Concepts avancés

Modèle de conception validé Citrix ADC et Amazon Web Services

Vue d’ensemble Citrix Networking VPX

Citrix ADC est un contrôleur de mise à disposition d’applications tout-en-un qui permet d’exécuter les applications jusqu’à cinq fois mieux, réduit les coûts de propriété des applications, optimise l’expérience utilisateur et garantit que les applications sont toujours disponibles à l’aide de :

  • Services d’équilibrage de charge et gestion du trafic avancés de couche 4-7
  • Accélération éprouvée des applications comme la compression HTTP et la mise en cache
  • Un pare-feu intégré pour la sécurité des applications
  • Déchargement des serveurs pour réduire considérablement les coûts et consolider les serveurs

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu applicatif dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Vue d’ensemble Citrix ADC dans Amazon Web Services

La prise en charge de Citrix Networking VPX dans Amazon Web Services (AWS) est disponible à partir de la version 10.5 — 61.11. Citrix Networking VPX est disponible en tant qu’Amazon Machine Image (AMI) sur AWS Marketplace. Citrix Networking VPX on AWS permet aux clients de tirer parti des capacités de cloud computing AWS et d’utiliser les fonctionnalités d’équilibrage de charge et de gestion du trafic de Citrix ADC pour leurs besoins professionnels. Citrix ADC sur AWS prend en charge toutes les fonctionnalités de gestion du trafic d’une appliance Citrix ADC physique. Les instances Citrix ADC exécutées dans AWS peuvent être déployées en tant qu’instances autonomes ou en tant que paires HA.

L’AMI Citrix Networking VPX est empaquetée en tant qu’instance EC2 lancée dans un VPC AWS. L’instance AMI VPX nécessite au moins 2 processeurs virtuels et 2 Go de mémoire. Une instance EC2 lancée dans un VPC AWS peut également fournir plusieurs interfaces, plusieurs adresses IP par interface et des adresses IP publiques et privées nécessaires à la configuration VPX. Actuellement, sur AWS, VPX ne peut être lancé que dans un VPC, car chaque instance VPX nécessite au moins trois adresses IP. (Bien que VPX sur AWS puisse être implémenté avec une ou deux interfaces réseau élastiques, Citrix recommande trois interfaces réseau pour une installation VPX standard sur AWS.) AWS rend actuellement la fonctionnalité multi-IP disponible uniquement pour les instances exécutées au sein d’un VPC AWS. Une instance VPX dans un VPC peut être utilisée pour équilibrer la charge des serveurs exécutant dans des instances EC2.

Un VPC Amazon vous permet de créer et de contrôler un environnement de réseau virtuel, y compris votre propre plage d’adresses IP, sous-réseaux, tables de routage et passerelles réseau.

Remarque :

Par défaut, vous pouvez créer jusqu’à 5 instances VPC par région AWS pour chaque compte AWS. Vous pouvez demander des limites de VPC plus élevées en soumettant Formulaire de demande d’Amazon.

Une instance EC2 de Citrix Networking VPX (image AMI) est lancée dans le VPC AWS.

La figure suivante montre un VPX typique sur le déploiement AWS.

netscaler-and-amazon-aws-01

La figure présente une topologie simple d’un VPC AWS avec un déploiement Citrix Networking VPX. Le VPC AWS dispose de :

  1. Une passerelle Internet unique pour acheminer le trafic entrant et sortant du VPC.
  2. Connectivité réseau entre la passerelle Internet et Internet.
  3. Trois sous-réseaux, un pour la gestion, le client et le serveur.
  4. Connectivité réseau entre la passerelle Internet et les deux sous-réseaux (gestion et client).
  5. Citrix Networking VPX unique déployé dans le VPC. L’instance VPX dispose de trois interfaces réseau élastiques (ENI), une attachée à chaque sous-réseau.

Limitations et directives d’utilisation

  • La fonctionnalité de clustering n’est pas prise en charge pour VPX.
  • Pour que HA fonctionne comme prévu, associez un périphérique NAT dédié à l’interface de gestion ou associez EIP à NSIP. Pour plus d’informations sur NAT, consultez la documentation AWS Instances NAT.
  • Le trafic de données et le trafic de gestion doivent être séparés en utilisant des ENI appartenant à différents sous-réseaux.
  • Seule l’adresse du NSIP doit figurer sur l’IEN de gestion.
  • Si une instance NAT est utilisée pour la sécurité au lieu d’affecter un EIP au NSIP, des modifications appropriées de routage au niveau du VPC sont requises. Pour obtenir des instructions sur les modifications de routage au niveau du VPC, consultez la documentation AWSScénario 2 : VPC avec sous-réseaux publics et privés.
  • Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à m3.xlarge).
  • Pour les options de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après avoir été détachées de l’instance.
  • L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Vous devez redémarrer l’instance VPX pour appliquer la mise à jour. Citrix vous recommande d’arrêter l’instance autonome ou HA, d’attacher la nouvelle ENI, puis de redémarrer l’instance.
  • Vous pouvez attribuer plusieurs adresses IP à un ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2, reportez-vous à la section Prise en charge EC2 des adresses ENI et IP.
  • Citrix vous recommande d’éviter d’utiliser les commandes d’activation et de désactivation de l’interface sur les interfaces Citrix Networking VPX.

En raison des limitations AWS, ces fonctionnalités ne sont pas prises en charge :

Limites de la couche 3 :

  • Routage dynamique
  • IPV6

Limitations de la couche 2 :

  • Gratuitous ARP (GARP)
  • Mode L2
  • VLAN taggé
  • MAC virtuel (VMAC)

Instances EC2 prises en charge

L’AMI Citrix ADC peut être lancée sur l’un des types d’instance EC2 suivants :

  • m4.large
  • m4.xlarge
  • m4.2xlarge
  • m4.4xlarge
  • m4.10xlarge
  • m3.large
  • m3.xlarge
  • m3.2xlarge

Pour de plus amples informations, consultez Instances Amazon EC2

Prise en charge de l’ENI

Le tableau suivant répertorie les types d’instance EC2 et le nombre correspondant d’ENI pris en charge et le nombre d’adresses IP privées par ENI.

Nom de l’instance Nombre d’ENIs Adresses IP privées par ENI
m4.large 2. 10
m4.xlarge 4 15
m4.2xlarge 4 15
m4.4xlarge 8 30
m4.10xlarge 8 30
m3.large 3 10
m3.xlarge 4 15
m3.2xlarge 4 30

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent le déploiement de chaque service en tant qu’appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement du serveur, l’accélération des applications, la sécurité des applications et d’autres fonctionnalités essentielles de livraison d’applications dans un seul VPX , facilement disponible via AWS Marketplace. En outre, tout est régi par un cadre de stratégie unique et géré avec le même ensemble puissant d’outils utilisés pour administrer les déploiements Citrix ADC locaux. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui prennent en charge non seulement les besoins immédiats des entreprises d’aujourd’hui, mais aussi l’évolution continue des infrastructures informatiques héritées aux centres de données cloud d’entreprise.

Livraison de production pour les applications Web et virtuelles et les applications de bureau

Les entreprises qui adoptent activement AWS comme une offre d’infrastructure en tant que service (IaaS) pour la livraison de production d’applications peuvent désormais être en première ligne de ces applications avec la même plate-forme de mise en réseau cloud utilisée par les plus grands sites Web et fournisseurs de services cloud au monde. Les capacités étendues de déchargement, d’accélération et de sécurité peuvent être exploitées pour améliorer les performances et réduire les coûts.

XenDesktop 7.5 et XenApp 7.5 ont été redessinés en tant que solutions compatibles avec le cloud pour fournir n’importe quelle application Windows ou bureau dans un service cloud fourni sur n’importe quel réseau, sur n’importe quel appareil. En déployant aujourd’hui cette plateforme étendue d’applications et de postes de travail, vous vous positionnez pour tirer parti de toute infrastructure virtuelle ou plate-forme de gestion du cloud. Cela vous donne la possibilité de tirer parti des capacités d’automatisation et d’orchestration du cloud computing.

Conceptions cloud hybrides

Les organisations informatiques d’entreprise qui suivent une stratégie de cloud hybride obtiennent le meilleur des deux mondes en sélectionnant les applications et les scénarios d’utilisation les mieux adaptés à leur cloud privé et ceux qui s’intègrent le mieux dans un cloud public, ce qui leur permet de s’adapter, de grandir et de se transformer pour répondre aux exigences du milieu de travail moderne.

Avec Citrix ADC sur AWS, les clouds hybrides qui couvrent les centres de données d’entreprise et s’étendent à AWS peuvent bénéficier de la même plate-forme de mise en réseau cloud. Citrix ADC facilite considérablement la transition des applications et des charges de travail entre un centre de données privé et AWS. La suite complète de fonctionnalités, allant de l’équilibrage intelligent de charge de base de données avec DataStream à la visibilité sans précédent des applications avec AppFlow®, en passant par la surveillance et la réponse en temps réel avec Action Analytics, peut être exploitée avec Citrix ADC sur AWS.

Continuité des activités

Les entreprises souhaitant utiliser AWS dans le cadre de leurs plans de reprise après sinistre et de continuité d’activité peuvent compter sur l’équilibrage global de la charge du serveur Citrix ADC exécutant tant tant sur site qu’au sein d’AWS pour surveiller en permanence la disponibilité et les performances des centres de données d’entreprise et des environnements AWS, garantissant ainsi aux utilisateurs sont toujours envoyés à l’emplacement optimal.

Lorsque vous configurez GSLB sur les appliances Citrix ADC et activez Metric Exchange Protocol (MEP), les solutions matérielles-logicielles utilisent l’infrastructure DNS pour connecter le client au centre de données qui répond le mieux aux critères que vous définissez. Les critères peuvent désigner le centre de données le moins chargé, le centre de données le plus proche, le centre de données qui répond le plus rapidement aux demandes de l’emplacement du client, une combinaison de ces mesures et des mesures SNMP. Une solution matérielle-logicielle assure le suivi de l’emplacement, des performances, de la charge et de la disponibilité de chaque centre de données et utilise ces facteurs pour sélectionner le centre de données auquel envoyer une demande client. Une configuration GSLB consiste en un groupe d’entités GSLB sur chaque appliance de la configuration. Ces entités comprennent les sites GSLB, les services GSLB, les serveurs virtuels GSLB, les serveurs d’équilibrage de charge et/ou de commutation de contenu, et les services ADNS.

Développement et test

Les entreprises exécutent des livraisons de production sur site, mais l’utilisation d’AWS pour le développement et les tests peut désormais inclure Citrix ADC dans leurs environnements de test AWS, accélérant ainsi les délais de production grâce à une meilleure mise en œuvre de la production dans leurs environnements de test.

Dans chaque cas d’utilisation, les architectes réseau peuvent également tirer parti de Citrix CloudBridge, configuré en tant qu’instance autonome ou en tant que fonctionnalité d’une instance Citrix ADC Platinum Edition, pour sécuriser et optimiser la connexion entre un ou plusieurs centres de données d’entreprise et le cloud AWS, ce qui accélère le transfert de données/ la synchronisation et la réduction des coûts réseau.

Architecture réseau AWS — ENI et EIP

Les instances Citrix ADC lancées dans un VPC peuvent avoir jusqu’à huit interfaces réseau élastiques (ENI). À son tour, chaque ENI peut se voir attribuer une ou plusieurs adresses IP privées, chacune de ces adresses étant éventuellement mappée à une adresse IP élastique qui est publiquement routable.

Ce qui rend les interfaces réseau et les adresses IP « élastiques » dans ce cas, c’est la possibilité de les remapper par programmation à d’autres instances, une fonctionnalité qui permet la récupération à partir de défaillances d’instance ou de zone de disponibilité sans avoir à attendre les remplacements matériels ou que les modifications DNS se propagent complètement à tous vos clients.

Les autres détails à prendre en compte sont les suivants :

  • Une instance peut avoir des ENI différentes dans différents sous-réseaux (mais pas dans différentes zones de disponibilité).
  • Chaque ENI doit avoir au moins une adresse IP qui lui est attribuée et doit être attribuée à un groupe de sécurité (voir ci-dessous).
  • Les adresses 1 à 4 pour chaque sous-réseau (c’est-à-dire 10.x.1-4) sont réservées à l’utilisation par Amazon.
  • Citrix ADC connaît uniquement les adresses IP privées. Les EIP qui sont affectés ne s’affichent pas dans l’interface de ligne de commande Citrix ADC ou dans les outils de gestion associés.

netscaler-and-amazon-aws-02

EC2 versus VPC

AWS englobe plusieurs services différents, tels qu’Amazon Simple Storage Services (S3), Amazon Elastic Compute Cloud (EC2) et Amazon Virtual Private Cloud (VPC). La distinction entre ces deux derniers est importante en l’espèce. En particulier, avec EC2, les instances de machine virtuelle sont limitées à une seule interface réseau et une seule adresse IP. En outre, il y a un minimum de fonctionnalités et de contrôles de mise en réseau. Cela exclut l’utilisation d’EC2 pour Citrix ADC - qui nécessite au moins trois adresses IP - et c’est pourquoi les instances de Citrix ADC ne peuvent être lancées que dans un VPC AWS.

Les VPC prennent en charge non seulement les machines virtuelles avec plusieurs interfaces et plusieurs adresses IP privées et publiques, mais vous permettent également de créer et de contrôler un environnement de réseau virtuel isolé, avec sa propre plage d’adresses IP, ses sous-réseaux, ses tables de routage et ses passerelles réseau.

Régions et zones de disponibilité

Dans le cloud AWS, les régions font référence à un emplacement géographique spécifique, tel que USA Est. Dans chaque région, il existe au moins deux zones de disponibilité, chacune pouvant être considérée comme un centre de données cloud indépendant conçu pour être isolé des pannes dans d’autres zones de disponibilité et pour fournir une connectivité réseau peu coûteuse et à faible latence à d’autres zones de disponibilité dans le même région.

En implémentant des instances dans des zones de disponibilité distinctes, vous pouvez protéger vos applications contre les défaillances qui affectent un seul emplacement.

Les limitations et les dépendances dont les architectes de réseau doivent tenir compte à ce niveau sont les suivantes :

  • Bien qu’un cloud privé virtuel puisse couvrir plusieurs zones de disponibilité, il ne peut pas couvrir plusieurs régions.
  • Les sous-réseaux individuels d’un VPC ne peuvent pas couvrir plusieurs zones de disponibilité.
  • Tout le trafic entrant ou sortant d’un VPC doit être acheminé via une passerelle Internet par défaut correspondante

Configurer VPX sur AWS

Dans cet exercice, vous allez créer un VPC et un sous-réseau et lancer une instance orientée vers le public dans votre sous-réseau. Votre instance sera en mesure de communiquer avec Internet et vous pourrez accéder à votre instance depuis votre ordinateur local en utilisant SSH (s’il s’agit d’une instance Linux) ou Bureau à distance (s’il s’agit d’une instance Windows). Dans votre environnement réel, vous pouvez utiliser ce scénario pour créer un serveur Web public, par exemple pour héberger un blog.

Remarque :

Cet exercice est destiné à vous aider à configurer rapidement votre propre VPC non par défaut. Si vous avez déjà un VPC par défaut et que vous voulez commencer à lancer des instances dedans (et non pas créer ou configurer un nouveau VPC), reportez-vous à la section Lancement d’une instance EC2 dans votre VPC par défaut.

Pour terminer cet exercice, procédez comme suit :

  • Créez un VPC autre que par défaut avec un seul sous-réseau public. Les sous-réseaux vous permettent de regrouper les instances en fonction de vos besoins opérationnels et de sécurité. Un sous-réseau public est un sous-réseau qui a accès à Internet via une passerelle Internet.
  • Créez un groupe de sécurité pour votre instance qui autorise le trafic uniquement via des ports spécifiques.
  • Lancez une instance Amazon EC2 dans votre sous-réseau.
  • Associez une adresse IP Elastic à votre instance. Cela permet à votre instance d’accéder à Internet.

Avant de pouvoir utiliser Amazon VPC pour la première fois, vous devez vous inscrire à AWS. Lorsque vous vous inscrivez, votre compte AWS est automatiquement inscrit pour tous les services d’AWS, y compris Amazon VPC. Si vous n’avez pas encore créé de compte AWS, accédez àhttp://aws.amazon.com, puis choisissez Créer un compte gratuit.

Étape 1 : Créer le VPC

Dans cette étape, vous allez utiliser l’assistant Amazon VPC dans la console Amazon VPC pour créer un VPC. L’Assistant effectue les étapes suivantes pour vous :

  • Crée un VPC avec un bloc CIDR /16 (un réseau avec 65 536 adresses IP privées). Pour plus d’informations sur la notation CIDR et le dimensionnement d’un VPC, consultez Votre VPC.
  • Attache une passerelle Internet au VPC. Pour plus d’informations sur les passerelles Internet, reportez-vous à la section Passerelles Internet.
  • Crée un sous-réseau de taille /24 (une plage de 256 adresses IP privées) dans le VPC.
  • Crée une table de routage personnalisée et l’associe à votre sous-réseau afin que le trafic puisse circuler entre le sous-réseau et la passerelle Internet. Pour plus d’informations sur les tables de routage, reportez-vous à la section Tables de routage.

Le diagramme suivant représente l’architecture de votre VPC une fois cette étape terminée.

netscaler-and-amazon-aws-03

Créer un VPC à l’aide de l’Assistant Amazon VPC

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.

  2. Dans la barre de navigation, en haut à droite, prenez note de la région dans laquelle vous allez créer le VPC. Assurez-vous de continuer à travailler dans la même région pour le reste de cet exercice, car vous ne pouvez pas lancer une instance dans votre VPC à partir d’une autre région. Pour plus d’informations sur les régions, reportez-vous à la section Régions et zones de disponibilité.

  3. Dans le volet de navigation, choisissez Tableau de bord VPC, puis choisissez Démarrer VPC Wizard.

    netscaler-and-amazon-aws-04

    Remarque :

    Ne sélectionnez pas Vos VPC dans le volet de navigation ; vous ne pouvez pas accéder à l’assistant VPC à partir de cette page.

  4. Choisissez la première option, VPC avec un sous-réseau public unique, puis sélectionnez Sélectionner.

  5. Sur la page de configuration, entrez un nom pour votre VPC dans le champ Nom du VPC ; par exemple, my-vpc, puis entrez un nom pour votre sous-réseau dans le champ Nom du sous-réseau . Cela vous aide à identifier le VPC et le sous-réseau dans la console Amazon VPC après les avoir créés. Pour cet exercice, vous pouvez laisser le reste des paramètres de configuration sur la page et choisir Créer un VPC.

    (Facultatif) Si vous préférez, vous pouvez modifier les paramètres de configuration comme suit, puis choisir Créer un VPC.

    • Le bloc CIDR IP affiche la plage d’adresses IP que vous utiliserez pour votre VPC (10.0.0.0/16) et le champ Sous-réseau public affiche la plage d’adresses IP que vous utiliserez pour le sous-réseau (10.0.0.0/24). Si vous ne souhaitez pas utiliser les plages CIDR par défaut, vous pouvez spécifier les vôtres. Pour plus d’informations, reportez-vous à la section Dimensionnement du VPC et du sous-réseau.

    • La liste Zone de disponibilité vous permet de sélectionner la zone de disponibilité dans laquelle créer le sous-réseau. Vous pouvez laisser Aucune préférence pour laisser AWS choisir une zone de disponibilité pour vous. Pour plus d’informations, reportez-vous à la section Régions et zones de disponibilité.

    • Dans la section Ajouter des points de terminaison pour S3 à vos sous-réseaux, vous pouvez sélectionner un sous-réseau dans lequel créer un point de terminaison VPC vers Amazon S3 dans la même région. Pour plus d’informations, reportez-vous à la section Points de terminaison VPC.

    • L’Enable DNS hostnames option, lorsqu’elle est définie sur Oui, garantit que les instances qui sont lancées dans votre VPC reçoivent un nom d’hôte DNS. Pour plus d’informations, reportez-vous à la section Utilisation de DNS avec votre VPC.

    • L’option de location de matériel vous permet de déterminer si les instances lancées dans votre VPC sont exécutées sur du matériel partagé ou dédié. La sélection d’une location dédiée entraîne des coûts supplémentaires. Pour plus d’informations sur la location de matériel, reportez-vous à la section Instances dédiées.

  6. Une fenêtre d’état affiche le travail en cours. Lorsque le travail est terminé, cliquez sur OK pour fermer la fenêtre d’état.

  7. LeYour VPCs page affiche votre VPC par défaut et le VPC que vous venez de créer. Le VPC que vous avez créé n’est pas un VPC par défaut. Par conséquent, la colonne VPC par défaut affiche Non.

netscaler-and-amazon-aws-05

Afficher les informations sur votre VPC

Après avoir créé le VPC, vous pouvez afficher des informations sur le sous-réseau, la passerelle Internet et les tables de routage. Le VPC que vous avez créé possède deux tables de routage : une table de routage principale que tous les VPC possèdent par défaut et une table de routage personnalisée créée par l’Assistant. La table de routage personnalisée est associée à votre sous-réseau, ce qui signifie que les itinéraires de cette table déterminent le flux du trafic pour le sous-réseau. Si vous ajoutez un nouveau sous-réseau à votre VPC, il utilise la table de routage principale par défaut.

Pour afficher des informations sur votre VPC

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
  2. Dans le volet de navigation, choisissez Vos VPC. Prenez note du nom et de l’ID du VPC que vous avez créé (regardez dans les colonnes Nom et ID de VPC). Vous utiliserez ces informations pour identifier les composants associés à votre VPC.
  3. Dans le volet de navigation, choisissez Sous-réseaux. La console affiche le sous-réseau créé lors de la création de votre VPC. Vous pouvez identifier le sous-réseau par son nom dans la colonne Nom , ou vous pouvez utiliser les informations VPC que vous avez obtenues à l’étape précédente et regarder dans la colonne VPC.
  4. Dans le volet de navigation, choisissez Gateways Internet. Vous pouvez trouver la passerelle Internet associée à votre VPC en regardant la colonne VPC, qui affiche l’ID et le nom (le cas échéant) du VPC.
  5. Dans le volet de navigation, choisissez Tables de routage. Deux tables de routage sont associées au VPC. Sélectionnez la table de routage personnalisée (la colonne Principal affiche Non), puis choisissez l’onglet Itinéraires pour afficher les informations de routage dans le volet d’informations :
    • La première ligne de la table est la route locale, qui permet aux instances du VPC de communiquer. Cette route est présente dans chaque table de routage par défaut, et vous ne pouvez pas la supprimer.
    • La deuxième ligne indique l’itinéraire que l’assistant Amazon VPC a ajouté pour permettre au trafic destiné à une adresse IP en dehors du VPC (0.0.0.0/0) de passer du sous-réseau à la passerelle Internet.
  6. Sélectionnez la table de routage principale. La table de routage principale a un itinéraire local, mais pas d’autres itinéraires.

Étape 2 : Créer un groupe de sécurité 12

Un groupe de sécurité agit comme un pare-feu virtuel pour contrôler le trafic de ses instances associées. Pour utiliser un groupe de sécurité, vous ajoutez les règles entrantes pour contrôler le trafic entrant vers l’instance, et les règles sortantes pour contrôler le trafic sortant de votre instance. Pour associer un groupe de sécurité à une instance, vous spécifiez le groupe de sécurité lorsque vous lancez l’instance. Si vous ajoutez et supprimez des règles du groupe de sécurité, nous appliquons automatiquement ces modifications aux instances associées au groupe de sécurité.

Votre VPC est livré avec un groupe de sécurité par défaut. Toute instance non associée à un autre groupe de sécurité lors du lancement est associée au groupe de sécurité par défaut. Dans cet exercice, vous allez créer un nouveau groupe de sécurité, WebServerSG, et spécifier ce groupe de sécurité lorsque vous lancez une instance dans votre VPC.

Sujets

Création de votre groupe de sécurité WebServerSG

Vous pouvez créer votre groupe de sécurité à l’aide de la console Amazon VPC.

Règles pour le groupe de sécurité WebServerSG

Le tableau suivant décrit les règles entrantes et sortantes pour le groupe de sécurité WebServerSG. Vous allez ajouter les règles entrantes vous-même. La règle sortante est une règle par défaut qui autorise toutes les communications sortantes vers n’importe où. Vous n’avez pas besoin d’ajouter cette règle vous-même.

Entrant      
IP source Protocole Portée des ports Commentaires
0.0.0.0/0 TCP 80 Permet l’accès HTTP entrant de n’importe où.
0.0.0.0/0 TCP 443 Permet l’accès HTTPS entrant de n’importe où.
Plage d’adresses IP publique de votre réseau domestique TCP 22 Permet l’accès SSH entrant de votre réseau domestique à une instance Linux/UNIX.
Plage d’adresses IP publique de votre réseau domestique TCP 3389 Permet l’accès RDP entrant de votre réseau domestique à une instance Windows.
Sortant      
IP de destination Protocole Portée des ports Commentaires
0.0.0.0/0 Tous Tous Règle de sortie de stock par défaut qui autorise toutes les communications sortantes.

Pour créer le groupe de sécurité WebServersG et ajouter des règles

  1. Ouvrez la console Amazon VPC à l’adresse https://aws.amazon.com/console/.
  2. Dans le volet de navigation, choisissez Groupes de sécurité.
  3. Choisissez Créer un groupe de sécurité.
  4. Dans le champ Nom du groupe, entrez WebServersG comme nom du groupe de sécurité et fournissez une description. Vous pouvez éventuellement utiliser le champ Nom balise pour créer une balise pour le groupe de sécurité avec une clé Nom et une valeur que vous spécifiez.
  5. Sélectionnez l’ ID de votre VPC dans le menu VPC, puis choisissez Yes , Create .
  6. Sélectionnez le groupe de sécurité WebServersG que vous venez de créer (vous pouvez afficher son nom dans la colonne Nom du groupe).
  7. Sous l’ onglet Règles d’entrée en stock, choisissez Modifieret ajouter des règles pour le trafic entrant comme suit, puis choisissez Enregistrerlorsque vous avez terminé :
    • Sélectionnez HTTP dans la liste Type et entrez 0.0.0.0/0 dans le champ Source .
    • Choisissez Ajouter une autre règle, puis sélectionnez HTTPSdans la liste Type et entrez 0.0.0.0/0dans le champ Source.
    • Choisissez Ajouter une autre règle. Si vous lancez une instance Linux, sélectionnez SSH dans la liste Type ou si vous lancez une instance Windows, sélectionnez RDP dans la liste Type. Entrez la plage d’adresses IP publiques de votre réseau dans le champ Source . Si vous ne connaissez pas cette plage d’adresses, vous pouvez utiliser 0.0.0.0/0 pour cet exercice.

Attention :

Si vous utilisez 0.0.0.0/0, vous activez toutes les adresses IP pour accéder à votre instance à l’aide de SSH ou RDP. Ceci est acceptable pour l’exercice court, mais ce n’est pas sûr pour les environnements de production. En production, vous n’autorisez qu’une adresse IP spécifique ou une plage d’adresses à accéder à votre instance.

netscaler-and-amazon-aws-06

Étape 3 : Lancez une instance dans votre VPC 14

Lorsque vous lancez une instance EC2 dans un VPC, vous devez spécifier le sous-réseau dans lequel lancer l’instance. Dans ce cas, vous lancerez une instance dans le sous-réseau public du VPC que vous avez créé. Vous allez utiliser l’assistant de lancement d’Amazon EC2 dans la console Amazon EC2 pour lancer votre instance.

Le diagramme suivant représente l’architecture de votre VPC une fois cette étape terminée.

netscaler-and-amazon-aws-07

Pour lancer une instance EC2 dans un VPC

  1. Ouvrez leConsole Amazon EC2.
  2. Dans la barre de navigation, en haut à droite, assurez-vous de sélectionner la même région dans laquelle vous avez créé votre VPC et votre groupe de sécurité.
  3. Dans le tableau de bord, choisissez Launch Instance.
  4. Sur la première page de l’Assistant, choisissez l’AMI que vous souhaitez utiliser. Pour cet exercice, nous vous recommandons de choisir une AMI Amazon Linux ou une AMI Windows .
  5. Sur la page Choisir un type d’instance , vous pouvez sélectionner la configuration matérielle et la taille de l’instance à lancer. Par défaut, l’Assistant sélectionne le premier type d’instance disponible en fonction de l’AMI que vous avez sélectionnée. Vous pouvez laisser la sélection par défaut, puis choisir Suivant : Configurer les détails de l’instance.
  6. Dans la page Configurer les détails de l’instance , sélectionnez le VPC que vous avez créé dans la liste Réseau et le sous-réseau dans la liste Sous-réseau . Laissez le reste des paramètres par défaut et passez par les pages suivantes de l’Assistant jusqu’à ce que vous arriviez à la page Instance de balise.
  7. Sur la page Tag Instance , vous pouvez marquer votre instance avec une balise Name ; par exemple, Name = MyWebServer. Cela vous aide à identifier votre instance dans la console Amazon EC2 après l’avoir lancée. Choisissez Suivant : Configurer le groupe de sécurité lorsque vous avez terminé.
  8. Sur la page Configurer un groupe de sécurité , l’Assistant définit automatiquement le groupe de sécurité launch-wizard-x pour vous permettre de vous connecter à votre instance. Choisissez plutôt l’option Sélectionner un groupe de sécurité existant, sélectionnez le groupe WebServersG que vous avez créé précédemment, puis choisissez Réviser et Lancer.
  9. Sur la page Vérifier le lancement de l’instance , vérifiez les détails de votre instance, puis choisissez Lancer .
  10. Dans la boîte de dialogue Sélectionner une paire de clés existanteou créer une paire de clés, vous pouvez choisir une paire de clés existante ou en créer une nouvelle. Si vous créez une nouvelle paire de clés, assurez-vous de télécharger le fichier et de le stocker dans un emplacement sécurisé. Vous aurez besoin du contenu de la clé privée pour vous connecter à votre instance après son lancement. Pour lancer votre instance, activez la case à cocher Accusé de réception, puis choisissez Lancer les instances.
  11. Sur la page de confirmation, choisissez Afficher les instances pour afficher votre instance sur la page Instances . Sélectionnez votre instance et affichez ses détails dans l’onglet Description . Le champ IP privé affiche l’adresse IP privée attribuée à votre instance à partir de la plage d’adresses IP de votre sous-réseau.

Étape 4 : Attribuer une adresse IP élastique à votre instance

À l’étape précédente, vous avez lancé votre instance dans un sous-réseau public - un sous-réseau qui a un itinéraire vers une passerelle Internet. Toutefois, l’instance de votre sous-réseau a également besoin d’une adresse IP publique pour pouvoir communiquer avec Internet. Par défaut, une instance d’un VPC autre que par défaut n’est pas affectée d’adresse IP publique. Dans cette étape, vous allez allouer une adresse IP Elastic à votre compte, puis l’associer à votre instance. Pour plus d’informations sur les adresses IP Elastic, reportez-vous à la section Adresses IP élastiques.

Le diagramme suivant représente l’architecture de votre VPC une fois cette étape terminée.

netscaler-and-amazon-aws-08

Pour allouer et affecter une adresse IP Elastic

  1. Ouvrez la console Amazon VPC à l’adresse https://console.aws.amazon.com/vpc/.
  2. Dans le volet de navigation, choisissez Elastic IP.
  3. Choisissez Allouer une nouvelle adresse, puis Oui, Allouer.

    Remarque :

    Si votre compte prend en charge EC2-Classic, sélectionnez d’abord EC2-VPC dans la liste Plateforme réseau.

  4. Sélectionnez l’ adresse IP élastique dans la liste, choisissez Actions , puis Associer Address .
  5. Dans la boîte de dialogue, choisissez Instance dans la liste Associer avec , puis sélectionnez votre instance dans la liste Instance . Sélectionnez Oui, Associer lorsque vous avez terminé.

Votre instance est désormais accessible depuis Internet. Vous pouvez vous connecter à votre instance via son adresse IP Elastic en utilisant SSH ou Remote Desktop à partir de votre réseau domestique. Pour plus d’informations sur la connexion à une instance Linux, reportez-vousConnexion à votre instance Linuxau manuel Amazon EC2 User Guide for Linux Instances. Pour plus d’informations sur la connexion à une instance Windows, reportez-vousSe connecter à votre instance Windows à l’aide de RDPau manuel Amazon EC2 User Guide for Windows Instances.

Ceci termine l’exercice ; vous pouvez choisir de continuer à utiliser votre instance dans votre VPC, ou si vous n’en avez pas besoin, vous pouvez la résilier et libérer son adresse IP Elastic pour éviter d’engager des frais pour eux. Vous pouvez également supprimer votre VPC — notez que vous n’êtes pas facturé pour les composants VPC et VPC créés dans cet exercice (tels que les sous-réseaux et les tables de routage).


Configurer Unified Gateway pour Citrix Virtual Apps and Desktops

Accédez à la console d’administration de votre Citrix ADC.

Connectez-vous à Citrix ADC à l’aide de nsroot et de l’ID d’instance attribué par AWS au cours du processus de génération.

Installer le certificat SSL :

  1. Accédez à Gestion du trafic — SSL. Cliquez avec le bouton droit de la souris et activez cette fonctionnalité.
  2. Importer un certificat SSL une paire de clés.

Installer le certificat SSL :

  1. Développez Citrix Gateway et sélectionnez Serveurs virtuels.
  2. Cliquez sur Ajouter.

    Entrez un nom pour la passerelle et l’adresse IP qui se trouvent dans le sous-réseau public que vous avez attribué au cours du processus de génération Citrix ADC.

    NOTE :

    Notez cette adresse IP comme nous en avons besoin lors de l’allocation des adresses IP élastiques plus tard.

  3. Cliquez sur OK, puis sur Aucun certificat de serveur, puis sélectionnez le certificat que vous avez importé précédemment. Cliquez sur Liaison.
  4. Cliquez sur OK et Terminé , et à ce stade, vous devriez afficher un Citrix Gateway dans un état « Up ».

Pour configurer Unified Gateway, reportez-vous à la section https://support.citrix.com/article/CTX205485.

Fournir un accès externe à l’instance Unified Gateway :

  1. Connectez-vous à votre portail AWS sur aws.amazon.com et accédez à vos instances.
  2. Cliquez avec le bouton droit sur votre Citrix ADC, sélectionnez Mise en réseau , puis Gérer les adresses IP privées .

    netscaler-and-amazon-aws-09

  3. Cliquez sur Affecter une nouvelle adresse IP sur l’interface sur laquelle vous souhaitez exécuter Citrix ADC Gateway.
  4. Affectez l’adresse IP, assurez-vous d’utiliser la même adresse que vous avez attribuée à votre Citrix ADC Gateway.

    netscaler-and-amazon-aws-10

  5. Cliquez sur Oui Mettre à jour. Cela affectera la nouvelle adresse IP à l’instance au niveau AWS. Vous pouvez maintenant attribuer une nouvelle adresse IP Elastic à cette adresse IP privée.
  6. Accédez à Network and Security et Elastic IP.
  7. Cliquez sur Allouer une nouvelle adresse, lorsque vous y êtes invité : sélectionnez Ouipour obtenir une nouvelle adresse IP.

    netscaler-and-amazon-aws-11

  8. Sélectionnez l’adresse dans la liste et sélectionnez Adresse associée.

    netscaler-and-amazon-aws-12

  9. Sélectionnez l’instance Citrix ADC que vous avez créée précédemment dans la liste des instances. Une fois cette option sélectionnée, vous pourrez sélectionner l’adresse IP que vous avez affectée statiquement à l’instance (la même adresse que votre Citrix Gateway) et sélectionner Associer.

    netscaler-and-amazon-aws-13

  10. Pointez votre enregistrement de nom DNS sur l’adresse IP élastique que vous a attribuée Amazon.
  11. Connectez-vous à votre Citrix Gateway.

Équilibrage de charge haute disponibilité pour StoreFront

S’il vous plaît voirEtapes de configuration de Citrix.


Configurer GSLB dans deux emplacements AWS

La configuration de GSLB pour Citrix ADC sur AWS consiste en grande partie à configurer Citrix ADC pour équilibrer la charge du trafic vers les serveurs situés en dehors du VPC auquel appartient Citrix ADC, par exemple dans un autre VPC dans une région de disponibilité différente ou un centre de données local, etc.

netscaler-and-amazon-aws-14


Services basés sur le nom de domaine (GSLB DBS) avec équilibreurs de charge cloud

Vue d’ensemble GSLB et DBS

La prise en charge de Citrix ADC GSLB à l’aide de DBS (Domain Based Services) pour les équilibreurs de charge cloud permet la découverte automatique des services cloud dynamiques à l’aide d’une solution d’équilibrage de charge cloud. Cette configuration permet à Citrix ADC d’implémenter les services GSLB (Global Server Load Balancing Domain-Name Based Services) dans un environnement Active-Active. DBS permet la mise à l’échelle des ressources back-end dans les environnements AWS et Microsoft Azure à partir de la découverte DNS.

Cette section couvre les intégrations entre Citrix ADC dans les environnements AWS et Azure Auto Scaling. La dernière section du document décrit en détail la possibilité de configurer une paire HA de Citrix ADC couvrant deux zones de disponibilité (AZs) différentes spécifiques à une région AWS.

Conditions préalables

Les conditions requises pour les groupes de services Citrix ADC GSLB comprennent un environnement AWS et Microsoft Azure fonctionnel qui possède les connaissances et la capacité de configurer des groupes de sécurité, des serveurs Web Linux, des Citrix ADC au sein d’AWS, des IP Elastic et des équilibreurs de charge Elastic.

L’intégration du service GSLB DBS nécessite Citrix ADC version 12.0.57 pour les instances d’équilibrage de charge AWS ELB et Microsoft Azure ALB.

Améliorations des fonctionnalités du groupe de services Citrix ADC GSLB

Entité Groupe de services GSLB : Citrix ADC version 12.0.57

GSLB Service Group prend en charge Autoscale à l’aide de la découverte dynamique BDS.

Les composants de fonctionnalités DBS (service basé sur le domaine) doivent être liés au groupe de services GSLB

Exemple :

> add server sydney_server LB-Sydney-xxxxxxxxxx.ap-southeast-2.elb.amazonaws.com
> add gslb serviceGroup sydney_sg HTTP -autoScale DNS -siteName sydney
> bind gslb serviceGroup sydney_sg sydney_server 80

Services basés sur les noms de domaine — AWS ELB

GLSB DBS utilise le nom de domaine complet de votre Elastic Load Balancer pour actualiser dynamiquement les groupes de services GSLB afin d’inclure les serveurs principaux créés et supprimés dans AWS. Les serveurs et instances principaux d’AWS peuvent être configurés pour évoluer en fonction de la demande du réseau ou de l’utilisation du processeur. Pour configurer cette fonctionnalité, nous pointons le Citrix ADC vers notre Elastic Load Balancer pour acheminer dynamiquement vers différents serveurs dans AWS sans avoir à actualiser manuellement le Citrix ADC chaque fois qu’une instance est créée et supprimée dans AWS. La fonctionnalité DBS Citrix ADC pour les groupes de services GSLB utilise la découverte de service prenant en charge DNS pour déterminer les ressources de service membre de l’espace de noms DBS identifié dans le groupe AutoScaler.

Diagramme :

Composants AutoScale DBA Citrix ADC GSLB avec équilibreurs de charge cloud

netscaler-and-amazon-aws-15


Utiliser Citrix ADC HA dans AWS dans plusieurs zones de disponibilité

Le déploiement de Citrix ADC dans AWS dans différentes zones de disponibilité est une nouvelle fonctionnalité publiée pour Citrix ADC 12.1. Ceci est fait en attachant le Citrix ADC à une adresse IP de réseau Elastic (ENI).

citrix-adc-ha-in-aws-01

La façon dont la solution fonctionne est légèrement différente des autres, car elle nécessite la configuration de l’HA sur le VPX et une configuration réseau indépendante. Cette solution utilise une nouvelle fonctionnalité de l’ensemble d’adresses IP pour le serveur virtuel de maintenir le basculement sur incident.

Pour commencer, vous devez vous connecter à Citrix ADC et définir ou gérer une adresse réseau côté serveur, une adresse côté client, ainsi que le routage vers les deux.

citrix-adc-ha-in-aws-03

Dans la console AWS, le premier VPX a été configuré avec une adresse IP élastique.

citrix-adc-ha-in-aws-04

En entrant dans l’interface élastique, la première chose à faire fonctionner la solution est d’associer cette IP élastique à l’adresse privée existante sur cette interface.

citrix-adc-ha-in-aws-06

citrix-adc-ha-in-aws-07

Une fois cette association effectuée, vous êtes prêt à effectuer le basculement.

citrix-adc-ha-in-aws-08

En bas, il devrait y avoir une deuxième IP élastique maintenant sur le VPX.

citrix-adc-ha-in-aws-09

Rendez-vous donc sur le VPX pour lancer un basculement et revenez dans la console AWS. Cette fois, en regardant les adresses IP élastiques appartenant au premier Citrix ADC, remarquez que le nouvel EIP n’est pas là, car il a maintenant été déplacé vers le deuxième Citrix ADC.

citrix-adc-ha-in-aws-11

citrix-adc-ha-in-aws-12

Pour vérifier cela, entrez une commande show node sur le premier et le deuxième Citrix ADC pour voir que le second Citrix ADC est maintenant configuré dans un état principal comme avant il était en veille .

citrix-adc-ha-in-aws-13.1

Maintenant, vous pouvez regarder le flux de trafic en temps réel.

citrix-adc-ha-in-aws-14

Vous pouvez envoyer une demande au VIP après le basculement. Si vous effectuez une statistique sur le serveur virtuel LB sur le Citrix ADC qui a été actif pour la première fois, remarquez qu’aucune requête n’est touchée. Si vous exécutez la même commande sur l’ancienne instance de secours, maintenant active Citrix ADC, vous pouvez voir qu’il y a un accès sur le serveur virtuel. Après la transition HA, le trafic est allé au nouveau Citrix ADC.

citrix-adc-ha-in-aws-15

Maintenant, si vous voulez faire un débogage ou voir quel est l’état actuel, vous pouvez passer à l’interpréteur de commandes et rechercher les enregistrements pour vous montrer quand le basculement HA s’est produit, ainsi que lorsque l’appel de configuration ou d’API AWS a été effectué pour balancer tous les EIP du principal serveur Citrix ADC au secondaire.

citrix-adc-ha-in-aws-16


Configurer les composants AWS

Groupes de sécurité

Remarque :

La recommandation devrait être de créer différents groupes de sécurité pour ELB, Citrix ADC GSLB Instance et Linux, car l’ensemble de règles requis pour chacune de ces entités sera différent. Cet exemple comporte une configuration consolidée du groupe de sécurité par souci de brièveté.

Consultez la documentation AWS Security Group pour garantir la configuration correcte du pare-feu virtuel :

https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#VPCSecurityGroups

Étape 1 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à NETWORK & SECURITY > Groupes de sécurité.

netscaler-and-amazon-aws-16

Étape 2 :

Cliquez sur Créer un groupe de sécurité et fournissez un nom et une description. Ce groupe de sécurité comprend les serveurs Web principaux Citrix ADC et Linux.

netscaler-and-amazon-aws-17

Étape 3 :

Ajoutez les règles de port entrant à partir de la capture d’écran ci-dessous.

Remarque :

La limitation de l’accès IP source est recommandée pour le durcissement granulaire.

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-web-server

netscaler-and-amazon-aws-18

Services Web back-end Amazon Linux

Étape 4 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à Instances.

netscaler-and-amazon-aws-19

Étape 5 :

Cliquez sur Lancer l’instance en utilisant les détails ci-dessous, configurez l’instance Amazon Linux .

Renseignez les détails sur la configuration d’un serveur Web ou d’un service principal sur cette instance.

netscaler-and-amazon-aws-20

Configuration de Citrix ADC

Étape 6 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à Instances.

netscaler-and-amazon-aws-21

Étape 7 :

Cliquez sur Lancer l’instance en utilisant les détails ci-dessous, configurez l’instance Amazon AMI .

netscaler-and-amazon-aws-22

Configuration IP élastique

Remarque :

Citrix ADC peut également être exécuté avec une seule IP élastique si nécessaire pour réduire les coûts, en n’ayant pas d’IP publique pour le NSIP. Au lieu de cela attacher une IP élastique à SNIP qui peut couvrir pour l’accès de gestion à la boîte, ainsi que l’IP du site GSLB et l’IP ADNS.

Étape 8 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à NETWORK & SECURITY , puis configurez les adresses IP Elastic .

Cliquez sur Allouer une nouvelle adresse pour créer une adresse IP élastique.

Configurez l’adresse IP Elastic pour pointer vers votre instance Citrix ADC en cours d’exécution au sein d’AWS.

Configurez une deuxième IP Elastic et pointez-la de nouveau vers votre instance Citrix ADC en cours d’exécution.

netscaler-and-amazon-aws-23

Équilibreur de charge élastique

Étape 9 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à LOAD BALANCING, puis Load Balancers.

netscaler-and-amazon-aws-24

Étape 10 :

Cliquez sur Créer un équilibreur de charge pour configurer un équilibreur de charge classique

Vos équilibreurs de charge élastiques vous permettent d’équilibrer la charge de vos instances Amazon Linux principales tout en étant en mesure d’équilibrer la charge des instances supplémentaires qui sont réorientées en fonction de la demande.

netscaler-and-amazon-aws-25

Configuration des services basés sur le nom de domaine de l’équilibrage de charge serveur global

Configurations de gestion du trafic

Remarque :

Il est nécessaire de configurer Citrix ADC avec un serveur de noms ou un serveur virtuel DNS via lequel les domaines ELB/ALB seront résolus pour les groupes de services DBS.

https://developer-docs.citrix.com/projects/netscaler-command-reference/en/12.0/dns/dns-nameserver/dns-nameserver/

Étape 1 :

Accédez à Gestion du trafic > Équilibrage de charge > Serveurs.

netscaler-and-amazon-aws-26

Étape 2 :

Cliquez sur Ajouter pour créer un serveur, fournissez un nom et un nom de domaine complet correspondant à l’enregistrement A (nom de domaine) dans AWS pour Elastic Load Balancer (ELB).

Répétez l’étape 2 pour ajouter le deuxième ELB à partir du deuxième emplacement de ressource dans AWS.

netscaler-and-amazon-aws-27

Configurations GSLB

Étape 1 :

Accédez à Gestion du trafic > GSLB > Sites.

netscaler-and-amazon-aws-28

Étape 3 :

Cliquez sur le bouton Ajouter pour configurer un site GSLB.

Nommez le site. Le type est configuré comme Remote ou Local en fonction de quel Citrix ADC vous configurez le site. L’adresse IP du site est l’adresse IP du site GSLB. Le site GSLB utilise cette adresse IP pour communiquer avec les autres sites GSLB. L’adresse IP publique est requise lors de l’utilisation d’un service cloud où une adresse IP particulière est hébergée sur un pare-feu externe ou un périphérique NAT. Le site doit être configuré en tant que site parent. Assurez-vous que les moniteurs de déclenchement sont réglés sur ALWAYS et veillez à cocher les trois cases en bas pour l’échange de métriques, l’échange de métriques réseau et l’échange d’entrées de session de persistance.

netscaler-and-amazon-aws-29

La recommandation consiste à définir le paramètre du moniteur Trigger sur MEPDOWN. Pour plus d’informations, reportez-vous à la section Configurer un groupe de services GSLB.

Étape 4 :

Vous trouverez ci-dessous une capture d’écran de nos configurations AWS, montrant où vous pouvez trouver l’adresse IP du site et l’adresse IP publique. Ils se trouvent sous Network & Security > Elastic IPs.

Cliquez sur Créer, répétez les étapes 3 et 4 pour configurer le site GSLB pour l’autre emplacement de ressource dans Azure (cela peut être configuré sur le même Citrix ADC)

netscaler-and-amazon-aws-30

Étape 5 :

Accédez à Gestion du trafic > GSLB > Groupes de services.

netscaler-and-amazon-aws-31

Étape 6 :

Cliquez sur Ajouter pour ajouter un nouveau groupe de services. Nommez le groupe de services, utilisez le protocole HTTP, puis sous Nom du site, choisissez le site correspondant qui a été créé lors des étapes précédentes. Assurez-vous de configurer le mode AutoScale en tant que DNS et cochez les cases État et Contrôle de l’intégrité.

Cliquez sur OK pour créer le groupe de services.

netscaler-and-amazon-aws-32

Étape 7 :

Cliquez sur Membres du groupe de services et sélectionnez Basé sur serveur. Sélectionnez le service Elastic Load Balancing Serve correspondant qui a été configuré au début du guide d’exécution. Configurez le trafic pour passer par le port 80.

Cliquez sur Créer.

netscaler-and-amazon-aws-33

Étape 8 :

La liaison de membre du groupe de services doit être remplie avec deux instances qu’il reçoit de l’Elastic Load Balancer.

Répétez les étapes pour configurer le groupe de services pour le deuxième emplacement de ressource dans AWS. (Cela peut être fait à partir du même emplacement).

netscaler-and-amazon-aws-34

Étape 9 :

Accédez à Gestion du trafic > GSLB > Serveurs virtuels.

Cliquez sur Ajouter pour créer le serveur virtuel. Nommez le serveur, le type d’enregistrement DNS est défini comme A, le type de service est défini comme HTTP et cochez les cases Activer après la création et la journalisation AppFlow. Cliquez sur OK pour créer le serveur virtuel GSLB. (interface graphique de Citrix ADC)

netscaler-and-amazon-aws-35

Étape 10 :

Lorsque le serveur virtuel GSLB est créé, cliquez sur Aucune liaison GSLB ServiceGroup ServiceGroup.

Cliquez sur Ajouter pour créer le serveur virtuel. Nommez le serveur, le type d’enregistrement DNS est défini comme A, le type de service est défini comme HTTP et cochez les cases Activer après la création et la journalisation AppFlow. Cliquez sur OK pour créer le serveur virtuel GSLB. (interface graphique de Citrix ADC)

netscaler-and-amazon-aws-36

Étape 11 :

Sous Liaison ServiceGroup, utilisez Sélectionner le nom du groupe de services pour sélectionner et ajouter les groupes de services créés lors des étapes précédentes.

netscaler-and-amazon-aws-37

Étape 12 :

Configurez ensuite la liaison de domaine de serveur virtuel GSLB en cliquant sur Aucune liaison de domaine de serveur virtuel GSLB. Configurez le nom de domaine complet et la liaison, les autres paramètres peuvent être laissés comme valeurs par défaut.

netscaler-and-amazon-aws-38

Étape 13 :

Configurez le service ADNS en cliquant sur Aucun service. Ajoutez un nom de service, cliquez sur Nouveau serveur et entrez l’adresse IP du serveur ADNS.

En outre, si votre ADN est déjà configuré, vous pouvez sélectionner Serveur existant , puis choisir votre ADNS dans le menu. Assurez-vous que le protocole est ADNS et que le trafic est sur le port 53.

Configurer la méthode comme LEASTCONNECTION et la méthode de sauvegarde comme ROUNDROBIN

netscaler-and-amazon-aws-39


Mise à l’échelle automatique du back-end Citrix ADC avec AWS

AWS inclut une fonctionnalité appelée Auto Scaling qui active des instances supplémentaires exécutées dans AWS en fonction des règles définies par l’administrateur. Ces règles sont définies par l’utilisation du processeur et tournent autour de la création et de la suppression d’instances à la demande. Citrix ADC s’intègre directement à la solution AWS Auto Scaling, ce qui rend Citrix ADC conscient de tous les serveurs back-end disponibles qu’il peut équilibrer la charge. La limitation de cette fonctionnalité est qu’elle ne fonctionne actuellement qu’au sein d’un seul AZ dans AWS.

Configurer les composants AWS

Étape 1 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à AUTO SCALING > Lancer la configuration. Cliquez sur Créer une configuration de lancement.

netscaler-and-amazon-aws-40

Étape 2 :

À partir de cette étape, vous pouvez choisir le type de serveur de votre choix. C’est là que vous configurez les machines virtuelles que vous souhaitez effectuer une mise à l’échelle automatique. Pour cet exemple, nous devons choisir Amazon Linux AMI.

netscaler-and-amazon-aws-41

Étape 3 :

Choisissez le type d’instance dont vous avez besoin en sélectionnant une variance potentielle pour les ressources back-end. Nommez votre instance pour le reste du runguide. Le nom de l’instance est connu sous le nom de serveur principal. Configurez le stockage pour l’instance et ajoutez-le à un groupe de sécurité, ou créez un nouveau groupe de sécurité qui englobe tous les composants AWS créés dans ce guide d’exécution.

netscaler-and-amazon-aws-42

Étape 4 :

Une note supplémentaire pour votre groupe de sécurité. Pour ce runguide, les ports ouverts suivants :

netscaler-and-amazon-aws-43


Groupes et stratégies de mise à l’échelle automatique du back-end Citrix ADC

Configurer Citrix ADC frontal Auto Scaling dans AWS :

Étape 1 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à AUTO SCALING > Auto Scaling Group.

Cliquez sur le bouton Radio pour créer un groupe Auto Scaling à partir d’une configuration de lancement existante. Assurez-vous de sélectionner le BackEndServer que nous avons créé à l’étape précédente du guide de laboratoire.

Sous Créer un groupe Auto Scaling , ajoutez le nom du groupe, choisissez la taille initiale du groupe, choisissez Réseau et sous-réseau , puis cliquez sur Suivant .

Remarque :

Le sous-réseau doit être accessible à partir de l’adresse IP du sous-réseau (SNIP) de Citrix ADC.

netscaler-and-amazon-aws-44

Étape 2 :

Sur la page de configuration Créer un groupe Auto Scaling, configurez vos stratégies de mise à l’échelle. Pour ce faire, cliquez sur le bouton radio permettant d’utiliser les stratégies de mise à l’échelle pour ajuster la capacité de ce groupe. Ensuite, cliquez sur Mise à l’échelle du groupe Auto Scaling à l’aide de stratégies de mise à l’échelle simple ou étape.

netscaler-and-amazon-aws-45

Étape 3 :

Sélectionnez Ajouter une nouvelle alarme.

netscaler-and-amazon-aws-46

Étape 4 :

Pendant que vous créez l’alarme, configurez pour envoyer une notification à votre Citrix ADC. Configurez l’alarme de sorte que la moyenne d’utilisation du processeur soit > = 70 pendant au moins une période consécutive de 5 minutes. Appliquez la stratégie.

netscaler-and-amazon-aws-47

Étape 5 :

Configurez dans votre groupe Auto Scaling pour ajouter une instance lorsque la stratégie est déclenchée.

netscaler-and-amazon-aws-48

Étape 6 :

Configurez la même alarme et la même stratégie, mais cette fois pour supprimer un serveur principal lorsque le processeur moyenne est < = 30 pendant 5 minutes. Définissez la réduction de la taille du groupe sur Supprimer une instance lorsque la stratégie de diminution est déclenchée.

Remarque :

Pour la suppression de serveurs, nous informons Citrix ADC de ne pas envoyer de trafic à un serveur principal marqué pour suppression.

Cliquez sur Configurer les notifications et Configurer les balises pour consulter et créer le groupe Auto Scaling.

Remarque :

Les variables Min et Max peuvent être configurées pour définir le nombre le plus faible et le plus élevé d’instances qui seront créées et exécutées au sein du groupe Auto Scaling. Actuellement, AWS prend en charge la rotation d’instances supplémentaires avec une seule interface réseau.

Créer un Citrix ADC dans AWS

Étape 1 :

Connectez-vous à votre groupe de ressources AWS et accédez à EC2. Dans EC2, accédez à Instances > Instances.

netscaler-and-amazon-aws-49

Étape 2 :

Accédez à AWS Marketplace sur la gauche, puis recherchez Citrix ADC. Choisissez Citrix Networking VPX — Licence client. Assurez-vous que votre numéro de version est 12.0.51.x pour utiliser Auto Scaling. Vous pouvez sélectionner les versions précédentes pour choisir une version de Citrix ADC prenant en charge Auto Scaling.

netscaler-and-amazon-aws-50

Étape 3 :

Accédez à AWS Marketplace sur la gauche, puis recherchez Citrix ADC. Choisissez Citrix Networking VPX — Licence client. Assurez-vous que votre numéro de version est 12.0.51.x pour utiliser Auto Scaling. Vous pouvez sélectionner les versions précédentes pour choisir une version de Citrix ADC prenant en charge Auto Scaling.

Choisissez le type d’instance, par exemple General Purpose m4.xlarge 4vCPU et 16gb RAM. Cliquez sur Suivant.

Étape 4 :

Sous l’onglet Configurer les détails de l’instance , sélectionnez le sous-réseau (trois sous-réseaux doivent éventuellement être configurés pour NSIP, SNIP et VIP/passerelle). En outre, vous devez ajouter un rôle IAM. Cliquez pour créer un nouveau rôle IAM. Ajoutez les rôles IAM qui se trouvent à l’étape suivante. Une fois ce rôle créé, vous devez l’ajouter à votre profil Cloud sur votre Citrix ADC.

Étape 5 :

Les configurations pour le profil Cloud sont les suivantes :

Par défaut, le modèle CloudFormation crée et joint le rôle IAM ci-dessous

 "Version": "2012-10-17",
 "Statement": [
    {
        "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DetachNetworkInterface",
        "ec2:AttachNetworkInterface",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances",
        "autoscaling:\*",
        "sns:\*",
        "sqs:\*"
        "iam: SimulatePrincipalPolicy"
        "iam: GetRole"
        ],
        "Resource": "\*",
        "Effect": "Allow"
    }
 ]
}

Étape 6 :

Cliquez sur l’option Ajouter un stockage . Sous l’onglet Ajouter des balises , définissez la valeur de clé comme Nom et la valeur comme Citrix ADC-AutoScale pour marquer ces ressources EC2.

Étape 7 :

Sous l’onglet Configurer le groupe de sécurité , créez un nouveau groupe de sécurité avec les ports requis suivants :

Vérifiez et lancez l’instance.

netscaler-and-amazon-aws-51

Étape 8 :

Accédez à NETWORK & SECURITY > Interfaces réseau , puis cliquez sur Créer une interface réseau .

Ajoutez une description, puis sélectionnez un sous-réseau. Ce sous-réseau est utilisé pour votre SNIP, il doit donc être placé sur un sous-réseau du réseau interne. En outre, choisissez le groupe de sécurité créé à l’étape précédente. Cliquez sur Oui, Créer.

netscaler-and-amazon-aws-52

Ajoutez une interface réseau supplémentaire. Il s’agit d’un sous-réseau public pour votre Gateway/LB VIP. Créez une description et choisissez le groupe de sécurité configuré ci-dessus.

netscaler-and-amazon-aws-53

Étape 9 :

Revenez à Instances et sélectionnez votre Citrix ADC. Pour ajouter les interfaces réseau à Citrix ADC, l’instance doit être arrêtée. Dans la liste Actions , sélectionnez État de l’instance , puis cliquez sur Arrêter .

Cliquez de nouveau sur le bouton Actions et accédez à Mise en réseau et connexion de l’interface réseau .

netscaler-and-amazon-aws-54

L’interface NSIP est déjà attachée à la machine virtuelle, l’interface suivante à ajouter doit être la LB-VIP, suivie de l’ajout de l’interface serveur/interne pour le SNIP. Une fois les interfaces réseau attachées, l’instance peut être démarrée.

Configurez une nouvelle IP Elastic et associez-la à votre interface NSIP.

Configurer Citrix ADC pour qu’il s’intègre à AWS Auto Scaling

Étape 1 :

Accédez à l’adresse IP Elastic que vous avez associée au NSIP à l’étape précédente de ce guide de laboratoire pour accéder à la console Citrix ADC Management.

La première étape de configuration de Citrix ADC consiste à attacher un profil Cloud. Cliquez sur AWS , puis sur Cloud Profile . Cliquez ensuite sur Ajouter pour créer un profil Cloud.

Indiquez un nom pour le profil cloud. L’adresse IP du serveur virtuel doit être renseignée et corrélée avec une adresse IP interne sur votre serveur Citrix ADC. Le groupe Auto Scale est celui que vous avez créé lors des étapes précédentes de ce guide de laboratoire. Sélectionnez Graceful, cela permet de supprimer un délai d’attente pour les instances back-end, ce qui permet à tous les transferts de paquets de se terminer et de ne pas interrompre les sessions pendant la période de grâce. Le délai de la période de grâce peut être ajusté.

netscaler-and-amazon-aws-55


Configurer Citrix ADC frontal Auto Scaling dans AWS

  1. Pour créer le groupe Auto Scaling, connectez-vous à Citrix ADM.

  2. Accédez à Networks > AutoScale Groups, puis cliquez sur Addpour créer le nom du groupe.

    frontend-autoscale-group-01

  3. Dans le paramètre Site , cliquez sur Ajouter .

    frontend-autoscale-group-02

Créer un profil d’accès au cloud

  1. Lors de la création d’un site, ajoutez AWSdans le profil d’accès au cloud.

    frontend-autoscale-group-03

  2. Nommez le profil et connectez-vous à votre portail AWS. Recherchez le service de gestion des identités et des accès (IAM) pour gérer les clés d’accès utilisateur et de chiffrement.

    frontend-autoscale-group-04

  3. Dans le tableau de bord IAM, sélectionnez Rôlesdans le panneau de gauche et recherchez le rôle Citrix ADM correspondant.

    frontend-autoscale-group-05

  4. Copiez l’ ARN de rôle dans le Presse-papiers.

    frontend-autoscale-group-06

  5. Après avoir copié le nom, revenez à la console Citrix ADM et collez le nom dans le champ de texte ARN de rôle .

  6. Pour obtenir l’ID externe, revenez au tableau de bord Rôles AWS, accédez à l’onglet Relations d’approbation et copiez la valeur à partir des Conditions .

    frontend-autoscale-group-07

  7. Dans la console Citrix ADM, collez la valeur dans le champ ID externe et cliquez sur Créer .

    frontend-autoscale-group-08

  8. Sélectionnez la région, puis choisissez le réseau VPC approprié.

    frontend-autoscale-group-09

  9. Déplacez l’agent de Disponible à Configuré .

    frontend-autoscale-group-10

  10. Sélectionnez le profil d’accès Cloudcorrespondant.

    frontend-autoscale-group-11

    frontend-autoscale-group-12

  11. Une fois chargées, déplacez les zones de disponibilité de Disponible à Configuré et ajoutez les balises correspondantes au groupe AutoScale . Sélectionnez Suivant pour commencer à définir les paramètres Autoscale.

    frontend-autoscale-group-13

Définir les paramètres AutoScale

  1. Lorsque vous définissez les paramètres AutoScale, ajustez les seuils et paramètres aux paramètres souhaités. Cliquez ensuite sur Suivant pour commencer à configurer les paramètres Paramètres de provisioning .

    frontend-autoscale-group-14

  2. Dans la section Paramètres de mise à disposition, sélectionnez le rôle dans le champ Rôle IAM.

    frontend-autoscale-group-15

  3. Sélectionnez le produit et l’édition Citrix ADC appropriés.

    frontend-autoscale-group-16

  4. Rassemblez l’ID Amazon Machine Image (AMI) à partir des instances spécifiques d’AWS. Saisissez cet ID dans le champ ID de l’AMI AWS .

    frontend-autoscale-group-17

    frontend-autoscale-group-18

  5. Après avoir ajouté l’ ID AMI, mettez à jour les groupes de sécuritéavec les groupes appropriés.

    frontend-autoscale-group-19

  6. Pour démarrer les configurations des zones 1, 2 et 3, affectez les sous-réseaux de gestion, client et serveur correspondants.

    frontend-autoscale-group-20

  7. Cliquez sur Terminer pour créer la configuration de ce groupe Auto Scaling. Le processus de création peut prendre jusqu’à 10-20 minutes.

    frontend-autoscale-group-21

    frontend-autoscale-group-22

Initialiser les instances dans AWS

  1. Pendant la création du groupe Auto Scaling, ouvrez votre console AWS et accédez à l’onglet Services . Sélectionnez le service Amazon Elastic Compute Cloud (EC2) .

    frontend-autoscale-group-23

  2. Dans le tableau de bord EC2, sélectionnez l’onglet Instances et filtrez à l’aide des balises définies dans la section Groupe AutoScale.

    frontend-autoscale-group-24

  3. Une fois filtré, vous pouvez voir l’instance en attente qui est toujours en cours d’initialisation.

    frontend-autoscale-group-25

  4. Les instances doivent terminer leur initialisation après leur création.

    frontend-autoscale-group-26

Surveiller les événements du groupe Auto Scaling

  1. Après avoir créé le groupe Auto Scaling, sélectionnez votre groupe et passez au tableau de bord Groupe AutoScale .

    frontend-autoscale-group-27

  2. Filtrez des périodes spécifiques pour surveiller le groupe Auto Scaling. Pour obtenir des informations en temps réel, modifiez la période de surveillance en direct.

    frontend-autoscale-group-28

  3. Cliquez sur le point de données suivant présenté dans le graphique pour afficher les événements de groupe.

    frontend-autoscale-group-29

  4. Lorsque vous affichez les événements en direct spécifiques, vous pouvez surveiller les événements spécifiques du groupe Auto Scaling correspondant.

    frontend-autoscale-group-30

Provisionner des instances Citrix ADC VPX à l’aide du service Citrix ADM

Le service Citrix ADM est une solution basée sur le cloud qui permet de surveiller les instances de Citrix ADC et d’obtenir une visibilité sur l’intégrité, les performances et la sécurité des applications. En outre, en tirant parti de l’outil de Provisioning pour créer automatiquement des instances dans des clouds publics, tels qu’AWS, il simplifie également la gestion des instances ADC dans plusieurs emplacements, qu’elles soient sur site ou dans le cloud.

Conditions préalables

Le provisionnement d’instances Citrix ADC sur AWS à l’aide du service Citrix ADM nécessite certaines étapes qui sont résumées dans la documentation requise. Pour plus d’informations, reportez-vous à la section Provisionnement d’instances Citrix ADC VPX sur AWS.

Ces étapes incluent l’exécution des tâches suivantes sur AWS avant de provisionner des instances Citrix ADC VPX dans Citrix ADM :

  • Créer des sous-réseaux
  • Créer des groupes de sécurité
  • Créer un rôle IAM et définir une stratégie

Le rôle IAM doit être configuré avec des autorisations permettant au service Citrix ADM d’accéder au compte AWS. Après avoir tout configuré, vous pouvez tirer parti du service Citrix ADM pour provisionner les instances VPX sur AWS.

Provisionner des instances Citrix ADC VPX à l’aide du service Citrix ADM

Connectez-vous au service Citrix Cloud ADM et accédez à Réseaux > Instances > Citrix ADC. Ensuite, sous l’onglet Sélectionner une action , cliquez sur Provisionner dans le Cloud .

Provisionner le cloud

Cela vous invite à définir des informations sur l’instance que vous souhaitez mettre en service.

Plus précisément, vous devez définir ce qui suit :

  • Type d’instance : L’instance autonome est sélectionnée ici.
  • Nom : nom que vous souhaitez que l’instance adopte lorsqu’elle est provisionnée.
  • Site : Le site définit la zone ou la région dans laquelle vous allez effectuer le déploiement.
  • Agent : l’agent détermine quel agent ADM sera disponible sur le site. Cela devra être configuré avant de procéder à l’auto-provisioning. Vous devrez créer à la fois un site et un agent appartenant à ce site avant de commencer cet exercice.
  • Profil de périphérique : Profil de périphérique dont le nom d’utilisateur et le mot de passe sont « nsroot ». Une fois que Citrix ADC est provisionné par Citrix ADM, le mot de passe de l’utilisateur nsroot de l’ADC sera défini sur le mot de passe mentionné dans le profil. Plus loin, ce profil sera utilisé par Citrix ADM chaque fois qu’il doit se connecter à l’instance.
  • Tags : Balise facultative pour les instances ou le groupe d’instances.

Provisionner le cloud

Sélectionnez ensuite le profil d’accès au cloud de votre compte AWS. Il s’agit du profil que Citrix ADM utilise pour se connecter à votre compte AWS pour récupérer des entités et effectuer des opérations telles que le Provisioning et le désapprovisionnement. À l’aide de ce profil, le service Citrix ADM remplit le reste des champs avec des objets liés à votre compte.

Dans ce scénario, il existe un rôle IAM prédéfini qui est utilisé par le service Citrix ADM pour provisionner les instances VPX, mais vous pouvez créer d’autres rôles.

Profil de provision

Vous devez ensuite sélectionner l’édition de produit de l’instance VPX que vous souhaitez déployer en fonction du débit souhaité.

Remarque :

VPX Express est inclus pour que vous puissiez déployer une instance VPX sans licence.

Profil de provision

Version

Déterminez quelle version de logiciel vous souhaitez exécuter en sélectionnant la version principale et la version mineure.

Groupes de sécurité

Les groupes de sécurité doivent disposer d’autorisations prédéfinies pour accéder à différents Clouds privés virtuels (VPC). Étant donné que chaque instance nécessite trois interfaces réseau ou VNIC, vous devez appliquer trois groupes de sécurité différents au service que vous déployez, notamment :

  • Un pour la gestion à distance (rôle NSIP)
  • Un pour l’accès côté client (rôle VIP)
  • Un pour la communication côté serveur (rôle SNIP)

En outre, vous devez sélectionner le nombre nécessaire d’adresses IP requises pour l’évolutivité de cette solution.

Enfin, vous devez choisir la zone de disponibilité dans laquelle vous souhaitez que le déploiement se trouve et définir les informations de sous-réseau du VPC coïncident pour chaque sous-réseau :

  • Un pour l’interface de gestion (NSIP)
  • Un pour les clients d’accéder (VIP)
  • Un pour SNIP pour accéder aux serveurs back-end (SNIP)

Choix du produit 2

Après avoir cliqué sur Terminer, le déploiement commence. Une fois le déploiement terminé, vous recevez une notification indiquant que votre VPX est déployé.

Déploiement finalisé

Une fois le déploiement terminé, vous pouvez voir les instances Citrix ADC VPX dans Citrix ADM à toutes fins de gestion et de déploiement.

Déploiement complet

Vous pouvez ensuite accéder à la console EC2 pour voir la nouvelle instance créée avec le nom que nous avons établi dans les paramètres Citrix ADM. Il est synchronisé pour la gestion dans Citrix ADM et prêt pour le déploiement de vos applications sur Citrix ADC.

Déploiement AWS

Déploiement AWS

Pour déprovisionner ces instances, accédez au service Citrix Cloud ADM et accédez à Réseaux > Instances > Citrix ADC. Sous l’onglet Sélectionner une action , cliquez sur Déprovisionner .

Déprovisionnement AWS

Déprovisionnement AWS

Vous êtes invité à confirmer votre action. Pour continuer, sélectionnez Oui , puis tout le Provisioning est inversé.

Confirmation de désapprovisionnement AWS

Après avoir reçu une confirmation que l’instance VPX a été désapprovisionnée, vous ne voyez plus le périphérique dans la console Citrix ADM.

Confirmation de désapprovisionnement AWS 2

Confirmation de désapprovisionnement AWS 3

Plus d’informations