ADC

Déployez une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS

Vous pouvez configurer deux instances NetScaler VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées en mode INC. Cette solution peut être facilement intégrée à la paire haute disponibilité VPX multizone existante avec des adresses IP Elastic. Par conséquent, vous pouvez utiliser les deux solutions ensemble.

Pour plus d’informations sur la haute disponibilité, voir Haute disponibilité. Pour plus d’informations sur INC, voir Configuration de nœuds haute disponibilité dans différents sous-réseaux.

Remarque :

Ce déploiement est pris en charge à partir de la version 13.0 de NetScaler build 67.39. Ce déploiement est compatible avec AWS Transit Gateway.

Paire haute disponibilité avec des adresses IP privées à l’aide d’un VPC non partagé AWS

Conditions préalables

Assurez-vous que le rôle IAM associé à votre compte AWS dispose des autorisations IAM suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeAddresses",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DeleteRoute",
                "ec2:CreateRoute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "iam:SimulatePrincipalPolicy",
                "iam:GetRole"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

<!--NeedCopy-->

Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC non partagé AWS

Voici un résumé des étapes de déploiement d’une paire VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées.

  1. Créez un cloud privé virtuel Amazon.
  2. Déployez deux instances VPX dans deux zones de disponibilité différentes.
  3. Configurer la haute disponibilité
    1. Configurez la haute disponibilité en mode INC dans les deux instances.
    2. Ajoutez les tables de routage respectives dans le VPC qui pointe vers l’interface client.
    3. Ajoutez un serveur virtuel dans l’instance principale.

Pour les étapes 1, 2 et 3b, utilisez la console AWS. Pour les étapes 3a et 3c, utilisez l’interface graphique ou l’interface de ligne de commande NetScaler VPX.

Étape 1. Créez un cloud privé virtuel (VPC) Amazon.

Étape 2. Déployez deux instances VPX dans deux zones de disponibilité différentes avec le même nombre d’interface réseau (ENI).

Pour plus d’informations sur la façon de créer un VPC et de déployer une instance VPX sur AWS, voir Déployer une instance autonome NetScaler VPX sur AWS et Scenario : instance autonome

Étape 3. Configurez les adresses VIP ADC en choisissant un sous-réseau qui ne chevauche pas les sous-réseaux Amazon VPC. Si votre VPC est 192.168.0.0/16, pour configurer les adresses VIP ADC, vous pouvez choisir n’importe quel sous-réseau parmi les plages d’adresses IP suivantes :

  • 0.0.0.0 - 192.167.0.0
  • 192.169.0.0 - 254.255.255.0

Dans cet exemple, le sous-réseau 10.10.10.0/24 choisi et créé des VIP dans ce sous-réseau. Vous pouvez choisir n’importe quel sous-réseau autre que le sous-réseau VPC (192.168.0.0/16).

Étape 4. Ajoutez une route qui pointe vers l’interface client (VIP) du nœud principal à partir de la table de routage du VPC.

À partir de l’interface de ligne de commande AWS, tapez la commande suivante :

aws ec2 create-route --route-table-id rtb-2272532 --destination-cidr-block 10.10.10.0/24 --gateway-id <eni-client-primary>
<!--NeedCopy-->

À partir de l’interface graphique AWS, effectuez les étapes suivantes pour ajouter un itinéraire :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Tables de routageet sélectionnez la table de routage.
  3. Choisissez Actions, puis cliquez sur Modifier les itinéraires.
  4. Pour ajouter un itinéraire, choisissez Ajouter un itinéraire. Pour Destination, entrez le bloc CIDR de destination, une adresse IP unique ou l’ID d’une liste de préfixes. Pour ID de passerelle, sélectionnez l’ENI d’une interface client du nœud principal.

Tables de routage - Modifier les itinéraires

Remarque :

Vous devez désactiver la vérification source/dest sur l’ENI client de l’instance principale.

Pour désactiver la vérification source/destination d’une interface réseau à l’aide de la console, effectuez les opérations suivantes :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Interfaces réseau.
  3. Sélectionnez l’interface réseau d’une interface client principale, puis choisissez Actions, puis cliquez sur Modifier la source/Dest. Vérifie.
  4. Dans la boîte de dialogue, choisissez Désactivé, puis cliquez sur Enregistrer.

Changer la vérification de la source-destination

Étape 5. Configurez la haute disponibilité. Vous pouvez utiliser l’interface de ligne de commande NetScaler VPX ou l’interface graphique pour configurer la haute disponibilité.

Configuration de la haute disponibilité à l’aide de la CLI

  1. Configurez la haute disponibilité en mode INC dans les deux instances.

    Sur le nœud principal :

    add ha node 1 <sec_ip> -inc ENABLED
    <!--NeedCopy-->
    

    Sur le nœud secondaire :

    add ha node 1 <prim_ip> -inc ENABLED
    <!--NeedCopy-->
    

    <sec_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    <prim_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale. Vous devez l’ajouter à partir du sous-réseau choisi, par exemple 10.10.10.0/24.

    Exécutez la commande suivante :

    add \<server\_type\> vserver \<vserver\_name\> \<protocol\> \<primary\_vip\> \<port\>
    <!--NeedCopy-->
    

Configurer la haute disponibilité à l’aide de l’interface graphique

  1. Configuration de la haute disponibilité en mode INC sur les deux instances

  2. Ouvrez une session sur le nœud principal avec le nom d’utilisateur nsroot et l’ID d’instance comme mot de passe.

  3. Accédez à Configuration > Système > Haute disponibilité, puis cliquez sur Ajouter.

  4. Dans le champ Adresse IP du nœud distant, ajoutez l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

  5. Sélectionnez Activer le mode NIC (Independent Network Configuration) sur le nœud automatique.

  6. Sous Informations d’identification de connexion au système distant, ajoutez le nom d’utilisateur et le mot de passe du nœud secondaire, puis cliquez sur Créer.

  7. Répétez les étapes dans le nœud secondaire.

  8. Ajouter un serveur virtuel dans l’instance principale

    Accédez à Configuration > Gestion du trafic > Serveurs virtuels > Ajouter.

    Ajouter un serveur virtuel

Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC partagé AWS

Dans un modèle de VPC partagé AWS, le compte propriétaire du VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d’autres comptes (participants). Par conséquent, vous disposez d’un compte propriétaire d’un VPC et d’un compte de participant. Une fois qu’un sous-réseau est partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d’application dans les sous-réseaux partagés avec eux. Les participants ne peuvent pas afficher, modifier ou supprimer des ressources appartenant à d’autres participants ou au propriétaire du VPC.

Pour plus d’informations sur le VPC partagé AWS, consultez la documentation AWS.

Remarque :

Les étapes de configuration pour déployer une paire VPX HA avec des adresses IP privées à l’aide d’un VPC partagé AWS sont les mêmes que pour déployer une paire VPX HA avec des adresses IP privées à l’aide d’un VPC non partagé AWS, à l’exception suivante :

  • Les tables de routage du VPC qui pointe vers l’interface client doivent être ajoutées à partir du compte propriétaire du VPC.

Conditions préalables

  • Assurez-vous que le rôle IAM associé à l’instance NetScaler VPX dans le compte du participant AWS possède les autorisations IAM suivantes :

     "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "ec2:DisassociateAddress",
                     "iam:GetRole",
                     "iam:SimulatePrincipalPolicy",
                     "ec2:DescribeInstances",
                     "ec2:DescribeAddresses",
                     "ec2:ModifyNetworkInterfaceAttribute",
                     “ec2:AssociateAddress”,
                     "sts:AssumeRole"
             ],
                 "Resource": "*"
             }
         ]
     }
     <!--NeedCopy-->
    

    Remarque :

    Le rôle AssumeRole permet à l’instance NetScaler VPX d’assumer le rôle IAM multicompte, qui est créé par le compte propriétaire du VPC.

  • Assurez-vous que le compte propriétaire du VPC fournit les autorisations IAM suivantes au compte du participant à l’aide du rôle IAM entre comptes :

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "ec2:CreateRoute",
                     "ec2:DeleteRoute",
                     "ec2:DescribeRouteTables"
                 ],
                 "Resource": "*"
             }
         ]
     }
     <!--NeedCopy-->
    

Créer un rôle IAM entre comptes

  1. Connectez-vous à la console Web AWS.
  2. Dans l’onglet IAM, accédez à Roles, puis choisissez Create Role.
  3. Choisissez un autre compte AWS.

    Rôle de création de VPC partagé

  4. Entrez le numéro d’identification de compte à 12 chiffres du compte du participant auquel vous souhaitez accorder l’accès administrateur.

Définissez le rôle IAM multicompte à l’aide de l’interface de ligne de commande NetScaler

La commande suivante permet à l’instance NetScaler VPX d’assumer le rôle IAM intercomptes qui existe dans le compte propriétaire du VPC.

set cloud awsParam -roleARN <string>
<!--NeedCopy-->

Définissez le rôle IAM multicompte à l’aide de l’interface graphique NetScaler

  1. Connectez-vous à l’appliance NetScaler et accédez à Configuration > AWS > Modifier les paramètres du cloud.

    Modifier les paramètres du cloud

  2. Sur la page Configurer les paramètres du cloud AWS, entrez la valeur du champ ROLearn .

    Configurer les paramètres du cloud AWS

Scénario

Dans ce scénario, un seul VPC est créé. Dans ce VPC, deux instances VPX sont créées dans deux zones de disponibilité. Chaque instance comporte trois sous-réseaux : un pour la gestion, un pour le client et un pour le serveur principal.

Les diagrammes suivants illustrent la configuration de haute disponibilité de NetScaler VPX en mode INC, sur AWS. Le sous-réseau 10.10.10.10 personnalisé, qui ne fait pas partie du VPC, est utilisé comme VIP. Par conséquent, le sous-réseau 10.10.10.10 peut être utilisé dans toutes les zones de disponibilité.

Avant le basculement, la configuration haute disponibilité en mode INC

Configuration de la haute disponibilité après basculement en mode INC

Pour ce scénario, utilisez l’interface de ligne de commande pour configurer la haute disponibilité.

  1. Configurez la haute disponibilité en mode INC sur les deux instances.

    Tapez les commandes suivantes sur les nœuds principal et secondaire.

    Sur le nœud principal :

    add ha node 1 192.168.4.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.4.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    Sur le nœud secondaire :

    add ha node 1 192.168.1.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.1.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale.

    Exécutez la commande suivante :

    add lbvserver vserver1 http 10.10.10.10 80
    <!--NeedCopy-->
    
  3. Enregistrez la configuration.

  4. Après un basculement forcé :

    • L’instance secondaire devient la nouvelle instance principale.
    • La route du VPC pointant vers l’ENI principale migre vers l’ENI du client secondaire.
    • Le trafic client reprend vers la nouvelle instance principale.

Configuration d’AWS Transit Gateway pour la solution IP privée HA

Vous avez besoin d’AWS Transit Gateway pour que le sous-réseau VIP privé soit routable au sein du réseau interne, sur les VPC AWS, les régions et les réseaux locaux. Le VPC doit se connecter à AWS Transit Gateway. Une route statique pour le sous-réseau VIP ou le pool IP à l’intérieur de la table de routage AWS Transit Gateway est créée et pointée vers le VPC.

AWS Transit Gateway

Pour configurer AWS Transit Gateway, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Tables de routage Transit Gateway.
  3. Sélectionnez l’onglet Itinéraires, puis cliquez sur Créer un itinéraire statique.

    Table de routage AWS Transit Gateway

  4. Créez un itinéraire statique où le CIDR pointe vers votre sous-réseau VIPS privé et des points de rattachement vers le VPC doté de NetScaler VPX.

    Créer un itinéraire statique

  5. Cliquez sur Créer un itinéraire statique, puis choisissez Fermer.

Dépannage

Si vous rencontrez des problèmes lors de la configuration d’une solution IP privée HA sur une haute disponibilité multizone, vérifiez les points clés suivants pour résoudre les problèmes :

  • Les nœuds principal et secondaire disposent du même ensemble d’autorisations IAM.
  • Le mode INC est activé à la fois sur les nœuds principal et secondaire.
  • Les nœuds principaux et secondaires possèdent le même nombre d’interfaces.
  • Lors de la création d’une instance, suivez la même séquence d’attachement d’interfaces sur les nœuds principal et secondaire en fonction du numéro d’index de l’appareil. Supposons que sur un nœud principal, l’interface client soit attachée en premier et l’interface serveur soit attachée en second. Suivez également la même séquence sur le nœud secondaire. En cas de discordance, détachez et reconnectez les interfaces dans le bon ordre.
  • Vous pouvez vérifier la séquence des interfaces en suivant ce chemin de navigation : console AWS > Réseau et sécurité > ENI > Numéro d’index des appareils. Par défaut, les numéros d’index des appareils suivants sont attribués à ces interfaces : - Interface de gestion — 0 - Interface client — 1 - Interface serveur — 2
  • Si la séquence des numéros d’index des appareils sur l’ENI principal est : 0, 1, 2. L’ENI secondaire doit également suivre la même séquence de numéros d’index des appareils : 0, 1, 2.

    En cas de non-concordance dans la séquence des numéros d’index de l’appareil, toutes les routes non concordantes sont transférées vers l’index 0, l’interface de gestion, pour éviter toute perte de routes. Mais vous devez tout de même détacher les interfaces et les rattacher à nouveau dans le bon ordre pour éviter le déplacement des itinéraires vers l’interface de gestion, car cela peut entraîner des embouteillages.

  • Si le trafic ne circule pas, assurez-vous que « Source/DEST ». Check » est désactivé pour la première fois sur l’interface client du nœud principal.
  • Assurez-vous que la cloudhadaemon commande (ps -aux | grep cloudha) est exécutée dans Shell.
  • Assurez-vous que la version du microprogramme NetScaler est 13.0 build 70.x ou ultérieure.
  • Pour tout problème lié au processus de basculement, consultez le fichier journal disponible à l’adresse suivante : /var/log/cloud-ha-daemon.log
Déployez une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS