Plataformas de Citrix SD-WAN

Compatibilidad con alta disponibilidad de Citrix SD-WAN Standard Edition Virtual Appliance (VPX) para AWS

El siguiente procedimiento describe cómo implementar dispositivos virtuales SD-WAN (VPX) en modo de alta disponibilidad en la nube de AWS.

Puntos a tener en cuenta al implementar dispositivos de alta disponibilidad SD-WAN VPX en la nube de AWS.

  1. AWS no admite funciones relacionadas con GARP (Protocolo genérico de registro de atributos), VLAN o L2, como el modo promiscuo y la conexión en puente. Esto se debe a que dos máquinas virtuales pertenecientes a clientes diferentes se pueden programar en el mismo host compartiendo NIC.
  2. L2 requiere que el dispositivo del conmutador esté configurado y estos no están expuestos a los usuarios de AWS.
  3. El modelo de alta disponibilidad del dispositivo SD-WAN depende de GARP. Cuando se produce la conmutación por error, el nuevo dispositivo primario envía GARPS a las direcciones VIP.
  4. AWS adopta un nuevo enfoque para la conmutación por error de alta disponibilidad. Se introduce un nuevo concepto de ENI (Interfaz de Red Elástica). ENI es una entidad que significa Interfaz de red que tiene atributos como la dirección IP, la dirección MAC, el grupo de seguridad y las reglas de puerto.
  5. Puede mover ENI de instancia activa o inactiva a otra instancia activa o inactiva.
  6. La instancia debe ser capaz de manejar la conexión en caliente de las interfaces.
  7. Cada tipo de instancia tiene limitaciones en el número de ENI asociadas y el número de IP por ENI.
  8. El diseño de AWS para la conmutación por error de alta disponibilidad implica que las instancias se comunican con el servidor externo para llamar a los servidores AWS de la API de consulta.
  9. Los servidores de AWS son servidores HTTP tradicionales. Se envía una solicitud desde una instancia al servidor de la API de Query para obtener o publicar información relativa a una instancia/subred/VPC o cualquier otro atributo de AWS.
  10. Para la configuración de la plataforma en la nube, la configuración de la dirección MAC base compartida se ignora y no tiene importancia.

Implemente Citrix SD-WAN Standard Edition VPX en modo de alta disponibilidad mediante una plantilla de nube

Para obtener más información, consulte Mejores prácticas de EBS la Prácticas recomendadas imprescindibles para el cifrado de Amazon EBS

  • Para definir grupos de seguridad, la directiva debe tener el siguiente aspecto:

    • Saliente: Permitir todo el tráfico
    • Entrante:
    • SSH desde todas las direcciones IP/subredes desde donde se tendrá acceso a la IP de administración.
    • Todo el tráfico de sus VPC de AWS (IP privadas)
    • Todo el tráfico procedente de las IPs públicas del lado WAN de los dispositivos de pares Citrix SD-WAN alojados en prem o en la nube. A partir de la versión 11.3, Citrix SD-WAN ha introducido soporte para las instancias M5 y C5. Las regiones de AWS más recientes, como Hong Kong y París, solo admiten instancias M5 y C5.

Las instancias M5 y C5 han mejorado el rendimiento del hardware y están diseñadas para cargas de trabajo más exigentes. Las instancias M5 y C5 ofrecen una mejor relación precio/performance que las instancias M4 por núcleo.

NOTA

  • Las instancias M5 y C5 solo se admiten desde una nueva provisión de 11.3 y versiones superiores. Para seguir utilizando las instancias M5 y C5, no puede cambiar de versión 11.3 ya que las instancias M5 y C5 no son compatibles con ninguna versión de firmware anterior a la versión 11.3.

  • Instancias aprovisionadas con versiones 10.2.4/11.2.1, las AMI no pueden cambiar su tipo de instancia a M5/C5.

Implemente la VPX de edición estándar de SD-WAN en modo de alta disponibilidad mediante la plantilla de nube

La plantilla de solución de alta disponibilidad de SD-WAN se publica en AWS Marketplace, puede suscribirse y utilizar la plantilla CloudFormation para implementar la configuración de alta disponibilidad.

Requisitos previos

Antes de iniciar la plantilla CloudFormation, debe tener VPC, subredes y tablas de ruta creadas para la red de administración, LAN y WAN. Para crear y definir las subredes y tablas de enrutamiento (si no se han creado), consulte el tema Instalación de AMI de SD-WAN VPX Standard Edition en AWS.

Para implementar la VPX de edición estándar de SD-WAN en modo de alta disponibilidad mediante la plantilla de nube:

  1. Vaya a Mercado de AWS y haga clic en la ficha Precios. Seleccione la región en la lista desplegable y especifique la opción de gestión logística como implementación del modo de alta disponibilidad. Haga clic en Continuar para suscribirse.

    Plantilla AWS

  2. Haga clic en Continuar con la configuración.

    Crear pila

  3. Especifique la opción de cumplimiento como plantilla de CloudFormation e implementación de modo de alta disponibilidad en la lista desplegable. Seleccione Región y haga clic en Continuar para iniciar.

    Crear plantilla

  4. Elija acción como Launch CloudFormation en la ventana de software de inicio y haga clic en Launch.

    Inicio

  5. En la ventana Crear pila, aparece la URL predefinida de la plantilla S3 durante CloudFormation. Haga clic en Siguiente.

    URL de plantilla de S3

  6. Especifique un nombre de pila en la sección Especificar detalles.

    Especificar detalles

  7. Configurar la configuración de red privada virtual. Rellene los siguientes detalles del parámetro:
    • ID de VPC: Proporcione el ID de nube privada virtual.
    • IP CIDR SSH remoto: Proporcione el rango de direcciones IP que puede SSH a la instancia EC2 (puerto 22).

      Nota Se recomienda permitir SSH sólo desde las direcciones IP conocidas.

    • IP CIDR HTTP remoto: Proporcione el rango de direcciones IP que puede HTTP a la instancia EC2 (port80).
    • IP CIDR HTTPS remoto: Proporcione el rango de direcciones IP que puede HTTPS a la instancia EC2 (puerto 443).
    • Par de claves: Proporcione un nombre de un KeyPair EC2 existente para habilitar el acceso SSH a las instancias.

    Parámetros

  8. Configure las interfaces de red que deben estar conectadas a las instancias creadas. Tenga en cuenta que las IP principales son para la instancia principal del par de alta disponibilidad y las IP secundarias están configuradas para la instancia secundaria del par de alta disponibilidad.

    Interfaz de red

  9. Configure otros parámetros como Tipo instantáneo y Tipo de arrendamiento y haga clic en Siguiente.

    Tipo de inquilino inmediato

    NOTA

    Si alguna validación falla, AWS le notifica y no le permitirá continuar hasta que se resuelvan los errores.

  10. Establecer etiquetas. Estas etiquetas son opciones específicas de AWS que son configurables por el usuario.

    Etiquetas

  11. No se recomienda configurar el rol de IAM. Esto ya lo crea el rol de IAM personalizado, que se realiza a través de la plantilla Cloud Formation.

    Permiso

  12. Después de hacer clic en Siguiente, revise la plantilla y reconozca el rol de IAM personalizado que ha sido creado por la plantilla Cloud Formation. Continúe con Crear.

    Capacidades

  13. La nueva pila que ha creado aparece en la página Cloud Formation Stacks. Después de cargar correctamente la plantilla, supervise el estado de la plantilla.

    Pilas crear

  14. Supervisar los eventos de todos los recursos creados por la plantilla Cloud Formation. Si hay algún error, AWS genera descripciones detalladas de los eventos, lo que ayuda a depurar el problema. Los Eventos aparecen de la siguiente manera:

    CloudFormation

  15. Después de crear correctamente la pila, el estado de la plantilla aparece como Create_Complete.

    Crear completada

  16. Desplácese desde la consola de AWS a Servicios > EC2 > Instancias. Puede ver dos instancias instancias SDWANPrimary y SDWANSecundary creadas, activas y ejecutándose con IP elásticas asociadas a las instancias.

    ! [Secundario primario] (/en-us/citrix-sd-wan-platforms/vpx-models/media/primary-secondary.png)

  17. Seleccione instancia SDWanPrimary. Puede observar todos los recursos asignados correctamente a la instancia, grupos de seguridad, IP elástica, rol de IAM y cuatro interfaces de red. No se pudo crear ninguna funcionalidad de alta disponibilidad podría no funcionar como se esperaba.

  18. Del mismo modo, seleccione la instancia SDWANSecundary y verifique los recursos anteriores.

IP flotantes secundarias para enlaces LAN y WAN

Necesita una IP flotante secundaria para los enlaces LAN y WAN para que funcione la alta disponibilidad. Una vez creada la pila, asigne nuevas IP privadas secundarias a las interfaces LAN y WAN de la instancia activa de EC2. Estas direcciones IP secundarias configuradas se utilizan al configurar direcciones IP virtuales en VPX.

Realice el siguiente procedimiento para conectar las IP de LAN secundarias a la instancia activa:

Nota

Una vez implementada la solución HA, tenemos que asignar la IP flotante secundaria solo a la instancia principal.

  1. Vaya a Servicios > EC2 > Instancias.

    Instancias

  2. Vaya a Servicios > EC2 > Interfaces de red y seleccione las interfaces de red elásticas (ENI) LAN/WAN de la instancia principal.

    Interfaces de red

  3. Asigne una nueva dirección IP secundaria.

    IP secundaria

  4. Haga clic en Sí, Actualizar.

    Sí actualización

  5. De manera similar, cree también una IP privada secundaria para la interfaz WAN.

IP pública en enlace WAN

Se requiere una IP pública en el enlace WAN para comunicarse con el mundo externo. Realice los siguientes pasos para asociar la IP elástica a la interfaz ENI WAN:

  1. Vaya a Direcciones > Asignar nueva dirección.

    Asignar nueva dirección

  2. Seleccione la IP elástica creada y haga clic en Acción> Associate address y asocie el público a la IP WAN privada secundaria que acabamos de crear.

    Dirección del asociado

  3. Verifique que las interfaces finales y las IPs se esperan de la siguiente manera:

    • Instancia principal: Instancia principal
    • Instancia secundaria: Instancia secundaria

    Ahora se ha completado el aprovisionamiento de instancias. La configuración del dispositivo de alta disponibilidad SD-WAN es casi similar a la configuración del dispositivo independiente. Las diferencias se enumeran a continuación:

    • Al crear interfaces IP virtuales LAN y WAN, especifique las IP privadas secundarias creadas. Y para la interfaz IP virtual de alta disponibilidad, especifique una IP ficticia en la red de alta disponibilidad.

      IP ficticia

    • Habilite la alta disponibilidad y especifique las IP de interfaz de alta disponibilidad de la instancia activa y secundaria.

      Interfaz de HA IP

      Puede verificar el estado de alta disponibilidad.

      Estado de HA

Cómo configurar la conmutación por error de alta disponibilidad para cualquier instancia de SD-WAN que se ejecute en AWS

Configure pares de alta disponibilidad con un par de alta disponibilidad con tres o más ENI, y 1 par de alta disponibilidad con un número igual de ENI. En ambos pares, la primera ENI se dedica a la gestión. Un par de alta disponibilidad posee todas las ENI de tráfico. Durante una conmutación por error, las ENI de tráfico se mueven de la instancia que falla a la nueva instancia principal.

Por ejemplo, puede tardar hasta o más de 20 segundos en mover dos ENI de tráfico. AWS no tiene SLAs en respuesta de API y no puede tener uno para el tiempo de conmutación por error de alta disponibilidad.

Nota

El diseño de AWS tiene una limitación de instancias dependientes de los servidores de AWS para responder para conectar y separar. El tiempo de conmutación por error es impredecible.

Pasos de configuración

  1. Adquirir información acerca de la instancia del mismo nivel de alta disponibilidad sobre la cantidad de ENI asociadas y los detalles de ENI asociados mediante la API REST.
  2. Detecte la condición de la instancia que falla.
  3. Llamar Desconexión de ENI de instancia que falla mediante API REST.
  4. Asegúrese de que todas las ENI asociadas estén separadas.
  5. Adjunte ENI a la instancia principal actual.
  6. Asegúrese de que todas las ENI estén conectadas.
  7. Activa las capas superiores para detectar que hay nuevas ENI en su lugar.

AWS de alta disponibilidad de SD-WAN

Failover de AWS de alta disponibilidad de SD-WAN

Cómo configurar SD-WAN VPX-SE en una única subred de nube privada virtual (VPC) de AWS o entre regiones con dirección IP de vínculo WAN público

En AWS VPC, para una instancia SD-WAN activa, se publica otra instancia SD-WAN de alta disponibilidad que se ejecuta en la misma VPC.

  1. Los vínculos configurados son los mismos entre los dispositivos SD-WAN activos y en espera.
  2. Para AWS, puede crear una subred y un vínculo dedicado para que el protocolo RACP se comunique entre los dispositivos SD-WAN.
  3. En la GUI de SD-WAN, configure lo siguiente:
    • Cree un grupo de interfaces. Nómbrelo como enlace de alta disponibilidad. Añada la interfaz utilizada para la alta disponibilidad.
    • Cree una dirección IP virtual para el grupo Interfaz.
    • En el nodo de alta disponibilidad, habilite la alta disponibilidad y agregue control IP virtuales que el protocolo RACP utiliza para la comunicación. Asegúrese de que las direcciones IP son las mismas que las direcciones IP configuradas al crear interfaces de red en AWS.
    • Realice la administración de cambios y descargue la configuración activa para el dispositivo SD-WAN en espera.
    • Después de aplicar la configuración a través de la administración de cambios local en el dispositivo SD-WAN en espera, verá latidos intercambiados entre los dispositivos de alta disponibilidad SD-WAN activos y en espera.
    • Cuando se produce la conmutación por error, verá que el dispositivo SD-WAN pasa de modo de espera a modo activo o a la inversa sin pérdida de configuración.

Nota

  1. AWS admite el modo de alta disponibilidad con funciones como el equilibrio de carga elástica y el escalado automático, donde el reto es sincronizar la configuración dentro de los dispositivos SD-WAN. En esta implementación, se aplica el protocolo RACP existente para una alta disponibilidad eficiente.

  2. Tanto los dispositivos MCN como los sitios de sucursales pueden estar disponibles en el entorno de nube.