Guide de déploiement Citrix ADC VPX sur Azure - Reprise après sinistre

Contributeurs

Auteur : Blake Schindler, architecte de solutions

Vue d’ensemble

Citrix ADC est une solution de mise à disposition d’applications et d’équilibrage de charge qui fournit une expérience utilisateur de haute qualité pour les applications Web, traditionnelles et natives du cloud, quel que soit l’endroit où elles sont hébergées. Il est disponible dans une grande variété de formats et d’options de déploiement sans enfermer les utilisateurs dans une configuration ou un cloud unique. Les licences de capacité groupées permettent de déplacer la capacité entre les déploiements cloud.

En tant que leader incontesté de la fourniture de services et d’applications, Citrix ADC est déployé sur des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la fourniture de tous les services d’entreprise et de cloud. Déployé directement devant les serveurs Web et de base de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu à haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu applicatif dans une plate-forme intégrée et facile à utiliser. Il est beaucoup plus simple de respecter les SLA grâce à une surveillance de bout en bout qui transforme les données réseau en Business Intelligence exploitable. Citrix ADC permet de définir et de gérer les stratégies à l’aide d’un moteur de stratégie déclarative simple sans expertise en programmation requise.

Citrix VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud :

• Citrix Hypervisor

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Microsoft Azure

Microsoft Azure

Microsoft Azure est un ensemble de services de cloud computing en constante évolution conçus pour aider les entreprises à relever leurs défis commerciaux. Azure donne aux utilisateurs la liberté de créer, de gérer et de déployer des applications sur un vaste réseau mondial à l’aide de leurs outils et infrastructures préférés. Avec Azure, les utilisateurs peuvent :

• Soyez prêt pour l’avenir grâce à l’innovation continue de Microsoft pour soutenir leur développement aujourd’hui et leurs visions des produits pour demain.

• Exploitez le cloud hybride de manière transparente sur site, dans le cloud et à la périphérie : Azure répond aux besoins des utilisateurs là où ils se trouvent.

• Tirez parti de leurs conditions grâce à l’engagement d’Azure en faveur de l’open source et de la prise en charge de tous les langages et infrastructures, permettant aux utilisateurs d’être libres de créer comme ils le souhaitent et de déployer où ils le souhaitent.

• Faites confiance à leur cloud avec une sécurité complète, soutenue par une équipe d’experts et une conformité proactive et de pointe, à laquelle les entreprises, les gouvernements et les startups font confiance.

Terminologie Azure

Voici une brève description des termes essentiels utilisés dans ce document et que les utilisateurs doivent connaître :

• Azure Load Balancer — L’équilibreur de charge Azure est une ressource qui distribue le trafic entrant entre les ordinateurs d’un réseau. Le trafic est distribué entre les machines virtuelles définies dans un jeu d’équilibrage de charge. Un équilibreur de charge peut être externe ou connecté à Internet, ou il peut être interne.

• Azure Resource Manager (ARM) — ARM est le nouveau cadre de gestion des services dans Azure. Azure Load Balancer est géré à l’aide d’API et d’outils ARM.

• Pool d’adresses back-end — Le pool d’adresses back-end est constitué des adresses IP associées à la carte réseau de la machine virtuelle (NIC) à laquelle la charge est distribuée.

• BLOB - Binary Large Object — Tout objet binaire tel qu’un fichier ou une image qui peut être stocké dans le stockage Azure.

• Configuration IP front-end : un équilibreur de charge Azure peut inclure une ou plusieurs adresses IP front-end, également appelées adresses IP virtuelles (VIP). Ces adresses IP servent d’entrée pour le trafic.

• IP publique au niveau de l’instance (ILPIP) : un ILPIP est une adresse IP publique que les utilisateurs peuvent attribuer directement à une machine virtuelle ou à une instance de rôle, plutôt qu’au service cloud dans lequel réside la machine virtuelle ou l’instance de rôle. L’ILPIP ne remplace pas le VIP (IP virtuelle) qui est attribué à leur service cloud. Il s’agit plutôt d’une adresse IP supplémentaire qui peut être utilisée pour se connecter directement à une machine virtuelle ou à une instance de rôle.

Remarque :

Dans le passé, un ILPIP était appelé PIP, ce qui signifie propriété intellectuelle publique.

• Règles NAT entrantes : elles contiennent des règles qui mappent un port public sur l’équilibreur de charge à un port pour une machine virtuelle spécifique dans le pool d’adresses back-end.

• IP-Config - Il peut être défini comme une paire d’adresses IP (IP publique et IP privée) associée à une carte réseau individuelle. Dans une configuration IP, l’adresse IP publique peut être NULL. Chaque carte réseau peut être associée à plusieurs configurations IP, qui peuvent aller jusqu’à 255.

• Règles d’équilibrage de charge : propriété de règle qui mappe une combinaison IP et port front-end donnée à un ensemble d’adresses IP back-end et de combinaisons de ports. Avec une définition unique d’une ressource d’équilibreur de charge, les utilisateurs peuvent définir plusieurs règles d’équilibrage de charge, chaque règle reflétant une combinaison d’une adresse IP et d’un port frontaux et d’une adresse IP et d’un port back-end associés aux machines virtuelles.

• Groupe de sécurité réseau (NSG) : le groupe de sécurité réseau contient une liste de règles de liste de contrôle d’accès (ACL) qui autorisent ou refusent le trafic réseau vers les instances de machines virtuelles d’un réseau virtuel. Les NSG peuvent être associés à des sous-réseaux ou à des instances de machine virtuelle individuelles au sein de ce sous-réseau. Lorsqu’un groupe de sécurité réseau est associé à un sous-réseau, les règles ACL s’appliquent à toutes les instances de machines virtuelles de ce sous-réseau. En outre, le trafic vers une machine virtuelle individuelle peut être davantage restreint en associant un groupe de sécurité réseau directement à cette machine virtuelle.

• Adresses IP privées : utilisées pour la communication au sein d’un réseau virtuel Azure et pour le réseau local de l’utilisateur lorsqu’une passerelle VPN est utilisée pour étendre un réseau utilisateur à Azure. Les adresses IP privées permettent aux ressources Azure de communiquer avec d’autres ressources d’un réseau virtuel ou d’un réseau local via une passerelle VPN ou un circuit ExpressRoute, sans utiliser d’adresse IP accessible par Internet. Dans le modèle de déploiement Azure Resource Manager, une adresse IP privée est associée aux types de ressources Azure suivants : machines virtuelles, équilibreurs de charge internes (ILB) et passerelles d’application.

• Sondes : contient des sondes d’intégrité utilisées pour vérifier la disponibilité des instances de machines virtuelles dans le pool d’adresses back-end. Si une machine virtuelle particulière ne répond pas aux sondes d’intégrité pendant un certain temps, elle est retirée du service de trafic. Les sondes permettent aux utilisateurs de suivre l’état de santé des instances virtuelles. Si une sonde d’intégrité échoue, l’instance virtuelle est automatiquement retirée de la rotation.

• Adresses IP publiques (PIP) : le PIP est utilisé pour la communication avec Internet, y compris les services publics Azure, et est associé aux machines virtuelles, aux équilibreurs de charge Internet, aux passerelles VPN et aux passerelles d’applications.

• Région - Zone au sein d’une géographie qui ne franchit pas les frontières nationales et qui contient un ou plusieurs centres de données. Les tarifs, les services régionaux et les types d’offres sont exposés au niveau régional. Une région est généralement jumelée à une autre région, qui peut se trouver à plusieurs centaines de miles, pour former une paire régionale. Les paires régionales peuvent servir de mécanisme pour la reprise après sinistre et les scénarios de haute disponibilité. Aussi appelé généralement lieu.

• Groupe de ressources : conteneur dans le Gestionnaire de ressources qui contient les ressources associées pour une application. Le groupe de ressources peut inclure toutes les ressources d’une application, ou uniquement les ressources qui sont regroupées logiquement.

• Compte de stockage : un compte de stockage Azure permet aux utilisateurs d’accéder au blob, à la file d’attente, aux tables et aux services de fichiers Azure dans Azure Storage. Un compte de stockage utilisateur fournit l’espace de noms unique pour les objets de données de stockage Azure utilisateur.

• Machine virtuelle : implémentation logicielle d’un ordinateur physique qui exécute un système d’exploitation. Plusieurs machines virtuelles peuvent s’exécuter simultanément sur le même matériel. Dans Azure, les machines virtuelles sont disponibles en différentes tailles.

• Réseau virtuel - Un réseau virtuel Azure est une représentation d’un réseau utilisateur dans le cloud. Il s’agit d’un isolement logique du cloud Azure dédié à un abonnement utilisateur. Les utilisateurs peuvent contrôler totalement les blocs d’adresses IP, les paramètres DNS, les stratégies de sécurité et les tables de routage au sein de ce réseau. Les utilisateurs peuvent également segmenter davantage leur réseau virtuel en sous-réseaux et lancer des machines virtuelles Azure IaaS et des services cloud (instances de rôle PaaS). Les utilisateurs peuvent également connecter le réseau virtuel à leur réseau local à l’aide de l’une des options de connectivité disponibles dans Azure. Essentiellement, les utilisateurs peuvent étendre leur réseau à Azure, avec un contrôle total sur les blocs d’adresses IP et bénéficier des avantages d’Azure à l’échelle de l’entreprise.

Cas d’utilisation

Comparé aux solutions alternatives qui nécessitent que chaque service soit déployé en tant qu’appliance virtuelle distincte, Citrix ADC sur Azure combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement du serveur, l’accélération des applications, la sécurité des applications et d’autres fonctionnalités essentielles de mise à disposition d’applications dans un seul VPX , facilement disponible via Azure Marketplace. En outre, tout est régi par un cadre de stratégie unique et géré avec le même ensemble puissant d’outils utilisés pour administrer les déploiements Citrix ADC locaux. Le résultat net est que Citrix ADC sur Azure permet plusieurs cas d’utilisation convaincants qui répondent non seulement aux besoins immédiats des entreprises d’aujourd’hui, mais également à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Reprise après sinistre (DR)

La catastrophe est une perturbation soudaine des fonctions commerciales causée par des catastrophes naturelles ou des événements d’origine humaine. Les catastrophes affectent les opérations du datacenter, après quoi les ressources et les données perdues sur le site du sinistre doivent être entièrement reconstruites et restaurées. La perte de données ou les temps d’arrêt dans le datacenter sont critiques et réduit la continuité de l’activité.

L’un des défis auxquels les clients sont confrontés aujourd’hui est de décider où placer leur site de reprise après sinistre. Les entreprises recherchent la cohérence et les performances indépendamment des défaillances de l’infrastructure sous-jacente ou du réseau.

Les raisons possibles pour lesquelles de nombreuses entreprises décident de migrer vers le cloud sont les suivantes :

• Économie d’utilisation — Les dépenses d’investissement liées à la mise en place d’un centre de données sur site sont bien documentées et, en utilisant le cloud, ces entreprises peuvent libérer du temps et des ressources pour étendre leurs propres systèmes.

• Temps de restauration plus rapides — La plupart de l’orchestration automatisée permet une restauration en quelques minutes seulement.

• Il existe également des technologies qui aident à répliquer les données en fournissant une protection continue des données ou des instantanés continus pour se prémunir contre toute panne ou attaque.

• Enfin, dans certains cas d’utilisation, les clients ont besoin de nombreux types de contrôles de conformité et de sécurité déjà présents sur les clouds publics. Ils leur permettent d’atteindre plus facilement la conformité dont ils ont besoin plutôt que de créer leur propre solution.

Un Citrix ADC configuré pour GSLB transfère le trafic vers le centre de données le moins chargé ou le plus performant. Cette configuration, appelée configuration active-active, améliore non seulement les performances, mais assure également une reprise après sinistre immédiate en acheminant le trafic vers d’autres centres de données si un centre de données faisant partie de la configuration est en panne. Citrix ADC permet ainsi aux clients d’économiser un temps et un argent précieux.

Types de déploiement

Déploiement multi-IP multi-NIC (déploiement sur trois cartes réseau)

• Déploiements types

  • Haute disponibilité (HA)

  • Autonome

• Cas d’utilisation

  • Les déploiements multi-IP multi-NIC sont utilisés pour obtenir une isolation réelle des données et du trafic de gestion.

  • Les déploiements multi-IP multi-NIC améliorent également l’évolutivité et les performances de l’ADC.

  • Les déploiements multi-IP sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus et où un déploiement à trois cartes réseau est recommandé.

Déploiement multi-IP à carte réseau unique (déploiement avec une carte réseau)

• Déploiements types

  • Haute disponibilité (HA)

  • Autonome

• Cas d’utilisation

  • Équilibrage interne

  • Le cas d’utilisation typique du déploiement multi-IP d’une carte réseau unique est celui des applications intranet nécessitant un débit inférieur (inférieur à 1 Gbit/s).

Modèles Citrix ADC Azure Resource Manager

Les modèles Azure Resource Manager (ARM) fournissent une méthode de déploiement de l’infrastructure ADC sous forme de code dans Azure de manière simple et cohérente. Azure est géré à l’aide d’une API Azure Resource Manager (ARM). Les ressources gérées par l’API ARM sont des objets dans Azure tels que des cartes réseau, des machines virtuelles et des bases de données hébergées. Les modèles ARM définissent les objets que les utilisateurs souhaitent utiliser ainsi que leurs types, noms et propriétés dans un fichier JSON compréhensible par l’API ARM. Les modèles ARM permettent de déclarer les objets souhaités par les utilisateurs, ainsi que leurs types, noms et propriétés, dans un fichier JSON qui peut être intégré dans le contrôle de source et géré comme n’importe quel autre fichier de code. Les modèles ARM permettent réellement aux utilisateurs de déployer l’infrastructure Azure sous forme de code.

• Cas d’utilisation

  • Personnalisation du déploiement

  • Automatiser le déploiement

Déploiement multi-NIC Multi-IP (trois cartes réseau) pour DR

Les clients peuvent déployer à l’aide d’un déploiement à trois cartes réseau s’ils effectuent un déploiement dans un environnement de production où la sécurité, la redondance, la disponibilité, la capacité et l’évolutivité sont essentielles. Avec cette méthode de déploiement, la complexité et la facilité de gestion ne sont pas des préoccupations critiques pour les utilisateurs.

Déploiement multi-IP (une carte réseau) pour DR

Les clients peuvent déployer à l’aide d’un déploiement à carte réseau unique s’ils déploient dans un environnement hors production, s’ils configurent l’environnement pour les tests ou s’ils préparent un nouvel environnement avant le déploiement en production. Une autre raison potentielle d’utiliser le déploiement d’une carte réseau unique est que les clients souhaitent déployer directement dans le cloud rapidement et efficacement. Enfin, le déploiement d’une carte réseau unique serait utilisé lorsque les clients recherchent la simplicité d’une configuration de sous-réseau unique.

Déploiement de modèles Azure Resource

Les clients déploient à l’aide de modèles Azure Resource Manager (ARM) s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Architecture réseau

Dans ARM, une machine virtuelle (VM) Citrix ADC VPX réside dans un réseau virtuel. Une carte réseau virtuelle (NIC) est créée sur chaque machine virtuelle Citrix ADC. Le groupe de sécurité réseau (NSG) configuré dans le réseau virtuel est lié à la carte réseau et, ensemble, ils contrôlent le trafic entrant et sortant de la machine virtuelle.

Le NSG transmet les demandes à l’instance Citrix ADC VPX, qui les envoie aux serveurs. La réponse d’un serveur suit le même chemin à l’envers. Le NSG peut être configuré pour contrôler une seule machine virtuelle VPX ou, avec des sous-réseaux et des réseaux virtuels, peut contrôler le trafic dans plusieurs déploiements de machines virtuelles VPX.

La carte réseau contient des détails de configuration réseau tels que le réseau virtuel, les sous-réseaux, l’adresse IP interne et l’adresse IP publique.

Sur ARM, il est bon de connaître les adresses IP suivantes qui sont utilisées pour accéder aux machines virtuelles déployées avec une seule carte réseau et une seule adresse IP :

• L’adresse IP publique (PIP) est l’adresse IP Internet configurée directement sur la carte réseau virtuelle de la machine virtuelle Citrix ADC. Cela permet aux utilisateurs d’accéder directement à une machine virtuelle depuis le réseau externe.

• L’adresse IP Citrix ADC (NSIP) est une adresse IP interne configurée sur la machine virtuelle. Il n’est pas routable.

• L’adresse IP virtuelle (VIP) est configurée à l’aide du NSIP et d’un numéro de port. Les clients accèdent aux services Citrix ADC via l’adresse PIP, et lorsque la demande atteint la carte réseau de la machine virtuelle Citrix ADC VPX ou de l’équilibreur de charge Azure, le VIP est traduit en IP interne (NSIP) et en numéro de port interne.

• L’adresse IP interne est l’adresse IP interne privée de la machine virtuelle à partir du pool d’espace d’adressage du réseau virtuel. Cette adresse IP ne peut pas être atteinte à partir du réseau externe. Cette adresse IP est dynamique par défaut sauf si les utilisateurs la définissent sur statique. Le trafic provenant d’Internet est acheminé à cette adresse selon les règles créées sur le NSG. Le NSG fonctionne avec la carte réseau pour envoyer sélectivement le bon type de trafic vers le bon port de la carte réseau, ce qui dépend des services configurés sur la machine virtuelle.

La figure suivante montre comment le trafic circule d’un client vers un serveur via une instance Citrix ADC VPX provisionnée dans ARM.

Étapes de déploiement

Lorsque les utilisateurs déploient une instance Citrix ADC VPX sur Microsoft Azure Resource Manager (ARM), ils peuvent utiliser les fonctionnalités de cloud computing Azure et utiliser les fonctionnalités d’équilibrage de charge et de gestion du trafic de Citrix ADC pour leurs besoins professionnels. Les utilisateurs peuvent déployer des instances Citrix ADC VPX sur Azure Resource Manager soit en tant qu’instances autonomes, soit en tant que paires haute disponibilité en modes actif-veille.

Mais les utilisateurs peuvent déployer une instance Citrix ADC VPX sur Microsoft Azure de deux manières :

• Via Azure Marketplace. Le boîtier virtuel Citrix ADC VPX est disponible en tant qu’image dans Microsoft Azure Marketplace.

• Utilisation du modèle json Citrix ADC Azure Resource Manager (ARM) disponible sur GitHub. Pour plus d’informations, voir : Modèles Citrix ADC Azure.

Fonctionnement d’une instance Citrix ADC VPX sur Azure

Dans un déploiement sur site, une instance Citrix ADC VPX nécessite au moins trois adresses IP :

• Adresse IP de gestion, appelée adresse NSIP

• Adresse IP du sous-réseau (SNIP) pour communiquer avec la batterie de serveurs

• Adresse IP du serveur virtuel (VIP) pour accepter les demandes des clients

Pour plus d’informations, voir : Architecture réseau pour les instances Citrix ADC VPX sur Microsoft Azure.

Remarque :

les appliances virtuelles VPX peuvent être déployées sur n’importe quel type d’instance doté de deux cœurs ou plus et de plus de 2 Go de mémoire.

Dans un déploiement Azure, les utilisateurs peuvent provisionner une instance Citrix ADC VPX sur Azure de trois manières :

• Architecture multi-NIC Multi-IP

• Architecture multi-IP d’une carte réseau unique

• modèles ARM (Azure Resource Manager)

Selon les besoins, les utilisateurs peuvent déployer n’importe lequel de ces types d’architecture pris en charge.

Architecture multi-NIC Multi-IP (trois cartes réseau)

Dans ce type de déploiement, les utilisateurs peuvent avoir plusieurs interfaces réseau (NIC) connectées à une instance VPX. Toute carte réseau peut avoir une ou plusieurs configurations IP (adresses IP publiques et privées statiques ou dynamiques) qui lui sont attribuées.

Reportez-vous aux exemples d’utilisation suivants :

• Configuration d’une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau

• Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide des commandes PowerShell

Configuration d’une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau

Dans un déploiement Microsoft Azure, une configuration haute disponibilité de deux instances Citrix ADC VPX est réalisée à l’aide de l’équilibreur de charge Azure (ALB). Pour ce faire, configurez une sonde d’intégrité sur ALB, qui surveille chaque instance VPX en envoyant des sondes d’intégrité toutes les 5 secondes aux instances principales et secondaires.

Dans cette configuration, seul le nœud principal répond aux sondes de santé et le nœud secondaire ne le fait pas. Une fois que le principal envoie la réponse à la sonde d’intégrité, l’ALB commence à envoyer le trafic de données à l’instance. Si l’instance principale manque deux sondes d’intégrité consécutives, ALB ne redirige pas le trafic vers cette instance. Lors du basculement, la nouvelle base commence à répondre aux sondes d’intégrité et l’ALB redirige le trafic vers elle. Le temps de basculement standard VPX haute disponibilité est de trois secondes. Le temps de basculement total pouvant survenir pour la commutation de trafic peut être de 13 secondes maximum.

Les utilisateurs peuvent déployer une paire d’instances Citrix ADC VPX avec plusieurs cartes réseau dans une configuration haute disponibilité (HA) active-passive sur Azure. Chaque carte réseau peut contenir plusieurs adresses IP.

Les options suivantes sont disponibles pour un déploiement multicarte haute disponibilité :

• Haute disponibilité à l’aide du jeu de disponibilité Azure

• Haute disponibilité à l’aide des zones de disponibilité Azure

Pour plus d’informations sur l’ensemble de disponibilité Azure et les zones de disponibilité, consultez la documentation Azure : Gérer la disponibilité des machines virtuelles Linux.

Haute disponibilité avec le jeu de disponibilité

Une configuration haute disponibilité utilisant un jeu de disponibilité doit répondre aux exigences suivantes :

• Configuration de réseau indépendant HA (Independent Network Configuration)

• L’équilibrage de charge Azure (ALB) en mode retour direct du serveur (DSR)

Tout le trafic passe par le nœud principal. Le nœud secondaire reste en mode veille jusqu’à ce que le nœud principal tombe en panne.

Remarque :

pour qu’un déploiement haute disponibilité Citrix VPX sur le cloud Azure fonctionne, les utilisateurs ont besoin d’une adresse IP publique flottante (PIP) qui peut être déplacée entre les deux nœuds VPX. L’équilibrage de charge Azure (ALB) fournit ce PIP flottant, qui est déplacé automatiquement vers le deuxième nœud en cas de basculement.

Pour qu’un déploiement haute disponibilité Citrix VPX sur le cloud Azure fonctionne, les utilisateurs ont besoin d’une IP publique flottante (PIP) qui peut être déplacée entre les deux nœuds VPX. L’équilibrage de charge Azure (ALB) fournit ce PIP flottant, qui est déplacé automatiquement vers le deuxième nœud en cas de basculement.

Dans un déploiement actif-passif, les adresses IP publiques frontales (PIP) ALB sont ajoutées en tant qu’adresses VIP dans chaque nœud VPX. Dans une configuration HA-INC, les adresses VIP sont flottantes et les adresses SNIP sont spécifiques à une instance.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité actif-passif de deux manières en utilisant :

• Modèle de haute disponibilité standard Citrix ADC VPX : utilisez cette option pour configurer une paire HA avec l’option par défaut de trois sous-réseaux et six cartes réseau.

• Commandes Windows PowerShell : utilisez cette option pour configurer une paire HA en fonction des besoins de votre sous-réseau et de votre carte réseau.

Cette section décrit comment déployer une paire VPX dans une configuration HA active-passive à l’aide du modèle Citrix. Si les utilisateurs souhaitent déployer avec des commandes PowerShell, voir : Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide des commandes PowerShell.

Configurer les nœuds HA-INC à l’aide du modèle Citrix High Availability

Les utilisateurs peuvent déployer rapidement et efficacement une paire d’instances VPX en mode HA-INC en utilisant le modèle standard. Le modèle crée deux nœuds, avec trois sous-réseaux et six cartes réseau. Les sous-réseaux sont destinés à la gestion, au trafic côté client et côté serveur, et chaque sous-réseau possède deux cartes réseau pour les deux instances VPX.

Les utilisateurs peuvent obtenir le modèle Citrix ADC 12.1 HA Pair sur Azure Marketplace en visitant : Azure Marketplace/Citrix ADC 12.1 (High Availability).

Procédez comme suit pour lancer le modèle et déployer une paire VPX haute disponibilité, à l’aide des jeux de disponibilité Azure.

1. À partir de la Place de marché Azure, sélectionnez et lancez le modèle de solution Citrix. Le modèle apparaît.

2. Assurez-vous que le type de déploiement est Gestionnaire de ressources et sélectionnez Créer.

3. La page Principes de base s’affiche. Créez un groupe de ressources et sélectionnez OK.

4. La page Paramètres généraux s’affiche. Tapez les détails et sélectionnez OK.

5. La page Paramètres réseau s’affiche. Vérifiez les configurations du réseau virtuel et du sous-réseau, modifiez les paramètres requis et sélectionnez OK.

6. La page Résumé s’affiche. Vérifiez la configuration et modifiez en conséquence. Sélectionnez OK pour confirmer.

7. La page Acheter apparaît. Sélectionnez Achat pour terminer le déploiement.

Il peut prendre un moment avant que le groupe de ressources Azure soit créé avec les configurations requises. Une fois l’opération terminée, sélectionnez le groupe de ressources dans le portail Azure pour afficher les détails de configuration, tels que les règles de LB, les pools back-end, les sondes de santé, etc. La paire haute disponibilité apparaît sous la forme ns-vpx0 et ns-vpx1.

Si d’autres modifications sont nécessaires pour la configuration de HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent le faire à partir du portail Azure.

Ensuite, les utilisateurs doivent configurer le serveur virtuel d’équilibrage de charge avec l’ adresse IP publique (PIP) Frontend de l’ALB, sur le nœud principal. Pour trouver le PIP ALB, sélectionnez ALB > Configuration IP frontend.

Consultez la section Ressources pour plus d’informations sur la façon de configurer le serveur virtuel d’équilibrage de charge.

Ressources :

Les liens suivants fournissent des informations supplémentaires relatives au déploiement haute disponibilité et à la configuration du serveur virtuel (serveur virtuel) :

• Configuration de nœuds haute disponibilité dans différents sous-réseaux

• Configuration de l’équilibrage de charge de base

Ressources connexes :

• Configurer une configuration haute disponibilité avec plusieurs adresses IP et cartes réseau à l’aide des commandes PowerShell

• Configurer GSLB sur une configuration haute disponibilité active-veille

Haute disponibilité grâce aux zones de disponibilité

Les zones de disponibilité Azure sont des emplacements isolés de pannes dans une région Azure, fournissant une alimentation, un refroidissement et une mise en réseau redondantes et augmentant la résilience. Seules les régions Azure spécifiques prennent en charge les zones de disponibilité. Pour plus d’informations, consultez la documentation Azure : Régions et zones de disponibilité dans Azure.

Les utilisateurs peuvent déployer une paire VPX en mode haute disponibilité à l’aide du modèle appelé « NetScaler 13.0 HA using Availability Zones », disponible dans Azure Marketplace.

Procédez comme suit pour lancer le modèle et déployer une paire VPX haute disponibilité, à l’aide des zones de disponibilité Azure.

1. À partir de la Place de marché Azure, sélectionnez et lancez le modèle de solution Citrix.

2. Assurez-vous que le type de déploiement est Gestionnaire de ressources et sélectionnez Créer.

3. La page Principes de base s’affiche. Entrez les détails et cliquez sur OK.

Remarque :

Assurez-vous qu’une région Azure prenant en charge les zones de disponibilité est sélectionnée. Pour plus d’informations sur les régions qui prennent en charge les zones de disponibilité, consultez la documentation Azure : Régions et zones de disponibilité dans Azure.

Assurez-vous qu’une région Azure prenant en charge les zones de disponibilité est sélectionnée. Pour plus d’informations sur les régions qui prennent en charge les zones de disponibilité, consultez la documentation Azure : Régions et zones de disponibilité dans Azure.

1. La page Paramètres généraux s’affiche. Tapez les détails et sélectionnez OK.

2. La page Paramètres réseau s’affiche. Vérifiez les configurations du réseau virtuel et du sous-réseau, modifiez les paramètres requis et sélectionnez OK.

3. La page Résumé s’affiche. Vérifiez la configuration et modifiez en conséquence. Sélectionnez OK pour confirmer.

4. La page Acheter apparaît. Sélectionnez Achat pour terminer le déploiement.

Il peut prendre un moment avant que le groupe de ressources Azure soit créé avec les configurations requises. Une fois terminé, sélectionnez le groupe de ressources pour afficher les détails de configuration, tels que les règles de LB, les pools back-end, les analyses de santé, etc., dans le portail Azure. La paire haute disponibilité apparaît sous la forme ns-vpx0 et ns-vpx1. Les utilisateurs peuvent également voir l’emplacement dans la colonne Emplacement .

Si d’autres modifications sont nécessaires pour la configuration de HA, telles que la création de règles de sécurité et de ports supplémentaires, les utilisateurs peuvent le faire à partir du portail Azure.

Architecture IP multiple d’une carte réseau unique (une carte réseau)

Dans ce type de déploiement, une interface réseau (NIC) est associée à plusieurs configurations IP : des adresses IP publiques et privées statiques ou dynamiques qui lui sont attribuées. Pour plus d’informations, reportez-vous aux cas d’utilisation suivants :

• Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX

• Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX à l’aide des commandes PowerShell

Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX

Cette section explique comment configurer une instance Citrix ADC VPX autonome avec plusieurs adresses IP, dans le Azure Resource Manager (ARM). L’instance VPX peut être associée à une ou plusieurs cartes réseau, et chaque carte réseau peut avoir une ou plusieurs adresses IP publiques et privées statiques ou dynamiques qui lui sont attribuées. Les utilisateurs peuvent attribuer plusieurs adresses IP telles que NSIP, VIP, SNIP, etc.

Pour plus d’informations, consultez la documentation Azure : Attribuer plusieurs adresses IP à des machines virtuelles à l’aide du portail Azure.

Si vous souhaitez déployer à l’aide des commandes PowerShell, consultez Configurer plusieurs adresses IP pour une instance autonome Citrix ADC VPX à l’aide des commandes PowerShell.

Cas d’utilisation de Citrix ADC VPX autonome avec carte réseau unique

Dans ce cas d’utilisation, une appliance Citrix ADC VPX autonome est configurée avec une seule carte réseau connectée à un réseau virtuel (VNET). La carte réseau est associée à trois configurations IP (ipconfig), chacune ayant un objectif différent - comme indiqué dans le tableau :

Remarque :

IPConfig-3 n’est associé à aucune adresse IP publique.

Dans un déploiement Multi-NIC, Multi-IP Azure Citrix ADC VPX, l’adresse IP privée associée à la (première) IpConfig principale de la (première) carte réseau principale est automatiquement ajoutée en tant que NSIP de gestion de l’appliance. Les adresses IP privées restantes associées aux IPConfig doivent être ajoutées dans l’instance VPX en tant que VIP ou SNIP à l’aide de la commandeadd ns ip, selon les exigences de l’utilisateur.

Avant de commencer le déploiement

Avant de commencer le déploiement, les utilisateurs doivent créer une instance VPX en suivant les étapes ci-dessous.

Dans ce cas d’utilisation, l’instance VPX NSDoc0330vm est créée.

Configurer plusieurs adresses IP pour une instance Citrix ADC VPX en mode autonome

• Ajouter des adresses IP à la machine virtuelle

• Configurer les adresses IP appartenant à Citrix ADC

Étape 1 : Ajouter des adresses IP à la machine virtuelle

1. Dans le portail, cliquez sur Plus de services > tapez machines virtuelles dans la zone de filtre, puis cliquez sur Machines virtuelles.

2. Dans la lame Machines virtuelles, cliquez sur la machine virtuelle à laquelle vous souhaitez ajouter des adresses IP. Cliquez sur Interfaces réseau dans la lame de machine virtuelle qui apparaît, puis sélectionnez l’interface réseau.

Dans la lame qui apparaît pour la carte réseau sélectionnée, cliquez sur Configurations IP. La configuration IP existante qui a été attribuée lors de la création de la machine virtuelle, ipconfig1, s’affiche. Dans ce cas d’utilisation, assurez-vous que les adresses IP associées à ipconfig1 sont statiques. Ensuite, créez deux configurations IP supplémentaires : ipconfig2 (VIP) et ipconfig3 (SNIP).

Pour créer d’autres configurations IP, cliquez sur Ajouter.

Dans la fenêtre Ajouter une configuration IP, entrez un nom, spécifiez la méthode d’allocation comme Statique, entrez une adresse IP (192.0.0.5 pour ce cas d’utilisation) et activez Adresse IP publique.

Remarque :

Avant d’ajouter une adresse IP privée statique, vérifiez la disponibilité de l’adresse IP et assurez-vous que l’adresse IP appartient au même sous-réseau auquel la carte réseau est connectée.

Ensuite, cliquez sur Configurer les paramètres requis pour créer une adresse IP publique statique pour ipconfig2.

Par défaut, les adresses IP publiques sont dynamiques. Pour vous assurer que la machine virtuelle utilise toujours la même adresse IP publique, créez une adresse IP publique statique.

Dans la tranche Créer une adresse IP publique, ajoutez un nom, sous Attribution, cliquez sur Statique. Puis cliquez sur OK.

Remarque :

Même lorsque les utilisateurs définissent la méthode d’allocation sur statique, ils ne peuvent pas spécifier l’adresse IP réelle attribuée à la ressource IP publique. Au lieu de cela, elle est allouée à partir d’un pool d’adresses IP disponibles dans l’emplacement Azure où la ressource est créée.

Suivez les étapes pour ajouter une configuration IP supplémentaire pour ipconfig3. La propriété intellectuelle publique n’est pas obligatoire.

Étape 2 : configurer les adresses IP appartenant à Citrix ADC

Configurez les adresses IP appartenant à Citrix ADC à l’aide de l’interface graphique ou de la commande add ns ip. Pour plus d’informations, consultez : Configuration des adresses IP appartenant à Citrix ADC.

Pour plus d’informations sur la façon de déployer une instance Citrix ADC VPX sur Microsoft Azure, consultez Déployer une instance Citrix ADC VPX sur Microsoft Azure.

Pour plus d’informations sur le fonctionnement d’une instance Citrix ADC VPX sur Azure, consultez How a Citrix ADC VPX Instance Works on Azure.

Modèles ARM (Azure Resource Manager)

Le référentiel GitHub pour les modèles Citrix ADC ARM (Azure Resource Manager) héberge les modèles personnalisés Citrix ADC pour le déploiement de Citrix ADC dans Microsoft Azure Cloud Services ici : Citrix ADC Azure Templates. Tous les modèles de ce référentiel ont été développés et sont maintenus par l’équipe d’ingénierie de Citrix ADC.

Chaque modèle de ce référentiel possède une documentation colocalisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée de Citrix ADC VPX, ou de présenter Citrix ADC à l’utilisateur ou de démontrer une fonctionnalité, une édition ou une option particulière. Les utilisateurs peuvent réutiliser, modifier ou améliorer les modèles en fonction de leurs besoins spécifiques en matière de production et de test. La plupart des modèles nécessitent un abonnement suffisant à portal.azure.com pour créer des ressources et déployer des modèles.

Les modèles Citrix ADC VPX Azure Resource Manager (ARM) sont conçus pour garantir un déploiement simple et cohérent de Citrix ADC VPX autonome. Ces modèles augmentent la fiabilité et la disponibilité du système grâce à la redondance intégrée. Ces modèles ARM prennent en charge les sélections basées sur la fonction Bring Your Own License (BYOL) ou Le choix de la sélection est mentionné dans la description du modèle ou proposé lors du déploiement du modèle. Pour plus d’informations sur la mise en service d’une instance Citrix ADC VPX sur Microsoft Azure à l’aide de modèles ARM (Azure Resource Manager), rendez-vous sur : Modèles Citrix Azure ADC.

Conditions préalables

Les utilisateurs ont besoin de certaines connaissances préalables avant de déployer une instance Citrix VPX sur Azure :

• Familiarité avec la terminologie Azure et les détails du réseau. Pour plus d’informations, consultez la terminologie Azure dans la section précédente.

• Connaissance d’une appliance Citrix ADC. Pour des informations détaillées sur l’appliance Citrix ADC, consultezCitrix ADC 13.0.

• Connaissance de la mise en réseau Citrix ADC. Consultez le sujet Networking ici : Networking.

Limitations

L’exécution de la solution d’équilibrage de charge Citrix ADC VPX sur ARM impose les limitations suivantes :

• L’architecture Azure ne prend pas en charge les fonctionnalités Citrix ADC suivantes :

  • Mise en cluster

  • IPv6

  • ARP gratuit (GARP)

  • Mode L2 (pontage). Les serveurs virtuels transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs du même sous-réseau que le SNIP.

  • VLAN balisé

  • Routage dynamique

  • MAC virtuel

  • USIP

  • Trames Jumbo

• Si vous pensez devoir arrêter et désallouer temporairement la machine virtuelle Citrix ADC VPX à tout moment, attribuez une adresse IP interne statique lors de la création de la machine virtuelle. Si vous n’attribuez pas d’adresse IP interne statique, Azure peut attribuer à la machine virtuelle une adresse IP différente chaque fois qu’elle redémarre, et la machine virtuelle risque de devenir inaccessible.

• Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique Citrix ADC VPX.

• Si une instance Citrix ADC VPX avec un numéro de modèle supérieur à VPX 3000 est utilisée, le débit réseau peut ne pas être le même que celui spécifié par la licence de l’instance. Toutefois, d’autres fonctionnalités, telles que le débit SSL et les transactions SSL par seconde, peuvent s’améliorer.

• L’ « ID de déploiement » généré par Azure lors du provisionnement de la machine virtuelle n’est pas visible par l’utilisateur dans ARM. Les utilisateurs ne peuvent pas utiliser l’ID de déploiement pour déployer une appliance Citrix ADC VPX sur ARM.

• L’instance Citrix ADC VPX prend en charge un débit de 20 Mo/s et les fonctionnalités de l’édition standard lorsqu’elle est initialisée.

• Pour un déploiement XenApp et XenDesktop, un serveur virtuel VPN sur une instance VPX peut être configuré dans les modes suivants :

  • Mode de base, où le paramètre de serveur virtuel VPN ICAOnly est défini sur ON. Le mode de base fonctionne entièrement sur une instance Citrix ADC VPX sans licence.

  • Mode Smart-Access, où le paramètre de serveur virtuel VPN ICAOnly est défini sur OFF. Le mode Smart-Access ne fonctionne que pour 5 utilisateurs de session AAA Citrix ADC sur une instance Citrix ADC VPX sans licence.

Remarque :

pour configurer la fonctionnalité SmartControl, les utilisateurs doivent appliquer une licence Premium à l’instance Citrix ADC VPX.

Modèles et licences pris en charge par Azure-VPX

Dans un déploiement Azure, seuls les modèles Citrix ADC VPX suivants sont pris en charge : VPX 10, VPX 200, VPX 1000 et VPX 3000. Pour plus d’informations, consultez la fiche technique Citrix ADC VPX.

Une instance Citrix ADC VPX sur Azure nécessite une licence. Les options de licence suivantes sont disponibles pour les instances Citrix ADC VPX exécutées sur Azure.

• Licences basées sur un abonnement : les appliances Citrix ADC VPX sont disponibles en tant qu’instances payantes sur Azure Marketplace. Les licences par abonnement sont une option de paiement à l’utilisation. Les utilisateurs sont facturés à l’heure. Les modèles VPX et les types de licence suivants sont disponibles sur Azure Marketplace :

• Bring your own license (BYOL) : Si vous apportez votre propre licence (BYOL), consultez le Guide des licences VPX à l’adresse :CTX122426/NetScaler VPX and CloudBridge VPX Licensing Guide. Les utilisateurs doivent :

  • Utiliser le portail de licences dans MyCitrix pour générer une licence valide.

  • Télécharger la licence sur l’instance.

• Licences d’enregistrement et de retrait Citrix ADC VPX : Pour plus d’informations, voir : Licencesd’enregistrement et de départ Citrix ADC VPX.

À partir de NetScaler version 12.0 56.20, VPX Express pour les déploiements locaux et cloud ne nécessite pas de fichier de licence. Pour plus d’informations sur Citrix ADC VPX Express, consultez la section « Licence Citrix ADC VPX Express » dans Présentation des licences.

Remarque : Quelle que soit la licence horaire par abonnement achetée auprès d’Azure Marketplace, dans de rares cas, l’instance Citrix ADC VPX déployée sur Azure peut proposer une licence NetScaler par défaut. Cela se produit en raison de problèmes avec Azure Instance Metadata Service (IMDS).

Redémarrez à chaud avant d’apporter une modification de configuration sur l’instance Citrix ADC VPX, pour activer la licence Citrix ADC VPX appropriée.

Instructions relatives à l’utilisation des ports

Les utilisateurs peuvent configurer davantage de règles entrantes et sortantes dans NSG lors de la création de l’instance NetScaler VPX ou après le provisionnement de la machine virtuelle. Chaque règle entrante et sortante est associée à un port public et à un port privé.

Avant de configurer les règles NSG, tenez compte des consignes suivantes concernant les numéros de port que vous pouvez utiliser :

1. L’instance NetScaler VPX réserve les ports suivants. Les utilisateurs ne peuvent pas les définir comme des ports privés lorsqu’ils utilisent l’adresse IP publique pour les requêtes provenant d’Internet. Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000. Toutefois, si les utilisateurs souhaitent que les services Internet tels que le VIP utilisent un port standard (par exemple, le port 443), ils doivent créer un mappage de port à l’aide du NSG. Le port standard est ensuite mappé à un port différent qui est configuré sur Citrix ADC VPX pour ce service VIP. Par exemple, un service VIP peut s’exécuter sur le port 8443 sur l’instance VPX mais être mappé sur le port public 443. Ainsi, lorsque l’utilisateur accède au port 443 via l’IP publique, la requête est dirigée vers le port privé 8443.

2. L’adresse IP publique ne prend pas en charge les protocoles dans lesquels le mappage de port est ouvert dynamiquement, tels que FTP passif ou ALG.

3. La haute disponibilité ne fonctionne pas pour le trafic qui utilise une adresse IP publique (PIP) associée à une instance VPX, au lieu d’un PIP configuré sur l’équilibreur de charge Azure. Pour plus d’informations, voir :Configurer une configuration haute disponibilité avec une adresse IP unique et une seule carte réseau.

4. Dans un déploiement NetScaler Gateway, les utilisateurs n’ont pas besoin de configurer une adresse SNIP, car le NSIP peut être utilisé comme SNIP lorsqu’aucun SNIP n’est configuré. Les utilisateurs doivent configurer l’adresse VIP en utilisant l’adresse NSIP et un numéro de port non standard. Pour la configuration du rappel sur le serveur principal, le numéro de port VIP doit être spécifié avec l’URL VIP (par exemple, url: port).

Remarque :

Dans Azure Resource Manager, une instance Citrix ADC VPX est associée à deux adresses IP : une adresse IP publique (PIP) et une adresse IP interne. Pendant que le trafic externe se connecte au PIP, l’adresse IP interne ou le NSIP n’est pas routable. Pour configurer un VIP dans VPX, utilisez l’adresse IP interne (NSIP) et l’un des ports libres disponibles. N’utilisez pas le PIP pour configurer un VIP.

Par exemple, si le NSIP d’une instance Citrix ADC VPX est 10.1.0.3 et qu’un port libre disponible est 10022, les utilisateurs peuvent configurer un VIP en fournissant la combinaison 10.1.0. 3:10022 (adresse NSIP+port).