Citrix SD-WAN Platforms

Assistance haute disponibilité Citrix SD-WAN Standard Edition Virtual Appliance (VPX) pour AWS

Cette procédure décrit ci-dessous comment déployer des appliances virtuelles SD-WAN (VPX) en mode haute disponibilité sur le cloud AWS.

Points à prendre en compte lors du déploiement d’appliances haute disponibilité SD-WAN VPX dans le cloud AWS.

  1. AWS ne prend pas en charge les fonctionnalités liées au GARP (Generic Attribute Registration Protocol), au VLAN ou à la L2, telles que le mode promiscuous et le pontage. En effet, deux machines virtuelles appartenant à des clients différents peuvent être planifiées sur les mêmes cartes réseau de partage d’hôte.
  2. L2 nécessite la configuration de l’appliance de commutation et ceux-ci ne sont pas exposés aux utilisateurs AWS.
  3. Le modèle de haute disponibilité de l’appliance SD-WAN dépend de GARP. En cas de basculement sur incident, la nouvelle appliance principale envoie GARPS pour les adresses VIP.
  4. AWS adopte une nouvelle approche pour le basculement à haute disponibilité. Un nouveau concept d’ENI (Elastic Network Interface) est introduit. ENI est une entité qui signifie Interface réseau qui a des attributs tels que l’adresse IP, l’adresse MAC, le groupe de sécurité et les règles de port.
  5. Vous pouvez déplacer les ENIs d’une instance active ou inactive vers une autre instance active ou inactive.
  6. L’instance doit être capable de gérer la prise à chaud des interfaces.
  7. Chaque type d’instance a des limites sur le nombre d’ENI associés et le nombre d’IP par ENI.
  8. La conception AWS pour le basculement à haute disponibilité implique des instances qui communiquent avec un serveur externe pour appeler les serveurs AWS de l’API de requête.
  9. Les serveurs AWS sont des serveurs HTTP traditionnels. Une requête est envoyée à partir d’une instance vers le serveur d’API de requête pour obtenir ou publier des informations concernant une instance/sous-net/vPC ou tout autre attribut sur AWS.
  10. Pour la configuration de la plate-forme cloud, la configuration d’adresse MAC de base partagée est ignorée et n’a aucune signification.

Déployer l’édition standard SD-WAN VPX en mode haute disponibilité à l’aide d’un modèle cloud

Le modèle de solution haute disponibilité SD-WAN est publié sur AWS Marketplace. Vous pouvez vous abonner et utiliser le modèle CloudFormation pour déployer la configuration HA.

Conditions préalables

Avant de lancer le modèle CloudFormation, vous devez créer un VPC, des sous-réseaux, des tables de routage pour la gestion, le réseau local et le réseau WAN. Pour créer et définir les sous-réseaux et les tables de routage (si elles ne sont pas créées), reportez-vous à la Installation de l’AMI SD-WAN VPX Standard Edition sur AWS rubrique.

Pour déployer l’édition standard SD-WAN VPX en mode haute disponibilité à l’aide du modèle cloud :

  1. Accédez à Marketplace AWS et cliquez sur l’onglet Tarification . Sélectionnez la région dans la liste déroulante et spécifiez l’option de traitement comme déploiement en mode haute disponibilité . Cliquez sur Continuer pour vous abonner.

    image localisée

  2. Cliquez sur Continuer à la configuration.

    image localisée

  3. Spécifiez l’option de traitement comme modèle CloudFormation et Déploiement en mode haute disponibilité dans la liste déroulante. Sélectionnez Région et cliquez sur Continuer pour lancer.

    image localisée

  4. Choisissez l’action Lancer CloudFormation dans la fenêtre du logiciel de lancement et cliquez sur Lancer.

    image localisée

  5. Dans la fenêtre Créer une pile, l’URL du modèle S3 prédéfinie apparaît pendant la formation CloudFormation. Cliquez sur Suivant.

    image localisée

  6. Spécifiez un nom de pile dans la section Spécifier les détails.

    image localisée

  7. Configurez la configuration du réseau privé virtuel. Remplissez les détails des paramètres suivants :
    • ID de VPC : indiquez l’ID de cloud privé virtuel.
    • IP CIDR SSH distante : indiquez la plage d’adresses IP qui peut SSH à l’instance EC2 (port 22).
    • IP CIDR HTTP distant : indiquez la plage d’adresses IP qui peut HTTP à l’instance EC2 (port80).
    • IP CIDR HTTPS distante : indiquez la plage d’adresses IP qui peut HTTPS à l’instance EC2 (port 443).
    • Paire de clés : indiquez le nom d’un clavier EC2 existant pour activer l’accès SSH aux instances.

    image localisée

  8. Configurez les interfaces réseau qui doivent être attachées aux instances créées. Notez que les adresses IP principales sont pour l’instance principale de la paire haute disponibilité et les adresses IP secondaires sont configurées pour l’instance secondaire de la paire haute disponibilité.

    image localisée

  9. Configurez d’autres paramètres tels que le type instantané et le type de location, puis cliquez sur Suivant.

    image localisée

    REMARQUE

    Si des validations échouent, AWS vous en informe et ne vous laissera pas poursuivre tant que les erreurs ne seront pas résolues.

  10. Définir les balises. Ces balises sont des options spécifiques à AWS configurables par l’utilisateur.

    image localisée

  11. La configuration du rôle IAM n’est pas recommandée. Ceci est déjà créé par le rôle IAM personnalisé, ce qui est fait via le modèle de formation Cloud.

    image localisée

  12. Après avoir cliqué sur Suivant, passez en revue le modèle et reconnaissez le rôle IAM personnalisé créé par le modèle Cloud Formation. Continuez avec Créer.

    image localisée

  13. La nouvelle pile que vous avez créée apparaît sur la page Cloud Formation Stacks. Après le téléchargement réussi du modèle, surveillez l’état du modèle.

    image localisée

  14. Surveillez les événements de toutes les ressources créées par le modèle Cloud Formation. En cas d’échec, des descriptions détaillées des événements sont générées par AWS, ce qui aide à déboguer le problème. Les événements apparaissent comme suit :

    image localisée

  15. Après la création réussie de la pile, l’état du modèle apparaît comme Create_Complete.

    image localisée

  16. Naviguez de la console AWS vers Services > EC2 > Instances. Vous pouvez voir deux instances SDWanPrimary et SDWanSecondary créées et en cours d’exécution avec des adresses IP Elastic associées aux instances.

    localized image

  17. Sélectionnez l’instance SDWANPrimary. Vous pouvez remarquer toutes les ressources correctement affectées à l’instance, aux groupes de sécurité, à l’IP Elastic, au rôle IAM et à quatre interfaces réseau. Impossible de créer une fonctionnalité de haute disponibilité peut ne pas fonctionner comme prévu.

  18. De même, sélectionnez l’instance SDWanSecondary et vérifiez les ressources ci-dessus.

IP flottantes secondaires pour les liaisons LAN et WAN

Vous devez avoir besoin d’une adresse IP flottante secondaire pour les liaisons LAN et WAN pour que la haute disponibilité fonctionne. Une fois la pile créée, attribuez de nouvelles adresses IP privées secondaires aux interfaces LAN et WAN de l’instance EC2 active. Ces adresses IP configurées secondaires sont utilisées lors de la configuration des adresses IP virtuelles dans VPX.

Effectuez la procédure suivante pour attacher les adresses IP LAN secondaires à l’instance active :

  1. Accédez à Services > EC2 > Instances.

    image localisée

  2. Accédez à Services > EC2 > Interfaces réseau et sélectionnez l’ENI (LAN/WAN Elastic Network Interfaces) de l’instance principale.

    image localisée

  3. Attribuer une nouvelle adresse IP secondaire.

    image localisée

  4. Cliquez sur Oui, Mettre à jour.

    image localisée

  5. Créez également une adresse IP privée secondaire pour l’interface WAN.

IP publique sur liaison WAN

Une adresse IP publique requise sur la liaison WAN pour communiquer avec le monde externe. Suivez les étapes ci-dessous pour associer Elastic IP à WAN ENI interface :

  1. Accédez à Adresses > Allouer une nouvelle adresse.

    image localisée

  2. Sélectionnez l’IP élastique créée, puis cliquez sur Action > Associer l’adresse et associez le public à l’IP WAN privée secondaire que nous venons de créer.

    image localisée

  3. Vérifiez que les interfaces finales et les IP sont attendues comme suit :

    • Instance principale : image localisée
    • Instance secondaire : image localisée

    Maintenant, le Provisioning de l’instance est terminé. La configuration de l’appliance haute disponibilité SD-WAN ressemble presque à la configuration de l’appliance autonome. Les différences sont énumérées ci-dessous :

    • Lors de la création d’interfaces IP virtuelles LAN et WAN, spécifiez les adresses IP privées secondaires créées. Et pour l’interface IP virtuelle haute disponibilité, spécifiez une adresse IP factice dans le réseau haute disponibilité.

      image localisée

    • Activez la haute disponibilité et spécifiez les IP de l’interface haute disponibilité de l’instance active et secondaire.

      image localisée Vous pouvez vérifier l’état de haute disponibilité.

      localized image

Comment configurer le basculement haute disponibilité pour n’importe quelle instance SD-WAN exécutée sur AWS

Configurez des homologues haute disponibilité avec un homologue haute disponibilité avec trois ENI ou plus, et un homologue haute disponibilité avec un nombre égal d’ENI. Dans les deux pairs, la première ENI est dédiée à la gestion. Un homologue haute disponibilité possède tous les ENI Traffic. Au cours d’un basculement, les ENIs de trafic passent de l’instance défaillante à la nouvelle instance principale.

Par exemple, il peut prendre jusqu’à ou plus de 20 secondes pour déplacer deux ENIs de trafic. AWS n’a pas de SLA sur la réponse de l’API et vous ne pouvez pas en avoir pour le temps de basculement de haute disponibilité.

Remarque

La conception AWS a une limitation des instances dépendant des serveurs AWS pour répondre à l’attachement et au détachement. Le temps de basculement est imprévisible.

Étapes de configuration

  1. Acquérir des informations sur votre instance homologue haute disponibilité sur le nombre d’ENI associés et les détails des ENI associés à l’aide de l’API REST.
  2. Détectez la condition de l’instance défaillante.
  3. Appelez Detach of ENIs de l’instance défaillante à l’aide d’API REST.
  4. Assurez-vous que tous les ENIs associés sont détachés.
  5. Attachez les ENIs à l’instance principale actuelle.
  6. Assurez-vous que tous les ENIs sont joints.
  7. Déclenchez les couches supérieures pour détecter que de nouveaux ENIs sont en place.

image localisée

image localisée

Comment configurer SD-WAN VPX-SE dans un seul sous-réseau AWS Virtual Private Cloud (VPC) ou entre des régions avec une adresse IP de liaison WAN publique

Dans AWS VPC, pour une instance SD-WAN active, une autre instance SD-WAN haute disponibilité exécutée dans le même VPC est publiée.

  1. Les liens configurés sont les mêmes entre les appliances SD-WAN actives et de secours.
  2. Pour AWS, vous pouvez créer un sous-réseau et un lien dédié pour le protocole RACP afin de communiquer entre les appliances SD-WAN.
  3. Dans l’interface graphique SD-WAN, configurez les éléments suivants :
    • Créez un groupe d’interfaces. Nommez-le comme lien haute disponibilité. Ajoutez l’interface utilisée pour la haute disponibilité.
    • Créez une adresse IP virtuelle pour le groupe Interface.
    • Dans High Availability Node, Activer la haute disponibilité et ajouter le contrôle des adresses IP virtuelles que le protocole RACP utilise pour la communication. Assurez-vous que les adresses IP sont identiques à l’adresse IP configurée lors de la création d’interfaces réseau dans AWS.
    • Effectuez la gestion des modifications et téléchargez la configuration active de l’appliance SD-WAN de secours.
    • Après avoir appliqué la configuration via la gestion locale des modifications sur l’appliance SD-WAN de secours, vous verrez des battements de cœur échangés entre les appliances SD-WAN actives et en veille.
    • Lorsque le basculement se produit, l’appliance SD-WAN passe du mode veille au mode actif et/ou inversement sans perte de configuration.

Remarque

  1. AWS prend en charge le mode haute disponibilité avec des fonctionnalités telles que l’équilibrage Elastic Load et la mise à l’échelle automatique lorsqu’il s’agit de synchroniser la configuration au sein des appliances SD-WAN. Dans ce déploiement, vous appliquez le protocole RACP existant pour une haute disponibilité efficace.

  2. Les appliances MCN et les appliances de site de succursale peuvent être mises à disposition dans l’environnement cloud.