Citrix ADC

Déployez une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS

Vous pouvez configurer deux instances Citrix ADC VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées en mode INC. Cette solution peut être facilement intégrée à la paire haute disponibilité VPX multizone existante avec des adresses IP Elastic. Par conséquent, vous pouvez utiliser les deux solutions ensemble.

Pour plus d’informations sur la haute disponibilité, voir Haute disponibilité. Pour plus d’informations sur INC, voir Configuration de nœuds haute disponibilité dans différents sous-réseaux.

Remarque :

Ce déploiement est pris en charge à partir de Citrix ADC version 13.0 version 67.39. Ce déploiement est compatible avec AWS Transit Gateway.

Paire haute disponibilité avec des adresses IP privées à l’aide d’un VPC non partagé AWS

Conditions préalables

Assurez-vous que le rôle IAM associé à votre compte AWS dispose des autorisations IAM suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeAddresses",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DeleteRoute",
                "ec2:CreateRoute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "iam:SimulatePrincipalPolicy",
                "iam:GetRole"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

<!--NeedCopy-->

Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC non partagé AWS

Voici un résumé des étapes de déploiement d’une paire VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes à l’aide d’adresses IP privées.

  1. Créez un cloud privé virtuel Amazon.
  2. Déployez deux instances VPX dans deux zones de disponibilité différentes.
  3. Configurer la haute disponibilité
    1. Configurez la haute disponibilité en mode INC dans les deux instances.
    2. Ajoutez les tables de routage respectives dans le VPC qui pointe vers l’interface client.
    3. Ajoutez un serveur virtuel dans l’instance principale.

Pour les étapes 1, 2 et 3b, utilisez la console AWS. Pour les étapes 3a et 3c, utilisez l’interface graphique Citrix ADC VPX ou l’interface de ligne de commande.

Étape 1. Créez un cloud privé virtuel (VPC) Amazon.

Étape 2. Déployez deux instances VPX dans deux zones de disponibilité différentes avec le même nombre d’interface réseau (ENI).

Pour plus d’informations sur la façon de créer un VPC et de déployer une instance VPX sur AWS, voir Déployer une instance autonome Citrix ADC VPX sur AWS et Scenario : instance autonome

Étape 3. Configurez les adresses VIP ADC en choisissant un sous-réseau qui ne chevauche pas les sous-réseaux Amazon VPC. Si votre VPC est 192.168.0.0/16, pour configurer les adresses VIP ADC, vous pouvez choisir n’importe quel sous-réseau parmi les plages d’adresses IP suivantes :

  • 0.0.0.0 - 192.167.0.0
  • 192.169.0.0 - 254.255.255.0

Dans cet exemple, le sous-réseau 10.10.10.0/24 choisi et créé des VIP dans ce sous-réseau. Vous pouvez choisir n’importe quel sous-réseau autre que le sous-réseau VPC (192.168.0.0/16).

Étape 4. Ajoutez une route qui pointe vers l’interface client (VIP) du nœud principal à partir de la table de routage du VPC.

À partir de l’interface de ligne de commande AWS, tapez la commande suivante :

aws ec2 create-route --route-table-id rtb-2272532 --destination-cidr-block 10.10.10.0/24 --gateway-id <eni-client-primary>
<!--NeedCopy-->

À partir de l’interface graphique AWS, effectuez les étapes suivantes pour ajouter un itinéraire :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Tables de routageet sélectionnez la table de routage.
  3. Choisissez Actions, puis cliquez sur Modifier les itinéraires.
  4. Pour ajouter un itinéraire, choisissez Ajouter un itinéraire. Pour Destination, entrez le bloc CIDR de destination, une adresse IP unique ou l’ID d’une liste de préfixes. Pour ID de passerelle, sélectionnez l’ENI d’une interface client du nœud principal.

Tables de routage - Modifier les itinéraires

Remarque

Vous devez désactiver la vérification source/dest sur l’ENI client de l’instance principale.

Pour désactiver la vérification source/destination d’une interface réseau à l’aide de la console, effectuez les opérations suivantes :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Interfaces réseau.
  3. Sélectionnez l’interface réseau d’une interface client principale, puis choisissez Actions, puis cliquez sur Modifier la source/Dest. Vérifie.
  4. Dans la boîte de dialogue, choisissez Désactivé, puis cliquez sur Enregistrer.

Changer la vérification de la source-destination

Étape 5. Configurez la haute disponibilité. Vous pouvez utiliser l’interface de ligne de commande Citrix ADC VPX ou l’interface graphique pour configurer la haute disponibilité.

Configuration de la haute disponibilité à l’aide de la CLI

  1. Configurez la haute disponibilité en mode INC dans les deux instances.

    Sur le nœud principal :

    add ha node 1 <sec_ip> -inc ENABLED
    <!--NeedCopy-->
    

    Sur le nœud secondaire :

    add ha node 1 <prim_ip> -inc ENABLED
    <!--NeedCopy-->
    

    <sec_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    <prim_ip>fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale. Vous devez l’ajouter à partir du sous-réseau choisi, par exemple 10.10.10.0/24.

    Exécutez la commande suivante :

    add \<server\_type\> vserver \<vserver\_name\> \<protocol\> \<primary\_vip\> \<port\>
    <!--NeedCopy-->
    

Configurer la haute disponibilité à l’aide de l’interface graphique

  1. Configuration de la haute disponibilité en mode INC sur les deux instances

  2. Ouvrez une session sur le nœud principal avec le nom d’utilisateur nsroot et l’ID d’instance comme mot de passe.

  3. Accédez à Configuration > Système > Haute disponibilité, puis cliquez sur Ajouter.

  4. Dans le champ Adresse IP du nœud distant, ajoutez l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

  5. Sélectionnez Activer le mode NIC (Independent Network Configuration) sur le nœud automatique.

  6. Sous Informations d’identification de connexion au système distant, ajoutez le nom d’utilisateur et le mot de passe du nœud secondaire, puis cliquez sur Créer.

  7. Répétez les étapes dans le nœud secondaire.

  8. Ajouter un serveur virtuel dans l’instance principale

    Accédez à Configuration > Gestion du trafic > Serveurs virtuels > Ajouter.

    Ajouter un serveur virtuel

Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC partagé AWS

Dans un modèle de VPC partagé AWS, le compte propriétaire du VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d’autres comptes (participants). Par conséquent, vous disposez d’un compte propriétaire d’un VPC et d’un compte de participant. Une fois qu’un sous-réseau est partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d’application dans les sous-réseaux partagés avec eux. Les participants ne peuvent pas afficher, modifier ou supprimer des ressources appartenant à d’autres participants ou au propriétaire du VPC.

Pour plus d’informations sur le VPC partagé AWS, consultez la documentation AWS.

Remarque :

Les étapes de configuration pour déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC partagé AWS sont identiques à celles de Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC non partagé AWS, à l’exception suivante :

  • Les tables de routage du VPC qui pointe vers l’interface client doivent être ajoutées à partir du compte propriétaire du VPC.

Conditions préalables

  • Assurez-vous que le rôle IAM associé à l’instance ADC VPX dans le compte de participant AWS possède les autorisations IAM suivantes :

     "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "ec2:DisassociateAddress",
                     "iam:GetRole",
                     "iam:SimulatePrincipalPolicy",
                     "ec2:DescribeInstances",
                     "ec2:DescribeAddresses",
                     "ec2:ModifyNetworkInterfaceAttribute",
                     “ec2:AssociateAddress”,
                     "sts:AssumeRole"
             ],
                 "Resource": "*"
             }
         ]
     }
     <!--NeedCopy-->
    

    Remarque :

    L’ AssumeRole permet à l’instance Citrix ADC VPX d’assumer le rôle IAM entre comptes, qui est créé par le compte propriétaire du VPC.

  • Assurez-vous que le compte propriétaire du VPC fournit les autorisations IAM suivantes au compte du participant à l’aide du rôle IAM entre comptes :

     {
         "Version": "2012-10-17",
         "Statement": [
             {
                 "Sid": "VisualEditor0",
                 "Effect": "Allow",
                 "Action": [
                     "ec2:CreateRoute",
                     "ec2:DeleteRoute",
                     "ec2:DescribeRouteTables"
                 ],
                 "Resource": "*"
             }
         ]
     }
     <!--NeedCopy-->
    

Créer un rôle IAM entre comptes

  1. Connectez-vous à la console Web AWS.
  2. Dans l’onglet IAM, accédez à Roles, puis choisissez Create Role.
  3. Choisissez un autre compte AWS.

    Rôle de création de VPC partagé

  4. Entrez le numéro d’identification de compte à 12 chiffres du compte du participant auquel vous souhaitez accorder l’accès administrateur.

Définir le rôle IAM entre comptes à l’aide de l’interface de ligne de commande Citrix ADC

La commande suivante permet à l’instance ADC VPX d’assumer le rôle IAM entre comptes qui existe dans le compte propriétaire du VPC.

set cloud awsParam -roleARN <string>
<!--NeedCopy-->

Définir le rôle IAM entre comptes à l’aide de l’interface graphique Citrix ADC

  1. Connectez-vous à l’appliance Citrix ADC et accédez à Configuration > AWS > Modifier les paramètres du cloud.

    Modifier les paramètres du cloud

  2. Sur la page Configurer les paramètres du cloud AWS, saisissez une valeur pour le champ RoLearn .

    Configurer les paramètres du cloud AWS

Scénario

Dans ce scénario, un seul VPC est créé. Dans ce VPC, deux instances VPX sont créées dans deux zones de disponibilité. Chaque instance comporte trois sous-réseaux : un pour la gestion, un pour le client et un pour le serveur principal.

Les diagrammes suivants illustrent la configuration haute disponibilité Citrix ADC VPX en mode INC, sur AWS. Le sous-réseau 10.10.10.10 personnalisé, qui ne fait pas partie du VPC, est utilisé comme VIP. Par conséquent, le sous-réseau 10.10.10.10 peut être utilisé dans toutes les zones de disponibilité.

Avant le basculement, la configuration haute disponibilité en mode INC

Configuration de la haute disponibilité après basculement en mode INC

Pour ce scénario, utilisez l’interface de ligne de commande pour configurer la haute disponibilité.

  1. Configurez la haute disponibilité en mode INC sur les deux instances.

    Tapez les commandes suivantes sur les nœuds principal et secondaire.

    Sur le nœud principal :

    add ha node 1 192.168.4.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.4.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    Sur le nœud secondaire :

    add ha node 1 192.168.1.10 -inc enabled
    <!--NeedCopy-->
    

    Ici, 192.168.1.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale.

    Exécutez la commande suivante :

    add lbvserver vserver1 http 10.10.10.10 80
    <!--NeedCopy-->
    
  3. Enregistrez la configuration.

  4. Après un basculement forcé :

    • L’instance secondaire devient la nouvelle instance principale.
    • La route du VPC pointant vers l’ENI principale migre vers l’ENI du client secondaire.
    • Le trafic client reprend vers la nouvelle instance principale.

Configuration d’AWS Transit Gateway pour la solution IP privée HA

Vous avez besoin d’AWS Transit Gateway pour que le sous-réseau VIP privé soit routable au sein du réseau interne, sur les VPC AWS, les régions et les réseaux locaux. Le VPC doit se connecter à AWS Transit Gateway. Une route statique pour le sous-réseau VIP ou le pool IP à l’intérieur de la table de routage AWS Transit Gateway est créée et pointée vers le VPC.

AWS Transit Gateway

Pour configurer AWS Transit Gateway, procédez comme suit :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, sélectionnez Tables de routage Transit Gateway.
  3. Sélectionnez l’onglet Itinéraires, puis cliquez sur Créer un itinéraire statique.

    Table de routage AWS Transit Gateway

  4. Créez un itinéraire statique où le CIDR pointe vers votre sous-réseau VIPS privé et où les points joints pointent vers le VPC doté d’ADC VPX.

    Créer un itinéraire statique

  5. Cliquez sur Créer un itinéraire statique, puis choisissez Fermer.
Déployez une paire VPX haute disponibilité avec des adresses IP privées dans différentes zones AWS