del sitio GSLB y ADNS IP.

Paso 8:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. Dentro de EC2, vaya a NETWORK & SECURITY y, a continuación, configure las IP elásticas.

Haga clic en Allocate new address para crear una nueva dirección IP elástica.

Configure Elastic IP para que apunte a la instancia de Citrix ADC en ejecución dentro de AWS.

Configure una segunda IP elástica y vuelva a señalarla a la instancia de Citrix ADC en ejecución.

netscaler-and-amazon-aws-23

Elastic Load Balancer

Paso 9:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. En EC2, vaya a LOAD BALANCING y, a continuación, Load Balancers.

netscaler-and-amazon-aws-24

Paso 10:

Haga clic en Create Load Balancer para configurar un equilibrador de carga clásico

Sus Elastic Load Balancers le permiten equilibrar la carga de sus instancias back-end de Amazon Linux, al mismo tiempo que puede equilibrar las instancias adicionales que se giran en función de la demanda.

netscaler-and-amazon-aws-25

Configuración de servicios basados en nombre de dominio de Equilibrio de carga de servidor global

Configuraciones de administración del tráfico

Nota:

Es necesario configurar Citrix ADC con un servidor de nombres o un servidor virtual DNS a través del cual se resolverán los dominios ELB/ALB para los grupos de servicio DBS.

https://developer-docs.citrix.com/projects/netscaler-command-reference/en/12.0/dns/dns-nameserver/dns-nameserver/

Paso 1:

Vaya a Administración del tráfico > Equilibrio de carga > Servidores.

netscaler-and-amazon-aws-26

Paso 2:

Haga clic en Agregar para crear un servidor, proporcione un nombre y un FQDN correspondientes al registro A (nombre de dominio) en AWS para Elastic Load Balancer (ELB).

Repita el paso 2 para agregar el segundo ELB desde la segunda ubicación de recursos en AWS.

netscaler-and-amazon-aws-27

Configuraciones GSLB

Paso 1:

Desplácese hasta Administración de tráfico > GSLB > Sitios.

netscaler-and-amazon-aws-28

Paso 3:

Haga clic en el botón Agregar para configurar un sitio GSLB.

Asigne un nombre al sitio. El tipo se configura como remoto o local en función del dispositivo Citrix ADC en el que esté configurando el sitio. La dirección IP del sitio es la dirección IP del sitio GSLB. El sitio GSLB utiliza esta dirección IP para comunicarse con los otros sitios GSLB. La dirección IP pública es necesaria cuando se utiliza un servicio en la nube donde una IP determinada está alojada en un firewall externo o dispositivo NAT. El sitio debe configurarse como un sitio principal. Asegúrese de que los monitores de desencadenador están configurados en SIEMPRE y asegúrese de marcar las tres casillas de la parte inferior para el intercambio de métricas, el intercambio de métricas de red y el intercambio de entrada de sesión de persistencia.

netscaler-and-amazon-aws-29

La recomendación es establecer la configuración del monitor de disparo en MEPDOWN. Para obtener más información, consulte Configurar un grupo de servicios GSLB.

Paso 4:

A continuación se muestra una captura de pantalla de nuestras configuraciones de AWS, que muestra dónde puede encontrar la dirección IP del sitio y la dirección IP pública. Se encuentran en Red y seguridad > Elastic IPs.

Haga clic en Crear, repita los pasos 3 y 4 para configurar el sitio GSLB para la otra ubicación de recursos en Azure (esto se puede configurar en el mismo Citrix ADC)

netscaler-and-amazon-aws-30

Paso 5:

Vaya a Gestión de Tráfico > GSLB > Grupos de Servicio.

netscaler-and-amazon-aws-31

Paso 6:

Haga clic en Agregar para agregar un nuevo grupo de servicios. Asigne un nombre al grupo de servicios, utilice el protocolo HTTP y, a continuación, en Nombre del sitio, elija el sitio correspondiente que se creó en los pasos anteriores. Debe configurar el modo AutoScale como DNS y marcar las casillas para Supervisión de estado y Estado.

Haga clic en Aceptar para crear el grupo de servicios.

netscaler-and-amazon-aws-32

Paso 7:

Haga clic en Miembros del grupo de servicios y seleccione Basado en servidor. Seleccione el servicio de Elastic Load Balancing correspondiente que se configuró al principio de la guía de ejecución. Configure el tráfico para pasar por el puerto 80.

Haga clic en Crear.

netscaler-and-amazon-aws-33

Paso 8:

El enlace de miembros del grupo de servicios debe rellenar con dos instancias que recibe del Elastic Load Balancer.

Repita los pasos para configurar el grupo de servicios para la segunda ubicación de recursos en AWS. (Esto se puede hacer desde la misma ubicación).

netscaler-and-amazon-aws-34

Paso 9:

Vaya a Administración de tráfico > GSLB > Servidores virtuales.

Haga clic en Agregar para crear el servidor virtual. Asigne un nombre al servidor, el tipo de registro DNS se establece como A, el tipo de servicio se establece como HTTP y marque las casillas Habilitar después de crear y registro de AppFlow. Haga clic en Aceptar para crear el servidor virtual GSLB. (GUI de Citrix ADC)

netscaler-and-amazon-aws-35

Paso 10:

Cuando se crea el servidor virtual GSLB, haga clic en Sin enlace de grupo de servicio de servidor virtual GSLB.

Haga clic en Agregar para crear el servidor virtual. Asigne un nombre al servidor, el tipo de registro DNS se establece como A, el tipo de servicio se establece como HTTP y marque las casillas Habilitar después de crear y registro de AppFlow. Haga clic en Aceptar para crear el servidor virtual GSLB. (GUI de Citrix ADC)

netscaler-and-amazon-aws-36

Paso 11:

En Enlace de grupo de servicios utilice Seleccionar nombre de grupo de servicios para seleccionar y agregar los grupos de servicios creados en los pasos anteriores.

netscaler-and-amazon-aws-37

Paso 12:

A continuación, configure el enlace de dominio de servidor virtual GSLB haciendo clic en Sin enlace de dominio de servidor virtual GSLB. Configure el FQDN y Bind, el resto de los ajustes se pueden dejar como valores predeterminados.

netscaler-and-amazon-aws-38

Paso 13:

Configure el servicio ADNS haciendo clic en Sin servicio. Agregue un nombre de servicio, haga clic en Nuevo servidor e introduzca la dirección IP del servidor ADNS.

Además, si su ADNS ya está configurado, puede seleccionar Servidor existente y, a continuación, elegir su ADNS en el menú. Asegúrese de que el protocolo es ADNS y que el tráfico está a través del puerto 53.

Configurar el método como LEASTCONNECTION y el método de copia de seguridad como ROUNDROBIN

netscaler-and-amazon-aws-39


Escalado automático de back-end de Citrix ADC con AWS

AWS incluye una función denominada Auto Scaling que activa instancias adicionales que se ejecutan en AWS en función de las reglas establecidas por el administrador. Estas reglas se definen mediante la utilización de la CPU y giran en torno a la creación y eliminación de instancias bajo demanda. Citrix ADC se integra directamente con la solución de Auto Scaling de AWS para que el Citrix ADC conozca todos los servidores back-end disponibles que pueden equilibrar la carga. La limitación de esta función es que actualmente solo funciona dentro de una AZ en AWS.

Configurar componentes de AWS

Paso 1:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. En EC2, vaya a AUTO SCALING > Launch Configuration. Haga clic en Crear configuración de inicio.

netscaler-and-amazon-aws-40

Paso 2:

A partir de este paso, puede elegir el tipo de servidor que elija. Aquí es donde configura las máquinas virtuales que quiere escalar automáticamente. Para este ejemplo, debemos elegir la AMI de Amazon Linux.

netscaler-and-amazon-aws-41

Paso 3:

Elija el tipo de instancia que necesita seleccionando de varianza potencial para los recursos back-end. Asigne un nombre a su instancia para el resto de la guía de ejecución. El nombre de la instancia se conoce como Backend-Server. Configure el almacenamiento de la instancia y agréguelo a un grupo de seguridad, o cree un nuevo grupo de seguridad que abarque todos los componentes de AWS creados en esta guía de ejecución.

netscaler-and-amazon-aws-42

Paso 4:

Una nota adicional para su grupo de seguridad. Para esta guía de ejecución, los siguientes puertos abiertos:

netscaler-and-amazon-aws-43


Grupos y directivas de escalado automático de Citrix ADC

Configure Citrix ADC Front End Auto Scaling en AWS:

Paso 1:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. En EC2, vaya a AUTO SCALING > Auto Scaling Group.

Haga clic en el botón de opción para crear un grupo Auto Scaling a partir de una configuración de inicio existente. Debe seleccionar el servidor BackendServer que creamos en el paso anterior de la guía de laboratorio.

En Crear grupo de escala automática agregue el nombre del grupo, elija el tamaño inicial del grupo, elija Red y Subred y, a continuación, haga clic en Siguiente.

Nota:

La subred debe ser accesible desde la IP de subred (SNIP) del dispositivo Citrix ADC.

netscaler-and-amazon-aws-44

Paso 2:

En la página de configuración Create Auto Scaling Group, configure las directivas de escala. Para ello, haga clic en el botón de opción para usar directivas de escala para ajustar la capacidad de este grupo. A continuación, haga clic en Scale the Auto Scaling mediante directivas de escala simples o paso a paso.

netscaler-and-amazon-aws-45

Paso 3:

Seleccione Add new alarm.

netscaler-and-amazon-aws-46

Paso 4:

Mientras crea la alarma, configure para enviar una notificación al dispositivo Citrix ADC. Configure la alarma de modo que el promedio de utilización de CPU sea >= 70 durante al menos un período consecutivo de 5 minutos. Aplique la directiva.

netscaler-and-amazon-aws-47

Paso 5:

Configure en el grupo Auto Scaling para agregar una instancia cuando se active la directiva.

netscaler-and-amazon-aws-48

Paso 6:

Configure la misma alarma y directiva, pero esta vez para quitar un servidor back-end-cuando la CPU tenga un promedio de <= 30 durante 5 minutos. Establezca el tamaño del grupo de disminución en Remove 1 instance cuando se active la directiva de disminución.

Nota:

Para la eliminación de servidores, notificamos a Citrix ADC que no envíe tráfico a un Backend-Server marcado para su eliminación.

Haga clic en Configurar notificaciones y Configurar etiquetas para revisar y crear el grupo Auto Scaling.

Nota:

Las variables Min y Max se pueden configurar para establecer el menor número y el mayor número de instancias que se crearán y se ejecutarán dentro del grupo Auto Scaling. Actualmente, AWS admite la creación de instancias adicionales con una sola interfaz de red.

Crear un dispositivo Citrix ADC en AWS

Paso 1:

Inicie sesión en su grupo de recursos de AWS y vaya a EC2. En EC2, vaya a Instances > Instances.

netscaler-and-amazon-aws-49

Paso 2:

En AWS Marketplace, mire a la izquierda y busque Citrix ADC. Elija Citrix Networking VPX – Customer Licensed. Compruebe que su número de versión es 12.0.51.x para poder usar Auto Scaling. Puede seleccionar versiones anteriores para elegir una versión de Citrix ADC que admita Auto Scaling.

netscaler-and-amazon-aws-50

Paso 3:

En AWS Marketplace, mire a la izquierda y busque Citrix ADC. Elija Citrix Networking VPX – Customer Licensed. Compruebe que su número de versión es 12.0.51.x para poder usar Auto Scaling. Puede seleccionar versiones anteriores para elegir una versión de Citrix ADC que admita Auto Scaling.

Elija el tipo de instancia; por ejemplo, General Purpose m4.xlarge 4vCPU y 16 GB de RAM. Haga clic en Siguiente.

Paso 4:

En la ficha Configure Instance Details, seleccione la subred (se deben configurar tres subredes para NSIP, SNIP y VIP/Gateway). Además, debe agregar un rol de IAM. Haga clic aquí para crear un nuevo rol de IAM. Agregue los roles de IAM que se encuentran en el paso siguiente. Después de crear esta función, debe agregarla a su perfil de nube en el dispositivo Citrix ADC.

Paso 5:

Las configuraciones para el perfil de nube son las siguientes:

De forma predeterminada, la plantilla de CloudFormation crea y adjunta el siguiente rol de IAM

 "Version": "2012-10-17",
 "Statement": [
    {
        "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DetachNetworkInterface",
        "ec2:AttachNetworkInterface",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances",
        "autoscaling:\*",
        "sns:\*",
        "sqs:\*"
        “iam: SimulatePrincipalPolicy”
        “iam: GetRole”
        ],
        "Resource": "\*",
        "Effect": "Allow"
    }
 ]
}
<!--NeedCopy-->

Paso 6:

Haga clic en la opción Add Storage. En la ficha Add Tags, establezca el valor de clave como Name y el de Value como Citrix ADC-Autoscale para etiquetar estos recursos de EC2.

Paso 7:

En la ficha Configure Security Group, cree un grupo de seguridad con los siguientes requisitos de puerto:

Revise e inicie la instancia.

netscaler-and-amazon-aws-51

Paso 8:

Vaya a NETWORK & SECURITY > Network Interfaces y haga clic en Create Network Interface.

Agregue una descripción y, a continuación, seleccione una subred. Esta subred se utiliza para el SNIP, por lo que debe colocarse en una subred de la red interna. Además, elija el grupo de seguridad en el paso anterior. Haga clic en Yes, Create.

netscaler-and-amazon-aws-52

Agregue una interfaz de red adicional. Esta es una subred pública para su Gateway/LB VIP. Cree una descripción y elija el grupo de seguridad configurado anteriormente.

netscaler-and-amazon-aws-53

Paso 9:

Vuelva a Instances y seleccione el dispositivo Citrix ADC. Para agregar las interfaces de red al dispositivo Citrix ADC, la instancia debe detenerse. En la lista Acciones, seleccione Estado de instancia y, a continuación, haga clic en Detener.

Vuelva a hacer clic en el botón Actions y vaya a Networking and Attach Networking Interface.

netscaler-and-amazon-aws-54

La interfaz NSIP ya está conectada a la VM, la siguiente interfaz que se agregará debe ser la LB-VIP, seguida de agregar la interfaz servidor/interna para el SNIP. Una vez conectadas las interfaces de red, se puede iniciar la instancia.

Configure una nueva IP elástica y asociarla a su interfaz NSIP.

Configurar Citrix ADC para que se integre con AWS Auto Scaling

Paso 1:

Desplácese hasta la IP elástica que asoció al NSIP en el paso anterior de esta guía de laboratorio para acceder a la consola de administración de Citrix ADC.

El primer paso para configurar Citrix ADC es adjuntar un perfil en la nube. Haga clic en AWS y, a continuación, en Cloud Profile. A continuación, haga clic en Add para crear un perfil de nube.

Proporcione un nombre para el perfil de nube. La dirección IP del servidor virtual debe rellenar y correlacionarse con una IP interna en el dispositivo Citrix ADC. El grupo AutoScale es el que creó en pasos anteriores de esta guía de laboratorio. Seleccione Graceful, esto permite eliminar un tiempo de espera para las instancias back-end, lo que permite que se completen las transferencias de paquetes y que las sesiones no se terminen dentro del período de gracia. El retardo de tiempo para el período de gracia se puede ajustar.

netscaler-and-amazon-aws-55


Configurar Citrix ADC front-end Auto Scaling en AWS

  1. Para crear el grupo Auto Scaling, inicie sesión en Citrix ADM.

  2. Vaya a Networks > AutoScale Groups y haga clic en Add para crear el nombre del grupo.

    frontend-autoscale-group-01

  3. En el parámetro Site, haga clic en Add.

    frontend-autoscale-group-02

Crear un perfil de acceso a la nube

  1. Al crear un sitio, en Cloud Access Profile, agregue AWS.

    frontend-autoscale-group-03

  2. Asigne un nombre al perfil e inicie sesión en su portal de AWS. Busque el servicio Administración de identidades y acceso (IAM) para administrar el acceso de los usuarios y las claves de cifrado.

    frontend-autoscale-group-04

  3. En el panel de mandos de IAM, seleccione Roles en el panel izquierdo y busque la función Citrix ADM correspondiente.

    frontend-autoscale-group-05

  4. Copie Role ARN en el Portapapeles.

    frontend-autoscale-group-06

  5. Después de copiar el nombre, vuelva a la consola de Citrix ADM y péguelo en el campo de texto Role ARN.

  6. Para obtener el ID externo, vuelva al panel de mandos Roles de AWS, vaya a la ficha Trust relationships y copie el valor de Conditions.

    frontend-autoscale-group-07

  7. En la consola de Citrix ADM, pegue el valor en el campo External ID y haga clic en Create.

    frontend-autoscale-group-08

  8. Seleccione la región y, a continuación, elija la red VPC adecuada.

    frontend-autoscale-group-09

  9. Cambie el agente de Available a Configured.

    frontend-autoscale-group-10

  10. Seleccione el perfil de acceso a la nubecorrespondiente.

    frontend-autoscale-group-11

    frontend-autoscale-group-12

  11. Cuando se carguen, cambie las zonas de disponibilidad de Available a Configured y agregue las etiquetas correspondientes al grupo AutoScale. Seleccione Next para comenzar a definir los parámetros de AutoScale.

    frontend-autoscale-group-13

Definir los parámetros de AutoScale

  1. Al definir los parámetros de AutoScale, ajuste Thresholds y Parameters según la configuración deseada. A continuación, haga clic en Next para comenzar a configurar Provision Parameters.

    frontend-autoscale-group-14

  2. En la sección Provision Parameters, seleccione el rol en el campo IAM Role.

    frontend-autoscale-group-15

  3. Seleccione el producto y la edición de Citrix ADC adecuados.

    frontend-autoscale-group-16

  4. Reúna el ID de imagen de máquina de Amazon (AMI) de las instancias concretas de AWS. Introduzca ese ID en el campo ID de AWS AMI.

    frontend-autoscale-group-17

    frontend-autoscale-group-18

  5. Después de agregar el campo AMI ID, actualice los grupos de seguridad con los grupos apropiados.

    frontend-autoscale-group-19

  6. Para iniciar configuraciones de las zonas 1, 2 y 3, asigne las subredes de administración, cliente y servidor correspondientes.

    frontend-autoscale-group-20

  7. Haga clic en Finish para crear la configuración de este grupo Auto Scaling. El proceso de creación puede tardar hasta 10 o 20 minutos.

    frontend-autoscale-group-21

    frontend-autoscale-group-22

Inicializar instancias en AWS

  1. Mientras se crea el grupo Auto Scaling, abra la consola de AWS y vaya a la ficha Services. Seleccione el servicio Amazon Elastic Compute Cloud (EC2).

    frontend-autoscale-group-23

  2. En el panel de control de EC2, seleccione la ficha Instances y filtre con las etiquetas definidas en la sección AutoScale Group.

    frontend-autoscale-group-24

  3. Cuando se filtra, puede ver la instancia pendiente que todavía se está inicializando.

    frontend-autoscale-group-25

  4. Las instancias deben finalizar la inicialización después de que se hayan creado.

    frontend-autoscale-group-26

Supervisar los eventos del grupo Auto Scaling

  1. Después de crear el grupo Auto Scaling, seleccione el grupo y continúe con el panel de control AutoScale Group.

    frontend-autoscale-group-27

  2. Filtrar períodos específicos de tiempo para supervisar el grupo Auto Scaling. Para obtener información en tiempo real, cambie el período de monitorización a Live.

    frontend-autoscale-group-28

  3. Haga clic en la siguiente base de datos presentada en el gráfico para ver cualquier evento de grupo.

    frontend-autoscale-group-29

  4. Al ver los eventos en directo específicos, puede supervisar los eventos específicos del grupo Auto Scaling correspondiente.

    frontend-autoscale-group-30

Aprovisionar instancias de Citrix ADC VPX mediante Citrix ADM Service

Citrix ADM Service es una solución basada en la nube que permite supervisar las instancias de Citrix ADC y obtener visibilidad sobre el estado, el rendimiento y la seguridad de las aplicaciones. Además, al aprovechar la herramienta de aprovisionamiento para crear instancias automáticamente en nubes públicas, como AWS, también simplifica la administración de instancias ADC en varias ubicaciones, ya sean locales o en la nube.

Requisitos previos

El aprovisionamiento de instancias de Citrix ADC en AWS mediante Citrix ADM Service requiere que se tomen algunos pasos que se resumen en la documentación de requisitos previos. Para obtener más información, consulte Aprovisionamiento de instancias Citrix ADC VPX en AWS.

Estos pasos incluyen la realización de las siguientes tareas en AWS antes de aprovisionar instancias de Citrix ADC VPX en Citrix ADM:

  • Crear subredes
  • Crear grupos de seguridad
  • Crear rol de IAM y definir una directiva

El rol de IAM debe configurarse con permisos que permitan que Citrix ADM Service acceda a la cuenta de AWS. Después de configurar todo, puede aprovechar el servicio Citrix ADM para aprovisionar las instancias VPX en AWS.

Aprovisionar instancias de Citrix ADC VPX mediante Citrix ADM Service

Inicie sesión en Citrix Cloud ADM Service y vaya a Redes > Instancias > Citrix ADC. A continuación, en la ficha Seleccionar acción, haga clic en Aprovisionar en la nube.

Aprovisionar la nube

Esto le pedirá que defina la información sobre la instancia que quiere aprovisionar.

Específicamente, debe definir lo siguiente:

  • Tipo de Instancia: Instancia independiente se selecciona aquí.
  • Nombre: Nombre que quiere que se adopte la instancia cuando se aprovisione.
  • Sitio: El sitio define en qué área o región va a realizar la implementación.
  • Agente: el agente determina qué agente ADM estará disponible en el sitio. Esto tendrá que configurarse antes de realizar el autoaprovisionamiento. Deberá crear un sitio y un agente que pertenezca a ese sitio antes de comenzar este ejercicio.
  • Perfil de dispositivo: perfil de dispositivo que tiene “nsroot” como nombre de usuario y contraseña deseada. Una vez que Citrix ADM aprovisione Citrix ADC, la contraseña del usuario nsroot del ADC se establecerá en la contraseña mencionada en el perfil. Más adelante, Citrix ADM utilizará este perfil siempre que necesite iniciar sesión en la instancia.
  • Etiquetas: etiqueta opcional para las instancias o grupo de instancias.

Aprovisionar la nube

A continuación, seleccione el perfil de acceso a la nube para su cuenta de AWS. Este es el perfil que Citrix ADM utiliza para iniciar sesión en su cuenta de AWS para obtener entidades y realizar operaciones como Provisioning y desaprovisionamiento. Al utilizar ese perfil, Citrix ADM Service rellena el resto de los campos con objetos relacionados con su cuenta.

En este caso, hay un rol de IAM predefinido que el servicio Citrix ADM utiliza para aprovisionar las instancias de VPX, pero puede crear otros roles.

Perfil de provisión

A continuación, debe seleccionar la edición del producto de la instancia VPX que quiere implementar en función del rendimiento deseado.

Nota:

VPX Express se incluye para que pueda implementar una instancia VPX sin licencia.

Perfil de provisión

Versión

Determine qué versión de software quiere ejecutar seleccionando la versión principal y secundaria.

Grupos de seguridad

Los grupos de seguridad deben tener permisos predefinidos para acceder a diferentes Nubes Privadas Virtuales (VPC). Dado que cada instancia requiere tres interfaces de red o VNIC, debe aplicar tres grupos de seguridad diferentes al servicio que implementa, incluidos:

  • Uno para la administración remota (rol NSIP)
  • Uno para el acceso del lado del cliente (rol VIP)
  • Uno para la comunicación del lado del servidor (SNIP de rol)

Además, debe seleccionar la cantidad necesaria de IP que se requieren para la escalabilidad de esta solución.

Por último, debe elegir en qué zona de disponibilidad quiere que se encuentre la implementación y definir la información de subred de VPC coincidente para cada subred:

  • Uno para la interfaz de administración (NSIP)
  • Uno para que los clientes accedan (VIP)
  • Uno para que los SNIP accedan a los servidores back-end (SNIP)

Selección de productos 2

Después de hacer clic en Finalizar, comienza la implementación. Cuando la implementación se complete correctamente, recibirá una notificación de que su VPX está implementado.

Implementación finalizada

Una vez completada la implementación, puede ver las instancias de Citrix ADC VPX en Citrix ADM para todos los propósitos de administración e implementación.

Implementación completa

A continuación, puede navegar a la consola de EC2 para ver la nueva instancia que se creó con el nombre establecido en la configuración de Citrix ADM. Todo está sincronizado para su administración en Citrix ADM y listo para la implementación de sus aplicaciones en Citrix ADC.

Implementación de AWS

Implementación de AWS

Para desaprovisionar estas instancias, vuelva al servicio Citrix Cloud ADM y vaya a Redes > Instancias > Citrix ADC. En la ficha Seleccionar acción, haga clic en Desaprovisionar.

Desaprovisionamiento de AWS

Desaprovisionamiento de AWS

Se le pedirá que confirme su acción. Para continuar, seleccione y, a continuación, se invierte todo el aprovisionamiento.

Confirmación de desaprovisionamiento de AWS

Después de recibir una confirmación de que se ha desaprovisionado la instancia de VPX, ya no verá el dispositivo en la consola de Citrix ADM.

Confirmación de desaprovisionamiento de AWS 2

Confirmación de desaprovisionamiento de AWS 3

Más información