Guía de implementación de Citrix ADC VPX en Azure - Recuperación ante desastres

Colaboradores

Autor: Blake Schindler, Arquitecto de soluciones

Información general

Citrix ADC es una solución de entrega de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Se presenta en una amplia variedad de factores de forma y opciones de implementación sin limitar a los usuarios a una única configuración o nube. La licencia de capacidad agrupada permite el movimiento de capacidad entre implementaciones en la nube.

Como líder indiscutible en la entrega de servicios y aplicaciones, Citrix ADC se implementa en miles de redes en todo el mundo para optimizar, proteger y controlar la entrega de todos los servicios empresariales y en la nube. Implementado directamente delante de los servidores web y de bases de datos, Citrix ADC combina equilibrio de carga de alta velocidad y conmutación de contenido, compresión HTTP, almacenamiento en caché de contenido, aceleración SSL, visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión de extremo a extremo que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar políticas mediante un motor de políticas declarativo simple sin necesidad de conocimientos de programación.

Citrix VPX

El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y en la nube:

• Citrix Hypervisor™

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Esta guía de implementación se centra en Citrix ADC VPX en Microsoft Azure.

Microsoft Azure

Microsoft Azure es un conjunto en constante expansión de servicios de computación en la nube creados para ayudar a las organizaciones a afrontar sus desafíos empresariales. Azure ofrece a los usuarios la libertad de crear, administrar e implementar aplicaciones en una red global masiva utilizando sus herramientas y marcos preferidos. Con Azure, los usuarios pueden:

• Estar preparados para el futuro con la innovación continua de Microsoft para respaldar su desarrollo actual y sus visiones de productos para el mañana.

• Operar la nube híbrida sin problemas en las instalaciones, en la nube y en el borde: Azure se adapta a los usuarios dondequiera que estén.

• Construir según sus términos con el compromiso de Azure con el código abierto y el soporte para todos los lenguajes y marcos, lo que permite a los usuarios tener la libertad de construir como quieran e implementar donde quieran.

• Confiar en su nube con seguridad desde cero, respaldada por un equipo de expertos y un cumplimiento proactivo y líder en la industria en el que confían empresas, gobiernos y startups.

Terminología de Azure

A continuación, se presenta una breve descripción de los términos esenciales utilizados en este documento con los que los usuarios deben estar familiarizados:

• Equilibrador de carga de Azure (Azure Load Balancer) – El equilibrador de carga de Azure es un recurso que distribuye el tráfico entrante entre los equipos de una red. El tráfico se distribuye entre las máquinas virtuales definidas en un conjunto de equilibradores de carga. Un equilibrador de carga puede ser externo o con acceso a Internet, o puede ser interno.

• Azure Resource Manager (ARM) – ARM es el nuevo marco de administración para los servicios en Azure. El equilibrador de carga de Azure se administra mediante API y herramientas basadas en ARM.

• Grupo de direcciones de back-end (Back-End Address Pool) – El grupo de direcciones de back-end son las direcciones IP asociadas a la NIC (tarjeta de interfaz de red) de la máquina virtual a la que se distribuye la carga.

• BLOB - Objeto binario grande (Binary Large Object) – Cualquier objeto binario como un archivo o una imagen que se puede almacenar en el almacenamiento de Azure.

• Configuración de IP de front-end (Front-End IP Configuration) – Un equilibrador de carga de Azure puede incluir una o más direcciones IP de front-end, también conocidas como IP virtuales (VIP). Estas direcciones IP sirven como entrada para el tráfico.

• IP pública a nivel de instancia (ILPIP) – Una ILPIP es una dirección IP pública que los usuarios pueden asignar directamente a una máquina virtual o instancia de rol, en lugar de al servicio en la nube en el que reside la máquina virtual o instancia de rol. La ILPIP no reemplaza la VIP (IP virtual) que se asigna a su servicio en la nube. Más bien, es una dirección IP adicional que se puede usar para conectarse directamente a una máquina virtual o instancia de rol.

Nota:

En el pasado, un ILPIP se conocía como PIP, que significa IP pública.

• Reglas NAT de entrada – Contiene reglas que asignan un puerto público en el equilibrador de carga a un puerto para una máquina virtual específica en el grupo de direcciones de back-end.

• Configuración IP (IP-Config) - Se puede definir como un par de direcciones IP (IP pública e IP privada) asociado a una NIC individual. En una configuración IP, la dirección IP pública puede ser NULA. Cada NIC puede tener varias configuraciones IP asociadas, hasta un máximo de 255.

• Reglas de equilibrio de carga – Una propiedad de regla que asigna una combinación de IP y puerto de front-end dada a un conjunto de direcciones IP y combinaciones de puertos de back-end. Con una única definición de un recurso de equilibrador de carga, los usuarios pueden definir múltiples reglas de equilibrio de carga, cada regla reflejando una combinación de IP y puerto de front-end e IP y puerto de back-end asociados a máquinas virtuales.

• Grupo de seguridad de red (NSG) – Un NSG contiene una lista de reglas de lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a las instancias de máquinas virtuales en una red virtual. Los NSG se pueden asociar a subredes o a instancias individuales de máquinas virtuales dentro de esa subred. Cuando un NSG se asocia a una subred, las reglas ACL se aplican a todas las instancias de máquinas virtuales de esa subred. Además, el tráfico a una máquina virtual individual se puede restringir aún más asociando un NSG directamente a esa máquina virtual.

• Direcciones IP privadas – Se utilizan para la comunicación dentro de una red virtual de Azure y la red local del usuario cuando se utiliza una puerta de enlace VPN para extender una red de usuario a Azure. Las direcciones IP privadas permiten que los recursos de Azure se comuniquen con otros recursos en una red virtual o una red local a través de una puerta de enlace VPN o un circuito ExpressRoute, sin utilizar una dirección IP accesible desde Internet. En el modelo de implementación de Azure Resource Manager, una dirección IP privada se asocia con los siguientes tipos de recursos de Azure: máquinas virtuales, equilibradores de carga internos (ILB) y puertas de enlace de aplicaciones.

• Sondas – Contiene sondas de estado utilizadas para verificar la disponibilidad de las instancias de máquinas virtuales en el grupo de direcciones de back-end. Si una máquina virtual en particular no responde a las sondas de estado durante un tiempo, se retira del servicio de tráfico. Las sondas permiten a los usuarios rastrear el estado de las instancias virtuales. Si una sonda de estado falla, la instancia virtual se retira automáticamente de la rotación.

• Direcciones IP públicas (PIP) – La PIP se utiliza para la comunicación con Internet, incluidos los servicios de Azure orientados al público, y se asocia con máquinas virtuales, equilibradores de carga orientados a Internet, puertas de enlace VPN y puertas de enlace de aplicaciones.

• Región - Un área dentro de una geografía que no cruza fronteras nacionales y que contiene uno o más centros de datos. Los precios, los servicios regionales y los tipos de ofertas se exponen a nivel de región. Una región se empareja típicamente con otra región, que puede estar a varios cientos de millas de distancia, para formar un par regional. Los pares regionales se pueden utilizar como mecanismo para escenarios de recuperación ante desastres y alta disponibilidad. También se conoce generalmente como ubicación.

• Grupo de recursos - Un contenedor en Resource Manager que contiene recursos relacionados para una aplicación. El grupo de recursos puede incluir todos los recursos de una aplicación, o solo aquellos recursos que están agrupados lógicamente.

• Cuenta de almacenamiento – Una cuenta de almacenamiento de Azure da a los usuarios acceso a los servicios de blob, cola, tabla y archivo de Azure Storage. Una cuenta de almacenamiento de usuario proporciona el espacio de nombres único para los objetos de datos de almacenamiento de Azure del usuario.

• Máquina virtual – La implementación de software de un equipo físico que ejecuta un sistema operativo. Múltiples máquinas virtuales pueden ejecutarse simultáneamente en el mismo hardware. En Azure, las máquinas virtuales están disponibles en varios tamaños.

• Red virtual - Una red virtual de Azure es una representación de la red de un usuario en la nube. Es un aislamiento lógico de la nube de Azure dedicado a una suscripción de usuario. Los usuarios pueden controlar completamente los bloques de direcciones IP, la configuración de DNS, las políticas de seguridad y las tablas de rutas dentro de esta red. Los usuarios también pueden segmentar aún más su VNet en subredes y lanzar máquinas virtuales IaaS de Azure y servicios en la nube (instancias de rol PaaS). Además, los usuarios pueden conectar la red virtual a su red local utilizando una de las opciones de conectividad disponibles en Azure. En esencia, los usuarios pueden expandir su red a Azure, con control total sobre los bloques de direcciones IP con el beneficio de la escala empresarial que Azure proporciona.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en Azure combina el equilibrio de carga L4, la gestión de tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de aplicaciones y otras capacidades esenciales de entrega de aplicaciones en una única instancia VPX, convenientemente disponible a través de Azure Marketplace. Además, todo se rige por un único marco de políticas y se gestiona con el mismo y potente conjunto de herramientas utilizadas para administrar las implementaciones de Citrix ADC locales. El resultado neto es que Citrix ADC en Azure permite varios casos de uso atractivos que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos en la nube empresariales.

Recuperación ante desastres (DR)

Un desastre es una interrupción repentina de las funciones empresariales causada por calamidades naturales o eventos provocados por el hombre. Los desastres afectan las operaciones del centro de datos, después de lo cual los recursos y los datos perdidos en el sitio del desastre deben reconstruirse y restaurarse por completo. La pérdida de datos o el tiempo de inactividad en el centro de datos es crítico y colapsa la continuidad del negocio.

Uno de los desafíos a los que se enfrentan los clientes hoy en día es decidir dónde ubicar su sitio de DR. Las empresas buscan coherencia y rendimiento, independientemente de cualquier infraestructura subyacente o fallos de red.

Las posibles razones por las que muchas organizaciones están decidiendo migrar a la nube son:

• Economía de uso: el gasto de capital de tener un centro de datos local está bien documentado y, al usar la nube, estas empresas pueden liberar tiempo y recursos de la expansión de sus propios sistemas.

• Tiempos de recuperación más rápidos: gran parte de la orquestación automatizada permite la recuperación en cuestión de minutos.

• Además, existen tecnologías que ayudan a replicar datos proporcionando protección continua de datos o instantáneas continuas para protegerse contra cualquier interrupción o ataque.

• Finalmente, hay casos de uso en los que los clientes necesitan muchos tipos diferentes de control de cumplimiento y seguridad que ya están presentes en las nubes públicas. Esto facilita el cumplimiento que necesitan en lugar de construir el suyo propio.

Un Citrix ADC configurado para GSLB reenvía el tráfico al centro de datos con menos carga o con mejor rendimiento. Esta configuración, denominada configuración activa-activa, no solo mejora el rendimiento, sino que también proporciona una recuperación ante desastres inmediata al enrutar el tráfico a otros centros de datos si un centro de datos que forma parte de la configuración se cae. Citrix ADC, por lo tanto, ahorra a los clientes tiempo y dinero valiosos.

Tipos de implementación

Implementación Multi-NIC Multi-IP (Implementación de tres NIC)

• Implementaciones típicas

  • Alta disponibilidad (HA)

  • Independiente

• Casos de uso

  • Las implementaciones Multi-NIC Multi-IP se utilizan para lograr un aislamiento real del tráfico de datos y de administración.

  • Las implementaciones Multi-NIC Multi-IP también mejoran la escala y el rendimiento del ADC.

  • Las implementaciones Multi-NIC Multi-IP se utilizan en aplicaciones de red donde el rendimiento suele ser de 1 Gbps o superior y se recomienda una implementación de tres NIC.

Implementación Multi-IP de una sola NIC (implementación de una NIC)

• Implementaciones típicas

  • Alta disponibilidad (HA)

  • Independiente

• Casos de uso

  • Equilibrio de carga interno

  • El caso de uso típico de la implementación Multi-IP de una sola NIC son las aplicaciones de intranet que requieren un rendimiento menor (menos de 1 Gbps).

Plantillas de Citrix ADC Azure Resource Manager

Las plantillas de Azure Resource Manager (ARM) proporcionan un método para implementar la infraestructura de ADC como código en Azure de forma sencilla y coherente. Azure se gestiona mediante una API de Azure Resource Manager (ARM). Los recursos que gestiona la API de ARM son objetos en Azure, como tarjetas de red, máquinas virtuales y bases de datos alojadas. Las plantillas de ARM definen los objetos que los usuarios desean utilizar junto con sus tipos, nombres y propiedades en un archivo JSON que puede ser entendido por la API de ARM. Las plantillas de ARM son una forma de declarar los objetos que los usuarios desean, junto con sus tipos, nombres y propiedades, en un archivo JSON que se puede incorporar al control de código fuente y gestionar como cualquier otro archivo de código. Las plantillas de ARM son lo que realmente brinda a los usuarios la capacidad de implementar la infraestructura de Azure como código.

• Casos de uso

  • Personalización de la implementación

  • Automatización de la implementación

Implementación Multi-NIC Multi-IP (tres NIC) para DR

Los clientes podrían implementar utilizando una implementación de tres NIC si están implementando en un entorno de producción donde la seguridad, la redundancia, la disponibilidad, la capacidad y la escalabilidad son críticas. Con este método de implementación, la complejidad y la facilidad de gestión no son preocupaciones críticas para los usuarios.

Implementación de una sola NIC con múltiples IP (una NIC) para DR

Los clientes podrían implementar utilizando una implementación de una NIC si están implementando en un entorno que no es de producción, si están configurando el entorno para pruebas o si están preparando un nuevo entorno antes de la implementación en producción. Otra razón potencial para usar la implementación de una NIC es que los clientes desean implementar directamente en la nube de forma rápida y eficiente. Finalmente, la implementación de una NIC se usaría cuando los clientes buscan la simplicidad de una configuración de subred única.

Implementación de plantillas de Azure Resource Manager

Los clientes implementarían utilizando plantillas de Azure Resource Manager (ARM) si están personalizando sus implementaciones o si están automatizando sus implementaciones.

Arquitectura de red

En ARM, una máquina virtual (VM) de Citrix ADC VPX reside en una red virtual. Se crea una NIC virtual (NIC) en cada VM de Citrix ADC. El grupo de seguridad de red (NSG) configurado en la red virtual está vinculado a la NIC, y juntos controlan el tráfico que entra y sale de la VM.

El NSG reenvía las solicitudes a la instancia de Citrix ADC VPX, y la instancia de VPX las envía a los servidores. La respuesta de un servidor sigue el mismo camino a la inversa. El NSG se puede configurar para controlar una única VM VPX o, con subredes y redes virtuales, puede controlar el tráfico en implementaciones de múltiples VM VPX.

La NIC contiene detalles de configuración de red como la red virtual, las subredes, la dirección IP interna y la dirección IP pública.

Mientras se está en ARM, es bueno conocer las siguientes direcciones IP que se utilizan para acceder a las VM implementadas con una sola NIC y una sola dirección IP:

• La dirección IP pública (PIP) es la dirección IP orientada a Internet configurada directamente en la NIC virtual de la VM de Citrix ADC. Esto permite a los usuarios acceder directamente a una VM desde la red externa.

• La dirección IP de Citrix ADC (NSIP) es una dirección IP interna configurada en la VM. No es enrutable.

• La dirección IP virtual (VIP) se configura utilizando la NSIP y un número de puerto. Los clientes acceden a los servicios de Citrix ADC a través de la dirección PIP, y cuando la solicitud llega a la NIC de la VM de Citrix ADC VPX o al equilibrador de carga de Azure, la VIP se traduce a la IP interna (NSIP) y al número de puerto interno.

• La dirección IP interna es la dirección IP interna privada de la VM del grupo de espacio de direcciones de la red virtual. No se puede acceder a esta dirección IP desde la red externa. Esta dirección IP es dinámica por defecto, a menos que los usuarios la configuren como estática. El tráfico de Internet se enruta a esta dirección según las reglas creadas en el NSG. El NSG funciona con la NIC para enviar selectivamente el tipo de tráfico correcto al puerto correcto de la NIC, lo que depende de los servicios configurados en la VM.

La siguiente figura muestra cómo fluye el tráfico de un cliente a un servidor a través de una instancia de Citrix ADC VPX aprovisionada en ARM.

Pasos de implementación

Cuando los usuarios implementan una instancia de Citrix ADC VPX en Microsoft Azure Resource Manager (ARM), pueden usar las capacidades de computación en la nube de Azure y usar las funciones de equilibrio de carga y administración de tráfico de Citrix ADC para sus necesidades comerciales. Los usuarios pueden implementar instancias de Citrix ADC VPX en Azure Resource Manager como instancias independientes o como pares de alta disponibilidad en modos activo-en espera.

Pero los usuarios pueden implementar una instancia de Citrix ADC VPX en Microsoft Azure de dos maneras:

• A través de Azure Marketplace. El dispositivo virtual Citrix ADC VPX está disponible como una imagen en Microsoft Azure Marketplace.

• Mediante la plantilla JSON de Citrix ADC Azure Resource Manager (ARM) disponible en GitHub. Para obtener más información, consulte: Plantillas de Citrix ADC Azure.

Cómo funciona una instancia de Citrix ADC VPX en Azure

En una implementación local, una instancia de Citrix ADC VPX requiere al menos tres direcciones IP:

• Dirección IP de administración, llamada dirección NSIP

• Dirección IP de subred (SNIP) para comunicarse con la granja de servidores

• Dirección IP de servidor virtual (VIP) para aceptar solicitudes de cliente

Para obtener más información, consulte: Arquitectura de red para instancias de Citrix ADC VPX en Microsoft Azure.

Nota:

Los dispositivos virtuales VPX se pueden implementar en cualquier tipo de instancia que tenga dos o más núcleos y más de 2 GB de memoria.

En una implementación de Azure, los usuarios pueden aprovisionar una instancia de Citrix ADC VPX en Azure de tres maneras:

• Arquitectura multi-NIC multi-IP

• Arquitectura de una sola NIC con múltiples IP

• Plantillas de ARM (Azure Resource Manager)

Según los requisitos, los usuarios pueden implementar cualquiera de estos tipos de arquitectura compatibles.

Arquitectura multi-NIC multi-IP (tres NIC)

En este tipo de implementación, los usuarios pueden tener más de una interfaz de red (NIC) conectada a una instancia VPX. Cualquier NIC puede tener una o más configuraciones IP, direcciones IP públicas y privadas estáticas o dinámicas asignadas a ella.

Consulte los siguientes casos de uso:

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell

Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC

En una implementación de Microsoft Azure, se logra una configuración de alta disponibilidad de dos instancias de Citrix ADC VPX mediante el uso de Azure Load Balancer (ALB). Esto se logra configurando una sonda de estado en ALB, que supervisa cada instancia VPX enviando sondas de estado cada 5 segundos a las instancias principal y secundaria.

En esta configuración, solo el nodo principal responde a las sondas de estado y el secundario no. Una vez que el principal envía la respuesta a la sonda de estado, el ALB comienza a enviar el tráfico de datos a la instancia. Si la instancia principal pierde dos sondas de estado consecutivas, el ALB no redirige el tráfico a esa instancia. En caso de conmutación por error, el nuevo principal comienza a responder a las sondas de estado y el ALB redirige el tráfico a él. El tiempo de conmutación por error de alta disponibilidad estándar de VPX es de tres segundos. El tiempo total de conmutación por error que podría ocurrir para el cambio de tráfico puede ser un máximo de 13 segundos.

Los usuarios pueden implementar un par de instancias de Citrix ADC VPX con varias NIC en una configuración de alta disponibilidad (HA) activa-pasiva en Azure. Cada NIC puede contener varias direcciones IP.

Las siguientes opciones están disponibles para una implementación de alta disponibilidad con múltiples NIC:

• Alta disponibilidad mediante un conjunto de disponibilidad de Azure

• Alta disponibilidad mediante zonas de disponibilidad de Azure

Para obtener más información sobre los conjuntos de disponibilidad y las zonas de disponibilidad de Azure, consulte la documentación de Azure: Administrar la disponibilidad de las máquinas virtuales Linux.

Alta disponibilidad mediante un conjunto de disponibilidad

Una configuración de alta disponibilidad que utilice un conjunto de disponibilidad debe cumplir los siguientes requisitos:

• Una configuración de red independiente (INC) de alta disponibilidad

• El equilibrador de carga de Azure (ALB) en modo de retorno directo del servidor (DSR)

Todo el tráfico pasa por el nodo principal. El nodo secundario permanece en modo de espera hasta que el nodo principal falla.

Nota:

Para que funcione una implementación de alta disponibilidad de Citrix VPX en la nube de Azure, los usuarios necesitan una IP pública flotante (PIP) que pueda moverse entre los dos nodos VPX. El equilibrador de carga de Azure (ALB) proporciona esa PIP flotante, que se mueve automáticamente al segundo nodo en caso de conmutación por error.

Para que funcione una implementación de alta disponibilidad de Citrix VPX en la nube de Azure, los usuarios necesitan una IP pública flotante (PIP) que pueda moverse entre los dos nodos VPX. El equilibrador de carga de Azure (ALB) proporciona esa PIP flotante, que se mueve automáticamente al segundo nodo en caso de conmutación por error.

En una implementación activo-pasivo, las direcciones IP públicas (PIP) de front-end del ALB se añaden como direcciones VIP en cada nodo VPX. En una configuración HA-INC, las direcciones VIP son flotantes y las direcciones SNIP son específicas de la instancia.

Los usuarios pueden implementar un par VPX en modo de alta disponibilidad activo-pasivo de dos maneras, utilizando:

• Plantilla de alta disponibilidad estándar de Citrix ADC VPX: utilice esta opción para configurar un par HA con la opción predeterminada de tres subredes y seis NIC.

• Comandos de Windows PowerShell: utilice esta opción para configurar un par de alta disponibilidad según sus requisitos de subred y NIC.

Esta sección describe cómo implementar un par VPX en una configuración de alta disponibilidad activa-pasiva mediante la plantilla de Citrix. Si los usuarios desean implementarlo con comandos de PowerShell, consulte: Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell.

Configurar nodos HA-INC mediante la plantilla de alta disponibilidad de Citrix

Los usuarios pueden implementar de forma rápida y eficiente un par de instancias VPX en modo HA-INC mediante la plantilla estándar. La plantilla crea dos nodos, con tres subredes y seis NIC. Las subredes son para el tráfico de administración, cliente y servidor, y cada subred tiene dos NIC para ambas instancias VPX.

Los usuarios pueden obtener la plantilla de par HA de Citrix ADC 12.1 en Azure Marketplace visitando: Azure Marketplace/Citrix ADC 12.1 (alta disponibilidad).

Complete los siguientes pasos para iniciar la plantilla e implementar un par VPX de alta disponibilidad, utilizando conjuntos de disponibilidad de Azure.

1. Desde Azure Marketplace, seleccione e inicie la plantilla de solución de Citrix. Aparecerá la plantilla.

2. Asegúrese de que el tipo de implementación sea Resource Manager y seleccione Crear.

3. Aparece la página Conceptos básicos. Cree un grupo de recursos y seleccione Aceptar.

4. Aparece la página Configuración general. Escriba los detalles y seleccione Aceptar.

5. Aparece la página Configuración de red. Compruebe las configuraciones de VNet y subred, edite la configuración requerida y seleccione Aceptar.

6. Aparece la página Resumen. Revise la configuración y edítela según sea necesario. Seleccione Aceptar para confirmar.

7. Aparece la página Comprar. Seleccione Comprar para completar la implementación.

Puede que tarde un momento en crearse el grupo de recursos de Azure con las configuraciones requeridas. Una vez completado, seleccione el grupo de recursos en el portal de Azure para ver los detalles de configuración, como las reglas de LB, los grupos de back-end, las sondas de estado, etc. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1.

Si se requieren más modificaciones para la configuración de HA, como la creación de más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.

A continuación, los usuarios deben configurar el servidor virtual de equilibrio de carga con la dirección IP pública (PIP) de frontend del ALB, en el nodo principal. Para encontrar la PIP del ALB, seleccione ALB > Configuración de IP de frontend.

Consulte la sección Recursos para obtener más información sobre cómo configurar el servidor virtual de equilibrio de carga.

Recursos:

Los siguientes enlaces proporcionan información adicional relacionada con la implementación de HA y la configuración del servidor virtual (servidor virtual):

• Configuración de nodos de alta disponibilidad en subredes diferentes

• Configurar el equilibrio de carga básico

Recursos relacionados:

• Configurar una configuración de alta disponibilidad con varias direcciones IP y NIC mediante comandos de PowerShell

• Configurar GSLB en una configuración de alta disponibilidad activa-en espera

Alta disponibilidad mediante zonas de disponibilidad

Las zonas de disponibilidad de Azure son ubicaciones aisladas de errores dentro de una región de Azure, que proporcionan alimentación, refrigeración y redes redundantes y aumentan la resiliencia. Solo las regiones específicas de Azure admiten zonas de disponibilidad. Para obtener más información, consulte la documentación de Azure: Regiones y zonas de disponibilidad en Azure.

Los usuarios pueden implementar un par VPX en modo de alta disponibilidad utilizando la plantilla denominada “NetScaler 13.0 HA using Availability Zones”, disponible en Azure Marketplace.

Complete los siguientes pasos para iniciar la plantilla e implementar un par VPX de alta disponibilidad, utilizando las zonas de disponibilidad de Azure.

1. Desde Azure Marketplace, seleccione e inicie la plantilla de solución de Citrix.

2. Asegúrese de que el tipo de implementación sea Resource Manager y seleccione Crear.

3. La página Básicos aparece. Introduzca los detalles y haga clic en Aceptar.

Nota:

Asegúrese de que se selecciona una región de Azure que admita zonas de disponibilidad. Para obtener más información sobre las regiones que admiten zonas de disponibilidad, consulte la documentación de Azure: Regiones y zonas de disponibilidad en Azure.

Asegúrese de que se selecciona una región de Azure que admita zonas de disponibilidad. Para obtener más información sobre las regiones que admiten zonas de disponibilidad, consulte la documentación de Azure: Regiones y zonas de disponibilidad en Azure.

1. Aparece la página Configuración general. Escriba los detalles y seleccione Aceptar.

2. Aparece la página Configuración de red. Compruebe las configuraciones de VNet y subred, edite la configuración necesaria y seleccione Aceptar.

3. Aparece la página Resumen. Revise la configuración y edítela según sea necesario. Seleccione Aceptar para confirmar.

4. Aparece la página Comprar. Seleccione Comprar para completar la implementación.

Puede que tarde un momento en crearse el grupo de recursos de Azure con las configuraciones necesarias. Una vez completado, seleccione el grupo de recursos para ver los detalles de configuración, como las reglas de LB, los grupos de back-end, las sondas de estado, etc., en el portal de Azure. El par de alta disponibilidad aparece como ns-vpx0 y ns-vpx1. Además, los usuarios pueden ver la ubicación en la columna Ubicación.

Si se requieren más modificaciones para la configuración de HA, como la creación de más reglas de seguridad y puertos, los usuarios pueden hacerlo desde el portal de Azure.

Arquitectura de IP múltiple de una sola NIC (One-NIC)

En este tipo de implementación, una interfaz de red (NIC) se asocia con varias configuraciones de IP: direcciones IP públicas y privadas estáticas o dinámicas asignadas a ella. Para obtener más información, consulte los siguientes casos de uso:

• Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX

• Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX mediante comandos de PowerShell

Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX

Esta sección explica cómo configurar una instancia independiente de Citrix ADC VPX con múltiples direcciones IP, en Azure Resource Manager (ARM). La instancia VPX puede tener una o más NICs conectadas a ella, y cada NIC puede tener una o más direcciones IP públicas y privadas estáticas o dinámicas asignadas. Los usuarios pueden asignar múltiples direcciones IP como NSIP, VIP, SNIP, etc.

Para obtener más información, consulte la documentación de Azure: Asignar varias direcciones IP a máquinas virtuales mediante Azure Portal.

Si desea implementar utilizando comandos de PowerShell, consulte Configurar varias direcciones IP para una instancia independiente de Citrix ADC VPX mediante comandos de PowerShell.

Caso de uso de Citrix ADC VPX independiente con una sola NIC

En este caso de uso, un dispositivo Citrix ADC VPX independiente se configura con una única NIC que está conectada a una red virtual (VNET). La NIC está asociada con tres configuraciones IP (ipconfig), cada una de las cuales tiene un propósito diferente, como se muestra en la tabla:

Nota:

IPConfig-3 no está asociado a ninguna dirección IP pública.

En una implementación de Azure Citrix ADC VPX con varias NIC y varias IP, la IP privada asociada a la IPConfig principal (primera) de la NIC principal (primera) se agrega automáticamente como NSIP de administración del dispositivo. Las direcciones IP privadas restantes asociadas a las IPConfigs deben agregarse en la instancia VPX como VIP o SNIP mediante el comando add ns ip, según los requisitos del usuario.

Antes de iniciar la implementación

Antes de que los usuarios comiencen la implementación, deben crear una instancia VPX siguiendo los pasos que se indican a continuación.

Para este caso de uso, se crea la instancia VPX NSDoc0330VM.

Configurar varias direcciones IP para una instancia de Citrix ADC VPX en modo independiente

• Agregar direcciones IP a la VM

• Configurar direcciones IP propiedad de Citrix ADC

Paso 1: Agregar direcciones IP a la VM

1. En el portal, haga clic en Más servicios > escriba máquinas virtuales en el cuadro de filtro y, a continuación, haga clic en Máquinas virtuales.

2. En el panel de Máquinas virtuales, haga clic en la VM a la que desea añadir direcciones IP. Haga clic en Interfaces de red en el panel de la máquina virtual que aparece, y, a continuación, seleccione la interfaz de red.

En el panel que aparece para la NIC seleccionada, haga clic en Configuraciones IP. Se muestra la configuración IP existente que se asignó cuando se creó la VM, ipconfig1. Para este caso de uso, asegúrese de que las direcciones IP asociadas a ipconfig1 sean estáticas. A continuación, cree dos configuraciones IP más: ipconfig2 (VIP) e ipconfig3 (SNIP).

Para crear más configuraciones IP, haga clic en Agregar.

En la ventana Agregar configuración IP, introduzca un Nombre, especifique el método de asignación como Estático, introduzca una dirección IP (192.0.0.5 para este caso de uso) y habilite la Dirección IP pública.

Nota:

Antes de añadir una dirección IP privada estática, compruebe la disponibilidad de la dirección IP y asegúrese de que la dirección IP pertenece a la misma subred a la que está conectada la NIC.

A continuación, haga clic en Configurar los ajustes necesarios para crear una dirección IP pública estática para ipconfig2.

De forma predeterminada, las IP públicas son dinámicas. Para asegurarse de que la VM siempre utilice la misma dirección IP pública, cree una IP pública estática.

En el panel Crear dirección IP pública, añada un Nombre, en Asignación, haga clic en Estático. Y, a continuación, haga clic en Aceptar.

Nota:

Incluso cuando los usuarios establecen el método de asignación como estático, no pueden especificar la dirección IP real asignada al recurso de IP pública. En su lugar, se asigna desde un grupo de direcciones IP disponibles en la ubicación de Azure donde se crea el recurso.

Siga los pasos para añadir una configuración IP más para ipconfig3. La IP pública no es obligatoria.

Paso 2: Configurar direcciones IP propiedad de Citrix ADC

Configure las direcciones IP propiedad de Citrix ADC mediante la GUI o el comando add ns ip. Para obtener más información, consulte: Configuración de direcciones IP propiedad de Citrix ADC.

Para obtener más información sobre cómo implementar una instancia de Citrix ADC VPX en Microsoft Azure, consulte Implementar una instancia de Citrix ADC VPX en Microsoft Azure.

Para obtener más información sobre cómo funciona una instancia de Citrix ADC VPX en Azure, consulte Cómo funciona una instancia de Citrix ADC VPX en Azure.

Plantillas ARM (Azure Resource Manager)

El repositorio de GitHub para las plantillas ARM (Azure Resource Manager) de Citrix ADC aloja plantillas personalizadas de Citrix ADC para implementar Citrix ADC en los servicios en la nube de Microsoft Azure aquí: Plantillas de Citrix ADC para Azure. Todas las plantillas de este repositorio fueron desarrolladas y son mantenidas por el equipo de ingeniería de Citrix ADC.

Cada plantilla de este repositorio tiene documentación conjunta que describe el uso y la arquitectura de la plantilla. Las plantillas intentan codificar la arquitectura de implementación recomendada de Citrix ADC VPX, o introducir al usuario en Citrix ADC o demostrar una característica, edición u opción particular. Los usuarios pueden reutilizar, modificar o mejorar las plantillas para adaptarlas a sus necesidades particulares de producción y pruebas. La mayoría de las plantillas requieren suscripciones suficientes a portal.azure.com para crear recursos e implementar plantillas.

Las plantillas de Citrix ADC VPX Azure Resource Manager (ARM) están diseñadas para garantizar una forma fácil y consistente de implementar Citrix ADC VPX independiente. Estas plantillas aumentan la fiabilidad y la disponibilidad del sistema con redundancia incorporada. Estas plantillas ARM admiten selecciones basadas en Bring Your Own License (BYOL) o por horas. La elección de la selección se menciona en la descripción de la plantilla o se ofrece durante la implementación de la plantilla. Para obtener más información sobre cómo aprovisionar una instancia de Citrix ADC VPX en Microsoft Azure utilizando plantillas ARM (Azure Resource Manager), visite: Plantillas de Citrix Azure ADC.

Requisitos previos

Los usuarios necesitan algunos conocimientos previos antes de implementar una instancia de Citrix VPX en Azure:

• Familiaridad con la terminología de Azure y los detalles de la red. Para obtener información, consulte la terminología de Azure en la sección anterior.

• Conocimiento de un dispositivo Citrix ADC. Para obtener información detallada sobre el dispositivo Citrix ADC, consulte Citrix ADC 13.0.

• Conocimiento de las redes de Citrix ADC. Consulte el tema Redes aquí: Redes.

Limitaciones

La ejecución de la solución de equilibrio de carga de Citrix ADC VPX en ARM impone las siguientes limitaciones:

• La arquitectura de Azure no admite las siguientes características de Citrix ADC:

  • Clúster

  • IPv6

  • ARP gratuito (GARP)

  • Modo L2 (puenteo). Los servidores virtuales transparentes son compatibles con L2 (reescritura de MAC) para servidores en la misma subred que el SNIP.

  • VLAN etiquetada

  • Enrutamiento dinámico

  • MAC virtual

  • USIP

  • Tramas Jumbo

• Si cree que en algún momento podría tener que apagar y desasignar temporalmente la máquina virtual Citrix ADC VPX, asigne una dirección IP interna estática al crear la máquina virtual. Si no asigna una dirección IP interna estática, Azure podría asignar a la máquina virtual una dirección IP diferente cada vez que se reinicie, y la máquina virtual podría volverse inaccesible.

• En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.

• Si se utiliza una instancia de Citrix ADC VPX con un número de modelo superior a VPX 3000, el rendimiento de la red podría no ser el mismo que el especificado por la licencia de la instancia. Sin embargo, otras características, como el rendimiento SSL y las transacciones SSL por segundo, podrían mejorar.

• El «ID de implementación» que genera Azure durante el aprovisionamiento de la máquina virtual no es visible para el usuario en ARM. Los usuarios no pueden utilizar el ID de implementación para implementar un dispositivo Citrix ADC VPX en ARM.

• La instancia de Citrix ADC VPX admite un rendimiento de 20 Mb/s y funciones de edición estándar cuando se inicializa.

• Para una implementación de XenApp y XenDesktop®, un servidor virtual VPN en una instancia VPX se puede configurar en los siguientes modos:

  • Modo básico, donde el parámetro del servidor virtual VPN ICAOnly está establecido en ON. El modo básico funciona completamente en una instancia de Citrix ADC VPX sin licencia.

  • Modo Smart-Access, donde el parámetro del servidor virtual VPN ICAOnly está establecido en OFF. El modo Smart-Access funciona solo para 5 usuarios de sesión AAA de Citrix ADC en una instancia de Citrix ADC VPX sin licencia.

Nota:

Para configurar la función Smart Control, los usuarios deben aplicar una licencia Premium a la instancia de Citrix ADC VPX.

Modelos y licencias compatibles con Azure-VPX

En una implementación de Azure, solo se admiten los siguientes modelos de Citrix ADC VPX: VPX 10, VPX 200, VPX 1000 y VPX 3000. Para obtener más información, consulte la hoja de datos de Citrix ADC VPX.

Una instancia de Citrix ADC VPX en Azure requiere una licencia. Las siguientes opciones de licencia están disponibles para las instancias de Citrix ADC VPX que se ejecutan en Azure.

• Licencias basadas en suscripción: Los dispositivos Citrix ADC VPX están disponibles como instancias de pago en Azure Marketplace. Las licencias basadas en suscripción son una opción de pago por uso. Los usuarios se facturan por horas. Los siguientes modelos de VPX y tipos de licencia están disponibles en Azure Marketplace:

• Traiga su propia licencia (BYOL): Si trae su propia licencia (BYOL), consulte la Guía de licencias de VPX en: CTX122426/NetScaler VPX and CloudBridge VPX Licensing Guide. Los usuarios deben:

  • Utilice el portal de licencias dentro de MyCitrix para generar una licencia válida.

  • Cargue la licencia en la instancia.

• Licencias de entrada/salida de Citrix ADC VPX: Para obtener más información, consulte: Citrix ADC VPX Check-in and Check-out Licensing.

A partir de la versión 12.0 56.20 de NetScaler, VPX Express para implementaciones locales y en la nube no requiere un archivo de licencia. Para obtener más información sobre Citrix ADC VPX Express, consulte la sección «Licencia de Citrix ADC VPX Express» en Licensing Overview.

Nota: Independientemente de la licencia por horas basada en suscripción adquirida en Azure Marketplace, en casos excepcionales, la instancia de Citrix ADC VPX implementada en Azure podría iniciarse con una licencia predeterminada de NetScaler®. Esto ocurre debido a problemas con el Servicio de metadatos de instancia de Azure (IMDS).

Realice un reinicio en caliente antes de realizar cualquier cambio de configuración en la instancia de Citrix ADC VPX para habilitar la licencia correcta de Citrix ADC VPX.

Directrices de uso de puertos

Los usuarios pueden configurar más reglas de entrada y salida en el NSG al crear la instancia de NetScaler VPX™ o después de aprovisionar la máquina virtual. Cada regla de entrada y salida está asociada a un puerto público y a un puerto privado.

Antes de configurar las reglas del NSG, tenga en cuenta las siguientes directrices sobre los números de puerto que puede utilizar:

1. La instancia de NetScaler VPX reserva los siguientes puertos. Los usuarios no pueden definirlos como puertos privados al utilizar la dirección IP pública para solicitudes desde Internet. Puertos 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Sin embargo, si los usuarios desean que los servicios orientados a Internet, como el VIP, utilicen un puerto estándar (por ejemplo, el puerto 443), deben crear una asignación de puertos mediante el NSG. El puerto estándar se asigna entonces a un puerto diferente configurado en el Citrix ADC VPX para este servicio VIP. Por ejemplo, un servicio VIP podría estar ejecutándose en el puerto 8443 de la instancia VPX, pero estar asignado al puerto público 443. Así, cuando el usuario accede al puerto 443 a través de la IP pública, la solicitud se dirige al puerto privado 8443.

2. La dirección IP pública no admite protocolos en los que la asignación de puertos se abre dinámicamente, como FTP pasivo o ALG.

3. La alta disponibilidad no funciona para el tráfico que utiliza una dirección IP pública (PIP) asociada a una instancia VPX, en lugar de una PIP configurada en el equilibrador de carga de Azure. Para obtener más información, consulte: Configure a High-Availability Setup with a Single IP Address and a Single NIC.

4. En una implementación de NetScaler Gateway, los usuarios no necesitan configurar una dirección SNIP, porque la NSIP se puede utilizar como SNIP cuando no hay ninguna SNIP configurada. Los usuarios deben configurar la dirección VIP utilizando la dirección NSIP y un número de puerto no estándar. Para la configuración de devolución de llamada en el servidor back-end, el número de puerto VIP debe especificarse junto con la URL VIP (por ejemplo, url: port).

Nota:

En Azure Resource Manager, una instancia de Citrix ADC VPX está asociada a dos direcciones IP: una dirección IP pública (PIP) y una dirección IP interna. Mientras que el tráfico externo se conecta a la PIP, la dirección IP interna o la NSIP no es enrutable. Para configurar una VIP en VPX, utilice la dirección IP interna (NSIP) y cualquiera de los puertos libres disponibles. No utilice la PIP para configurar una VIP.

Por ejemplo, si la NSIP de una instancia de Citrix ADC VPX es 10.1.0.3 y un puerto libre disponible es 10022, entonces los usuarios pueden configurar una VIP proporcionando la combinación 10.1.0.3:10022 (dirección NSIP + puerto).