Haute disponibilité dans toutes les zones de disponibilité AWS

Vous pouvez configurer deux instances Citrix ADC VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes, en tant que paire actif-passif haute disponibilité en mode INC (Independent Network Configuration). Si, pour une raison quelconque, le nœud principal n’est pas en mesure d’accepter les connexions, le nœud secondaire prend le relais.

Pour plus d’informations sur la haute disponibilité, reportez-vous à la section Haute disponibilité. Pour plus d’informations sur INC, reportez-vous à la section Configuration des nœuds haute disponibilité dans différents sous-réseaux.

Points à noter

  • Lisez les documents suivants avant de commencer votre déploiement :
  • La paire haute disponibilité VPX peut résider dans la même zone de disponibilité dans un sous-réseau différent ou dans deux zones de disponibilité AWS différentes.
  • Citrix recommande d’utiliser différents sous-réseaux pour la gestion (NSIP), le trafic client (VIP) et le serveur principal (SNIP).
  • La haute disponibilité doit être définie en mode INC (Independent Network Configuration) pour qu’un basculement fonctionne.
  • Les deux instances doivent avoir le port 3003 ouvert pour le trafic UDP car il est utilisé pour les battements de cœur.
  • Les sous-réseaux de gestion des deux nœuds doivent avoir accès à Internet ou au serveur API AWS via NAT interne afin que les autres API soient fonctionnelles.
  • Le rôle IAM doit disposer de l’autorisation E2 pour la migration IP publique ou IP élastique (EIP).

Fonctionnement de la haute disponibilité dans les zones de disponibilité AWS

Lors du basculement, l’EIP du VIP de l’instance principale migre vers le secondaire, qui prend le relais en tant que nouveau principal. Dans le processus de basculement, l’API AWS

  1. Vérifie les serveurs virtuels auxquels les IPsets sont attachés.
  2. Recherche l’adresse IP qui a une adresse IP publique associée, à partir des deux adresses IP sur lesquelles le serveur virtuel écoute. Une qui est directement connectée au serveur virtuel et une qui est connectée via le jeu d’adresses IP.
  3. Réassocie l’IP publique (EIP) à l’IP privée appartenant au nouveau VIP principal.

Remarque

Pour protéger votre réseau contre les attaques telles que le déni de service (DoS), lorsque vous utilisez un EIP, vous pouvez créer des groupes de sécurité dans AWS pour restreindre l’accès IP. Pour une haute disponibilité, vous pouvez passer d’EIP à une solution de déplacement IP privée selon vos déploiements.

Comment déployer une paire VPX haute disponibilité sur différentes zones AWS

Voici le résumé des étapes de déploiement d’une paire VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes.

  1. Créez un cloud privé virtuel Amazon.
  2. Déployez deux instances VPX dans deux zones de disponibilité différentes ou dans la même zone mais dans des sous-réseaux différents.
  3. Configurer la haute disponibilité
    1. Configurez la haute disponibilité en mode INC dans les deux instances.
    2. Ajoutez un jeu d’adresses IP dans les deux instances.
    3. Liez IP définie dans les deux instances au VIP.
    4. Ajoutez un serveur virtuel dans l’instance principale.

Pour les étapes 1 et 2, utilisez la console AWS. Pour l’étape 3, utilisez l’interface utilisateur graphique Citrix ADC VPX ou l’interface de ligne de commande.

Étape 1. Créez un cloud privé virtuel (VPC) Amazon.

Étape 2. Déployez deux instances VPX dans deux zones de disponibilité différentes ou dans la même zone mais dans des sous-réseaux différents. Attachez un EIP au VIP du VPX principal.

Pour plus d’informations sur la création d’un VPC et le déploiement d’une instance VPX sur AWS, consultezDéployer une instance autonome de Citrix ADC VPX sur AWSetScénario : instance autonome

Étape 3. Configurer la haute disponibilité. Vous pouvez utiliser l’interface de ligne de commande Citrix ADC VPX ou l’interface graphique pour configurer la haute disponibilité.

Configurer la haute disponibilité à l’aide de l’interface de ligne de commande

  1. Configurez la haute disponibilité en mode INC dans les deux instances.

    Sur le nœud principal :

    add ha node 1 <sec_ip> -inc ENABLED in primary

    Sur le nœud secondaire :

    add ha node 1 <prim_ip> -inc ENABLED in secondary

    <sec_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire

    <prim_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal

  2. Ajoutez un jeu d’adresses IP dans les deux instances.

    Tapez la commande suivante sur les deux instances.

    add ipset <ipsetname>

  3. Liez le jeu IP défini au jeu VIP sur les deux instances.

    Tapez la commande suivante sur les deux instances :

    add ns ip <secondary vip> <subnet> -type VIP

    bind ipset <ipsetname> <secondary VIP>

    Remarque

    Vous pouvez lier l’IP définie au VIP principal ou au VIP secondaire. Toutefois, si vous liez l’IP définie au VIP principal, utilisez le VIP secondaire pour ajouter au serveur virtuel, et inversement.

  4. Ajoutez un serveur virtuel sur l’instance principale.

    Exécutez la commande suivante :

    add <server_type> vserver <vserver_name> <protocol> <primary_vip> <port> -ipset <ipset_name>

Configurer la haute disponibilité à l’aide de l’interface graphique

  1. Configurer la haute disponibilité en mode INC sur les deux instances

  2. Connectez-vous au nœud principal avec le nom d’utilisateur nsroot et l’ID d’instance comme mot de passe.

  3. Dans l’interface graphique, accédez à Configuration > Système > Haute disponibilité . Cliquez sur Ajouter.

  4. Dans le champ Adresse IP du nœud distant, ajoutez l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

  5. Sélectionnez Activer le mode NIC (Independent Network Configuration) sur l’auto-nœud.

  6. Sous Informations d’identification de connexion au système distant, ajoutez le nom d’utilisateur et le mot de passe du nœud secondaire et cliquez sur Créer.

  7. Répétez les étapes du nœud secondaire.

  8. Ajoutez un jeu IP et liez un jeu IP au jeu VIP sur les deux instances.

  9. Dans l’interface graphique, accédez à Gestion du trafic > Réseau > IP > Ajouter.

  10. Ajoutez les valeurs requises pour Adresse IP, Masque réseau, Type IP (IP virtuelle) et cliquez sur Créer.

  11. Accédez à Gestion du trafic > Réseau > Jeux d’adresses IP > Ajouter . Ajoutez un nom de jeu d’adresses IP et cliquez sur Insérer.

  12. Dans la page IPv4s, sélectionnez l’adresse IP virtuelle et cliquez sur Insérer. Cliquez sur Créer pour créer le jeu d’adresses IP.

  13. Ajouter un serveur virtuel dans l’instance principale

    Dans l’interface graphique, accédez à Configuration > Gestion du trafic > Serveurs virtuels > Ajouter.

    Ajouter un serveur virtuel

Scénario

Dans ce scénario, un seul VPC est créé. Dans ce VPC, deux instances VPX sont créées dans deux zones de disponibilité. Chaque instance dispose de trois sous-réseaux : un pour la gestion, un pour le client et un pour le serveur principal. Un EIP est attaché au VIP du nœud principal.

Diagramme : Ce diagramme illustre la configuration de haute disponibilité de Citrix ADC VPX en mode INC, sur AWS

Configuration haute disponibilité Citrix ADC VPX en mode INC

Pour ce scénario, utilisez CLI pour configurer la haute disponibilité.

  1. Configurez la haute disponibilité en mode INC sur les deux instances.

    Tapez les commandes suivantes sur les nœuds primaire et secondaire.

    Sur le primaire :

    add ha node 1 192.168.6.82 -inc enabled

    Ici, 192.168.6.82 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    Sur le secondaire :

    add ha node 1 192.168.1.108 -inc enabled

    Ici, 192.168.1.108 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajouter un jeu d’adresses IP et lier le jeu d’adresses IP au VIP sur les deux instances

    Sur le primaire :

    add ipset ipset123

    add ns ip 192.168.7.68 255.255.255.0 -type VIP

    bindipset ipset123 192.168.7.68

    Sur le secondaire :

    add ipset ipset123

    add ns ip 192.168.7.68 255.255.255.0 -type VIP

    bindipset ipset123 192.168.7.68

  3. Ajoutez un serveur virtuel sur l’instance principale.

    La commande suivante :

    add lbvserver vserver1 http 192.168.2.129 80 -ipset ipset123

  4. Enregistrez la configuration.

    Primary

  5. Après un basculement forcé, le secondaire devient le nouveau principal.

    Basculement forcé