Decisión de diseño: requisitos y limitaciones

Dentro de la nube de Azure, los dispositivos virtuales y en contenedores de Citrix ADC tienen conjuntos de funciones reducidos. Algunas funciones, como el etiquetado de VLAN, ya no son necesarias porque Azure realiza la funcionalidad en el nivel de la infraestructura. Comprender las limitaciones y los requisitos es clave para planificar la migración. El uso de GSLB y Azure para la bóveda de claves de HSM tiene otros requisitos que debe tener en cuenta.

Azure Key Vault

Citrix ADC se integra con Azure Key Vault y almacena sus claves privadas en Key Vault, lo que aumenta la protección de seguridad de las claves. El uso de Azure Key Vault simplifica el almacenamiento y la administración de las claves. Azure Key Vault proporciona una ubicación de administración de claves central para todos los dispositivos ADC empresariales en Azure y en los centros de datos locales.

Algunas preguntas para responder durante las etapas de planificación pueden incluir las siguientes:

¿Cómo se integra la aplicación ADC con Azure Key Vault y cuáles son sus limitaciones?

  • La integración de Citrix ADC con Azure Key Vault requiere el uso del protocolo TLS 1.3

  • El cumplimiento de FIPS 140-2 nivel 2 requiere el nivel de precios Premium de Azure Key Vault y el uso de claves respaldadas por el módulo de seguridad de hardware (HSM)

  • El ADC accederá a Key Vault para cada protocolo de enlace SSL

  • El acceso a Azure Key Vault requiere una aplicación empresarial de Azure y una entidad de servicio

  • El uso de Azure Key Vault por parte de Citrix ADC tiene las siguientes limitaciones:

    • Azure Key Vault limita el número de llamadas simultáneas y los límites varían según el tipo de solicitud y el tipo de clave
    • No se admiten las claves de criptografía de curva elíptica (ECC)
    • Los protocolos HDX Enlightened Data Transport (EDT) y Datagram Transport Layer Security (DTLS) no se pueden usar para comunicarse con Azure Key Vault
    • No se admiten particiones de administración y clústeres
    • La aplicación de Azure, el depósito de claves de Azure y el par de claves de certificado de HSM no se pueden actualizar en Azure después de agregarlos al dispositivo Citrix ADC
    • No se admiten paquetes de certificados de HSM
    • No se puede vincular una clave HSM a un servidor virtual DTLS
    • Ni las solicitudes del Servicio SSL ni del Protocolo de estado de certificados en línea (OCSP) pueden usar un par de claves de certificado creado con la clave de HSM
    • No se genera ningún error cuando se produce una discrepancia entre la clave de HSM y el certificado

GSLB

A medida que las empresas realizan la transición de sus cargas de trabajo a la nube de Azure, necesitan un modelo híbrido que permita la resolución de DNS de forma segura. El servicio Azure DNS Private Zone es la clave de esta transición. Con las zonas DNS privadas, las empresas pueden crear un modelo híbrido que permita la resolución de DNS para servidores locales y basados en Azure. Los servidores de Azure se pueden conectar al centro de datos local a través de un túnel ExpressRoute o VPN. Citrix ADC proporciona una forma perfecta de distribuir el tráfico entre las cargas de trabajo locales y de Azure a escala global. La función Global Server Load Balancing (GSLB) proporciona esa escala global y se basa en el servicio ADNS de la consola de Citrix ADC.

Esta función de GSLB respalda los objetivos empresariales, entre los que se incluyen la migración de las instalaciones a la nube de Azure, la conmutación por error basada en DNS y las pruebas de entorno azul-verde. Están disponibles los métodos de enrutamiento de servidor por turnos y por ubicación (proximidad estática). GSLB se puede usar para cualquier resolución de host o servicio, incluido StoreFront.

¿Cuáles son los requisitos y las limitaciones de usar Citrix ADC para GSLB tanto en mi implementación híbrida en la nube local como en la de Azure?

  • El servicio ADNS es un servidor DNS que se ejecuta en el dispositivo Citrix ADC. ADNS admite la delegación de espacios de nombres DNS, de modo que Citrix ADC sea el servidor de nombres autoritativo para la zona y todos los hosts que contiene

  • La compatibilidad con las zonas DNS privadas GSLB se implementa mediante dispositivos Citrix ADC en la nube de Azure que ejecutan el servicio ADNS

  • Planificar el uso de reenviadores de DNS tanto para redes virtuales como para redes de centros de datos

  • Todas las consultas de DNS se enrutan primero al reenviador de DNS local para ofrecer la mejor experiencia de usuario

  • El servicio GSLB DBS requiere lo siguiente:

    • Instancias de Citrix ADC versión 12.0.57 o posterior e instancias de Microsoft Azure Load Balancer
    • Mejoras en las funciones del grupo de servicios GSLB de Citrix ADC
    • Entidad de grupo de servicios GSLB: Citrix ADC versión 12.057 o posterior
    • Los componentes de funciones de DBS deben estar enlazados al grupo de servicios GSLB

¿Cuáles son las limitaciones de ejecutar instancias de Citrix ADC VPX en Azure?

  • Debe existir un túnel seguro entre Azure y el centro de datos local, normalmente a través de una conexión ExpressRoute o VPN

  • Asigne una dirección IP interna estática a la máquina virtual Citrix ADC para evitar problemas causados por el cambio de la dirección IP después de una desasignación de VM

¿Qué funcionalidad de Citrix ADC de centro de datos no está disponible en Azure Citrix ADC?

  • La alta disponibilidad no funciona si la dirección IP pública (PIP) está asociada a la instancia VPX en lugar de a un Azure Load Balancer

  • La arquitectura de Azure no admite las siguientes funciones de Citrix ADC:
    • Clústeres, a menos que se implemente mediante la función Autoscale de Citrix ADM
    • IPv6
    • ARP gratuito (GARP)
    • Modo L2 (Bridging); sin embargo, los servidores virtuales transparentes con reescritura MAC (L2) funcionarán para servidores en la misma subred que el SNIP del ADC
    • VLAN etiquetada
    • Redirección dinámica
    • MAC virtual
    • USIP
    • Marcos Jumbo
  • Las direcciones IP públicas no admiten protocolos en los que la asignación de puertos se abre dinámicamente, como FTP pasivo o ALG.

Enlaces a otros recursos

Límites del servicio Azure Key Vault

Compatibilidad con Azure Key Vault

Guía de implementación de Citrix ADC VPX en Azure - GSLB

Guía de implementación de Citrix ADC VPX en Azure

Configurar una instancia independiente de Citrix ADC VPX

Guía de implementación de Citrix ADC VPX en Azure: recuperación ante desastres

Movimientos de MAC observados en NetScaler en Azure

Decisión de diseño: requisitos y limitaciones