Citrix SD-WAN Standard Edition Virtual Appliance (VPX) haute disponibilité Support pour AWS

Cette procédure décrit ci-dessous comment déployer des appliances virtuelles SD-WAN (VPX) en mode haute disponibilité sur le cloud AWS.

Points à prendre en compte lors du déploiement d’appliances SD-WAN VPX haute disponibilité dans le cloud AWS.

  1. AWS ne prend pas en charge les fonctionnalités GARP (Generic Attribute Registration Protocol), VLAN ou L2 liées, telles que le mode promiscuous et le pontage. En effet, deux machines virtuelles appartenant à des clients différents peuvent être planifiées sur les mêmes cartes réseau de partage d’hôte.
  2. L2 nécessite la configuration de l’appliance switch et ceux-ci ne sont pas exposés aux utilisateurs AWS.
  3. Le modèle de haute disponibilité de l’appliance SD-WAN dépend de GARP. En cas de basculement sur incident, la nouvelle appliance principale envoie GARPS pour les adresses VIP.
  4. AWS adopte une nouvelle approche pour le basculement haute disponibilité. Un nouveau concept d’ENI (Elastic Network Interface) est introduit. ENI est une entité qui signifie Interface réseau qui a des attributs tels que l’adresse IP, l’adresse MAC, le groupe de sécurité et les règles de port.
  5. Vous pouvez déplacer des ENIS d’une instance active ou inactive vers une autre instance active ou inactive.
  6. L’instance doit être capable de gérer les interfaces de connexion à chaud.
  7. Chaque type d’instance a des limites quant au nombre d’ENI associés et au nombre d’IP par ENI.
  8. La conception d’AWS pour le basculement haute disponibilité implique que les instances communiquent avec un serveur externe pour appeler des serveurs AWS de l’API de requête.
  9. Les serveurs AWS sont des serveurs HTTP traditionnels. Une demande est envoyée d’une instance au serveur API Query pour obtenir ou publier des informations concernant une instance/sous-net/VPC ou tout autre attribut sur AWS.
  10. Pour la configuration de la plate-forme cloud, la configuration de l’adresse MAC de base partagée est ignorée et n’a aucune signification.

Déployer SD-WAN édition standard VPX en mode haute disponibilité à l’aide d’un modèle de cloud

Le modèle de solution SD-WAN haute disponibilité est publié sur AWS Marketplace, vous pouvez vous abonner et utiliser le modèle CloudFormation pour déployer la configuration HA.

Conditions préalables

Avant de lancer le modèle CloudFormation, vous devez créer un VPC, des sous-réseaux, des tables de routage pour la gestion, le réseau local et le réseau WAN. Pour créer et définir les sous-réseaux et les tables de routage (si elles ne sont pas créées), reportez-vous à laInstallation de l’AMI SD-WAN VPX Standard Edition sur AWSrubrique.

Pour déployer SD-WAN édition standard VPX en mode haute disponibilité à l’aide d’un modèle de cloud :

  1. Accédez àMarché AWSet cliquez sur l’onglet Tarification. Sélectionnez la région dans la liste déroulante et spécifiez l’option de traitement comme déploiement en mode haute disponibilité . Cliquez sur Continuer pour vous abonner.

    image localisée

  2. Cliquez sur Continuer jusqu’à la configuration.

    image localisée

  3. Spécifiez l’option Fulfillment comme modèle CloudFormation et déploiement en mode haute disponibilité dans la liste déroulante. Sélectionnez Région et cliquez sur Continuer pour lancer .

    image localisée

  4. Choisissez l’action Launch CloudFormation dans la fenêtre du logiciel de lancement, puis cliquez sur Launch .

    image localisée

  5. Dans la fenêtre Créer une pile, l’URL du modèle S3 prédéfinie apparaît pendant la formation CloudFormation. Cliquez sur Suivant.

    image localisée

  6. Spécifiez un nom de pile dans la section Spécifier les détails .

    image localisée

  7. Configurez la configuration du réseau privé virtuel. Remplissez les détails des paramètres suivants :
    • ID de VPC : indiquez l’ID de cloud privé virtuel.
    • IP CIDR SSH distante : Fournissez la plage d’adresses IP qui peut SSH à l’instance EC2 (port 22).
    • IP CIDR HTTP distante : indiquez la plage d’adresses IP qui peut HTTP vers l’instance EC2 (port80).
    • IP CIDR HTTPS distante : Fournissez la plage d’adresses IP qui peut HTTPS à l’instance EC2 (port 443).
    • Paire de clés : Indiquez le nom d’un EC2 KeyPair existant pour activer l’accès SSH aux instances.

    image localisée

  8. Configurez les interfaces réseau qui doivent être attachées aux instances créées. Notez que les adresses IP principales sont pour l’instance principale de la paire haute disponibilité et les adresses IP secondaires sont configurées pour l’instance secondaire de la paire haute disponibilité.

    image localisée

  9. Configurez d’autres paramètres tels que le type instantané et le type de location, puis cliquez sur Suivant.

    image localisée

    REMARQUE

    Si des validations échouent, AWS vous en informe et ne vous laissera pas poursuivre tant que les erreurs n’auront pas été résolues.

  10. Définissez les balises. Ces balises sont des options spécifiques à AWS qui sont configurables par l’utilisateur.

    image localisée

  11. La configuration du rôle IAM n’est pas recommandée. Ceci est déjà créé par le rôle IAM personnalisé, qui se fait via le modèle Cloud Formation .

    image localisée

  12. Après avoir cliqué sur Suivant, passez en revue le modèle et reconnaissez le rôle IAM personnalisé qui a été créé par le modèle Cloud Formation . Continuez avec Créer.

    image localisée

  13. La nouvelle pile que vous avez créée apparaît sur la page Cloud Formation Stacks . Après le téléchargement du modèle réussi, Surveillez l’état du modèle.

    image localisée

  14. Surveillez les événements de toutes les ressources créées par le modèle Cloud Formation . En cas d’échec, des descriptions détaillées des événements sont générées par AWS, ce qui aide à déboguer le problème. Les événements apparaissent comme suit :

    image localisée

  15. Après la création de pile réussie, l’état du modèle apparaît comme Create_Complete.

    image localisée

  16. Naviguez de la console AWS vers Services > EC2 > Instances. Vous pouvez voir deux instances SDWANPrimary et SDWANSecondary instances créées, en cours d’exécution avec des IP Elastic associées aux instances.   localized image

  17. Sélectionnez l’instance SDWANPrimary. Vous pouvez remarquer toutes les ressources correctement affectées à l’instance, aux groupes de sécurité, à Elastic IP, au rôle IAM et à quatre interfaces réseau. Impossible de créer une fonctionnalité de haute disponibilité peut ne pas fonctionner comme prévu.

  18. De même, sélectionnez l’instance SDWANSecondary et vérifiez les ressources ci-dessus.

IP flottantes secondaires pour les liaisons LAN et WAN

Vous devez avoir besoin d’une adresse IP flottante secondaire pour les liaisons LAN et WAN pour que la haute disponibilité fonctionne. Une fois la pile créée, attribuez de nouvelles adresses IP privées secondaires aux interfaces LAN et WAN de l’instance EC2 active. Ces adresses IP configurées secondaires sont utilisées lors de la configuration d’adresses IP virtuelles dans VPX.

Effectuez la procédure suivante pour attacher les IP du LAN secondaire à l’instance active :

  1. Accédez à Services > EC2 > Instances.

    image localisée

  2. Accédez à Services > EC2 > Interfaces réseau et sélectionnez ENI (LAN/WAN Elastic Network Interfaces) de l’instance principale.

    image localisée

  3. Attribuez une nouvelle adresse IP secondaire.

    image localisée

  4. Cliquez sur Oui, Mettre à jour.

    image localisée

  5. De même, créez également une adresse IP privée secondaire pour l’interface WAN.

IP publique sur la liaison WAN

Une adresse IP publique requise sur la liaison WAN pour communiquer avec le monde extérieur. Suivez les étapes ci-dessous pour associer l’IP élastique à l’interface WAN ENI :

  1. Accédez à Adresses > Allouer une nouvelle adresse.

    image localisée

  2. Sélectionnez l’adresse IP élastique créée, puis cliquez sur Action > Associer l’adresse et associez le public à l’adresse WAN privée secondaire que nous venons de créer.

    image localisée

  3. Vérifiez que les interfaces finales et les IP sont attendues comme suit :

    • Instance principale : image localisée
    • Instance secondaire : image localisée

    Maintenant, le Provisioning de l’instance est terminé. La configuration d’une appliance SD-WAN haute disponibilité est presque similaire à celle d’une appliance autonome. Les différences sont énumérées ci-dessous :

    • Lors de la création d’interfaces IP virtuelles LAN et WAN, spécifiez les adresses IP privées secondaires créées. Et pour l’interface IP virtuelle haute disponibilité, spécifiez une adresse IP fictive dans le réseau haute disponibilité.

      image localisée

    • Activez la haute disponibilité et spécifiez les adresses IP de l’interface haute disponibilité de l’instance active et secondaire.

      image localisée Vous pouvez vérifier l’état de la haute disponibilité.

      localized image

Comment configurer le basculement sur incident haute disponibilité pour toute instance SD-WAN exécutée sur AWS

Configurez des homologues haute disponibilité avec un homologue haute disponibilité avec trois ENI ou plus, et un homologue haute disponibilité avec un nombre égal d’ENI. Dans les deux pairs, le premier ENI est dédié à la gestion. Un homologue haute disponibilité possède tous les ENI Traffic. Lors d’un basculement, les ENIs de trafic passent de l’instance défaillante à la nouvelle instance principale.

Par exemple, il peut prendre jusqu’à 20 secondes ou plus pour déplacer deux ENIs de trafic. AWS n’a pas de SLA sur la réponse API et vous ne pouvez pas en avoir un pour le temps de basculement sur incident haute disponibilité.

Remarque

La conception AWS a une limitation des instances dépendant des serveurs AWS pour répondre en cas d’attachement et de détachement. Le temps de basculement sur incident est imprévisible.

Étapes de configuration

  1. Acquérir des informations sur votre instance homologue haute disponibilité sur le nombre d’ENI associés et les détails des ENI associés à l’aide de l’API REST.
  2. Détecter la condition de l’instance défaillante.
  3. Appelez Detach of ENIS de l’instance défaillante à l’aide des API REST.
  4. Assurez-vous que tous les ENIs associés sont détachés.
  5. Attachez des ENIS à l’instance principale actuelle.
  6. Assurez-vous que toutes les ENIs sont jointes.
  7. Déclenchez les couches supérieures pour détecter que de nouvelles ENIs sont en place.

image localisée

image localisée

Comment configurer SD-WAN VPX-SE dans un seul sous-réseau AWS Virtual Private Cloud (VPC) ou entre des régions avec une adresse IP de liaison WAN publique

Dans AWS VPC, pour une instance SD-WAN active, une autre instance SD-WAN haute disponibilité exécutée dans le même VPC est publiée.

  1. Les liens configurés sont les mêmes entre les appliances SD-WAN actives et de secours.
  2. Pour AWS, vous pouvez créer un sous-réseau et un lien dédié pour le protocole RACP afin de communiquer entre les appliances SD-WAN.
  3. Dans l’interface graphique SD-WAN, configurez les éléments suivants :
    • Créez un groupe d’interfaces. Nommez-le comme lien haute disponibilité-lien. Ajoutez l’interface utilisée pour la haute disponibilité.
    • Créez une adresse IP virtuelle pour le groupe Interface.
    • Dans le nœud haute disponibilité, Activer la haute disponibilité et ajouter le contrôle IP virtuelles que le protocole RACP utilise pour la communication. Assurez-vous que les adresses IP sont identiques à l’adresse IP configurée lors de la création d’interfaces réseau dans AWS.
    • Exécutez la gestion des modifications et téléchargez la configuration active de l’appliance SD-WAN de secours.
    • Après avoir appliqué la configuration via la gestion des modifications locales sur l’appliance SD-WAN de secours, vous verrez des pulsations échangées entre les appliances SD-WAN actives et de secours haute disponibilité.
    • En cas de basculement sur incident, l’appliance SD-WAN passe du mode veille au mode actif et/ou, inversement, sans perte de configuration.

Remarque

  1. AWS prend en charge le mode haute disponibilité avec des fonctionnalités telles que l’équilibrage de charge Elastic Load et la mise à l’échelle automatique lorsque le défi consiste à synchroniser la configuration au sein des appliances SD-WAN. Dans ce déploiement, vous appliquez le protocole RACP existant pour une haute disponibilité efficace.

  2. Les appliances MCN et les appliances de site de succursale peuvent être mises à disposition dans l’environnement cloud.