Contributeurs

Auteur : Blake Schindler, Architecte de solutions

Vue d’ensemble

Citrix ADC est une solution de livraison d’applications et d’équilibrage de charge qui offre une expérience utilisateur de haute qualité pour les applications web, traditionnelles et natives du cloud, quel que soit leur hébergement. Il est disponible dans une grande variété de facteurs de forme et d’options de déploiement, sans enfermer les utilisateurs dans une configuration ou un cloud unique. La licence de capacité mutualisée permet le déplacement de la capacité entre les déploiements cloud.

En tant que leader incontesté de la livraison de services et d’applications, Citrix ADC est déployé dans des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la livraison de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu d’applications dans une plateforme intégrée et facile à utiliser. Le respect des SLA est grandement simplifié grâce à une surveillance de bout en bout qui transforme les données réseau en informations commerciales exploitables. Citrix ADC permet de définir et de gérer des politiques à l’aide d’un moteur de politique déclaratif simple, sans aucune expertise en programmation requise.

Citrix VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud :

• Citrix Hypervisor™

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) est une plateforme de cloud computing complète et évolutive fournie par Amazon qui comprend un mélange d’offres d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciels packagés en tant que service (SaaS). Les services AWS peuvent offrir des outils tels que la puissance de calcul, le stockage de bases de données et les services de livraison de contenu.

AWS offre les services essentiels suivants :

• Services de calcul AWS

• Services de migration

• Stockage

• Services de base de données

• Outils de gestion

• Services de sécurité

• Analyse

• Mise en réseau

• Messagerie

• Outils de développement

• Services mobiles

Terminologie AWS

Voici une brève description des termes clés utilisés dans ce document que les utilisateurs doivent connaître :

• Interface réseau élastique (ENI) - Une interface réseau virtuelle que les utilisateurs peuvent attacher à une instance dans un cloud privé virtuel (VPC).

• Adresse IP élastique (EIP) - Une adresse IPv4 publique statique que les utilisateurs ont allouée dans Amazon EC2 ou Amazon VPC, puis attachée à une instance. Les adresses IP élastiques sont associées aux comptes utilisateur, et non à une instance spécifique. Elles sont élastiques car les utilisateurs peuvent facilement les allouer, les attacher, les détacher et les libérer en fonction de l’évolution de leurs besoins.

• Sous-réseau - Un segment de la plage d’adresses IP d’un VPC auquel les instances EC2 peuvent être attachées. Les utilisateurs peuvent créer des sous-réseaux pour regrouper les instances en fonction des besoins de sécurité et opérationnels.

• Cloud privé virtuel (VPC) - Un service web permettant de provisionner une section logiquement isolée du cloud AWS où les utilisateurs peuvent lancer des ressources AWS dans un réseau virtuel qu’ils définissent.

Voici une brève description des autres termes utilisés dans ce document que les utilisateurs doivent connaître :

• Amazon Machine Image (AMI) - Une image machine, qui fournit les informations nécessaires pour lancer une instance, qui est un serveur virtuel dans le cloud.

• Elastic Block Store - Fournit des volumes de stockage par blocs persistants à utiliser avec les instances Amazon EC2 dans le cloud AWS.

• Simple Storage Service (S3) - Stockage pour Internet. Il est conçu pour faciliter l’informatique à l’échelle du web pour les développeurs.

• Elastic Compute Cloud (EC2) - Un service web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Il est conçu pour faciliter le cloud computing à l’échelle du web pour les développeurs.

• Elastic Load Balancing (ELB) - Distribue le trafic d’application entrant sur plusieurs instances EC2, dans plusieurs zones de disponibilité. ELB augmente la tolérance aux pannes des applications utilisateur.

• Type d’instance - Amazon EC2 offre une large sélection de types d’instances optimisés pour s’adapter à différents cas d’utilisation. Les types d’instances comprennent diverses combinaisons de CPU, de mémoire, de stockage et de capacité réseau et offrent aux utilisateurs la flexibilité de choisir la combinaison de ressources appropriée pour leurs applications.

• Identity and Access Management (IAM) - Une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Les utilisateurs peuvent utiliser un rôle IAM pour permettre aux applications s’exécutant sur une instance EC2 d’accéder en toute sécurité à leurs ressources AWS. Un rôle IAM est requis pour le déploiement d’instances VPX dans une configuration haute disponibilité.

• Passerelle Internet - Connecte un réseau à Internet. Les utilisateurs peuvent acheminer le trafic pour les adresses IP en dehors de leur VPC vers la passerelle Internet.

• Paire de clés - Un ensemble d’informations d’identification de sécurité avec lesquelles les utilisateurs prouvent leur identité électroniquement. Une paire de clés se compose d’une clé privée et d’une clé publique.

• Table de routage - Un ensemble de règles de routage qui contrôle le trafic quittant tout sous-réseau associé à la table de routage. Les utilisateurs peuvent associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

• Auto Scaling - Un service web pour lancer ou arrêter automatiquement des instances Amazon EC2 basé sur des politiques, des plannings et des vérifications de santé définis par l’utilisateur.

• CloudFormation - Un service pour écrire ou modifier des modèles qui créent et suppriment des ressources AWS associées ensemble comme une seule unité.

Cas d’utilisation

Reprise après sinistre (DR)

Un sinistre est une interruption soudaine des fonctions commerciales causée par des catastrophes naturelles ou des événements d’origine humaine. Les sinistres affectent les opérations des centres de données, après quoi les ressources et les données perdues sur le site sinistré doivent être entièrement reconstruites et restaurées. La perte de données ou les temps d’arrêt dans le centre de données sont critiques et compromettent la continuité des activités.

L’un des défis auxquels les clients sont confrontés aujourd’hui est de décider où implanter leur site de reprise après sinistre. Les entreprises recherchent la cohérence et la performance, quels que soient les défauts d’infrastructure ou de réseau sous-jacents.

Les raisons possibles pour lesquelles de nombreuses organisations décident de migrer vers le cloud sont :

• Économies d’usage — Les dépenses d’investissement liées à la possession d’un centre de données sur site sont bien documentées et en utilisant le cloud, ces entreprises peuvent libérer du temps et des ressources de l’expansion de leurs propres systèmes.

• Temps de récupération plus rapides — Une grande partie de l’orchestration automatisée permet une récupération en quelques minutes seulement.

• De plus, il existe des technologies qui aident à répliquer les données en offrant une protection continue des données ou des instantanés continus pour se prémunir contre toute panne ou attaque.

• Enfin, il existe des cas d’utilisation où les clients ont besoin de nombreux types différents de conformité et de contrôle de sécurité qui sont déjà présents sur les clouds publics. Cela facilite l’atteinte de la conformité dont ils ont besoin plutôt que de construire la leur.

Types de déploiement

Déploiement à une seule NIC

• Déploiements typiques

  • Autonome

• Cas d’utilisation

  • Les clients utilisent généralement les déploiements à une seule carte réseau (One-NIC Deployments) pour déployer dans un environnement de non-production, pour configurer un environnement de test ou pour préparer un nouvel environnement avant le déploiement en production.

  • Les déploiements à une seule carte réseau (One-NIC Deployments) sont également utilisés pour déployer directement dans le cloud rapidement et efficacement.

  • Les déploiements à une seule carte réseau (One-NIC Deployments) sont utilisés lorsque les clients recherchent la simplicité d’une configuration de sous-réseau unique.

Déploiement à trois cartes réseau

• Déploiements typiques

  • Autonome

  • Haute disponibilité

• Cas d’utilisation

  • Les déploiements à trois cartes réseau (Three-NIC Deployments) sont utilisés pour obtenir une véritable isolation du trafic de données et de gestion.

  • Les déploiements à trois cartes réseau (Three-NIC Deployments) améliorent également l’évolutivité et les performances de l’ADC.

  • Les déploiements à trois cartes réseau (Three-NIC Deployments) sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus et un déploiement à trois cartes réseau est recommandé.

Déploiement CFT

Les clients déploieraient en utilisant des modèles CloudFormation s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Exemple d’architecture de déploiement Citrix ADC VPX sur AWS

La figure précédente montre une topologie typique d’un VPC AWS avec un déploiement Citrix ADC VPX.

Le VPC AWS comprend :

1. Une seule passerelle Internet pour acheminer le trafic entrant et sortant du VPC.

2. Connectivité réseau entre la passerelle Internet et Internet.

3. Trois sous-réseaux, un pour la gestion, un pour le client et un pour le serveur.

4. Connectivité réseau entre la passerelle Internet et les deux sous-réseaux (gestion et client).

5. Une instance Citrix ADC VPX autonome déployée au sein du VPC. L’instance VPX dispose de trois ENI, une attachée à chaque sous-réseau.

Étapes de déploiement

Déploiement à une seule NIC pour la reprise après sinistre

L’instance Citrix ADC VPX Express est disponible en tant qu’Amazon Machine Image (AMI) sur la place de marché AWS. Le type d’instance EC2 minimum autorisé en tant qu’AMI prise en charge sur Citrix VPX est m4.large. Téléchargez et créez une instance du VPX à l’aide d’un seul sous-réseau VPC. L’instance Citrix ADC VPX nécessite un minimum de 2 CPU virtuels et de 2 Go de mémoire. La configuration initiale effectuée comprend la configuration de l’interface réseau, la configuration VIP et la configuration des fonctionnalités. Une configuration supplémentaire peut être effectuée en se connectant à l’interface graphique ou via SSH (nom d’utilisateur : nsroot).

La sortie de la configuration comprend :

• InstanceIdNS - ID d’instance de l’instance VPX nouvellement créée. Il s’agit du mot de passe par défaut pour l’accès GUI / ssh.

• ManagementURL - Utilisez cette URL HTTPS vers l’interface graphique de gestion (utilise un certificat auto-signé) pour vous connecter au VPX et le configurer davantage.

• ManagementURL2 - Utilisez cette URL HTTP vers l’interface graphique de gestion (si votre navigateur rencontre des problèmes avec le certificat auto-signé) pour vous connecter au VPX.

• PublicNSIP - Utilisez cette IP publique pour vous connecter en SSH à l’appliance.

• PublicIpVIP - L’IP publique où les applications à charge équilibrée peuvent être accédées.

Le VPX est déployé en mode carte réseau unique.

Les adresses IP standard de NetScaler® : NSIP (IP de gestion), VIP (où les applications à charge équilibrée sont accédées) et SNIP (l’IP utilisée pour envoyer le trafic aux instances backend) sont toutes provisionnées sur la carte réseau unique et sont tirées de l’espace d’adressage (RFC1918) du sous-réseau VPC fourni. Le NSIP (RFC1918) est mappé à l’IP publique de l’instance VPX et le VIP RFC1918 est mappé à une IP élastique publique.

Licences

Une instance Citrix ADC VPX sur AWS nécessite une licence.

Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur AWS :

• Gratuit (illimité)

• Horaire

• Annuel

• Apportez votre propre licence

• Essai gratuit (toutes les offres d’abonnement Citrix ADC VPX-AWS sont gratuites pendant 21 jours sur la marketplace AWS).

Options de déploiement

Les utilisateurs peuvent déployer une instance autonome Citrix ADC VPX sur AWS en utilisant les options suivantes

• Console web AWS

• Modèle CloudFormation créé par Citrix

• AWS CLI

Étapes de déploiement

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur AWS via la console web AWS.

Le processus de déploiement comprend les étapes suivantes :

• Créer une paire de clés

• Créer un Virtual Private Cloud (VPC)

• Créer l’instance VPX

• Créer un sous-réseau VPC unique

• Créer une configuration d’interface réseau

• Mapper le NSIP à l’adresse IP publique de l’instance VPX

• Mapper le VIP à une adresse IP Elastic publique

• Se connecter à l’instance VPX

Créer une paire de clés

Amazon EC2 utilise une paire de clés pour chiffrer et déchiffrer les informations de connexion. Pour se connecter à une instance, les utilisateurs doivent créer une paire de clés, spécifier le nom de la paire de clés lors du lancement de l’instance et fournir la clé privée lors de la connexion à l’instance.

Lorsque les utilisateurs examinent et lancent une instance à l’aide de l’assistant de lancement d’instance AWS, ils sont invités à utiliser une paire de clés existante ou à en créer une nouvelle.

Pour plus d’informations sur la création d’une paire de clés, consultez Paires de clés Amazon EC2 et instances Linux

Créer un VPC

Une instance VPC Citrix ADC est déployée au sein d’un VPC AWS. Un VPC permet aux utilisateurs de définir des réseaux virtuels dédiés à leur compte AWS.

Pour plus d’informations sur AWS VPC, consultez Démarrer avec IPv4 pour Amazon VPC.

Lors de la création d’un VPC pour une instance Citrix ADC VPX, gardez les points suivants à l’esprit.

Utilisez l’option VPC avec un seul sous-réseau public pour créer un VPC AWS dans une zone de disponibilité AWS.

Citrix recommande aux utilisateurs de mapper les adresses NSIP et VIP précédemment créées au sous-réseau public.

Créer une instance Citrix ADC VPX à l’aide de l’AMI AWS Express

Créez une instance Citrix ADC VPX à partir de l’AMI AWS VPX Express.

Depuis le tableau de bord AWS, accédez à Compute > Launch Instance > AWS Marketplace.

Avant de cliquer sur Launch Instance, les utilisateurs doivent s’assurer que leur région est correcte en vérifiant la note qui apparaît sous Launch Instance.

Dans la barre de recherche AWS Marketplace, recherchez avec le mot-clé Citrix ADC VPX.

Sélectionnez la version souhaitée à déployer, puis cliquez sur Sélectionner.

Pour la version Citrix ADC VPX, les utilisateurs disposent des options suivantes

• Une version sous licence

• Appliance Citrix ADC VPX Express (une appliance virtuelle gratuite, disponible à partir de Citrix ADC 12.0 56.20.)

• Apportez votre propre appareil

L’assistant de lancement d’instance démarre. Suivez l’assistant pour créer une instance.

L’assistant invite les utilisateurs à

• Choisir le type d’instance

• Configurer l’instance

• Ajouter du stockage

• Ajouter des balises

• Vérifier

Allouer et associer des adresses IP élastiques

Si les utilisateurs attribuent une adresse IP publique à une instance, elle reste attribuée uniquement jusqu’à l’arrêt de l’instance. Après cela, l’adresse est libérée et retourne au pool. Lorsque les utilisateurs redémarrent l’instance, une nouvelle adresse IP publique est attribuée.

En revanche, une adresse IP élastique (EIP) reste attribuée jusqu’à ce qu’elle soit dissociée d’une instance.

Allouer et associer une adresse IP élastique pour la carte réseau de gestion.

Pour plus d’informations sur l’allocation et l’association d’adresses IP élastiques, consultez les rubriques suivantes :

• Allocation d’une adresse IP élastique

• Association d’une adresse IP élastique à une instance en cours d’exécution

Ces étapes complètent la procédure de création d’une instance Citrix ADC VPX sur AWS. L’instance peut prendre quelques minutes pour être prête. Vérifiez que l’instance a réussi ses vérifications d’état. Les utilisateurs peuvent consulter ces informations dans la colonne Vérifications d’état de la page Instances.

Se connecter à l’instance VPX

Une fois que les utilisateurs ont créé l’instance VPX, ils peuvent s’y connecter à l’aide de l’interface graphique et d’un client SSH.

Connexion GUI

Voici les informations d’identification d’administrateur par défaut pour accéder à une instance Citrix ADC VPX

• Nom d’utilisateur : nsroot

• Mot de passe : Le mot de passe par défaut du compte nsroot est défini sur l’ID d’instance AWS de l’instance Citrix ADC VPX.

Connexion client SSH

Depuis la console de gestion AWS, sélectionnez l’instance Citrix ADC VPX et cliquez sur Connecter. Suivez les instructions figurant sur la page Se connecter à votre instance.

Pour plus d’informations sur le déploiement d’une instance autonome Citrix ADC VPX sur AWS à l’aide de la console web AWS, consultez

• Scénario : Instance autonome

• Configurer une instance autonome Citrix ADC VPX sur AWS à l’aide de CFT(https://www.youtube.com/watch?v=hzIQRDeJthE)

Déploiement à trois cartes réseau pour la reprise après sinistre

L’instance Citrix ADC VPX est disponible en tant qu’Amazon Machine Image (AMI) sur la place de marché AWS, et elle peut être lancée en tant qu’instance Elastic Compute Cloud (EC2) au sein d’un VPC AWS. Le type d’instance EC2 minimum autorisé en tant qu’AMI prise en charge sur Citrix VPX est m4.large. L’instance AMI Citrix ADC VPX nécessite un minimum de 2 CPU virtuels et 2 Go de mémoire. Une instance EC2 lancée au sein d’un VPC AWS peut également fournir les multiples interfaces, les multiples adresses IP par interface, et les adresses IP publiques et privées nécessaires à la configuration VPX.

Chaque instance VPX nécessite au moins trois sous-réseaux IP

• Un sous-réseau de gestion

• Un sous-réseau côté client (VIP)

• Un sous-réseau côté back-end (SNIP)

Citrix recommande trois interfaces réseau pour une installation standard d’instance VPX sur AWS.

AWS ne rend actuellement la fonctionnalité multi-IP disponible que pour les instances exécutées au sein d’un VPC AWS. Une instance VPX dans un VPC peut être utilisée pour équilibrer la charge des serveurs exécutés dans des instances EC2. Un Amazon VPC permet aux utilisateurs de créer et de contrôler un environnement de réseau virtuel, y compris leur propre plage d’adresses IP, leurs sous-réseaux, leurs tables de routage et leurs passerelles réseau.

Remarque :

Par défaut, les utilisateurs peuvent créer jusqu’à 5 instances VPC par région AWS pour chaque compte AWS. Les utilisateurs peuvent demander des limites VPC plus élevées en soumettant le formulaire de demande d’Amazon : Demande VPC Amazon

Licences

Une instance Citrix ADC VPX sur AWS nécessite une licence.

Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur AWS

• Gratuit (illimité)(https://aws.amazon.com/marketplace/pp/B0796LD46X?qid=1573193642210&sr=0-1&ref_=srh_res_product_title)

• Horaire

• Annuel

• Apportez votre propre licence

• Essai gratuit (toutes les offres d’abonnement Citrix ADC VPX-AWS sont gratuites pendant 21 jours sur la place de marché AWS.)

Options de déploiement

Les utilisateurs peuvent déployer une instance autonome Citrix ADC VPX sur AWS en utilisant les options suivantes

• Console web AWS

• Modèle CloudFormation créé par Citrix

• AWS CLI

Étapes de déploiement

Les utilisateurs peuvent déployer une instance Citrix ADC VPX sur AWS via la console web AWS.

Le processus de déploiement comprend les étapes suivantes

• Créer une paire de clés

• Créer un cloud privé virtuel (VPC)

• Ajouter d’autres sous-réseaux

• Créer des groupes de sécurité et des règles de sécurité

• Ajouter des tables de routage

• Créer une passerelle Internet

• Créer une instance Citrix ADC VPX

• Créer et attacher d’autres interfaces réseau

• Attacher des adresses IP élastiques à l’interface réseau de gestion

• Se connecter à l’instance VPX

Créer une paire de clés

Amazon EC2 utilise une paire de clés pour chiffrer et déchiffrer les informations de connexion. Pour se connecter à une instance, les utilisateurs doivent créer une paire de clés, spécifier le nom de la paire de clés lors du lancement de l’instance et fournir la clé privée lors de la connexion à l’instance.

Lorsque les utilisateurs examinent et lancent une instance à l’aide de l’assistant de lancement d’instance AWS, ils sont invités à utiliser une paire de clés existante ou à en créer une nouvelle.

Pour plus d’informations sur la création d’une paire de clés, consultez Paires de clés Amazon EC2 et instances Linux

Créer un VPC

Une instance Citrix ADC VPC est déployée au sein d’un VPC AWS. Un VPC permet aux utilisateurs de définir des réseaux virtuels dédiés à leur compte AWS.

Pour plus d’informations sur AWS VPC, consultez Démarrer avec IPv4 pour Amazon VPC

Lors de la création d’un VPC pour une instance Citrix ADC VPX, gardez les points suivants à l’esprit

• Utilisez l’option VPC avec un seul sous-réseau public pour créer un VPC AWS dans une zone de disponibilité AWS.

• Citrix recommande aux utilisateurs de créer au moins trois sous-réseaux, des types suivants :

  • Un sous-réseau pour le trafic de gestion. Placez l’adresse IP de gestion (NSIP) sur ce sous-réseau. Par défaut, l’interface réseau élastique (ENI) eth0 est utilisée pour l’adresse IP de gestion.

  • Un ou plusieurs sous-réseaux pour le trafic d’accès client (utilisateur vers Citrix ADC VPX), par lesquels les clients se connectent à une ou plusieurs adresses IP virtuelles (VIP) attribuées aux serveurs virtuels d’équilibrage de charge Citrix ADC.

  • Un ou plusieurs sous-réseaux pour le trafic d’accès au serveur (VPX vers serveur), par lesquels les serveurs utilisateur se connectent aux adresses IP de sous-réseau (SNIP) appartenant au VPX.

  • Tous les sous-réseaux doivent se trouver dans la même zone de disponibilité.

Ajouter des sous-réseaux

Lorsque l’assistant VPC est utilisé pour le déploiement, un seul sous-réseau est créé. Selon leurs besoins, les utilisateurs peuvent souhaiter créer davantage de sous-réseaux.

Pour plus d’informations sur la création de sous-réseaux supplémentaires, consultez VPC et sous-réseaux.

Créer des groupes de sécurité et des règles de sécurité

Pour contrôler le trafic entrant et sortant, créez des groupes de sécurité et ajoutez des règles à ces groupes.

Pour plus d’informations sur la création de groupes et l’ajout de règles, consultez Groupes de sécurité pour votre VPC.

Pour les instances Citrix ADC VPX, l’assistant EC2 fournit des groupes de sécurité par défaut, générés par AWS Marketplace et basés sur les paramètres recommandés par Citrix. Cependant, les utilisateurs peuvent créer davantage de groupes de sécurité en fonction de leurs besoins.

Remarque :

Les ports 22, 80, 443 doivent être ouverts sur le groupe de sécurité pour l’accès SSH, HTTP et HTTPS respectivement.

Ajouter des tables de routage

Les tables de routage contiennent un ensemble de règles, appelées routes, qui sont utilisées pour déterminer où le trafic réseau est dirigé. Chaque sous-réseau d’un VPC doit être associé à une table de routage.

Pour plus d’informations sur la création d’une table de routage, consultez Tables de routage.

Créer une passerelle Internet

Une passerelle Internet a deux objectifs : fournir une cible dans les tables de routage VPC pour le trafic routable sur Internet, et effectuer la traduction d’adresses réseau (NAT) pour les instances auxquelles des adresses IPv4 publiques ont été attribuées.

Créez une passerelle Internet pour le trafic Internet.

Pour plus d’informations sur la création d’une passerelle Internet, consultez la section Création et attachement d’une passerelle Internet

Créer une instance Citrix ADC VPX à l’aide du service AWS EC2

Pour créer une instance Citrix ADC VPX à l’aide du service AWS EC2, suivez les étapes suivantes

• Depuis le tableau de bord AWS, accédez à Compute > EC2 > Launch Instance > AWS Marketplace.

• Avant de cliquer sur Launch Instance, les utilisateurs doivent s’assurer que leur région est correcte en vérifiant la note qui apparaît sous Launch Instance.

• Dans la barre de recherche AWS Marketplace, recherchez avec le mot-clé Citrix ADC VPX.

• Sélectionnez la version que les utilisateurs souhaitent déployer, puis cliquez sur Sélectionner. Pour la version Citrix ADC VPX, les utilisateurs ont les options suivantes :

• Une version sous licence

  • Appliance Citrix ADC VPX Express (une appliance virtuelle gratuite, disponible à partir de Citrix ADC 12.0 56.20.)

  • Apportez votre propre appareil

L’assistant de lancement d’instance démarre. Suivez l’assistant pour créer une instance.

L’assistant invite les utilisateurs à

• Choisir le type d’instance

• Configurer l’instance

• Ajouter du stockage

• Ajouter des balises

• Configurer le groupe de sécurité

• Vérifier

Créer et attacher d’autres interfaces réseau

Créez deux interfaces réseau supplémentaires pour le VIP et le SNIP.

Pour plus d’informations sur la création d’interfaces réseau supplémentaires, consultez la section Création d’une interface réseau.

Une fois que les utilisateurs ont créé les interfaces réseau, ils doivent les attacher à l’instance VPX. Avant d’attacher les interfaces, arrêtez l’instance VPX, attachez les interfaces, puis mettez l’instance sous tension.

Pour plus d’informations sur l’attachement d’interfaces réseau, consultez la section Attacher une interface réseau lors du lancement d’une instance.

Allouer et associer des adresses IP élastiques

Si les utilisateurs attribuent une adresse IP publique à une instance EC2, elle reste attribuée uniquement jusqu’à l’arrêt de l’instance. Après cela, l’adresse est libérée et retourne au pool. Lorsque les utilisateurs redémarrent l’instance, une nouvelle adresse IP publique est attribuée.

En revanche, une adresse IP élastique (EIP) reste attribuée jusqu’à ce qu’elle soit dissociée d’une instance.

Allouez et associez une adresse IP élastique pour la carte réseau de gestion.

Pour plus d’informations sur l’allocation et l’association d’adresses IP élastiques, consultez les rubriques suivantes

• Allocation d’une adresse IP élastique

• Association d’une adresse IP élastique à une instance en cours d’exécution

Ces étapes complètent la procédure de création d’une instance Citrix ADC VPX sur AWS. L’instance peut prendre quelques minutes pour être prête. Vérifiez que l’instance a réussi ses vérifications d’état. Les utilisateurs peuvent consulter ces informations dans la colonne Vérifications d’état de la page Instances.

Se connecter à l’instance VPX

Une fois que les utilisateurs ont créé l’instance VPX, ils peuvent s’y connecter à l’aide de l’interface graphique et d’un client SSH.

Connexion GUI

Voici les informations d’identification d’administrateur par défaut pour accéder à une instance Citrix ADC VPX

• Nom d’utilisateur : nsroot

• Mot de passe : Le mot de passe par défaut du compte nsroot est défini sur l’ID d’instance AWS de l’instance Citrix ADC VPX.

Connexion client SSH

Depuis la console de gestion AWS, sélectionnez l’instance Citrix ADC VPX et cliquez sur Connecter. Suivez les instructions fournies sur la page Se connecter à votre instance.

Pour plus d’informations sur la façon de déployer une instance autonome Citrix ADC VPX sur AWS à l’aide de la console Web AWS, consultez

• Scénario : Instance autonome

• Configurer une instance autonome Citrix ADC VPX sur AWS à l’aide de CFT

Déploiement CFT

Citrix ADC VPX est disponible sous forme d’Amazon Machine Images (AMI) sur AWS Marketplace.

AWS Marketplace

Avant d’utiliser un modèle CloudFormation pour provisionner un Citrix ADC VPX dans AWS, l’utilisateur AWS doit accepter les conditions et s’abonner au produit AWS Marketplace. Chaque édition du Citrix ADC VPX sur le Marketplace nécessite cette étape.

Chaque modèle du référentiel CloudFormation dispose d’une documentation colocalisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée du Citrix ADC VPX, ou d’introduire l’utilisateur au Citrix ADC ou de démontrer une fonctionnalité, une édition ou une option particulière. Les utilisateurs peuvent réutiliser, modifier ou améliorer les modèles pour répondre à leurs besoins spécifiques de production et de test. La plupart des modèles nécessitent des autorisations EC2 complètes en plus des autorisations de création de rôles IAM.

Les modèles CloudFormation contiennent des ID AMI spécifiques à une version particulière du Citrix ADC VPX (par exemple, la version 12.0-56.20) et à une édition (par exemple, Citrix ADC VPX Platinum Edition - 10 Mbps) OU Citrix ADC BYOL. Pour utiliser une version/édition différente du Citrix ADC VPX avec un modèle CloudFormation, l’utilisateur doit modifier le modèle et remplacer les ID AMI.

Les derniers ID AMI AWS de Citrix ADC sont disponibles sur GitHub à l’adresse Citrix ADC AWS CloudFormation Master.

Déploiement CFT à carte réseau unique

Le modèle CloudFormation nécessite des autorisations suffisantes pour créer des rôles IAM et des fonctions lambda, au-delà des privilèges complets EC2 normaux. L’utilisateur de ce modèle doit également accepter les conditions et s’abonner au produit AWS Marketplace avant d’utiliser ce modèle CloudFormation.

Ce modèle CloudFormation crée une instance du VPX Express à partir de l’AMI VPX Express à l’aide d’un seul sous-réseau VPC. Le modèle CloudFormation provisionne également une fonction lambda qui initialise l’instance VPX. La configuration initiale effectuée par la fonction lambda comprend la configuration de l’interface réseau, la configuration VIP et la configuration des fonctionnalités. Une configuration supplémentaire peut être effectuée en se connectant à l’interface graphique ou via SSH (nom d’utilisateur : nsroot).

La sortie du modèle CloudFormation comprend

• InstanceIdNS - ID d’instance de l’instance VPX nouvellement créée. Il s’agit du mot de passe par défaut pour l’accès GUI/ssh.

• ManagementURL2 - Utilisez cette URL HTTP vers l’interface graphique de gestion (si votre navigateur rencontre des problèmes avec le certificat auto-signé) pour vous connecter au VPX.

• PublicNSIP - Utilisez cette adresse IP publique pour vous connecter en SSH à l’appliance.

• PublicIpVIP - L’adresse IP publique où les applications à charge équilibrée peuvent être accédées.

Le modèle CloudFormation déploie le VPX en mode monocarte réseau. Les adresses IP NetScaler standard : NSIP (IP de gestion), VIP (où les applications à charge équilibrée sont accédées) et SNIP (l’IP utilisée pour envoyer le trafic aux instances backend) sont toutes provisionnées sur la carte réseau unique et sont tirées de l’espace d’adressage (RFC1918) du sous-réseau VPC fourni. Le NSIP (RFC1918) est mappé à l’IP publique de l’instance VPX et le VIP (RFC1918) est mappé à une IP élastique publique. Si le VPX est redémarré, le mappage NSIP public est perdu. Dans ce cas, le NSIP n’est accessible que depuis l’intérieur du sous-réseau VPC, depuis une autre instance EC2 dans le même sous-réseau. D’autres architectures possibles incluent des configurations à 2 et 3 cartes réseau sur plusieurs sous-réseaux VPC.

Déploiement CFT à trois cartes réseau

Ce modèle déploie un VPC, avec 3 sous-réseaux (gestion, client, serveur) pour 2 zones de disponibilité. Il déploie une passerelle Internet, avec une route par défaut sur les sous-réseaux publics. Ce modèle crée également une paire HA sur plusieurs zones de disponibilité avec deux instances de Citrix ADC : 3 ENI associées à 3 sous-réseaux VPC (gestion, client, serveur) sur le primaire et 3 ENI associées à 3 sous-réseaux VPC (gestion, client, serveur) sur le secondaire. Tous les noms de ressources créés par ce CFT sont préfixés par un tagName du nom de la pile.

La sortie du modèle CloudFormation comprend

• PrimaryCitrixADCManagementURL - URL HTTPS vers l’interface graphique de gestion du VPX primaire (utilise un certificat auto-signé)

• PrimaryCitrixADCManagementURL2 - URL HTTP vers l’interface graphique de gestion du VPX primaire

• PrimaryCitrixADCInstanceID - ID d’instance de la nouvelle instance VPX primaire créée

• PrimaryCitrixADCPublicVIP - Adresse IP élastique de l’instance VPX primaire associée au VIP

• PrimaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX primaire

• PrimaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX primaire

• PrimaryCitrixADCPrivateVIP - Adresse IP privée de l’instance VPX primaire associée au VIP

• PrimaryCitrixADCSNIP - Adresse IP privée de l’instance VPX primaire associée au SNIP

• SecondaryCitrixADCManagementURL - URL HTTPS vers l’interface graphique de gestion du VPX secondaire (utilise un certificat auto-signé)

• SecondaryCitrixADCManagementURL2 - URL HTTP vers l’interface graphique de gestion du VPX secondaire

• SecondaryCitrixADCInstanceID - ID d’instance du VPX secondaire nouvellement créé

• SecondaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX secondaire

• SecondaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX secondaire

• SecondaryCitrixADCPrivateVIP - Adresse IP privée de l’instance VPX secondaire associée au VIP

• SecondaryCitrixADCSNIP - Adresse IP privée de l’instance VPX secondaire associée au SNIP

• SecurityGroup - ID du groupe de sécurité auquel appartient le VPX

Lors de la saisie des données dans le CFT, le contre tout paramètre du CFT implique qu’il s’agit d’un champ obligatoire. Par exemple, l’ID VPC est un champ obligatoire.

Les prérequis suivants doivent être remplis. Le modèle CloudFormation nécessite des autorisations suffisantes pour créer des rôles IAM, au-delà des privilèges complets EC2 normaux. L’utilisateur de ce modèle doit également accepter les conditions et s’abonner au produit AWS Marketplace avant d’utiliser ce modèle CloudFormation.

Les éléments suivants doivent également être présents

• Paire de clés

• 3 EIP non allouées

  • Gestion principale

  • VIP client

  • Gestion secondaire

Pour plus d’informations sur le provisionnement des instances Citrix ADC VPX sur AWS, les utilisateurs peuvent consulter Provisioning Citrix ADC VPX Instances on AWS

Prérequis

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer qu’ils disposent des éléments suivants

• Un compte AWS pour lancer une AMI Citrix ADC VPX dans un Amazon Web Services (AWS) Virtual Private Cloud (VPC). Les utilisateurs peuvent créer un compte AWS gratuitement sur .

• Un compte utilisateur AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour les utilisateurs.

Pour plus d’informations sur la création d’un compte utilisateur IAM, consultez Creating IAM Users (Console).

Un rôle IAM est obligatoire pour les déploiements autonomes et à haute disponibilité.

Le rôle IAM doit disposer des privilèges suivants

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• mise à l’échelle automatique:*

• Service de notification simple:*

• Service de file d’attente simple:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Si le modèle Citrix CloudFormation est utilisé, le rôle IAM est automatiquement créé. Le modèle ne permet pas de sélectionner un rôle IAM déjà créé.

Remarque :

Lorsque les utilisateurs se connectent à l’instance VPX via l’interface graphique, une invite de configuration des privilèges requis pour le rôle IAM apparaît. Ignorez l’invite si les privilèges ont déjà été configurés.

Pour plus d’informations, consultez

Qu’est-ce que l’interface de ligne de commande AWS ?

Remarque : Les utilisateurs ont également besoin de l’AWS CLI pour modifier le type d’interface réseau en SR-IOV.

Limitations et directives d’utilisation

Les limitations et directives d’utilisation suivantes s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS

• Les utilisateurs doivent lire la terminologie AWS mentionnée ci-dessus avant de commencer un nouveau déploiement.

• La fonctionnalité de clustering n’est prise en charge que lorsqu’elle est provisionnée avec les groupes de mise à l’échelle automatique de Citrix ADM.

• Pour que la configuration de haute disponibilité fonctionne efficacement, associez un périphérique NAT dédié à l’interface de gestion ou associez une adresse IP élastique (EIP) au NSIP.

Pour plus d’informations sur NAT, consultez la documentation AWS, voir Instances NAT

• Le trafic de données et le trafic de gestion doivent être séparés avec des ENI appartenant à différents sous-réseaux.

• Seule l’adresse NSIP doit être présente sur l’ENI de gestion.

• Si une instance NAT est utilisée pour la sécurité au lieu d’attribuer une EIP au NSIP, des modifications de routage appropriées au niveau du VPC sont nécessaires.

Pour obtenir des instructions sur la modification du routage au niveau du VPC, consultez la documentation AWS, voir Scénario 2 : VPC avec sous-réseaux publics et privés.

• Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à m3.xlarge).

Pour plus d’informations, consultez Limitations et directives d’utilisation

• Pour les supports de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après avoir été détachées de l’instance.

• L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Redémarrez l’instance VPX pour appliquer la mise à jour. Citrix recommande aux utilisateurs d’arrêter l’instance autonome ou HA, d’attacher la nouvelle ENI, puis de redémarrer l’instance. L’ENI principale ne peut pas être modifiée ou attachée à un sous-réseau différent une fois qu’elle est déployée. Les ENI secondaires peuvent être détachées et modifiées au besoin pendant que le VPX est arrêté.

• Les utilisateurs peuvent attribuer plusieurs adresses IP à une ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2.

Consultez la section « Adresses IP par interface réseau et par type d’instance » dans Interfaces réseau élastiques.

• Les utilisateurs doivent allouer les adresses IP dans AWS avant de les attribuer aux ENI.

Pour plus d’informations, consultez Interfaces réseau élastiques.

• Citrix recommande aux utilisateurs d’éviter d’utiliser les commandes d’activation et de désactivation d’interface sur les interfaces Citrix ADC VPX.

• Les commandes Citrix ADC set ha node \<NODE\_ID\> -haStatus STAYPRIMARY et set ha node \<NODE\_ID\> -haStatus STAYSECONDARY sont désactivées par défaut.

• IPv6 n’est pas pris en charge pour VPX.

• En raison des limitations d’AWS, les fonctionnalités suivantes ne sont pas prises en charge :

  • ARP gratuit (GARP)

  • Mode L2 (pontage). Les vServers transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs situés dans le même sous-réseau que le SNIP.

  • VLAN balisé

  • Routage dynamique

  • MAC virtuelle

• Pour que le RNAT, le routage et les vServers transparents fonctionnent, assurez-vous que la vérification source/destination est désactivée pour toutes les ENI dans le chemin de données.

Pour plus d’informations, consultez « Modification de la vérification source/destination » dans Interfaces réseau élastiques.

• Dans un déploiement Citrix ADC VPX sur AWS, dans certaines régions AWS, l’infrastructure AWS pourrait ne pas être en mesure de résoudre les appels d’API AWS. Cela se produit si les appels d’API sont émis via une interface non-gestion sur l’instance Citrix ADC VPX. Pour contourner ce problème, limitez les appels d’API à l’interface de gestion uniquement. Pour ce faire, créez un NSVLAN sur l’instance VPX et liez l’interface de gestion au NSVLAN à l’aide de la commande appropriée.

• Par exemple :

  • set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NO

  • save config

• Redémarrez l’instance VPX à l’invite.

Pour plus d’informations sur la configuration de NSVLAN, consultez Configuration de NSVLAN.

• Dans la console AWS, l’utilisation du vCPU affichée pour une instance VPX sous l’onglet Surveillance peut être élevée (jusqu’à 100 pour cent), même lorsque l’utilisation réelle est bien inférieure. Pour voir l’utilisation réelle du vCPU, accédez à Afficher toutes les métriques CloudWatch.

Pour plus d’informations, consultez Surveiller vos instances à l’aide d’Amazon CloudWatch

• Alternativement, si une faible latence et des performances ne sont pas une préoccupation, les utilisateurs peuvent activer la fonction CPU Yield, permettant aux moteurs de paquets de rester inactifs lorsqu’il n’y a pas de trafic.

Pour plus de détails sur la fonction CPU Yield et comment l’activer, visitez le Centre de connaissances du support Citrix.

Support AWS-VPX

Modèles VPX pris en charge sur AWS**

• Citrix ADC VPX Édition Standard/Enterprise/Platinum - 200 Mbps
• Citrix ADC VPX Édition Standard/Enterprise/Platinum - 1000 Mbps
• Citrix ADC VPX Édition Standard/Enterprise/Platinum - 3 Gbps
• Citrix ADC VPX Édition Standard/Enterprise/Platinum - 5 Gbps
• Citrix ADC VPX Standard/Avancé/Premium - 10 Mbps
• Citrix ADC VPX Express - 20 Mbps
• Citrix ADC VPX - Sous licence client

Régions AWS prises en charge

• Région Ouest des États-Unis (Oregon)
• Région Ouest des États-Unis (Californie du Nord)
• Région Est des États-Unis (Ohio)
• Région Est des États-Unis (Virginie du Nord)
• Région Asie-Pacifique (Séoul)
• Région Canada (Centre)
• Région Asie-Pacifique (Singapour)
• Région Asie-Pacifique (Sydney)
• Région Asie-Pacifique (Tokyo)
• Région Asie-Pacifique (Hong Kong)
• Région Canada (Centre)
• Région Chine (Pékin)
• Région Chine (Ningxia)
• Région UE (Francfort)
• Région UE (Irlande)
• Région UE (Londres)
• Région UE (Paris) * Région Amérique du Sud (São Paulo)|
• Région AWS GovCloud (US-Est)

Types d’instances AWS pris en charge

• m3.large, m3.large, m3.2xlarge
• c4.large, c4.large, c4.2xlarge, c4.4xlarge, c4.8xlarge
• m4.large, m4.large, m4.2xlarge, m4.4xlarge, m4.10xlarge
• m5.large, m5.xlarge, m5.2xlarge, m5.4xlarge, m5.12xlarge, m5.24xlarge
• c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge, c5.24xlarge
• C5n.large, C5n.xlarge, C5n.2xlarge, C5n.4xlarge, C5n.9xlarge, C5n.18xlarge

Services AWS pris en charge

• #EC2
• #Lambda
• #S3
• #VPC
• #route53
• #ELB
• #Cloudwatch
• #AWS AutoScaling
• #Formation de cloud
• Simple Queue Service (SQS)
• Simple Notification Service (SNS)
• Identity & Access Management (IAM)

Pour une bande passante plus élevée, Citrix recommande les types d’instances suivants

Type d’instance	Bande passante	Mise en réseau améliorée (SR-IOV)
M4.10x grande	3 Gbit/s et 5 Gbit/s	Oui
C4.8x grande	3 Gbit/s et 5 Gbit/s	Oui
C5.18xlarge/M5.18xlarge	25 Gbit/s	ENA
C5n.18xlarge	30 Gbit/s	ENA

Pour rester informé des modèles VPX et des régions AWS, des types d’instances et des services actuellement pris en charge, consultez la matrice de prise en charge VPX-AWS.