Decisión de diseño: arquitectura de implementación y consideraciones

Diseñar la arquitectura ADC y planificar la implementación son las dos actividades clave para la transición. Seleccionar las funciones correctas y el mejor modelo de arquitectura para sus implementaciones de ADC puede llevar mucho tiempo y ser un desafío. Esta sección proporciona orientación sobre las características y funciones de Citrix ADC para ayudarlo a elegir el mejor modelo.

¿Qué tipos de implementaciones están disponibles y cuáles son las prácticas recomendadas para implementar ese tipo?

  • Utilice el diseño de múltiples NIC y IP cuando realice implementaciones en producción donde existan requisitos de alta disponibilidad de redundancia o seguridad

    • El uso de plantillas de soluciones de Citrix en Azure Marketplace es el método de implementación recomendado
    • Citrix recomienda implementar la arquitectura multi-NIC mediante la plantilla de solución Citrix “Par HA de Citrix ADC 12.1” de Azure Marketplace
    • Se integra con Citrix ADM para GSLB (administración de tráfico) y licencias
    • Ideal para los siguientes casos de uso
      • Aislamiento del tráfico de datos y administración
      • Mejora de la escala y el rendimiento del ADC
      • Cuando las aplicaciones requieren más de 1 Gbps de rendimiento
      • Implementaciones de Web Application Firewall (WAF)
  • Utilice el diseño de NIC única y IP múltiple para entornos de producción con una sola subred o para entornos que no son de producción, como pruebas
    • Con una sola NIC, tiene 3 configuraciones IP:
      • ipconfig1 es administración
      • ipconfig2 es tráfico del lado del cliente
      • ipconfig3 es tráfico de servidor back-end
    • Ipconfig3 no debe tener una dirección IP pública asociada
    • Agregue direcciones IP para todas las configuraciones en el portal de Azure antes de configurarlas en Citrix ADC
    • Cree una VLAN sin etiqueta para cada interfaz de datos en ADC VPX y vincule la IP principal de la NIC. Este procedimiento ayuda a evitar que los movimientos de MAC y los cambios de interfaz en Azure afecten inesperadamente a su ADC.
  • Utilice NIC única, IP única para un Citrix ADC en modo independiente.
    • Todas las funciones, NSIP, SNIP y VIP están vinculadas a una sola dirección IP de Citrix ADC
    • Configure el grupo de recursos, los grupos de seguridad de red y la red virtual antes de aprovisionar la máquina virtual Citrix ADC VPX para que la información de la red esté disponible antes del aprovisionamiento
    • Solo disponible en Azure y en Azure stack
  • Al implementar la alta disponibilidad mediante conjuntos de disponibilidad (recomendado)
    • El ADC VPX necesita una configuración de red (INC) independiente de HA
    • El Azure Load Balancer debe configurarse en modo Direct Server Return (DSR)
  • Al implementar la alta disponibilidad mediante zonas de disponibilidad
    • Utilice la plantilla de la solución Citrix “Zonas de disponibilidad de usuarios de NetScaler 13.0 HA” en Azure Marketplace
    • Actualmente, no todas las regiones de Azure admiten zonas de disponibilidad, por lo que debe comprobar su región antes de implementar esta plantilla de solución

¿Cuáles son los beneficios de usar las redes aceleradas de Azure?

  • Las redes aceleradas no están disponibles en todos los tipos de instancias y las máquinas virtuales deben detenerse antes de habilitar las redes aceleradas en una NIC.

  • Debe realizar todos los cambios de configuración desde la interfaz PV de Citrix ADC VPX. Utilice el comando ADC show interface para determinar qué interfaz física está enlazada a PV.

  • Citrix recomienda no realizar ninguna operación en la interfaz VF de Citrix ADC VPX. Si debe realizar operaciones en la interfaz VF, Citrix solo permite borrar las estadísticas o habilitar, inhabilitary *restablecer las operaciones de interfaz. El enlace de VLAN no está disponible.

¿Qué métodos hay disponibles para implementar Citrix ADC?

  • Implemente en Azure Marketplace. El dispositivo virtual Citrix ADC VPX está disponible como imagen en Microsoft Azure Marketplace.

  • Implemente con la plantilla json de Azure Resource Manager (ARM) de Citrix ADC disponible en GitHub.

  • Implemente mediante el servicio Citrix ADM.

Distribución del tráfico

Con el escalado automático basado en DNS, DNS es la capa que decide dónde se enruta el tráfico. El administrador de tráfico usa DNS para dirigir el tráfico del cliente a la instancia de Citrix ADC adecuada que está disponible en el grupo de escalado automático de administración y entrega de aplicaciones de Citrix. El administrador de tráfico de Azure resuelve el FQDN en la dirección VIP de la instancia de Citrix ADC.

Con Azure Load-Balancer (ALB) como administrador de tráfico, el tráfico entrante va primero al ALB y decide dónde se enruta el tráfico. ALB administra el tráfico del cliente y lo distribuye a clústeres Citrix ADC VPX. ALB envía el tráfico del cliente a los nodos del clúster de Citrix ADC VPX que están disponibles en el grupo de escalado automático de administración y entrega de aplicaciones de Citrix en todas las zonas de disponibilidad.

Con ambas opciones de distribución de tráfico, Citrix Application Delivery and Management desencadena la acción de escalamiento horizontal o vertical a nivel de clúster. Cuando se activa un escalamiento horizontal, las máquinas virtuales registradas se aprovisionan y agregan al clúster. Del mismo modo, cuando se activa una escalación, los nodos se eliminan y se desaprovisionan de los clústeres Citrix ADC VPX.

¿Cómo se implementa Citrix ADC VPX en Azure con Global Server Load Balancing (GSLB) y se usan las zonas privadas DNS de Azure?

  • Cuando se usa la administración de tráfico basada en DNS, cada instancia de Citrix ADC del grupo de escalabilidad automática de administración y entrega de aplicaciones de Citrix requiere una dirección IP pública.

  • Para el escalado automático basado en DNS, la entrega y administración de aplicaciones espera el período de tiempo de vida (TTL) especificado. Una vez que caduca el TTL, espera a que se agoten las conexiones existentes antes de iniciar el desaprovisionamiento de nodos.

  • Al usar la administración de tráfico basada en ALB, la dirección IP pública se asigna a Azure Load Balancer. Las instancias de Citrix ADC VPX no requieren una dirección IP pública.

  • Citrix ADC requiere un servidor virtual DNS o un servidor de nombres configurado, que el balanceador de carga de Azure utiliza para la resolución.

  • Para una configuración GLSB híbrida (multicloud o centro de datos)

    • Se debe configurar una dirección SNIP o una dirección IP de sitio GLB en cada nodo de Citrix ADC para el intercambio de métricas entre los nodos
    • El servicio ADNS o ADNS-TCP debe configurarse en los nodos Citrix ADC para procesar el tráfico DNS.
    • Los grupos de seguridad en la nube y los firewalls de Azure deben permitir el tráfico en los puertos 53 y 3009
    • La compatibilidad con soluciones de equilibrio de carga GSLB que no sean Citrix ADC es limitada
    • Utilice el libro de estilos GLB multinube para configurar el balanceo de carga global

Guía de escalabilidad automática

Un grupo de escalabilidad automática es un grupo de instancias de Citrix ADC que equilibran la carga de las aplicaciones como una sola entidad. El número de instancias en el grupo de escalabilidad automática de ADC se basa en los parámetros configurados, como el uso de la CPU. La infraestructura de Azure (ALB o Azure traffic manager) envía el tráfico del cliente a un grupo de escalado automático de administración y entrega de aplicaciones de Citrix en el conjunto de disponibilidad. Citrix Application Delivery and Management desencadena la acción de escalamiento horizontal o vertical en el nivel del clúster.

¿Cuáles son los requisitos para integrar Citrix ADC con Azure Autoscale?

  • El uso de escalabilidad automática con conjuntos de escala de máquinas virtuales (VMSS) de Azure con implementaciones de IP múltiples habilitadas para una alta disponibilidad minimiza los costes. Citrix recomienda usar Autoscale para reducir la cantidad de configuración y sobrecarga necesarias para supervisar el rendimiento del servidor en las VNet.

  • Se necesita una aplicación de Azure Active Directory (AAD) y una entidad de servicio con función de colaborador en los recursos afectados para implementar la escalabilidad automática

  • Con el escalado automático, se crea un conjunto de IP en los clústeres de cada zona de disponibilidad. Después de lo cual, las direcciones IP del dominio y la instancia se registran en el administrador de tráfico de Azure o ALB. Cuando se quita la aplicación, las direcciones IP de dominio y instancia se anulan del registro del administrador de tráfico de Azure o ALB. A continuación, se elimina el conjunto de IP.

SD-WAN

Con SD-WAN, el dispositivo Citrix ADC puede proporcionar conectividad entre los centros de datos empresariales y la nube de Azure. Citrix SD-WAN convierte a Azure en una extensión perfecta de la red empresarial. Citrix ADC cifra la conexión entre el centro de datos empresarial y la nube de Azure para que todos los datos transferidos entre los dos estén seguros. Para proteger las comunicaciones, un túnel de conector Citrix SD-WAN entre un centro de datos y la nube de Azure utiliza el conjunto de protocolos de seguridad de protocolo de Internet (IPSec) de estándar abierto.

¿Cuáles son las limitaciones para implementar un túnel de conector Citrix SD-WAN?

  • El dispositivo Citrix ADC debe tener una dirección IPv4 pública (tipo SNIP) para usarla como dirección de punto final de túnel para el túnel del conector SD-WAN

  • El dispositivo Citrix ADC no debe estar detrás de un dispositivo NAT

  • El túnel de conectores Citrix SD-WAN solo admite IKE1, AES y HMAC SHA1 para la configuración de IPSec

  • Citrix SD-WAN requiere que el firewall perimetral pase los siguientes paquetes al ADC
    • Cualquier paquete UDP en el puerto 4500 o el puerto 500
    • Cualquier paquete ESP del tipo de protocolo 50
  • No se admite la reintroducción de claves IKE. Debe establecer un valor grande para la duración de la asociación de seguridad para que el túnel no se caiga inesperadamente.

  • Configure Azure antes de configurar el túnel SD-WAN porque la configuración de Azure genera la dirección IP y PSK que se utilizan para la configuración del túnel.

Servicio Citrix Application Delivery Management (ADM)

El servicio Citrix Application Delivery Management Service (ADM) de Citrix Cloud proporciona una ubicación centralizada para administrar las implementaciones de Citrix ADC. Estas implementaciones incluyen versiones en la nube o locales de Azure de los siguientes dispositivos: dispositivos Citrix ADC MPX, Citrix ADC VPX, Citrix ADC SDX, Citrix ADC CPX, Citrix Gateway y Citrix Secure Web Gateway. Citrix ADM es una solución basada en la nube que administra, supervisa y ayuda a solucionar problemas de toda la infraestructura de entrega de aplicaciones. Citrix ADM incluye todas las capacidades necesarias para implementar, automatizar y licenciar Citrix ADC en una consola basada en la nube fácil de navegar.

¿Cómo funciona el servicio Citrix ADM?

  • Implemente en Azure Marketplace. El dispositivo virtual Citrix ADC VPX está disponible como imagen en Microsoft Azure Marketplace.

  • Implementación con la plantilla json de Azure Resource Manager (ARM) de Citrix ADC disponible en GitHub

  • Implementación mediante el servicio Citrix ADM

StyleBooks

La parte más compleja de la implementación de un ADC es configurarlo para que funcione con el sistema de autenticación y las aplicaciones. Citrix ofrece StyleBooks para facilitar la experiencia de configuración. Los StyleBooks ofrecen una forma de simplificar la compleja tarea de las configuraciones de Citrix ADC. Un StyleBook es una plantilla preconfigurada que los usuarios pueden usar para crear o administrar configuraciones de Citrix ADC. Los StyleBooks existen para la mayoría de las aplicaciones y configuraciones comunes. Por ejemplo, The SSO Office 365 StyleBook le permite habilitar el SSO para Microsoft Office 365 a través de instancias de Citrix ADC.

¿Qué son las plantillas de aplicaciones de Citrix ADM StyleBook y cómo las uso?

  • Recomendamos usar StyleBooks para las configuraciones iniciales si hay alguna disponible. Están disponibles StyleBooks para Microsoft 365, Skype, Exchange, SharePoint y ADFS

  • Microsoft SharePoint StyleBook requiere lo siguiente:
    • Sharepoint 2016 o posterior
    • Citrix ADM v12.0 o posterior
    • Citrix ADC v10.5 o posterior
  • Microsoft SharePoint StyleBook admite las funciones de equilibrio de carga, cambio de contenido, respuesta, reescritura, compresión y almacenamiento en caché integrado de Citrix ADC

  • Al usar SSL con SharePoint StyleBook, compruebe que el parámetro de configuración Rewrite esté habilitado en la sección Configuración avanzada de SharePoint del StyleBook

  • Citrix recomienda que primero seleccione Ejecución en seco para ver los objetos de configuración que el StyleBook crea en las instancias de Citrix ADC de destino. Si es aceptable, continúe y ejecute la configuración real.

Equilibrio de carga con Azure Tag

Para las instancias independientes y de alta disponibilidad de Citrix ADC VPX implementadas en Azure Cloud, ahora puede crear grupos de servicios de equilibrio de carga asociados a una etiqueta de Azure. La instancia VPX supervisa constantemente las máquinas virtuales de Azure (servidores back-end) y las interfaces de red (NIC), o ambas, con la etiqueta respectiva y actualiza el grupo de servicios en consecuencia. La instancia VPX crea el grupo de servicios que equilibra la carga de los servidores back-end mediante etiquetas. Siempre que se agrega o elimina una VM o NIC con la etiqueta adecuada, el ADC detecta el cambio y actualiza el grupo de servicios automáticamente.

¿Cómo configuro el equilibrio de carga para usar etiquetas de Azure?

  • Las etiquetas deben asignarse a la instancia de VM o a la NIC de la VM

  • Al usar la CLI de Azure para propagar etiquetas, el Citrix ADC secundario (en espera) debe terminar el proceso rain_tags después de un reinicio en caliente. Este comportamiento evita que la información antigua se utilice de forma inadvertida.

  • El ADC VPX necesita poder alcanzar la dirección IP etiquetada para el servidor back-end. Para una VM etiquetada, esta es la dirección IP principal; para una NIC etiquetada, es la dirección IP de la NIC. Si la máquina virtual está en una VNet diferente, debe habilitarse la interconexión de VNet.

  • Guarde todas las configuraciones para que persistan entre los reinicios de la VM

Enlaces a otros recursos

Guía de implementación de Citrix ADC VPX en Azure

Guía de implementación de Citrix ADC VPX en Azure: recuperación ante desastres

Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con Citrix ADC

Configurar una instancia de Citrix ADC VPX para usar redes aceleradas de Azure

Aprovisionamiento de instancias Citrix ADC VPX en Microsoft Azure

Guía de implementación de Citrix ADC para Azure DNS Private Zones

Guía de implementación de Citrix ADC VPX en Azure - GSLB

Arquitectura de escalabilidad automática para Microsoft Azure

Configuración de Azure Autoscale

Guía de implementación de Citrix ADC VPX en Azure: escalabilidad automática

Configuración de un túnel de CloudBridge Connector entre un centro de datos y la nube de Azure

Configurar Office 365

StyleBooks de Microsoft SharePoint

SSO Office 365 StyleBook

Configuraciones de StyleBooks para Citrix ADC

Uso de StyleBooks para Configurar GLB

Etiquetas de Azure para la implementación de Citrix ADC VPX

Decisión de diseño: arquitectura de implementación y consideraciones