Citrix ADC

Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS

Vous pouvez configurer deux instances Citrix ADC VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées en mode INC. Cette solution peut être facilement intégrée à la paire haute disponibilité VPX multizone existante avec des adresses IP Elastic. Par conséquent, vous pouvez utiliser les deux solutions ensemble.

Pour plus d’informations sur la haute disponibilité, voir Haute disponibilité. Pour plus d’informations sur INC, voir Configuration de nœuds haute disponibilité dans différents sous-réseaux.

Remarque :

Ce déploiement est pris en charge à partir de Citrix ADC version 13.0 version 67.39. Ce déploiement est compatible avec AWS Transit Gateway et l’appairage de VPC.

Conditions préalables

Assurez-vous que le rôle IAM associé à votre compte AWS dispose des autorisations IAM suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeAddresses",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DeleteRoute",
                "ec2:CreateRoute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "iam:SimulatePrincipalPolicy",
                "iam:GetRole"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

<!--NeedCopy-->

Comment déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS

Voici le résumé des étapes de déploiement d’une paire VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées.

  1. Créez un cloud privé virtuel Amazon.
  2. Déployez deux instances VPX dans deux zones de disponibilité différentes.
  3. Configurer la haute disponibilité
    1. Configurez la haute disponibilité en mode INC dans les deux instances.
    2. Ajoutez les tables de routage respectives dans le VPC qui pointe vers l’interface client.
    3. Ajoutez un serveur virtuel dans l’instance principale.

Pour les étapes 1 et 2, utilisez la console AWS. Pour l’étape 3, utilisez l’interface graphique Citrix ADC VPX ou l’interface de ligne de commande.

Étape 1. Créez un cloud privé virtuel (VPC) Amazon.

Étape 2. Déployez deux instances VPX dans deux zones de disponibilité différentes avec le même nombre d’interface réseau (ENI).

Pour plus d’informations sur la façon de créer un VPC et de déployer une instance VPX sur AWS, voir Déployer une instance autonome Citrix ADC VPX sur AWS et Scenario : instance autonome

Étape 3. Configurez les adresses VIP ADC en choisissant un sous-réseau qui ne se chevauche pas avec les sous-réseaux Amazon VPC. Si votre VPC est 192.168.0.0/16, alors pour configurer les adresses VIP ADC, vous pouvez choisir n’importe quel sous-réseau parmi les plages d’adresses IP suivantes :

  • 0.0.0.0 - 192.167.0.0
  • 192.169.0.0 - 254.255.255.0

Dans cet exemple, le sous-réseau 10.10.10.0/24 choisi et créé des VIP dans ce sous-réseau. Vous pouvez choisir n’importe quel sous-réseau autre que le sous-réseau VPC (192.168.0.0/16).

Étape 4. Ajoutez une route qui pointe vers l’interface client (VIP) du nœud principal à partir de la table de routage VPC.

À partir de l’interface de ligne de commande AWS, tapez la commande suivante :

aws ec2 create-route --route-table-id rtb-2272532 --destination-cidr-block 10.10.10.0/24 --gateway-id <eni-client-primary>
<!--NeedCopy-->

À partir de l’interface graphique AWS, effectuez les étapes suivantes pour ajouter un itinéraire :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Tables de routageet sélectionnez la table de routage.
  3. Choisissez Actions, puis cliquez sur Modifier les itinéraires.
  4. Pour ajouter un itinéraire, choisissez Ajouter un itinéraire. Pour Destination, entrez le bloc CIDR de destination, une adresse IP unique ou l’ID d’une liste de préfixes. Pour ID de passerelle, sélectionnez l’ENI d’une interface client du nœud principal.

Tables de routage - Modifier les itinéraires

Remarque

Vous devez désactiver la vérification source/Dest sur l’ENI client de l’instance principale.

Pour désactiver la vérification source/destination d’une interface réseau à l’aide de la console, effectuez les opérations suivantes :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Interfaces réseau.
  3. Sélectionnez l’interface réseau d’une interface client principale, puis choisissez Actions, puis cliquez sur Modifier la source/Dest. Vérifie.
  4. Dans la boîte de dialogue, choisissez Désactivé, cliquez sur Enregistrer.

Changer la vérification source-destination

Étape 5. Configurer la haute disponibilité. Vous pouvez utiliser l’interface de ligne de commande Citrix ADC VPX ou l’interface graphique pour configurer la haute disponibilité.

Configurer la haute disponibilité à l’aide de l’interface de ligne de commande

  1. Configurez la haute disponibilité en mode INC dans les deux instances.

    Sur le nœud principal :

    add ha node 1 <sec_ip> -inc ENABLED
    <!--NeedCopy-->
    

    Sur le nœud secondaire :

    add ha node 1 <prim_ip> -inc ENABLED
    <!--NeedCopy-->
    

    <sec_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    <prim_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale. Vous devez l’ajouter à partir du sous-réseau choisi, par exemple, 10.10.10.0/24.

    Exécutez la commande suivante :

    add <server_type> vserver <vserver_name> <protocol> <primary_vip> <port>
    <!--NeedCopy-->
    

Configurer la haute disponibilité à l’aide de l’interface graphique

  1. Configurer la haute disponibilité en mode INC sur les deux instances

  2. Ouvrez une session sur le nœud principal avec le nom d’utilisateurnsroot et l’ID d’instance comme mot de passe.

  3. Accédez à Configuration > Système > Haute disponibilité, puis cliquez sur Ajouter.

  4. Dans le champ Adresse IP du nœud distant, ajoutez l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

  5. Sélectionnez Activer le mode NIC (Independent Network Configuration) sur l’auto-nœud.

  6. Sous Informations d’identification de connexion au système distant, ajoutez le nom d’utilisateur et le mot de passe du nœud secondaire et cliquez sur Créer.

  7. Répétez les étapes du nœud secondaire.

  8. Ajouter un serveur virtuel dans l’instance principale

    Accédez à Configuration > Gestion du trafic > Serveurs virtuels > Ajouter.

    Ajouter un serveur virtuel

Scénario

Dans ce scénario, un seul VPC est créé. Dans ce VPC, deux instances VPX sont créées dans deux zones de disponibilité. Chaque instance dispose de trois sous-réseaux : un pour la gestion, un pour le client et un pour le serveur principal.

Les diagrammes suivants illustrent la configuration haute disponibilité Citrix ADC VPX en mode INC, sur AWS. Le sous-réseau 10.10.10.10 personnalisé, qui ne fait pas partie du VPC, est utilisé comme VIP. Par conséquent, le sous-réseau 10.10.10.10 peut être utilisé dans toutes les zones de disponibilité.

Avant le basculement, la configuration haute disponibilité en mode INC

Après basculement, configuration haute disponibilité en mode INC

Pour ce scénario, utilisez CLI pour configurer la haute disponibilité.

  1. Configurez la haute disponibilité en mode INC sur les deux instances.

    Tapez les commandes suivantes sur les nœuds primaire et secondaire.

    Sur le nœud principal :

    add ha node 1 192.168.4.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.4.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    Sur le nœud secondaire :

    add ha node 1 192.168.1.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.1.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale.

    Exécutez la commande suivante :

    add lbvserver vserver1 http 10.10.10.10 80
    <!--NeedCopy-->
    
  3. Enregistrez la configuration.

  4. Après un basculement forcé :

    • L’instance secondaire devient la nouvelle instance principale.
    • La route VPC pointant vers l’ENI principale migre vers l’ENI client secondaire.
    • Le trafic client reprend vers la nouvelle instance principale.
Déployer une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS