Guide de déploiement Citrix ADC VPX sur AWS - Reprise après sinistre

Contributeurs

Auteur : Blake Schindler, architecte de solutions

Vue d’ensemble

Citrix ADC est une solution de mise à disposition d’applications et d’équilibrage de charge qui fournit une expérience utilisateur de haute qualité pour les applications Web, traditionnelles et natives du cloud, quel que soit l’endroit où elles sont hébergées. Il est disponible dans une grande variété de formats et d’options de déploiement sans enfermer les utilisateurs dans une configuration ou un cloud unique. Les licences de capacité groupées permettent de déplacer la capacité entre les déploiements cloud.

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu applicatif dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Citrix VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud :

• Citrix Hypervisor

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) est une plateforme de cloud computing complète et évolutive fournie par Amazon qui comprend un mélange d’offres d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de progiciel en tant que service (SaaS). Les services AWS peuvent proposer des outils tels que la puissance de calcul, le stockage de base de données et les services de diffusion de contenu.

AWS propose les services essentiels suivants :

• Services de calcul AWS

• Services de migration

• Stockage

• Services de base de

• Outils de gestion

• Services de sécurité

• Analyse

• Mise en réseau

• Messagerie

• Outils pour développeurs

• Services mobiles

Terminologie AWS

Voici une brève description des principaux termes utilisés dans ce document et que les utilisateurs doivent connaître :

• Elastic Network Interface (ENI) : interface réseau virtuelle que les utilisateurs peuvent associer à une instance dans un Virtual Private Cloud (VPC).

• Adresse IP élastique (EIP) : adresse IPv4 publique statique que les utilisateurs ont allouée dans Amazon EC2 ou Amazon VPC, puis attachée à une instance. Les adresses IP Elastic sont associées à des comptes utilisateur, et non à une instance spécifique. Ils sont élastiques car les utilisateurs peuvent facilement les allouer, les attacher, les détacher et les libérer en fonction de l’évolution de leurs besoins.

• Sous-réseau : segment de la plage d’adresses IP d’un VPC auquel des instances EC2 peuvent être attachées. Les utilisateurs peuvent créer des sous-réseaux pour regrouper des instances en fonction des besoins opérationnels et de sécurité.

• Virtual Private Cloud (VPC) : service Web permettant de provisionner une section logiquement isolée du cloud AWS où les utilisateurs peuvent lancer des ressources AWS dans un réseau virtuel qu’ils définissent.

Voici une brève description des autres termes utilisés dans ce document que les utilisateurs devraient connaître :

• Amazon Machine Image (AMI) : image machine, qui fournit les informations requises pour lancer une instance, qui est un serveur virtuel dans le cloud.

• Elastic Block Store : fournit des volumes de stockage en mode bloc persistants à utiliser avec les instances Amazon EC2 dans le cloud AWS.

• Simple Storage Service (S3) : stockage pour Internet. Il est conçu pour faciliter l’informatique à l’échelle du Web pour les développeurs.

• Elastic Compute Cloud (EC2) : service Web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Il est conçu pour faciliter le cloud computing à l’échelle du Web pour les développeurs.

• Elastic Load Balancing (ELB) : répartit le trafic d’applications entrant entre plusieurs instances EC2, dans plusieurs zones de disponibilité. ELB augmente la tolérance aux pannes des applications utilisateur.

• Type d’instance : Amazon EC2 propose une large sélection de types d’instances optimisés pour s’adapter à différents cas d’utilisation. Les types d’instances comprennent différentes combinaisons de CPU, de mémoire, de stockage et de capacité réseau et offrent aux utilisateurs la flexibilité de choisir la combinaison de ressources appropriée pour leurs applications.

• Identity and Access Management (IAM) : identité AWS avec des stratégies d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Les utilisateurs peuvent utiliser un rôle IAM pour permettre aux applications exécutées sur une instance EC2 d’accéder en toute sécurité à leurs ressources AWS. Le rôle IAM est requis pour déployer des instances VPX dans une configuration haute disponibilité.

• Passerelle Internet - Connecte un réseau à Internet. Les utilisateurs peuvent acheminer le trafic pour les adresses IP en dehors de leur VPC vers la passerelle Internet.

• Paire de clés : ensemble d’informations d’identification de sécurité avec lesquelles les utilisateurs prouvent leur identité par voie électronique. Une paire de clés se compose d’une clé privée et d’une clé publique.

• Table de routage : ensemble de règles de routage qui contrôle le trafic sortant de tout sous-réseau associé à la table de routage. Les utilisateurs peuvent associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

• Auto Scaling : service Web permettant de lancer ou de résilier des instances Amazon EC2 automatiquement en fonction des stratégies, des calendriers et des bilans de santé définis par l’utilisateur.

• CloudFormation - Service permettant d’écrire ou de modifier des modèles qui créent et suppriment des ressources AWS associées ensemble en tant qu’unité.

Cas d’utilisation

Reprise après sinistre (DR)

La catastrophe est une perturbation soudaine des fonctions commerciales causée par des catastrophes naturelles ou des événements d’origine humaine. Les catastrophes affectent les opérations du datacenter, après quoi les ressources et les données perdues sur le site du sinistre doivent être entièrement reconstruites et restaurées. La perte de données ou les temps d’arrêt dans le datacenter sont critiques et réduit la continuité de l’activité.

L’un des défis auxquels les clients sont confrontés aujourd’hui est de décider où placer leur site de reprise après sinistre. Les entreprises recherchent la cohérence et les performances indépendamment des défaillances de l’infrastructure sous-jacente ou du réseau.

Les raisons possibles pour lesquelles de nombreuses entreprises décident de migrer vers le cloud sont les suivantes :

• Économie d’utilisation — Les dépenses d’investissement liées à la mise en place d’un centre de données sur site sont bien documentées et, en utilisant le cloud, ces entreprises peuvent libérer du temps et des ressources pour étendre leurs propres systèmes.

• Temps de restauration plus rapides — La plupart de l’orchestration automatisée permet une restauration en quelques minutes seulement.

• Il existe également des technologies qui aident à répliquer les données en fournissant une protection continue des données ou des instantanés continus pour se prémunir contre toute panne ou attaque.

• Enfin, dans certains cas d’utilisation, les clients ont besoin de nombreux types de contrôles de conformité et de sécurité déjà présents sur les clouds publics. Ils leur permettent d’atteindre plus facilement la conformité dont ils ont besoin plutôt que de créer leur propre solution.

Types de déploiement

Déploiement avec carte

• Déploiements types

  • Autonome

• Cas d’utilisation

  • Les clients utilisent généralement des déploiements à carte réseau unique pour déployer dans un environnement hors production, pour configurer un environnement à des fins de test ou pour préparer un nouvel environnement avant le déploiement en production.

  • Les déploiements avec une carte réseau sont également utilisés pour déployer directement dans le cloud rapidement et efficacement.

  • Les déploiements avec une carte réseau sont utilisés lorsque les clients recherchent la simplicité d’une configuration de sous-réseau unique.

Déploiement trois cartes

• Déploiements types

  • Autonome

  • Haute disponibilité

• Cas d’utilisation

  • Les déploiements à trois cartes réseau sont utilisés pour obtenir une isolation réelle des données et du trafic de gestion.

  • Les déploiements à trois cartes réseau améliorent également l’évolutivité et les performances de l’ADC.

  • Les déploiements à trois cartes réseau sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus et un déploiement à trois cartes réseau est recommandé.

Déploiement CFT

Les clients peuvent déployer à l’aide de modèles CloudFormation s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Exemple de déploiement Citrix ADC VPX sur l’architecture AWS

La figure précédente montre une topologie typique d’un AWS VPC avec un déploiement Citrix ADC VPX.

Le VPC AWS possède

1. Une passerelle Internet unique pour acheminer le trafic entrant et sortant du VPC.

2. Connectivité réseau entre la passerelle Internet et Internet.

3. Trois sous-réseaux, un pour la gestion, le client et le serveur.

4. Connectivité réseau entre la passerelle Internet et les deux sous-réseaux (gestion et client).

5. Instance autonome Citrix ADC VPX déployée au sein du VPC. L’instance VPX a trois ENI, un attaché à chaque sous-réseau.

Étapes de déploiement

Déploiement avec une carte réseau pour

L’instance Citrix ADC VPX Express est disponible en tant qu’Amazon Machine Image (AMI) sur AWS Marketplace. Le type d’instance EC2 minimum autorisé en tant qu’AMI prise en charge sur Citrix VPX est m4.large. Téléchargez et créez une instance du VPX à l’aide d’un sous-réseau VPC unique. L’instance Citrix ADC VPX nécessite un minimum de 2 processeurs virtuels et 2 Go de mémoire. La configuration initiale effectuée inclut la configuration de l’interface réseau, la configuration VIP et la configuration des fonctionnalités. Une configuration supplémentaire peut être effectuée en vous connectant à l’interface utilisateur graphique ou via SSH (nom d’utilisateur : nsroot).

La sortie de la configuration inclut :

• InstanceIDNS : ID d’instance de l’instance VPX nouvellement créée. Il s’agit du mot de passe par défaut pour l’accès GUI/ssh.

• ManagementURL - Utilisez cette URL HTTPS vers l’interface graphique de gestion (utilise un certificat auto-signé) pour vous connecter au VPX et le configurer davantage.

• ManagementUrl2 - Utilisez cette URL HTTP vers l’interface graphique de gestion (si votre navigateur rencontre des problèmes avec le certificat auto-signé) pour vous connecter au VPX.

• PublicNSIP - Utilisez cette adresse IP publique pour entrer par ssh dans l’appliance.

• PublicIPVIP - L’adresse IP publique où les applications à charge équilibrée sont accessibles.

Le VPX est déployé en mode carte réseau unique.

Les adresses IP NetScaler standard : NSIP (IP de gestion), VIP (où les applications à charge équilibrée sont accessibles) et SNIP (l’adresse IP utilisée pour envoyer le trafic vers les instances principales) sont toutes provisionnées sur la carte réseau unique et sont extraites de l’espace d’adressage (RFC1918) du sous-réseau VPC fourni. Le NSIP (RFC1918) est mappé à l’adresse IP publique de l’instance VPX et le VIP RFC1918 est mappé à une adresse IP Elastic publique.

Gestion des licences

Une instance Citrix ADC VPX sur AWS nécessite une licence.

Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur AWS :

• Gratuit (illimité)

• Horaire

• Annuel

• Apportez votre propre licence

• Essai gratuit (toutes les offres d’abonnement Citrix ADC VPX-AWS pendant 21 jours gratuits sur AWS Marketplace).

Options de déploiement

Les utilisateurs peuvent déployer une instance autonome Citrix ADC VPX sur AWS en utilisant les options suivantes

• console Web AWS

• Modèle CloudFormation créé par Citrix

• CLI AWS

Étapes de déploiement

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur AWS via la console Web AWS.

Le processus de déploiement comprend les étapes suivantes :

• Créer une paire de clés

• Créer un cloud privé virtuel (VPC)

• Créer l’instance VPX

• Création d’un sous-réseau VPC unique

• Création d’une configuration d’interface réseau

• Mapper le NSIP à l’adresse IP publique de l’instance VPX

• Associer le VIP à une adresse IP Elastic publique

• Se connecter à l’instance VPX

Créer une paire de clés

Amazon EC2 utilise une paire de clés pour chiffrer et déchiffrer les informations de connexion. Pour se connecter à une instance, les utilisateurs doivent créer une paire de clés, spécifier le nom de la paire de clés lorsqu’ils lancent l’instance et fournir la clé privée lorsqu’ils se connectent à l’instance.

Lorsque les utilisateurs examinent et lancent une instance à l’aide de l’assistant AWS Launch Instance, ils sont invités à utiliser une paire de clés existante ou à créer une nouvelle paire de clés.

Pour plus d’informations sur la création d’une paire de clés, consultez Paires de clés Amazon EC2 et instances Linux

Création d’un VPC

Une instance de VPC Citrix ADC est déployée dans un VPC AWS. Un VPC permet aux utilisateurs de définir des réseaux virtuels dédiés à leur compte AWS.

Pour plus d’informations sur AWS VPC, consultez Getting Started With IPv4 for Amazon VPC.

Lors de la création d’un VPC pour une instance Citrix ADC VPX, gardez à l’esprit les points suivants.

Utilisez l’option VPC avec un seul sous-réseau public uniquement pour créer un VPC AWS dans une zone de disponibilité AWS.

Citrix recommande aux utilisateurs de mapper les adresses NSIP et VIP créées précédemment au sous-réseau public.

Créez une instance Citrix ADC VPX à l’aide de l’AMI AWS Express

Créez une instance Citrix ADC VPX à partir de l’AMI AWS VPX Express.

Depuis le tableau de bord AWS, accédez à Compute > Launch Instance > AWS Marketplace.

Avant de cliquer surLaunch Instance, les utilisateurs doivent s’assurer que leur région est correcte en vérifiant la note qui apparaît sousLaunch Instance.

Dans la barre Rechercher AWS Marketplace, recherchez avec le mot-clé Citrix ADC VPX.

Sélectionnez la version souhaitée à déployer, puis cliquez surSélectionner.

Pour la version Citrix ADC VPX, les utilisateurs disposent des options suivantes :

• Une version sous licence

• Appliance Citrix ADC VPX Express (une appliance virtuelle gratuite, disponible auprès de Citrix ADC 12.0 56.20.)

• Apportez votre propre appareil

L’assistant de lancement d’instance démarre. Suivez l’assistant pour créer une instance.

L’assistant invite les utilisateurs à

• Choisir le type d’instance

• Configurer l’instance

• Ajouter du stockage

• Ajouter des balises

• Critique

Allocation et association d’adresses IP élastiques

Si les utilisateurs attribuent une adresse IP publique à une instance, elle ne reste attribuée que jusqu’à ce que l’instance soit arrêtée. Après cela, l’adresse est libérée dans le pool. Lorsque les utilisateurs redémarrent l’instance, une nouvelle adresse IP publique est attribuée.

En revanche, une adresse IP élastique (EIP) reste affectée jusqu’à ce que l’adresse soit dissociée d’une instance.

Allouer et associer une IP élastique pour la carte réseau de gestion.

Pour plus d’informations sur l’allocation et l’association d’adresses IP élastiques, consultez les rubriques suivantes :

• Allocation d’une adresse IP élastique

• Associer une adresse IP élastique à une instance en cours d’exécution

Ces étapes complètent la procédure de création d’une instance Citrix ADC VPX sur AWS. Cela peut prendre quelques minutes avant que l’instance soit prête. Vérifiez que l’instance a réussi ses contrôles de statut. Les utilisateurs peuvent consulter ces informations dans la colonne Status Checks de la page Instances.

Connectez-vous à l’instance VPX

Une fois que les utilisateurs ont créé l’instance VPX, ils peuvent se connecter à l’instance à l’aide de l’interface utilisateur graphique et d’un client SSH.

Connexion à l’interface

Voici les informations d’identification d’administrateur par défaut pour accéder à une instance Citrix ADC VPX

• Nom d’utilisateur : nsroot

• Mot de passe : le mot de passe par défaut du nsroot compte est défini sur l’ID d’instance AWS de l’instance Citrix ADC VPX.

Connexion client SSH

Dans la console de gestion AWS, sélectionnez l’instance Citrix ADC VPX et cliquez surConnect. Suivez les instructions données sur la pageConnect to Your Instance.

Pour plus d’informations sur la façon de déployer une instance autonome Citrix ADC VPX sur AWS à l’aide de la console Web AWS, consultez

• Scénario : instance autonome

• Configurer l’instance autonome Citrix ADC VPX sur AWS à l’aide de CFT

Déploiement à trois cartes réseau pour

L’instance Citrix ADC VPX est disponible en tant qu’Amazon Machine Image (AMI) sur AWS Marketplace, et elle peut être lancée en tant qu’instance Elastic Compute Cloud (EC2) au sein d’un AWS VPC. Le type d’instance EC2 minimum autorisé en tant qu’AMI prise en charge sur Citrix VPX est m4.large. L’instance AMI Citrix ADC VPX nécessite au moins 2 processeurs virtuels et 2 Go de mémoire. Une instance EC2 lancée dans un VPC AWS peut également fournir les multiples interfaces, plusieurs adresses IP par interface et les adresses IP publiques et privées nécessaires à la configuration VPX.

Chaque instance VPX nécessite au moins trois sous-réseaux IP

• Un sous-réseau de gestion

• Un sous-réseau orienté client (VIP)

• Un sous-réseau orienté vers le back-end (SNIP)

Citrix recommande trois interfaces réseau pour une instance VPX standard sur l’installation AWS.

AWS rend actuellement la fonctionnalité multi-IP disponible uniquement pour les instances exécutées au sein d’un VPC AWS. Une instance VPX dans un VPC peut être utilisée pour équilibrer la charge des serveurs exécutant dans des instances EC2. Un Amazon VPC permet aux utilisateurs de créer et de contrôler un environnement réseau virtuel, y compris leur propre plage d’adresses IP, des sous-réseaux, des tables de routage et des passerelles réseau.

Remarque :

Par défaut, les utilisateurs peuvent créer jusqu’à 5 instances VPC par région AWS pour chaque compte AWS. Les utilisateurs peuvent demander des limites de VPC plus élevées en soumettant le formulaire de demande d’ Amazon : Amazon VPC Request

Gestion des licences

Une instance Citrix ADC VPX sur AWS nécessite une licence.

Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur AWS

• Gratuit (illimité)

• Horaire

• Annuel

• Apportez votre propre licence

• Essai gratuit (toutes les offres d’abonnement Citrix ADC VPX-AWS pendant 21 jours gratuits sur AWS Marketplace)

Options de déploiement

Les utilisateurs peuvent déployer une instance autonome Citrix ADC VPX sur AWS en utilisant les options suivantes :

• console Web AWS

• Modèle CloudFormation créé par Citrix

• CLI AWS

Étapes de déploiement

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur AWS via la console Web AWS.

Le processus de déploiement comprend les étapes suivantes :

• Créer une paire de clés

• Créer un cloud privé virtuel (VPC)

• Ajouter d’autres sous-réseaux

• Créer des groupes de sécurité et des règles de sécurité

• Ajouter des tables de routage

• Créer une passerelle Internet

• Créer une instance Citrix ADC VPX

• Créer et attacher plus d’interfaces réseau

• Attacher des adresses IP élastiques à la carte réseau de gestion

• Se connecter à l’instance VPX

Créer une paire de clés

Amazon EC2 utilise une paire de clés pour chiffrer et déchiffrer les informations de connexion. Pour se connecter à une instance, les utilisateurs doivent créer une paire de clés, spécifier le nom de la paire de clés lorsqu’ils lancent l’instance et fournir la clé privée lorsqu’ils se connectent à l’instance.

Lorsque les utilisateurs examinent et lancent une instance à l’aide de l’assistant AWS Launch Instance, ils sont invités à utiliser une paire de clés existante ou à créer une nouvelle paire de clés.

Pour plus d’informations sur la création d’une paire de clés, consultez Paires de clés Amazon EC2 et instances Linux

Création d’un VPC

Une instance de VPC Citrix ADC est déployée dans un VPC AWS. Un VPC permet aux utilisateurs de définir des réseaux virtuels dédiés à leur compte AWS.

Pour plus d’informations sur AWS VPC, consultez Getting Started With IPv4 for Amazon VPC

Lors de la création d’un VPC pour une instance Citrix ADC VPX, gardez à l’esprit les points suivants

• Utilisez l’option VPC avec un seul sous-réseau public uniquement pour créer un VPC AWS dans une zone de disponibilité AWS.

• Citrix recommande aux utilisateurs de créer au moins trois sous-réseaux, des types suivants :

  • Un sous-réseau pour le trafic de gestion. Placez l’adresse IP de gestion (NSIP) sur ce sous-réseau. Par défaut, Elastic Network Interface (ENI) eth0 est utilisé pour l’adresse IP de gestion.

  • Un ou plusieurs sous-réseaux pour le trafic d’accès client (User-to-Citrix ADC VPX), via lequel les clients se connectent à une ou plusieurs adresses IP virtuelles (VIP) affectées à des serveurs virtuels d’équilibrage de charge Citrix ADC.

  • Un ou plusieurs sous-réseaux pour le trafic d’accès au serveur (VPX-serveur), via lesquels les serveurs utilisateurs se connectent aux adresses IP de sous-réseau (SNIP) appartenant à VPX.

  • Tous les sous-réseaux doivent se trouver dans la même zone de disponibilité.

Ajouter des sous-réseaux

Lorsque l’assistant VPC est utilisé pour le déploiement, un seul sous-réseau est créé. En fonction des besoins des utilisateurs, les utilisateurs peuvent vouloir créer davantage de sous-réseaux.

Pour plus d’informations sur la création de sous-réseaux supplémentaires, consultez la section VPC et sous-réseaux.

Création de groupes de sécurité et de règles de sécurité

Pour contrôler le trafic entrant et sortant, créez des groupes de sécurité et ajoutez des règles aux groupes.

Pour plus d’informations sur la création de groupes et l’ajout de règles, consultez la section Groupes de sécurité pour votre VPC.

Pour les instances Citrix ADC VPX, l’assistant EC2 fournit des groupes de sécurité par défaut, générés par AWS Marketplace et basés sur les paramètres recommandés par Citrix. Toutefois, les utilisateurs peuvent créer davantage de groupes de sécurité en fonction de leurs besoins.

Remarque :

Les ports 22, 80, 443 doivent être ouverts sur le groupe de sécurité pour l’accès SSH, HTTP et HTTPS respectivement.

Ajouter des tables de routage

Les tables de routage contiennent un ensemble de règles, appelées routes, qui sont utilisées pour déterminer où le trafic réseau est dirigé. Chaque sous-réseau d’un VPC doit être associé à une table de routage.

Pour plus d’informations sur la création d’une table de routage, consultez Tables de routage.

Création d’une passerelle Internet

Une passerelle Internet a deux fonctions : fournir une cible dans les tables de routage du VPC pour le trafic routable par Internet et effectuer une traduction d’adresses réseau (NAT) pour les instances auxquelles des adresses IPv4 publiques ont été attribuées.

Créez une Gateway Internet pour le trafic Internet.

Pour plus d’informations sur la création d’une passerelle Internet, consultez la section Création et connexion d’une passerelle Internet

Créez une instance Citrix ADC VPX à l’aide du service AWS EC2

Pour créer une instance Citrix ADC VPX à l’aide du service AWS EC2, procédez comme suit

• Dans le tableau de bord AWS, accédez à Calcul > EC2 > Launch Instance > AWS Marketplace.

• Avant de cliquer surLaunch Instance, les utilisateurs doivent s’assurer que leur région est correcte en vérifiant la note qui apparaît sousLaunch Instance.

• Dans la barre Rechercher AWS Marketplace, recherchez avec le mot-clé Citrix ADC VPX.

• Sélectionnez la version que les utilisateurs souhaitent déployer, puis cliquez sur Sélectionner. Pour la version Citrix ADC VPX, les utilisateurs disposent des options suivantes :

• Une version sous licence

  • Appliance Citrix ADC VPX Express (une appliance virtuelle gratuite, disponible auprès de Citrix ADC 12.0 56.20.)

  • Apportez votre propre appareil

L’assistant de lancement d’instance démarre. Suivez l’assistant pour créer une instance.

L’assistant invite les utilisateurs à

• Choisir le type d’instance

• Configurer l’instance

• Ajouter du stockage

• Ajouter des balises

• Configurer le groupe de sécurité

• Critique

Création et connexion d’interfaces réseau supplémentaires

Créez deux interfaces réseau supplémentaires pour le VIP et le SNIP.

Pour plus d’informations sur la création d’interfaces réseau supplémentaires, consultez la section Création d’une interface réseau.

Une fois que les utilisateurs ont créé les interfaces réseau, ils doivent les attacher à l’instance VPX. Avant de connecter les interfaces, arrêtez l’instance VPX, attachez les interfaces et mettez l’instance sous tension.

Pour plus d’informations sur la façon de joindre des interfaces réseau, consultez la section Attacher une interface réseau lors du lancement d’une instance.

Allocation et association d’adresses IP élastiques

Si les utilisateurs attribuent une adresse IP publique à une instance EC2, elle reste attribuée uniquement jusqu’à ce que l’instance soit arrêtée. Après cela, l’adresse est libérée dans le pool. Lorsque les utilisateurs redémarrent l’instance, une nouvelle adresse IP publique est attribuée.

En revanche, une adresse IP élastique (EIP) reste affectée jusqu’à ce que l’adresse soit dissociée d’une instance.

Allouer et associer une IP élastique pour la carte réseau de gestion.

Pour plus d’informations sur la façon d’allouer et d’associer des adresses IP Elastic, consultez ces rubriques

• Allocation d’une adresse IP élastique

• Associer une adresse IP élastique à une instance en cours d’exécution

Ces étapes complètent la procédure de création d’une instance Citrix ADC VPX sur AWS. Cela peut prendre quelques minutes avant que l’instance soit prête. Vérifiez que l’instance a réussi ses contrôles de statut. Les utilisateurs peuvent consulter ces informations dans la colonne Status Checks de la page Instances.

Connectez-vous à l’instance VPX

Une fois que les utilisateurs ont créé l’instance VPX, ils peuvent se connecter à l’instance à l’aide de l’interface utilisateur graphique et d’un client SSH.

Connexion à l’interface

Voici les informations d’identification d’administrateur par défaut pour accéder à une instance Citrix ADC VPX

• Nom d’utilisateur : nsroot

• Mot de passe : le mot de passe par défaut du nsroot compte est défini sur l’ID d’instance AWS de l’instance Citrix ADC VPX.

Connexion client SSH

Dans la console de gestion AWS, sélectionnez l’instance Citrix ADC VPX et cliquez surConnect. Suivez les instructions données sur la pageConnect to Your Instance.

Pour plus d’informations sur la façon de déployer une instance autonome Citrix ADC VPX sur AWS à l’aide de la console Web AWS, consultez

• Scénario : instance autonome

• Configurer l’instance autonome Citrix ADC VPX sur AWS à l’aide de CFT

Déploiement CFT

Citrix ADC VPX est disponible en tant qu’Amazon Machine Images (AMI) sur AWS Marketplace.

AWS Marketplace

Avant d’utiliser un modèle CloudFormation pour mettre en service un Citrix ADC VPX dans AWS, l’utilisateur AWS doit accepter les conditions et s’abonner au produit AWS Marketplace. Chaque édition de Citrix ADC VPX sur le Marketplace nécessite cette étape.

Chaque modèle du référentiel CloudFormation possède une documentation colocalisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée de Citrix ADC VPX, ou de présenter Citrix ADC à l’utilisateur ou de démontrer une fonctionnalité, une édition ou une option particulière. Les utilisateurs peuvent réutiliser, modifier ou améliorer les modèles en fonction de leurs besoins spécifiques en matière de production et de test. La plupart des modèles nécessitent des autorisations EC2 complètes en plus des autorisations pour créer des rôles IAM.

Les modèles CloudFormation contiennent des ID d’AMI spécifiques à une version particulière de Citrix ADC VPX (par exemple, version 12.0-56.20) et édition (par exemple, Citrix ADC VPX Platinum Edition - 10 Mbps) OU Citrix ADC BYOL. Pour utiliser une version/édition différente de Citrix ADC VPX avec un modèle CloudFormation, l’utilisateur doit modifier le modèle et remplacer les ID d’AMI.

Les derniers ID AMI AWS Citrix ADC sont disponibles sur GitHub à l’ adresse Citrix ADC AWS CloudFormation Master.

Déploiement d’une carte réseau unique

Le modèle CloudFormation nécessite des autorisations suffisantes pour créer des rôles IAM et des fonctions lambda, au-delà des privilèges complets EC2 normaux. L’utilisateur de ce modèle doit également accepter les conditions et s’abonner au produit AWS Marketplace avant d’utiliser ce modèle CloudFormation.

Ce modèle CloudFormation crée une instance de VPX Express à partir de l’AMI VPX Express à l’aide d’un sous-réseau VPC unique. Le modèle CloudFormation fournit également une fonction lambda qui initialise l’instance VPX. La configuration initiale effectuée par la fonction Lambda inclut la configuration de l’interface réseau, la configuration VIP et la configuration des fonctionnalités. Une configuration supplémentaire peut être effectuée en vous connectant à l’interface utilisateur graphique ou via SSH (nom d’utilisateur : nsroot).

La sortie du modèle CloudFormation inclut

• InstanceIDNS : ID d’instance de l’instance VPX nouvellement créée. Il s’agit du mot de passe par défaut pour l’accès GUI/ssh.

• ManagementUrl2 - Utilisez cette URL HTTP vers l’interface graphique de gestion (si votre navigateur rencontre des problèmes avec le certificat auto-signé) pour vous connecter au VPX.

• PublicNSIP - Utilisez cette adresse IP publique pour entrer par ssh dans l’appliance.

• PublicIPVIP - L’adresse IP publique où les applications à charge équilibrée sont accessibles.

Le modèle CloudFormation déploie le VPX en mode carte réseau unique. Les adresses IP NetScaler standard : NSIP (IP de gestion), VIP (où les applications à charge équilibrée sont accessibles) et SNIP (l’adresse IP utilisée pour envoyer le trafic aux instances back-end) sont toutes provisionnées sur la carte réseau unique et sont extraites de l’espace d’adressage (RFC1918) du sous-réseau VPC fourni. Le NSIP (RFC1918) est mappé à l’adresse IP publique de l’instance VPX et le VIP RFC1918 est mappé à une adresse IP Elastic publique. Si le VPX est redémarré, le mappage NSIP public est perdu. Dans ce cas, le NSIP n’est accessible que depuis le sous-réseau VPC, à partir d’une autre instance EC2 du même sous-réseau. Les autres architectures possibles incluent des configurations à 2 et 3 cartes réseau sur plusieurs sous-réseaux VPC.

Déploiement CFT à trois cartes

Ce modèle déploie un VPC, avec 3 sous-réseaux (gestion, client, serveur) pour 2 zones de disponibilité. Il déploie une passerelle Internet, avec une route par défaut sur les sous-réseaux publics. Ce modèle crée également une paire HA dans les zones de disponibilité avec deux instances de Citrix ADC : 3 ENI associés à 3 sous-réseaux VPC (Management, Client, Server) sur le principal et 3 ENI associés à 3 sous-réseaux VPC (Management, Client, Server) sur le secondaire. Tous les noms de ressources créés par ce CFT sont préfixés par un TagName du nom de la pile.

La sortie du modèle CloudFormation inclut

• PrimaryCitrixADCManagementURL : URL HTTPS vers l’interface graphique de gestion du VPX principal (utilise un certificat auto-signé)

• PrimaryCitrixADCManagementUrl2 : URL HTTP vers l’interface graphique de gestion du VPX principal

• PrimaryCitrixADCINstanceId : ID d’instance de l’instance VPX primaire nouvellement créée

• PrimaryCitrixADCPublicVIP : adresse IP Elastic de l’instance VPX principale associée au VIP

• PrimaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX primaire

• PrimaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX primaire

• PrimaryCitrixADCPrivateVIP : adresse IP privée de l’instance VPX principale associée au VIP

• PrimaryCitrixADCSnip : adresse IP privée de l’instance VPX principale associée au SNIP

• SecondaryCitrixADCManagementURL - URL HTTPS vers l’interface graphique de gestion du VPX secondaire (utilise un certificat auto-signé)

• SecondaryCitrixADCManagementUrl2 - URL HTTP vers l’interface graphique de gestion du VPX secondaire

• SecondaryCitrixADCINstanceId : ID d’instance de l’instance VPX secondaire nouvellement créée

• SecondaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX secondaire

• SecondaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX secondaire

• SecondaryCitrixADCPrivateVIP : adresse IP privée de l’instance VPX secondaire associée au VIP

• SecondaryCitrixADCSnip : adresse IP privée de l’instance VPX secondaire associée au SNIP

• SecurityGroup : identifiant du groupe de sécurité auquel appartient le VPX

Lors de la saisie du CFT, le paramètre par rapport à n’importe quel paramètre du CFT implique qu’il s’agit d’un champ obligatoire. Par exemple, l’ID du VPC est un champ obligatoire.

Les conditions préalables suivantes doivent être remplies. Le modèle CloudFormation nécessite des autorisations suffisantes pour créer des rôles IAM, au-delà des privilèges complets EC2 normaux. L’utilisateur de ce modèle doit également accepter les conditions et s’abonner au produit AWS Marketplace avant d’utiliser ce modèle CloudFormation.

Les éléments suivants doivent également être présents

• Paire de clés

• 3 EIP non alloués

  • Gestion principale

  • VIP client

  • Gestion secondaire

Pour plus d’informations sur la mise en service d’instances Citrix ADC VPX sur AWS, les utilisateurs peuvent consulter Provisioning d’instances Citrix ADC VPX sur AWS

Conditions préalables

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer qu’ils disposent des éléments suivants :

• Un compte AWS pour lancer une AMI Citrix ADC VPX dans un cloud privé virtuel (VPC) Amazon Web Services (AWS). Les utilisateurs peuvent créer un compte AWS gratuitement sur www.aws.amazon.com.

• Un compte utilisateur AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour les utilisateurs.

Pour plus d’informations sur la façon de créer un compte d’utilisateur IAM, consultez Création d’utilisateurs IAM (console).

Un rôle IAM est obligatoire pour les déploiements autonomes et haute disponibilité.

Le rôle IAM doit disposer des privilèges suivants :

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• autoscaling:*

• sns:*

• sqs:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Si le modèle Citrix CloudFormation est utilisé, le rôle IAM est automatiquement créé. Le modèle ne permet pas de sélectionner un rôle IAM déjà créé.

Remarque :

Lorsque les utilisateurs se connectent à l’instance VPX via l’interface utilisateur graphique, une invite à configurer les privilèges requis pour le rôle IAM apparaît. Ignorez l’invite si les privilèges ont déjà été configurés.

Pour plus d’informations, consultez

Qu’est-ce que l’interface de ligne de commande AWS ?

Remarque : Les utilisateurs ont également besoin de l’interface de ligne de commande AWS pour modifier le type d’interface réseau en SR-IOV.

Limitations et directives d’utilisation

Les limitations et directives d’utilisation suivantes s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS.

• Les utilisateurs doivent lire la terminologie AWS répertoriée ci-dessus avant de commencer un nouveau déploiement.

• La fonctionnalité de clustering est prise en charge uniquement lorsqu’elle est provisionnée avec Citrix ADM Auto Scale Groups.

• Pour que la configuration haute disponibilité fonctionne efficacement, associez un périphérique NAT dédié à l’interface de gestion ou associez une adresse IP élastique (EIP) à NSIP.

Pour plus d’informations sur NAT, consultez la section Instances NATdans la documentation AWS

• Le trafic de données et le trafic de gestion doivent être séparés par les ENIs appartenant à différents sous-réseaux.

• Seule l’adresse NSIP doit être présente sur l’ENI de gestion.

• Si une instance NAT est utilisée pour la sécurité au lieu d’affecter un EIP au NSIP, des modifications appropriées de routage au niveau du VPC sont requises.

Pour obtenir des instructions sur la modification du routage au niveau du VPC, dans la documentation AWS, voir Scénario 2 : VPC with Public and Private Subnets.

• Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à m3.xlarge).

Pour plus d’informations, consultez la page Limitations et directives d’utilisation

• Pour les supports de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après leur détachement de l’instance.

• L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Redémarrez l’instance VPX pour appliquer la mise à jour. Citrix recommande aux utilisateurs d’arrêter l’instance autonome ou HA, de joindre la nouvelle ENI, puis de redémarrer l’instance. L’ENI principale ne peut pas être modifiée ou rattachée à un sous-réseau différent une fois qu’elle est déployée. Les ENI secondaires peuvent être détachés et modifiés selon les besoins lorsque le VPX est arrêté.

• Les utilisateurs peuvent attribuer plusieurs adresses IP à un ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2.

Reportez-vous à la section « Adresses IP par interface réseau par type d’instance » dans Interfaces réseau Elastic.

• Les utilisateurs doivent attribuer les adresses IP dans AWS avant de les attribuer à ENI.

Pour plus d’informations, voir Interfaces réseau Elastic.

• Citrix recommande aux utilisateurs d’éviter d’utiliser les commandes d’activation et de désactivation de l’interface sur les interfaces Citrix ADC VPX.

• Les commandes set ha node \<NODE\_ID\> -haStatus STAYPRIMARY et set ha node \<NODE\_ID\> -haStatus STAYSECONDARY de Citrix ADC sont désactivées par défaut.

• IPv6 n’est pas pris en charge pour VPX.

• En raison des limitations AWS, ces fonctionnalités ne sont pas prises en charge :

  • Gratuitous ARP (GARP)

  • Mode L2 (pontage). Les vServers transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs du même sous-réseau que le SNIP.

  • VLAN balisé

  • Routage dynamique

  • MAC virtuel

• Pour que le RNAT, le routage et les vServers transparents fonctionnent, assurez-vous que la vérification de la source/destination est désactivée pour tous les ENI du chemin de données.

Pour plus d’informations, voir « Modification de la vérification de la source/destination » dans Elastic Network Interfaces

• Dans un déploiement Citrix ADC VPX sur AWS, dans certaines régions AWS, l’infrastructure AWS peut ne pas être en mesure de résoudre les appels d’API AWS. Cela se produit si les appels d’API sont émis via une interface non de gestion sur l’instance Citrix ADC VPX. Comme solution de contournement, limitez les appels d’API à l’interface de gestion uniquement. Pour ce faire, créez un NSVLAN sur l’instance VPX et liez l’interface de gestion au NSVLAN à l’aide de la commande appropriée.

• Par exemple :

  • set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NO

  • save config

• Redémarrez l’instance VPX à l’invite.

Pour plus d’informations sur la configuration de NSVLAN, consultez Configuration de NSVLAN.

• Dans la console AWS, l’utilisation du vCPU affichée pour une instance VPX sous l’onglet Surveillance peut être élevée (jusqu’à 100 %), même lorsque l’utilisation réelle est beaucoup plus faible. Pour voir l’utilisation réelle du vCPU, accédez à Afficher toutes les mesures CloudWatch.

Pour plus d’informations, consultez l’article Surveiller vos instances à l’aide d’Amazon CloudWatch

• Sinon, si la faible latence et les performances ne sont pas un problème, les utilisateurs peuvent activer la fonction CPU Yield qui permet aux moteurs de paquets de rester inactifs en l’absence de trafic.

Pour plus de détails sur la fonctionnalité CPU Yield et comment l’activer, consultez le centre de connaissances de l’assistance Citrix.

Prise en charge d’AWS-VPX

Modèles VPX pris en charge sur AWS**

• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 200 Mbits/s
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 1000 Mbits/s
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 3 Gbit/s
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 5 Gbit/s
• Citrix ADC VPX Standard/Avancé/Premium - 10 Mbps
• Citrix ADC VPX Express - 20 Mbits/s
• Citrix ADC VPX - Licence client

régions AWS prises en charge

• Région USA Ouest (Oregon)
• Région USA Ouest (Californie du Nord)
• Région USA Est (Ohio)
• Région USA Est (Virginie du Nord)
• Région Asie-Pacifique (Séoul)
• Région du Canada (Centre)
• Région Asie-Pacifique (Singapour)
• Région Asie-Pacifique (Sydney)
• Région Asie-Pacifique (Tokyo)
• Région Asie-Pacifique (Hong Kong)
• Région du Canada (Centre)
• Région de Chine (Beijing)
• Région de la Chine (Ningxia)
• Région UE (Francfort)
• Région de l’UE (Irlande)
• Région de l’UE (Londres)
• Région UE (Paris)
• Région Amérique du Sud (São Paulo) |
• Région AWS GovCloud (USA Est)

Types d’instances AWS pris en charge

• m3.large, m3.large, m3.2xlarge
• c4.large, c4.large, c4.2xlarge, c4.4xlarge, c4.8xlarge
• m4.large, m4.large, m4.2xlarge, m4.4xlarge, m4.10xlarge
• m5.large, m5.xlarge, m5.2xlarge, m5.4xlarge, m5.12xlarge, m5.24xlarge
• C5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge, c5.24xlarge
• C5n.large, C5n.xlarge, C5n.2xlarge, C5n.4xlarge, C5n.9xlarge, C5n.18xlarge

Services AWS pris en charge

• #EC2
• #Lambda
• #S3
• #VPC
• #route53
• #ELB
• #Cloudwatch
• #AWS AutoScaling
• #Cloud formation
• Service de file d’attente simple (SQS)
• Service de notification simple (SNS)
• Gestion des identités et des accès (IAM)

Pour une bande passante plus élevée, Citrix recommande les types d’instances suivants

Type d’instance	Bande passante	Réseau amélioré (SR-IOV)
M4.10x large	3 Gbit/s et 5 Gbit/s	Oui
C4.8x large	3 Gbit/s et 5 Gbit/s	Oui
C5.18 XL Large/M5.18 XLarge	25 Gbit/s	ENA
C5n.18xlarge	30 Gbit/s	ENA

Pour rester informé des modèles VPX actuellement pris en charge et des régions AWS, des types d’instances et des services, consultez la matrice de support VPX-AWS.