Citrix ADC

Haute disponibilité dans toutes les zones de disponibilité AWS

Vous pouvez configurer deux instances Citrix ADC VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes, en tant que paire actif-passif haute disponibilité en mode INC (Independent Network Configuration). Si, pour une raison quelconque, le nœud principal n’est pas en mesure d’accepter les connexions, le nœud secondaire prend le relais.

Pour plus d’informations sur la haute disponibilité, voir Haute disponibilité. Pour plus d’informations sur INC, voir Configuration de nœuds haute disponibilité dans différents sous-réseaux.

Points à noter

  • Lisez les documents suivants avant de commencer votre déploiement :
  • La paire haute disponibilité VPX peut résider dans la même zone de disponibilité dans un sous-réseau différent ou dans deux zones de disponibilité AWS différentes.
  • Citrix recommande d’utiliser différents sous-réseaux pour la gestion (NSIP), le trafic client (VIP) et le serveur principal (SNIP).
  • La haute disponibilité doit être définie en mode INC (Independent Network Configuration) pour qu’un basculement fonctionne.
  • Les deux instances doivent avoir le port 3003 ouvert pour le trafic UDP car il est utilisé pour les battements de cœur.
  • Les sous-réseaux de gestion des deux nœuds doivent avoir accès à Internet ou au serveur API AWS via NAT interne afin que les autres API soient fonctionnelles.
  • Le rôle IAM doit posséder l’autorisation E2 pour la migration IP publique ou Elastic IP (EIP) et les autorisations de table de routage EC2 pour la migration IP privée.

Vous pouvez déployer la haute disponibilité dans les zones de disponibilité AWS de la manière suivante :

  • Utilisation d’adresses IP Elastic
  • Utilisation d’adresses IP privées

Fonctionnement de la haute disponibilité dans les zones de disponibilité AWS

Lors du basculement, l’EIP du VIP de l’instance principale migre vers le secondaire, qui prend le relais en tant que nouveau principal. Dans le processus de basculement, l’API AWS

  1. Vérifie les serveurs virtuels qui y sont IPSets connectés.
  2. Recherche l’adresse IP qui a une adresse IP publique associée, à partir des deux adresses IP sur lesquelles le serveur virtuel écoute. Une qui est directement connectée au serveur virtuel et une qui est connectée via le jeu d’adresses IP.
  3. Réassocie l’IP publique (EIP) à l’IP privée appartenant au nouveau VIP principal.

Remarque

Pour protéger votre réseau contre les attaques telles que le déni de service (DoS), lorsque vous utilisez un EIP, vous pouvez créer des groupes de sécurité dans AWS pour restreindre l’accès IP. Pour une haute disponibilité, vous pouvez passer d’EIP à une solution de déplacement IP privée selon vos déploiements.

Haute disponibilité dans toutes les zones de disponibilité AWS