Assistance haute disponibilité Citrix SD-WAN Standard Edition Virtual Appliance (VPX) pour AWS
Cette procédure décrit ci-dessous comment déployer des appliances virtuelles SD-WAN (VPX) en mode haute disponibilité sur le cloud AWS.
Points à prendre en compte lors du déploiement d’appliances haute disponibilité SD-WAN VPX dans le cloud AWS.
- AWS ne prend pas en charge les fonctionnalités liées au GARP (Generic Attribute Registration Protocol), au VLAN ou à la L2, telles que le mode promiscuous et le pontage. En effet, deux machines virtuelles appartenant à des clients différents peuvent être planifiées sur les mêmes cartes réseau de partage d’hôte.
- L2 nécessite la configuration de l’appliance de commutation et ceux-ci ne sont pas exposés aux utilisateurs AWS.
- Le modèle de haute disponibilité de l’appliance SD-WAN dépend de GARP. En cas de basculement sur incident, la nouvelle appliance principale envoie GARPS pour les adresses VIP.
- AWS adopte une nouvelle approche pour le basculement à haute disponibilité. Un nouveau concept d’ENI (Elastic Network Interface) est introduit. ENI est une entité qui signifie Interface réseau qui a des attributs tels que l’adresse IP, l’adresse MAC, le groupe de sécurité et les règles de port.
- Vous pouvez déplacer les ENIs d’une instance active ou inactive vers une autre instance active ou inactive.
- L’instance doit être capable de gérer la prise à chaud des interfaces.
- Chaque type d’instance a des limites sur le nombre d’ENI associés et le nombre d’IP par ENI.
- La conception AWS pour le basculement à haute disponibilité implique des instances qui communiquent avec un serveur externe pour appeler les serveurs AWS de l’API de requête.
- Les serveurs AWS sont des serveurs HTTP traditionnels. Une requête est envoyée à partir d’une instance vers le serveur d’API de requête pour obtenir ou publier des informations concernant une instance/sous-net/vPC ou tout autre attribut sur AWS.
- Pour la configuration de la plate-forme cloud, la configuration d’adresse MAC de base partagée est ignorée et n’a aucune signification.
Déployer l’édition standard SD-WAN VPX en mode haute disponibilité à l’aide d’un modèle cloud
Le modèle de solution haute disponibilité SD-WAN est publié sur AWS Marketplace. Vous pouvez vous abonner et utiliser le modèle CloudFormation pour déployer la configuration HA.
Conditions préalables
Avant de lancer le modèle CloudFormation, vous devez créer un VPC, des sous-réseaux, des tables de routage pour la gestion, le réseau local et le réseau WAN. Pour créer et définir les sous-réseaux et les tables de routage (si elles ne sont pas créées), reportez-vous à la Installation de l’AMI SD-WAN VPX Standard Edition sur AWS rubrique.
Pour déployer l’édition standard SD-WAN VPX en mode haute disponibilité à l’aide du modèle cloud :
-
Accédez à Marketplace AWS et cliquez sur l’onglet Tarification . Sélectionnez la région dans la liste déroulante et spécifiez l’option de traitement comme déploiement en mode haute disponibilité . Cliquez sur Continuer pour vous abonner.
-
Cliquez sur Continuer à la configuration.
-
Spécifiez l’option de traitement comme modèle CloudFormation et Déploiement en mode haute disponibilité dans la liste déroulante. Sélectionnez Région et cliquez sur Continuer pour lancer.
-
Choisissez l’action Lancer CloudFormation dans la fenêtre du logiciel de lancement et cliquez sur Lancer.
-
Dans la fenêtre Créer une pile, l’URL du modèle S3 prédéfinie apparaît pendant la formation CloudFormation. Cliquez sur Suivant.
-
Spécifiez un nom de pile dans la section Spécifier les détails.
- Configurez la configuration du réseau privé virtuel. Remplissez les détails des paramètres suivants :
- ID de VPC : indiquez l’ID de cloud privé virtuel.
- IP CIDR SSH distante : indiquez la plage d’adresses IP qui peut SSH à l’instance EC2 (port 22).
- IP CIDR HTTP distant : indiquez la plage d’adresses IP qui peut HTTP à l’instance EC2 (port80).
- IP CIDR HTTPS distante : indiquez la plage d’adresses IP qui peut HTTPS à l’instance EC2 (port 443).
- Paire de clés : indiquez le nom d’un clavier EC2 existant pour activer l’accès SSH aux instances.
-
Configurez les interfaces réseau qui doivent être attachées aux instances créées. Notez que les adresses IP principales sont pour l’instance principale de la paire haute disponibilité et les adresses IP secondaires sont configurées pour l’instance secondaire de la paire haute disponibilité.
-
Configurez d’autres paramètres tels que le type instantané et le type de location, puis cliquez sur Suivant.
REMARQUE
Si des validations échouent, AWS vous en informe et ne vous laissera pas poursuivre tant que les erreurs ne seront pas résolues.
-
Définir les balises. Ces balises sont des options spécifiques à AWS configurables par l’utilisateur.
-
La configuration du rôle IAM n’est pas recommandée. Ceci est déjà créé par le rôle IAM personnalisé, ce qui est fait via le modèle de formation Cloud.
-
Après avoir cliqué sur Suivant, passez en revue le modèle et reconnaissez le rôle IAM personnalisé créé par le modèle Cloud Formation. Continuez avec Créer.
-
La nouvelle pile que vous avez créée apparaît sur la page Cloud Formation Stacks. Après le téléchargement réussi du modèle, surveillez l’état du modèle.
-
Surveillez les événements de toutes les ressources créées par le modèle Cloud Formation. En cas d’échec, des descriptions détaillées des événements sont générées par AWS, ce qui aide à déboguer le problème. Les événements apparaissent comme suit :
-
Après la création réussie de la pile, l’état du modèle apparaît comme Create_Complete.
-
Naviguez de la console AWS vers Services > EC2 > Instances. Vous pouvez voir deux instances SDWanPrimary et SDWanSecondary créées et en cours d’exécution avec des adresses IP Elastic associées aux instances.
-
Sélectionnez l’instance SDWANPrimary. Vous pouvez remarquer toutes les ressources correctement affectées à l’instance, aux groupes de sécurité, à l’IP Elastic, au rôle IAM et à quatre interfaces réseau. Impossible de créer une fonctionnalité de haute disponibilité peut ne pas fonctionner comme prévu.
- De même, sélectionnez l’instance SDWanSecondary et vérifiez les ressources ci-dessus.
IP flottantes secondaires pour les liaisons LAN et WAN
Vous devez avoir besoin d’une adresse IP flottante secondaire pour les liaisons LAN et WAN pour que la haute disponibilité fonctionne. Une fois la pile créée, attribuez de nouvelles adresses IP privées secondaires aux interfaces LAN et WAN de l’instance EC2 active. Ces adresses IP configurées secondaires sont utilisées lors de la configuration des adresses IP virtuelles dans VPX.
Effectuez la procédure suivante pour attacher les adresses IP LAN secondaires à l’instance active :
-
Accédez à Services > EC2 > Instances.
-
Accédez à Services > EC2 > Interfaces réseau et sélectionnez l’ENI (LAN/WAN Elastic Network Interfaces) de l’instance principale.
-
Attribuer une nouvelle adresse IP secondaire.
-
Cliquez sur Oui, Mettre à jour.
-
Créez également une adresse IP privée secondaire pour l’interface WAN.
IP publique sur liaison WAN
Une adresse IP publique requise sur la liaison WAN pour communiquer avec le monde externe. Suivez les étapes ci-dessous pour associer Elastic IP à WAN ENI interface :
-
Accédez à Adresses > Allouer une nouvelle adresse.
-
Sélectionnez l’IP élastique créée, puis cliquez sur Action > Associer l’adresse et associez le public à l’IP WAN privée secondaire que nous venons de créer.
-
Vérifiez que les interfaces finales et les IP sont attendues comme suit :
- Instance principale :
- Instance secondaire :
Maintenant, le Provisioning de l’instance est terminé. La configuration de l’appliance haute disponibilité SD-WAN ressemble presque à la configuration de l’appliance autonome. Les différences sont énumérées ci-dessous :
-
Lors de la création d’interfaces IP virtuelles LAN et WAN, spécifiez les adresses IP privées secondaires créées. Et pour l’interface IP virtuelle haute disponibilité, spécifiez une adresse IP factice dans le réseau haute disponibilité.
-
Activez la haute disponibilité et spécifiez les IP de l’interface haute disponibilité de l’instance active et secondaire.
Vous pouvez vérifier l’état de haute disponibilité.
- Instance principale :
Comment configurer le basculement haute disponibilité pour n’importe quelle instance SD-WAN exécutée sur AWS
Configurez des homologues haute disponibilité avec un homologue haute disponibilité avec trois ENI ou plus, et un homologue haute disponibilité avec un nombre égal d’ENI. Dans les deux pairs, la première ENI est dédiée à la gestion. Un homologue haute disponibilité possède tous les ENI Traffic. Au cours d’un basculement, les ENIs de trafic passent de l’instance défaillante à la nouvelle instance principale.
Par exemple, il peut prendre jusqu’à ou plus de 20 secondes pour déplacer deux ENIs de trafic. AWS n’a pas de SLA sur la réponse de l’API et vous ne pouvez pas en avoir pour le temps de basculement de haute disponibilité.
Remarque
La conception AWS a une limitation des instances dépendant des serveurs AWS pour répondre à l’attachement et au détachement. Le temps de basculement est imprévisible.
Étapes de configuration
- Acquérir des informations sur votre instance homologue haute disponibilité sur le nombre d’ENI associés et les détails des ENI associés à l’aide de l’API REST.
- Détectez la condition de l’instance défaillante.
- Appelez Detach of ENIs de l’instance défaillante à l’aide d’API REST.
- Assurez-vous que tous les ENIs associés sont détachés.
- Attachez les ENIs à l’instance principale actuelle.
- Assurez-vous que tous les ENIs sont joints.
- Déclenchez les couches supérieures pour détecter que de nouveaux ENIs sont en place.
Comment configurer SD-WAN VPX-SE dans un seul sous-réseau AWS Virtual Private Cloud (VPC) ou entre des régions avec une adresse IP de liaison WAN publique
Dans AWS VPC, pour une instance SD-WAN active, une autre instance SD-WAN haute disponibilité exécutée dans le même VPC est publiée.
- Les liens configurés sont les mêmes entre les appliances SD-WAN actives et de secours.
- Pour AWS, vous pouvez créer un sous-réseau et un lien dédié pour le protocole RACP afin de communiquer entre les appliances SD-WAN.
- Dans l’interface graphique SD-WAN, configurez les éléments suivants :
- Créez un groupe d’interfaces. Nommez-le comme lien haute disponibilité. Ajoutez l’interface utilisée pour la haute disponibilité.
- Créez une adresse IP virtuelle pour le groupe Interface.
- Dans High Availability Node, Activer la haute disponibilité et ajouter le contrôle des adresses IP virtuelles que le protocole RACP utilise pour la communication. Assurez-vous que les adresses IP sont identiques à l’adresse IP configurée lors de la création d’interfaces réseau dans AWS.
- Effectuez la gestion des modifications et téléchargez la configuration active de l’appliance SD-WAN de secours.
- Après avoir appliqué la configuration via la gestion locale des modifications sur l’appliance SD-WAN de secours, vous verrez des battements de cœur échangés entre les appliances SD-WAN actives et en veille.
- Lorsque le basculement se produit, l’appliance SD-WAN passe du mode veille au mode actif et/ou inversement sans perte de configuration.
Remarque
AWS prend en charge le mode haute disponibilité avec des fonctionnalités telles que l’équilibrage Elastic Load et la mise à l’échelle automatique lorsqu’il s’agit de synchroniser la configuration au sein des appliances SD-WAN. Dans ce déploiement, vous appliquez le protocole RACP existant pour une haute disponibilité efficace.
Les appliances MCN et les appliances de site de succursale peuvent être mises à disposition dans l’environnement cloud.
Dans cet article
- Déployer l’édition standard SD-WAN VPX en mode haute disponibilité à l’aide d’un modèle cloud
- IP flottantes secondaires pour les liaisons LAN et WAN
- IP publique sur liaison WAN
- Comment configurer le basculement haute disponibilité pour n’importe quelle instance SD-WAN exécutée sur AWS
- Comment configurer SD-WAN VPX-SE dans un seul sous-réseau AWS Virtual Private Cloud (VPC) ou entre des régions avec une adresse IP de liaison WAN publique