Décision de conception : exigences et limites

Dans le cloud Azure, les appliances virtuelles et conteneurisées Citrix ADC ont des ensembles de fonctionnalités réduits. Certaines fonctionnalités, telles que le balisage VLAN, ne sont plus nécessaires car Azure exécute les fonctionnalités au niveau de l’infrastructure. Comprendre les limites et les exigences est essentiel pour planifier votre migration. L’utilisation de GSLB et d’Azure pour le coffre de clés HSM comporte d’autres exigences que vous devez connaître.

Coffre-fort à clés Azure

Citrix ADC s’intègre à Azure Key Vault et stocke ses clés privées dans Key Vault, ce qui augmente la protection de sécurité des clés. L’utilisation d’Azure Key Vault simplifie le stockage et la gestion des clés. Azure Key Vault fournit un emplacement central de gestion des clés pour toutes les appliances ADC d’entreprise, à la fois dans Azure et dans les centres de données locaux.

Voici certaines des questions auxquelles il faut répondre au cours des étapes de planification :

Comment l’application ADC s’intègre-t-elle à Azure Key Vault et quelles sont ses limites ?

  • L’intégration de Citrix ADC à Azure Key Vault nécessite l’utilisation du protocole TLS 1.3

  • La conformité FIPS 140-2 niveau 2 nécessite le niveau de tarification Azure Key Vault Premium et l’utilisation de clés soutenues par un module de sécurité matériel (HSM)

  • L’ADC accède au Key Vault pour chaque poignée de main SSL

  • L’accès à Azure Key Vault nécessite une application Azure Enterprise et un principal de service

  • L’utilisation d’Azure Key Vault par Citrix ADC présente les limitations suivantes :

    • Azure Key Vault limite le nombre d’appels simultanés et les limites varient selon le type de demande et le type de clé
    • Les clés de cryptographie à courbe elliptique (ECC) ne sont pas prises en charge
    • Les protocoles HDX Enlightened Data Transport (EDT) et Datagram Transport Layer Security (DTLS) ne peuvent pas être utilisés pour communiquer avec Azure Key Vault
    • Les partitions de cluster et d’administration ne sont pas prises en charge
    • L’application Azure, Azure Key Vault et la paire de clés de certificat HSM ne peuvent pas être mises à jour dans Azure après les avoir ajoutés à l’appliance Citrix ADC
    • Les ensembles de certificats HSM ne sont pas pris en
    • Une clé HSM ne peut pas être liée à un serveur virtuel DTLS
    • Ni le service SSL ni les demandes OCSP (Online Certificate Status Protocol) ne peuvent utiliser une paire de clés de certificat créée avec la clé HSM
    • Aucune erreur n’est générée en cas de discordance entre la clé HSM et le certificat

GSLB

Alors que les entreprises transfèrent leurs charges de travail vers le cloud Azure, elles ont besoin d’un modèle hybride qui permet la résolution DNS de manière sécurisée. Le service Azure DNS Private Zone est la clé de cette transition. Avec les zones DNS privées, les entreprises peuvent créer un modèle hybride qui permet la résolution DNS pour les serveurs locaux et basés sur Azure. Les serveurs Azure peuvent être connectés au centre de données sur site via un tunnel ExpressRoute ou VPN. Citrix ADC fournit un moyen transparent de répartir le trafic entre les charges de travail locales et Azure à l’échelle mondiale. La fonctionnalité Global Server Load Balancing (GSLB) fournit cette évolutivité globale et repose sur le service ADNS au sein de la console Citrix ADC.

Cette fonctionnalité GSLB prend en charge les objectifs de l’entreprise, notamment : la migration du cloud sur site vers le cloud Azure, le basculement basé sur DNS et les tests d’environnement bleu-vert. Les méthodes de routage de serveur Round Robin et basées sur la localisation (proximité statique) sont disponibles. GSLB peut être utilisé pour n’importe quelle résolution de service ou d’hôte, y compris StoreFront.

Quelles sont les exigences et les limites de l’utilisation de Citrix ADC pour GSLB à la fois dans mon déploiement hybride sur site et dans le cloud Azure ?

  • Le service ADNS est un serveur DNS qui s’exécute sur l’appliance Citrix ADC. ADNS prend en charge la délégation des espaces de noms DNS, de telle sorte que Citrix ADC est le serveur de noms faisant autorité pour la zone et tous les hôtes qu’elle contient

  • La prise en charge des zones DNS privées GSLB est mise en œuvre à l’aide des appliances Citrix ADC dans le cloud Azure exécutant le service ADNS.

  • Prévoyez d’utiliser des redirecteurs DNS pour les réseaux virtuels et les réseaux de centres de données

  • Toutes les requêtes DNS sont d’abord acheminées vers le redirecteur DNS local afin de fournir la meilleure expérience utilisateur

  • Le service GSLB DBS nécessite les éléments suivants :

    • Citrix ADC version 12.0.57 ou ultérieure et instances Microsoft Azure Load Balancer
    • Améliorations des fonctionnalités du groupe de services Citrix ADC GSLB
    • Entité de groupe de services GSLB : Citrix ADC version 12.057 ou ultérieure
    • Les composants d’entités DBS doivent être liés au groupe de services GSLB

Quelles sont les limites de l’exécution d’instances Citrix ADC VPX sur Azure ?

  • Un tunnel sécurisé entre Azure et le centre de données sur site doit exister, généralement via une connexion ExpressRoute ou VPN

  • Attribuez une adresse IP interne statique à la machine virtuelle Citrix ADC pour éviter les problèmes causés par la modification de l’adresse IP après une désallocation de machine virtuelle

Quelles fonctionnalités de centre de données Citrix ADC ne sont pas disponibles dans Azure Citrix ADC ?

  • La haute disponibilité ne fonctionne pas si l’adresse IP publique (PIP) est associée à l’instance VPX au lieu d’un Azure Load Balancer

  • L’architecture Azure ne prend pas en charge les fonctionnalités Citrix ADC suivantes :
    • Clustering, sauf s’il est déployé via la fonctionnalité Citrix ADM Autoscale
    • IPv6
    • ARP gratuit (GARP)
    • Mode L2 (pontage) ; cependant, les serveurs virtuels transparents avec réécriture MAC (L2) fonctionneront pour les serveurs du même sous-réseau que le SNIP de l’ADC
    • VLAN balisé
    • Routage dynamique
    • MAC virtuel
    • USIP
    • Trames Jumbo
  • Les adresses IP publiques ne prennent pas en charge les protocoles dans lesquels le mappage de port est ouvert dynamiquement, tels que FTP passif ou ALG

Liens vers d’autres ressources

Limites du service Azure Key Vault

Prise en charge de Azure Key Vault

Guide de déploiement Citrix ADC VPX sur Azure - GSLB

Guide de déploiement de Citrix ADC VPX sur Azure

Configurer une instance autonome Citrix ADC VPX

Guide de déploiement Citrix ADC VPX sur Azure — Reprise après sinistre

Déplacements MAC observés sur NetScaler sur Azure

Décision de conception : exigences et limites