高度な概念

Citrix ADC とAmazon Web Services 検証済みのリファレンスデザイン

概要 Citrix Networking VPX

Citrix ADCはオールインワンのアプリケーション配信Controller で、アプリケーションを最大5倍に実行し、アプリケーションの所有コストを削減し、ユーザーエクスペリエンスを最適化し、アプリケーションを常に使用できるようにします。

  • 高度な Layer4-7 ロードバランシングとトラフィック管理
  • 実証済みのアプリケーションアクセラレーション(HTTP 圧縮やキャッシュなど)
  • アプリケーションセキュリティのための統合されたアプリケーションファイアウォール
  • サーバのオフロードにより、コストを大幅に削減し、サーバーを統合

サービスとアプリケーションデリバリのリーダーとして、Citrix ADCは世界中の何千ものネットワークに展開され、エンタープライズおよびクラウドサービスの提供を最適化し、セキュリティで保護し、制御しています。Citrix ADCは、Webサーバーとデータベースサーバーの前に直接配置され、高速負荷分散とコンテンツスイッチ、HTTP圧縮、コンテンツキャッシュ、SSLアクセラレーション、アプリケーションフローの可視性、強力なアプリケーションファイアウォールを統合し、使いやすい統合プラットフォームに統合します。ネットワークデータを実用的なビジネスインテリジェンスに変換するエンドツーエンドの監視により、SLA への対応が大幅に簡素化されます。Citrix ADCでは、プログラミングの専門知識を必要とせずに、シンプルな宣言型ポリシーエンジンを使用してポリシーを定義および管理できます。

概要 Amazon Web Services での Citrix ADC

Amazon Web Services(AWS)内のCitrix Networking VPXのサポートは、バージョン10.5~61.11以降で利用可能です。Citrix Networking VPXは、AWS MarketplaceにAmazonマシンイメージ(AMI)として表示されます。Citrix Networking VPX on AWS では、AWS クラウドコンピューティング機能を活用し、Citrix ADC の負荷分散機能とトラフィック管理機能をビジネスニーズに合わせて利用できます。Citrix ADC on AWS は、物理 Citrix ADC アプライアンスのすべてのトラフィック管理機能をサポートします。AWS で実行されている Citrix ADC インスタンスは、スタンドアロンインスタンスとして、または HA ペアで展開できます。

Citrix Networking VPX AMIは、AWS VPC内で起動されるEC2インスタンスとしてパッケージ化されています。このVPX AMIインスタンスには2つ以上の仮想CPUと2GB以上のメモリが必要です。また、AWS VPC内で起動されるEC2インスタンスは、複数のインターフェイス、インターフェイスごとに複数のIPアドレス、VPX構成に必要なパブリックおよびプライベートIPアドレスも提供できます。現在、AWSでは、各VPXインスタンスには少なくとも3つのIPアドレスが必要であるため、VPXはVPC内でのみ起動できます。(AWSのVPXは1つまたは2つのエラスティックなネットワークインターフェイスを使用して実装することもできますが、標準的なAWSのVPXでは3つのネットワークインターフェイスを使用することをお勧めします)。AWSでは現在、AWS VPC内で実行しているインスタンスについてのみ複数のIPを使用する機能をサポートしています。VPC内のVPXインスタンスを使用して、EC2インスタンスで実行しているサーバーの負荷を分散できます。

Amazon VPCを使用すれば、独自のIPアドレス範囲、サブネット、ルートテーブル、ネットワークゲートウェイなどを含めて、仮想ネットワーク環境を作成および管理できます。

注:

デフォルトでは、各AWSアカウントのAWSリージョンごとに最大5つのVPCインスタンスを作成できます。 Amazonのリクエストフォームを送信することで、より高い VPC 制限をリクエストできます。

Citrix Networking VPX(AMIイメージ)のEC2インスタンスは、AWS VPC内で起動されます。

次の図は、AWSでの一般的なVPXの展開を示しています。

netscaler-and-amazon-aws-01

この図は、Citrix Networking VPX展開を使用したAWS VPCのシンプルなトポロジを示しています。AWS VPCは、以下の要素で構成されています。

  1. VPCからの送受信トラフィックをルーティングするための単一のインターネットゲートウェイ。
  2. インターネットゲートウェイとインターネット間のネットワーク接続。
  3. 3つのサブネット(管理、クライアント、サーバー用に1つずつ)。
  4. インターネットゲートウェイと2つのサブネット(管理用とクライアント用)間のネットワーク接続。
  5. VPC内に展開された単一のCitrix Networking VPX。VPXインスタンスには、各サブネットに1つずつ接続されたENI(Elastic Network Interface:エラスティックネットワークインターフェイス)が3つあります。

制限事項と使用上のガイドライン

  • クラスタリング機能は、VPXではサポートされていません。
  • 高可用性機能を正しく使用するには、管理インターフェイスに専用のNATデバイスを関連付けるか、EIPをNSIPに関連付けてください。NATについて詳しくは、「NAT インスタンス AWS ドキュメント」を参照してください。
  • 異なるサブネットに属するENIを使用して、データトラフィックと管理トラフィックを分離する必要があります。
  • 管理ENIには、NSIPアドレスだけを設定する必要があります。
  • セキュリティ上の理由により、EIPをNSIPに関連付ける代わりにNATインスタンスを使用する場合は、VPCレベルでルーティングを適切に変更する必要があります。VPC レベルのルーティングの変更手順については、AWS ドキュメントの「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC」を参照してください。
  • VPXインスタンスは、あるEC2インスタンスタイプから別のインスタンスタイプへ(たとえば、m3.large からm3.xlarge へ)移動できます。
  • AWSでのVPXのストレージには、永続的でインスタンスから切断した後もデータにアクセス可能なEBSをお勧めします。
  • VPXへのENIの動的追加はサポートされていません。更新を適用するには、VPXインスタンスを再起動する必要があります。スタンドアロンインスタンスまたはHAインスタンスを停止し、新しいENIを接続してからインスタンスを再起動することをお勧めします。
  • 1つのENIに複数のIPアドレスを割り当てることができます。ENIごとのIPアドレスの最大数は、EC2インスタンスの種類によって異なります。「EC2でサポートされるENI数とIPアドレス数」を参照してください。
  • Citrix Networking VPXインターフェイスでは、インターフェイスの有効化および無効化コマンドは使用しないことをお勧めします。

AWS の制限により、次の機能はサポートされていません。

レイヤ 3 の制限事項:

  • 動的ルーティング
  • IPV6

レイヤ 2 の制限事項:

  • GARP(Gratuitous ARP)
  • L2モード
  • タグ付きVLAN
  • 仮想MAC(VMAC)

サポートされるEC2インスタンス

Citrix ADC AMI は、次のいずれかの EC2 インスタンスタイプで起動できます。

  • m4.large
  • m4.xlarge
  • m4.2xlarge
  • m4.4xlarge
  • m4.10xlarge
  • m3.large
  • m3.xlarge
  • m3.2xlarge

詳しくは、「Amazon EC2 EC2 インスタンス」を参照してください。

ENI サポート

次の表は、EC2インスタンスのタイプとサポートされるENI数、およびENIごとのプライベートIPアドレス数の一覧です。

Instance Name - インスタンス名 ENI数 ENIごとのプライベートIPアドレス数
m4.large 2 10
m4.xlarge 4 15
m4.2xlarge 4 15
m4.4xlarge 8 30
m4.10xlarge 8 30
m3.large 3 10
m3.xlarge 4 15
m3.2xlarge 4 30

使用例

各サービスを個別の仮想アプライアンスとして展開する必要がある代替ソリューションと比較して、Citrix ADC on AWSは、L4負荷分散、L7トラフィック管理、サーバーオフロード、アプリケーションアクセラレーション、アプリケーションセキュリティ、およびその他の重要なアプリケーション配信機能を単一のVPXに統合します。インスタンスを作成し、AWS Marketplace から便利に利用できます。さらに、すべてが単一のポリシーフレームワークによって管理され、オンプレミスのCitrix ADC展開を管理するのと同じ強力なツールセットで管理されます。その結果、AWS の Citrix ADC では、今日の企業の即時のニーズだけでなく、レガシーコンピューティングインフラストラクチャからエンタープライズクラウドデータセンターへの継続的な進化をサポートする魅力的なユースケースがいくつか可能になります。

WebアプリケーションおよびVirtual Apps およびデスクトップアプリケーション向けの本番配信

AWS をサービスとしてのインフラストラクチャ(IaaS)サービスとして積極的に採用している企業は、世界最大のウェブサイトやクラウドサービスプロバイダーが使用しているのと同じクラウドネットワーキングプラットフォームで、これらのアプリケーションをフロントエンドできるようになりました。広範なオフロード、アクセラレーション、セキュリティ機能を活用して、パフォーマンスを向上させ、コストを削減できます。

XenDesktop 7.5およびXenApp 7.5は、あらゆるWindowsアプリケーションまたはデスクトップを、あらゆるネットワークを経由してあらゆるデバイスに配信するクラウドサービスとして再設計されました。この拡張されたアプリおよびデスクトップ配信プラットフォームを今すぐ展開することで、仮想インフラストラクチャまたはクラウド管理プラットフォームを活用できます。これにより、クラウドコンピューティングの自動化機能とオーケストレーション機能を活用できます。

ハイブリッドクラウド設計

ハイブリッドクラウド戦略に従っているエンタープライズ IT 組織は、プライベートクラウドに最も適したアプリケーションと使用シナリオを選択し、パブリッククラウドに最も適したアプリケーション、および最新のワークプレイスの要求を満たすために柔軟性、成長、および変革を実現することで、両方の世界を最大限に活用できます。

Citrix ADC on AWS を使用すると、エンタープライズデータセンターにまたがり、AWS に拡張されるハイブリッドクラウドは、同じクラウドネットワーキングプラットフォームの恩恵を受けることができます。Citrix ADC は、プライベートデータセンターと AWS 間のアプリケーションとワークロードの移行を大幅に容易にします。DataStreamによるインテリジェントなデータベース負荷分散から、AppFlow® による前例のないアプリケーションの可視化、Action Analyticsによるリアルタイムの監視と応答に至るまで、すべての機能を、Citrix ADC on AWSで活用できます。

ビジネス継続性

災害復旧およびビジネス継続性計画の一環として AWS を使用することを検討している企業は、オンプレミスと AWS の両方で実行されている Citrix ADC グローバルサーバー負荷分散を利用して、エンタープライズデータセンターと AWS 環境の両方の可用性とパフォーマンスを継続的に監視し、ユーザーを保証できます。は常に最適な場所に送信されます。

Citrix ADCアプライアンスでGSLBを構成し、メトリック交換プロトコル(MEP)を有効にすると、アプライアンスはDNSインフラストラクチャを使用して、設定した基準に最適なデータセンターにクライアントを接続します。この基準では、負荷が最も低いデータセンター、最も近いデータセンター、クライアントのロケーションからの要求に最も迅速に応答するデータセンター、それらのメトリックの組み合わせ、および SNMP メトリックを指定できます。アプライアンスは、各データセンターの場所、パフォーマンス、負荷、可用性を追跡し、これらの要因を使用して、クライアント要求の送信先となるデータセンターを選択します。GSLB構成は、構成内の各アプライアンス上のGSLBエンティティのグループで構成されます。これらのエンティティには、GSLB サイト、GSLB サービス、GSLB 仮想サーバー、ロードバランシングおよび/またはコンテンツスイッチングサーバー、および ADNS サービスが含まれます。

開発とテスト

企業はオンプレミスで本番配信を実行しますが、AWS を開発およびテストに使用することで、AWS テスト環境に Citrix ADC を含めることができるようになりました。これにより、テスト環境内での本番実装の模倣が改善されるため、本番稼働までの時間が短縮されます。

各ユースケースにおいて、ネットワークアーキテクトは、スタンドアロンインスタンスとして、または Citrix ADC プラチナエディションインスタンスの機能として構成された Citrix CloudBridge を活用して、1 つ以上のエンタープライズデータセンターと AWS クラウド間の接続を安全かつ最適化し、データ転送速度を向上させます/同期とネットワークコストの最小化。

AWS ネットワークアーキテクチャ — ENI および EIP

VPC 内に起動された Citrix ADC インスタンスは、最大 8 つの伸縮自在なネットワークインターフェイス(ENI)を持つことができます。次に、各 ENI に 1 つ以上のプライベート IP アドレスを割り当てることができます。これらの各プライベート IP アドレスは、オプションでパブリックにルーティング可能な Elastic IP アドレスにマッピングされます。

この場合、ネットワークインターフェイスと IP アドレスが「弾力的」になるのは、プログラムによって他のインスタンスに再マッピングできることです。これは、ハードウェアの交換を待たずに、インスタンスまたはアベイラビリティーゾーンの障害から復旧できる機能です。また、DNS の変更があなたの顧客。

その他の詳細は以下のとおりです。

  • インスタンスは、異なるサブネットで異なる ENI を持つことができます(ただし、異なるアベイラビリティーゾーンにはありません)。
  • 各 ENI には少なくとも 1 つの IP アドレスが割り当てられており、セキュリティグループに割り当てる必要があります(下記参照)。
  • 各サブネットのアドレス 1 ~ 4 (10.x.x.1-4) は、Amazon で使用するために予約されています。
  • Citrix ADCは、プライベートIPアドレスしか認識しません。割り当てられたEIPは、Citrix ADC CLIまたは関連する管理ツールには表示されません。

netscaler-and-amazon-aws-02

EC2 と VPC の比較

AWS には、Amazon Simple Storage Services(S3)、Amazon Elastic Compute Cloud(EC2)、Amazon Virtual Private Cloud(VPC)など、複数の異なるサービスが含まれています。この場合、後者の2つの区別が重要です。特に EC2 では、仮想マシンインスタンスは 1 つのネットワーキングインターフェイスと 1 つの IP アドレスに制限されます。さらに、最小限のネットワーク機能とコントロールがあります。これにより、Citrix ADC に EC2 を使用することができず、少なくとも 3 つの IP アドレスを必要とします。そのため、Citrix ADC インスタンスは AWS VPC 内でのみ起動できます。

VPC は、複数のインターフェイスと複数のプライベート IP アドレスとパブリック IP アドレスを持つ仮想マシンをサポートするだけでなく、独自の IP アドレス範囲、サブネット、ルーティングテーブル、およびネットワークゲートウェイを使用して、分離された仮想ネットワーク環境を作成および制御することもできます。

リージョンとアベイラビリティーゾーン

AWS クラウド内では、リージョンは米国東部などの特定の地理的な場所を参照します。各リージョンには少なくとも 2 つのアベイラビリティーゾーンがあります。それぞれのアベイラビリティーゾーンは、他のアベイラビリティーゾーンでの障害から隔離され、同じリージョンの他のアベイラビリティーゾーンに低コストで低遅延のネットワーク接続を提供するように設計された独立したクラウドデータセンターと考えることができます。

インスタンスを別々のアベイラビリティーゾーンに実装することで、1 つの場所に影響する障害からアプリケーションを保護できます。

ネットワークアーキテクトがこのレベルで認識すべき制限と依存関係には、次のものがあります。

  • 仮想プライベートクラウドは複数のアベイラビリティーゾーンにまたがることができますが、複数のリージョンにまたがることはできません。
  • VPC 内の個々のサブネットは、複数のアベイラビリティーゾーンにまたがることはできません。
  • VPC に出入りするすべてのトラフィックは、対応するデフォルトのインターネットGateway を介してルーティングされる必要があります。

AWS での VPX の設定

この演習では、VPC とサブネットを作成し、パブリック側のインスタンスをサブネットで起動します。インスタンスはインターネットと通信でき、SSH(Linux インスタンスの場合)またはリモートデスクトップ(Windows インスタンスの場合)を使用してローカルコンピュータからインスタンスにアクセスできます。実際の環境では、このシナリオを使用して、ブログをホストするなど、一般向け Web サーバーを作成できます。

注:

この演習は、デフォルト以外の VPC をすばやくセットアップできるようにすることを目的としています。すでにデフォルト VPC があり、その中にインスタンスの起動を開始する場合(新しい VPC を作成または設定しない場合)は、「デフォルト VPC への EC2 インスタンスの起動」を参照してください。

この演習を完了するには、次の操作を行います。

  • 単一のパブリックサブネットを持つデフォルト以外の VPC を作成します。サブネットを使用すると、セキュリティと運用上のニーズに基づいてインスタンスをグループ化できます。パブリックサブネットは、インターネットGateway を介してインターネットにアクセスできるサブネットです。
  • 特定のポートのみを通過するトラフィックを許可するインスタンスのセキュリティグループを作成します。
  • サブネット内で Amazon EC2 インスタンスを起動します。
  • Elastic IP アドレスをインスタンスに関連付けます。これにより、インスタンスはインターネットにアクセスできるようになります。

初めて Amazon VPC を使用する前に、AWS にサインアップする必要があります。サインアップすると、AWS アカウントは、Amazon VPC を含む AWS のすべてのサービスに自動的にサインアップされます。AWS アカウントをまだ作成していない場合は、http://aws.amazon.comに進み、[無料アカウントを作成] を選択します。

手順 1: VPC を作成する

このステップでは、Amazon VPC コンソールで Amazon VPC ウィザードを使用して VPC を作成します。ウィザードでは、次の手順が実行されます。

  • /16 CIDR ブロック(65,536 個のプライベート IP アドレスを持つネットワーク)を持つ VPC を作成します。CIDR 表記と VPC のサイズ設定について詳しくは、「VPC」を参照してください。
  • インターネットGateway を VPC にアタッチします。インターネットゲートウェイについて詳しくは、「インターネットゲートウェイ」を参照してください。
  • VPC 内にサイズ /24 のサブネット(256 のプライベート IP アドレスの範囲)を作成します。
  • カスタムルートテーブルを作成し、サブネットに関連付けて、サブネットとインターネットGateway の間でトラフィックが流れるようにします。ルートテーブルについて詳しくは、「ルートテーブル」を参照してください。

次の図は、この手順を完了した後の VPC のアーキテクチャを示しています。

netscaler-and-amazon-aws-03

Amazon VPC ウィザードを使用して VPC を作成する

  1. https://console.aws.amazon.com/vpc/で Amazon VPC コンソールを開きます。

  2. 右上のナビゲーションバーで、VPC を作成するリージョンをメモします。別のリージョンから VPC にインスタンスを起動することはできないため、この演習の残りの部分でも同じリージョンで作業を継続してください。リージョンについて詳しくは、「リージョンとアベイラビリティーゾーン」を参照してください。

  3. ナビゲーションペインで、[VPC Dashboard] を選択し、 [VPC ウィザードの開始]を選択します。

    netscaler-and-amazon-aws-04

    注:

    ナビゲーションペインで [Your VPC] を選択しないでください。このページから VPC ウィザードにアクセスすることはできません。

  4. 最初のオプション、[単一のパブリックサブネットを持つ VPC] を選択し、 [Select] を選択します

  5. 設定ページで、[VPC name] フィールドに VPC の名前(my-vpc など)を入力し、[Subnet name] フィールドにサブネットの名前を入力します。これにより、作成後に Amazon VPC コンソールで VPC とサブネットを識別できます。この演習では、ページの残りの設定はそのままにして、 [Create VPC]を選択します。

    (オプション)必要に応じて、次のように設定を変更し、[Create VPC] を選択します。

    • IP CIDR ブロックには、VPC に使用する IP アドレス範囲(10.0.0.0/16)が表示され、[Public subnet] フィールドにはサブネットに使用する IP アドレス範囲(10.0.0.0/24)が表示されます。デフォルトの CIDR 範囲を使用しない場合は、独自の CIDR 範囲を指定できます。詳しくは、「VPC とサブネットのサイズ設定」を参照してください。

    • [Availability Zone] リストでは、サブネットを作成するアベイラビリティーゾーンを選択できます。[No Preference] のままにしておくと、アベイラビリティーゾーンが AWS によって選択されます。詳しくは、「リージョンとアベイラビリティーゾーン」を参照してください。

    • [S3 のエンドポイントをサブネットに追加する] セクションで、同じリージョンの Amazon S3 に VPC エンドポイントを作成するサブネットを選択できます。詳しくは、「VPC エンドポイント」を参照してください。

    • Enable DNS hostnamesオプションを [Yes] に設定すると、VPC 内で起動されるインスタンスが DNS ホスト名を受け取ります。詳しくは、「VPC での DNS の使用」を参照してください。

    • [Hardware tenancy] オプションでは、VPC 内で起動されるインスタンスを共有ハードウェアで実行するか、専用ハードウェアで実行するかを選択できます。専用テナンシーを選択すると、追加コストが発生します。ハードウェアテナンシーについて詳しくは、「ハードウェア専有インスタンス」を参照してください。

  6. ステータスウィンドウには、進行中の作業が表示されます。作業が完了したら、「 OK」 を選択してステータスウィンドウを閉じます。

  7. Your VPCs pageに、デフォルトのVPCと先ほど作成したVPCが表示されます。作成した VPC はデフォルト以外の VPC であるため、 [Default VPC] 列には [No] と表示されます。

netscaler-and-amazon-aws-05

VPC に関する情報を表示する

VPC を作成したら、サブネット、インターネットGateway、ルートテーブルに関する情報を表示できます。作成した VPC には 2 つのルートテーブルがあります。1 つはすべての VPC がデフォルトで持つメインルートテーブルと、ウィザードによって作成されたカスタムルートテーブルです。カスタムルートテーブルはサブネットに関連付けられています。つまり、そのテーブルのルートによって、サブネットのトラフィックがどのように流れるかが決まります。VPC に新しいサブネットを追加すると、デフォルトでメインルートテーブルが使用されます。

VPC に関する情報を表示するには

  1. https://console.aws.amazon.com/vpc/で Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Your VPC] を選択します。作成した VPC の名前と ID を書き留めます([Name] 列と [VPC ID] 列を確認します)。この情報を使用して、VPC に関連付けられているコンポーネントを特定します。
  3. ナビゲーションペインで、[Subnets] を選択します。コンソールには、VPC の作成時に作成されたサブネットが表示されます。[Name] 列でサブネットの名前で識別することも、前の手順で取得した VPC 情報を使用して [VPC] 列を調べることもできます。
  4. ナビゲーションペインで、[インターネットゲートウェイ] を選択します。VPC にアタッチされているインターネットGateway を確認するには、VPC 列を確認します。この列には、VPC の ID と名前(該当する場合)が表示されます。
  5. ナビゲーションペインで、[Route Tables] を選択します。VPC には 2 つのルートテーブルが関連付けられています。カスタムルートテーブルを選択し ([Main] 列に [No] と表示される)、[Routes] タブを選択して、詳細ペインにルート情報を表示します。
    • テーブルの最初の行はローカルルートで、VPC 内のインスタンスが通信できるようにします。このルートはデフォルトですべてのルートテーブルに存在し、削除することはできません。
    • 2 行目は、VPC 外の IP アドレス(0.0.0.0/0)宛てのトラフィックがサブネットからインターネットGateway に流れるように、Amazon VPC ウィザードが追加したルートを示しています。
  6. メインルートテーブルを選択します。メインルートテーブルにはローカルルートがありますが、他のルートはありません。

手順 2: セキュリティグループ12を作成する

セキュリティグループは、関連付けられたインスタンスのトラフィックを制御する仮想ファイアウォールとして機能します。セキュリティグループを使用するには、インスタンスへの着信トラフィックを制御するインバウンドルールを追加し、インスタンスからの送信トラフィックを制御するアウトバウンドルールを追加します。セキュリティグループをインスタンスに関連付けるには、インスタンスの起動時にセキュリティグループを指定します。セキュリティグループに対してルールを追加または削除すると、セキュリティグループに関連付けられたインスタンスにそれらの変更が自動的に適用されます。

VPC にはデフォルトのセキュリティグループが付属しています。起動時に別のセキュリティグループに関連付けられていないインスタンスは、デフォルトのセキュリティグループに関連付けられます。この演習では、新しいセキュリティグループ WebServerSG を作成し、VPC でインスタンスを起動するときにこのセキュリティグループを指定します。

トピック

WebServerSG セキュリティグループの作成

Amazon VPC コンソールを使用してセキュリティグループを作成できます。

WebServerSG セキュリティグループのルール

次の表では、WebServerSG セキュリティグループのインバウンドルールとアウトバウンドルールについて説明します。インバウンドルールは自分で追加します。アウトバウンドルールは、すべてのアウトバウンド通信を許可するデフォルトのルールです。このルールを自分で追加する必要はありません。

受信      
接続元IP プロトコル ポート範囲 コメント
0.0.0.0/0 TCP 80 どこからでもインバウンド HTTP アクセスを許可します。
0.0.0.0/0 TCP 443 どこからでもインバウンド HTTPS アクセスを許可します。
ホームネットワークのパブリック IP アドレス範囲 TCP 22 ホームネットワークから Linux/UNIX インスタンスへのインバウンド SSH アクセスを許可します。
ホームネットワークのパブリック IP アドレス範囲 TCP 3389 ホームネットワークから Windows インスタンスへのインバウンド RDP アクセスを許可します。
送信      
接続先IP プロトコル ポート範囲 コメント
0.0.0.0/0 すべて すべて すべてのアウトバウンド通信を許可するデフォルトのアウトバウンドルール。

WebServerSG セキュリティグループを作成してルールを追加するには

  1. https://aws.amazon.com/console/で Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Security Groups] を選択します。
  3. [セキュリティグループの作成]を選択します。
  4. [グループ名] フィールドに、セキュリティグループの名前として WebServerSG と入力し、説明を入力します。オプションで [Name tag] フィールドを使用して、Name のキーと指定した値を持つセキュリティグループのタグを作成できます。
  5. [VPC] メニューから VPC の ID を選択し、[Yes, Create] を選択します。
  6. 先ほど作成した WebServerSG セキュリティグループ を選択します(「グループ名」列でその名前を表示できます)。
  7. [Inbound Rules] タブで、[Edit] を選択し、次のようにインバウンドトラフィックのルールを追加し、完了したら [Save]を選択します。
    • [タイプ] リストから [HTTP] を選択し、[ソース] フィールドに 0.0.0.0/0 と入力します。
    • [別のルールを追加] を選択し、[タイプ] リストから [HTTPS] を選択し、[ソース] フィールドに 0.0.0.0/0と入力します。
    • [別のルールを追加]を選択します。Linux インスタンスを起動する場合は、[Type] リストから [SSH] を選択します。Windows インスタンスを起動する場合は、[Type] リストから [RDP] を選択します。[Source] フィールドに、ネットワークのパブリック IP アドレスの範囲を入力します。このアドレス範囲がわからない場合は、この演習で 0.0.0.0/0 を使用できます。

注意:

0.0.0.0/0 を使用する場合は、すべての IP アドレスが SSH または RDP を使用してインスタンスにアクセスできるようにします。これは短い演習では許容されますが、実稼働環境では安全ではありません。本稼働環境では、特定の IP アドレスまたはアドレス範囲のみにインスタンスへのアクセスを許可します。

netscaler-and-amazon-aws-06

手順 3: VPC 14でインスタンスを起動する

VPC で EC2 インスタンスを起動するときは、インスタンスを起動するサブネットを指定する必要があります。この場合、作成した VPC のパブリックサブネットにインスタンスを起動します。Amazon EC2 コンソールの Amazon EC2 起動ウィザードを使用して、インスタンスを起動します。

次の図は、この手順を完了した後の VPC のアーキテクチャを示しています。

netscaler-and-amazon-aws-07

EC2 インスタンスを VPC 内に起動するには

  1. Amazon EC2 EC2 コンソールを開きます。
  2. 右上のナビゲーションバーで、VPC とセキュリティグループを作成したリージョンと同じリージョンが選択されていることを確認します。
  3. ダッシュボードから、[Launch Instance] を選択します。
  4. ウィザードの最初のページで、使用する AMI を選択します。この演習では、 Amazon Linux AMI または Windows AMI を選択することをお勧めします。
  5. [Choose an Instance Type] ページで、起動するインスタンスのハードウェア設定とサイズを選択できます。デフォルトでは、選択した AMI に基づいて、使用可能な最初のインスタンスタイプが選択されます。デフォルトの選択のままにして、[次へ:インスタンスの詳細を設定]を選択します。
  6. [Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、[Subnet] リストからサブネットを選択します。残りのデフォルト設定のままにして、[Tag Instance] ページが表示されるまで、ウィザードの次のページに進みます。
  7. [タグインスタンス] ページでは、インスタンスに Name タグをタグ付けできます。たとえば、Name=MyWebServer などです。これは、起動後に Amazon EC2 コンソールでインスタンスを識別するのに役立ちます。完了したら、[次へ:セキュリティグループの設定] を選択します。
  8. [Configure Security Group] ページで、ウィザードによって launch-wizard-x セキュリティグループが自動的に定義され、インスタンスに接続できるようになります。代わりに、[既存のセキュリティグループの選択] オプションを選択し、以前に作成した WebServerSG グループを選択して、[確認と起動] を選択します。
  9. [インスタンスの起動の確認] ページで、インスタンスの詳細を確認し、[Launch] を選択します。
  10. [Select a existing key pair または create a new key pair] ダイアログボックスで、既存のキーペアを選択するか、新しいキーペアを作成できます。新しいキーペアを作成する場合は、必ずファイルをダウンロードし、安全な場所に保存してください。プライベートキーの内容は、起動後にインスタンスに接続するために必要です。インスタンスを起動するには、確認のチェックボックスをオンにして、[Launch Instances] を選択します。
  11. 確認ページで、[View Instances] を選択し、[Instances] ページでインスタンスを 表示します。インスタンスを選択し、[Description] タブで詳細を表示します。[Private IP] フィールドには、サブネット内の IP アドレスの範囲からインスタンスに割り当てられたプライベート IP アドレスが表示されます。

手順 4: Elastic IP アドレスをインスタンスに割り当てる

前のステップでは、パブリックサブネット(インターネットGateway へのルートを持つサブネット)にインスタンスを起動しました。ただし、サブネット内のインスタンスは、インターネットと通信できるようにパブリック IP アドレスも必要です。デフォルトでは、デフォルト以外の VPC のインスタンスにはパブリック IP アドレスが割り当てられません。このステップでは、Elastic IP アドレスをアカウントに割り当てて、それをインスタンスに関連付けます。Elastic IP アドレスについて詳しくは、「エラスティック IP アドレス」を参照してください。

次の図は、この手順を完了した後の VPC のアーキテクチャを示しています。

netscaler-and-amazon-aws-08

Elastic IP アドレスを割り当てて割り当てるには

  1. https://console.aws.amazon.com/vpc/で Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Elastic IP] を選択します。
  3. [新しいアドレスの割り当て]、[はい、割り当て]の順に選択します。

    注:

    アカウントが EC2-Classic をサポートしている場合は、まず [ネットワークプラットフォーム] リストから [EC2-VPC] を選択します。

  4. リストから Elastic IP アドレスを 選択し、[アクション]、[アドレスの関連付け] の順に選択します。
  5. ダイアログボックスで、[関連付け] リストから [インスタンス] を選択し、[インスタンス] リストから インスタンスを選択します。完了したら、[はい、関連付け]を選択します。

これで、インスタンスはインターネットからアクセスできるようになります。SSH またはリモートデスクトップを使用して、Elastic IP アドレスを使用してインスタンスに接続できます。Linux インスタンスへの接続方法について詳しくは、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Linux インスタンスへの接続」を参照してください。Windows インスタンスへの接続方法について詳しくは、Windows インスタンス用 Amazon EC2 ユーザーガイドの「RDP を使用して Windows インスタンスに接続する」を参照してください。

これで実習は完了です。VPC でインスタンスを引き続き使用するか、インスタンスが必要ない場合は、インスタンスを終了し、Elastic IP アドレスを解放して、料金が発生しないようにすることができます。VPC を削除することもできます。この演習で作成された VPC および VPC コンポーネント(サブネットやルートテーブルなど)に対しては課金されないことに注意してください。


Citrix Virtual Apps and Desktops のUnified Gateway を構成する

Citrix ADCの管理コンソールに移動します。

nsroot と AWS がビルドプロセス中に割り当てたインスタンス ID を使用して、Citrix ADC にログインします。

SSL 証明書のインストール:

  1. トラフィック管理-SSL」に移動します。右クリックして、この機能を有効にします。
  2. SSL 証明書にキーペアをインポートします。

SSL 証明書のインストール:

  1. Citrix Gateway を展開し、[ 仮想サーバー]を選択します。
  2. [追加] をクリックします。

    Citrix ADCビルドプロセス中に割り当てたパブリックサブネットにあるGateway の名前とIPアドレスを入力します。

    注:

    後で Elastic IP アドレスを割り当てるときに、この IP アドレスを必要に応じて書き留めます。

  3. [OK] をクリックし、[サーバー証明書なし] をクリックして、先にインポートした証明書を選択します。[バインド] をクリックします。
  4. [ OK ] と [ 完了] をクリックすると、この段階で、Citrix Gateway が [Up] 状態になっているはずです。

Unified Gateway を設定するには、https://support.citrix.com/article/CTX205485を参照してください。

Unified Gateway インスタンスへの外部アクセスを提供します。

  1. aws.amazon.com の AWS ポータルにログインし、インスタンスに移動します。
  2. Citrix ADCを右クリックし、[ネットワーク ]、[プライベートIPアドレスの管理] の順に選択します。

    netscaler-and-amazon-aws-09

  3. Citrix ADC Gatewayを実行するインターフェイスで、[ 新しいIPの割り当て ]をクリックします。
  4. IPアドレスを割り当てます。必ずCitrix ADC Gatewayに割り当てたアドレスと同じアドレスを使用してください。

    netscaler-and-amazon-aws-10

  5. [はい] [更新]をクリックします。これにより、AWS レベルで新しい IP アドレスがインスタンスに割り当てられます。これで、このプライベート IP に新しい Elastic IP を割り当てることができます。
  6. [ネットワークとセキュリティ] と [Elastic IP] に移動します。
  7. プロンプトが表示されたら、[新しいアドレスの割り当て] をクリックします。新しい IP アドレスを取得するには [はい] を選択します。

    netscaler-and-amazon-aws-11

  8. リストからアドレスを選択し、[アドレスの関連付け] を選択します。

    netscaler-and-amazon-aws-12

  9. 「インスタンスリスト」から、以前に構築した Citrix ADC インスタンスを選択します。これを選択すると、インスタンスに静的に割り当てたIPアドレス(Citrix Gateway と同じアドレス)を選択し、[Associate] を選択できるようになります。

    netscaler-and-amazon-aws-13

  10. DNS 名レコードに Amazon が割り当てた Elastic IP アドレスを指定します。
  11. Citrix Gateway にログインします。

StoreFront 用の高可用性負荷分散

Citrix 構成手順」を参照してください。


2 つの AWS ロケーションで GSLB を設定する

AWS 上の Citrix ADC 用 GSLB をセットアップするには、主に、Citrix ADC が属する VPC の外部にあるサーバー (たとえば、別のアベイラビリティーリージョンやオンプレミスのデータセンターなど) へのトラフィックを負荷分散するように Citrix ADC を設定します。

netscaler-and-amazon-aws-14


クラウドロードバランサーを使用したドメイン名ベースのサービス(GSLB DBS)

GSLB および DBS の概要

クラウドロードバランサー用のDBS(ドメインベースサービス)を使用したCitrix ADC GSLBのサポートにより、クラウドロードバランサーソリューションを使用した動的クラウドサービスの自動検出が可能になります。この構成により、Citrix ADCはアクティブ/アクティブ環境でグローバルサーバー負荷分散ドメイン名ベースのサービス(GSLB DBS)を実装できます。DBS を使用すると、AWS および Microsoft Azure 環境のバックエンドリソースを DNS 検出から拡張できます。

このセクションでは、AWS 環境と Azure Auto Scaling 環境における Citrix ADC 間の統合について説明します。ドキュメントの最後のセクションでは、AWS リージョンに固有の 2 つの異なるアベイラビリティーゾーン(AZ)にまたがる Citrix ADC の HA ペアをセットアップする機能について詳しく説明します。

前提条件

Citrix ADC GSLB サービスグループの前提条件には、セキュリティグループ、Linux ウェブサーバー、AWS 内の Citrix ADC、Elastic IP、およびエラスティックロードバランサーを設定するための知識と能力を備えた、機能する AWS/Microsoft Azure 環境が含まれます。

GSLB DBS サービスの統合には、AWS ELB および Microsoft Azure ALB ロードバランサーインスタンス用に、Citrix ADC バージョン 12.0.57 が必要です。

Citrix ADC GSLB サービスグループ機能の拡張

GSLB サービスグループエンティティ:Citrix ADC バージョン 12.0.57

BDS 動的検出を使用した自動スケーリングをサポートする GSLB サービスグループが導入されました。

DBS機能コンポーネント(ドメインベースのサービス)は、GSLBサービスグループにバインドする必要があります

例:

> add server sydney_server LB-Sydney-xxxxxxxxxx.ap-southeast-2.elb.amazonaws.com
> add gslb serviceGroup sydney_sg HTTP -autoScale DNS -siteName sydney
> bind gslb serviceGroup sydney_sg sydney_server 80

ドメイン名ベースのサービス — AWS ELB

GLSB DBS は、Elastic Load Balancer の FQDN を使用して、AWS 内で作成および削除されるバックエンドサーバーを含めるように GSLB サービスグループを動的に更新します。AWS のバックエンドサーバーまたはインスタンスは、ネットワーク需要または CPU 使用率に基づいてスケーリングするように設定できます。この機能を設定するには、Citrix ADC を Elastic Load Balancer に指し、AWS 内でインスタンスが作成および削除されるたびに Citrix ADC を手動で更新することなく、AWS 内の異なるサーバーに動的にルーティングします。GSLBサービスグループ用のCitrix ADC DBS機能は、DNS認識サービス検出を使用して、AutoScalerグループで識別されるDBS名前空間のメンバーサービスリソースを決定します。

図:

クラウドロードバランサーを使用したCitrix ADC GSLB DBA AutoScaleコンポーネント

netscaler-and-amazon-aws-15


複数のアベイラビリティーゾーンで AWS で Citrix ADC HA を使用する

AWS で Citrix ADC をさまざまなアベイラビリティーゾーンに展開することは、Citrix ADC 12.1 用にリリースされた新機能です。これは、Citrix ADCをエラスティックネットワークIPアドレス(ENI)に接続することによって行われます。

citrix-adc-ha-in-aws-01

ソリューションの動作方法は、VPX上のHAと独立したネットワーク構成を設定する必要があるため、他のソリューションとは若干異なります。このソリューションでは、仮想サーバの IP セット機能の新機能を使用して、フェイルオーバーを維持します。

まず、Citrix ADCにログインし、サーバー側のネットワークアドレス、クライアント側のアドレス、および両方へのルーティングを定義または立ち上げる必要があります。

citrix-adc-ha-in-aws-03

AWSコンソールでは、最初のVPXは伸縮自在なIPで設定されています。

citrix-adc-ha-in-aws-04

Elastic インターフェイスに入ると、ソリューションが機能する最初のことは、その Elastic IP をそのインターフェイス上の既存のプライベートアドレスに関連付けることです。

citrix-adc-ha-in-aws-06

citrix-adc-ha-in-aws-07

アソシエーションが作成されたら、フェイルオーバーを実行する準備が整いました。

citrix-adc-ha-in-aws-08

下部には、VPX上に2番目の弾性IPがあるはずです。

citrix-adc-ha-in-aws-09

そのため、VPXにアクセスしてフェイルオーバーを開始し、AWSコンソールに戻ります。今回は、最初のCitrix ADCに属する弾性IPを見て, 新しいEIPが存在しないことに注意してください, それは今、2番目のCitrix ADCに移動されているように.

citrix-adc-ha-in-aws-11

citrix-adc-ha-in-aws-12

これを確認するには、1 番目と 2 番目の Citrix ADC で show node コマンドを入力し、2 番目の Citrix ADC が standby 状態になる前と同じように Primary 状態に設定されていることを確認します。

citrix-adc-ha-in-aws-13.1

これで、リアルタイムのトラフィックフローを見ることができます。

citrix-adc-ha-in-aws-14

フェイルオーバー後に VIP に要求を送信できます。最初にアクティブだったCitrix ADC上のLB仮想サーバーでstatを実行した場合、そこには要求がないことに注意してください。以前のスタンバイ、現在アクティブなCitrix ADCで同じコマンドを実行すると、仮想サーバーが表示されます。高可用性の移行後、トラフィックは新しいCitrix ADCに送信されたことを示す。

citrix-adc-ha-in-aws-15

ここで、デバッグを行ったり、現在のステータスを確認したりする場合は、シェルにドロップして、HA フェイルオーバーが発生したときや、AWS 設定または API コールアウトによってすべての EIP がプライマリ Citrix ADC からセカンダリにスイングされたときを示すレコードを探すことができます。

citrix-adc-ha-in-aws-16


AWS コンポーネントを設定する

セキュリティグループ

注:

ELB、Citrix ADC GSLBインスタンス、およびLinuxインスタンスに対して異なるセキュリティグループを作成することをお勧めします。これらのエンティティごとに必要なルールセットが異なるためです。この例では、簡潔にするために、統合セキュリティグループ設定があります。

仮想ファイアウォールの適切な設定については、VPC のセキュリティグループを参照してください 。

手順 1:

AWS リソースグループに ログインし、 EC2 に移動します。EC2 内で、[ネットワークとセキュリティ] > [セキュリティグループ] に移動します。

netscaler-and-amazon-aws-16

手順 2:

[セキュリティグループの作成] をクリックし、名前と説明を入力します。このセキュリティグループには、Citrix ADC および Linux バックエンド Web サーバーが含まれます。

netscaler-and-amazon-aws-17

手順3:

次のスクリーンショットのインバウンドポートルールを追加します。

注:

詳細なセキュリティ強化には、送信元 IP アクセスを制限することをお勧めします。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules-reference.html#sg-rules-web-server

netscaler-and-amazon-aws-18

Amazon Linux バックエンドウェブサービス

手順 4:

AWS リソースグループに ログインし、 EC2 に移動します。EC2 内で [インスタンス] に移動します。

netscaler-and-amazon-aws-19

手順 5:

Amazon Linuxインスタンスを設定するには、以下の詳細を使用して [インスタンスを起動] をクリックします。

このインスタンスでの Web サーバーまたはバックエンドサービスの設定に関する詳細を入力します。

netscaler-and-amazon-aws-20

Citrix ADC ADCの構成

手順 6:

AWS リソースグループに ログインし、 EC2 に移動します。EC2 内で [インスタンス] に移動します。

netscaler-and-amazon-aws-21

手順 7:

Amazon AMIインスタンスを設定するには、以下の詳細を使用して [インスタンスを起動] をクリックします。

netscaler-and-amazon-aws-22

エラスティック IP 設定

注:

Citrix ADCは、NSIPのパブリックIPを持たないため、必要に応じて単一のElastic IPで実行することもできます。代わりに、ボックスへの管理アクセスのためにカバーすることができますSNIPに弾性IPを添付します, だけでなく、GSLBサイトIPとADNS IP.

手順 8:

AWS リソースグループに ログインし、 EC2 に移動します。EC2 内で [ネットワークとセキュリティ] に移動し、 Elastic IP を設定します。

[新しいアドレスを割り当て] をクリックして、新しい Elastic IP アドレスを作成します。

AWS 内で実行中の Citrix ADC インスタンスを指すように Elastic IP を設定します。

2 つ目の Elastic IP を設定し、実行中の Citrix ADC インスタンスを再度指定します。

netscaler-and-amazon-aws-23

伸縮自在なロードバランサー

手順 9:

AWS リソースグループに ログインし、 EC2 に移動します。EC2 内で、[ロードバランシング]、[ロードバランサー] の順に選択します。

netscaler-and-amazon-aws-24

手順 10:

[Load Balancer の作成] をクリックして、クラシックロードバランサーを設定します。

Elastic Load Balancers を使用すると、バックエンドの Amazon Linux インスタンスの負荷分散が可能になると同時に、需要に基づいてスピンアップされる追加のインスタンスをロードバランシングできます。

netscaler-and-amazon-aws-25

グローバルサーバロードバランシングドメイン名ベースのサービスの設定

トラフィック管理の設定

注:

DBSサービスグループに対してELB/ALBドメインを解決するネームサーバーまたはDNS仮想サーバーのいずれかを使用してCitrix ADCを構成する必要があります。

https://developer-docs.citrix.com/projects/netscaler-command-reference/en/12.0/dns/dns-nameserver/dns-nameserver/

手順 1:

[** トラフィック管理] > [負荷分散] > [サーバー]** に移動します。

netscaler-and-amazon-aws-26

手順 2:

[Add] をクリックしてサーバーを作成し、Elastic Load Balancer(ELB)用の AWS の A レコード(ドメイン名)に対応する名前と FQDN を指定します。

手順 2 を繰り返して、AWS の 2 番目のリソースの場所から 2 番目の ELB を追加します。

netscaler-and-amazon-aws-27

GSLB構成

手順 1:

[** トラフィック管理] > [GSLB] > [サイト]** に移動します。

netscaler-and-amazon-aws-28

手順3:

追加 」ボタンをクリックして、GSLBサイトを設定します。

「サイト」に名前を付けます。[種類]は、サイトを構成しているCitrix ADCに基づいて、[リモート]または[ローカル]として構成されます。サイトの IP アドレスは、GSLB サイトの IP アドレスです。GSLB サイトは、この IP アドレスを使用して、他の GSLB サイトと通信します。パブリック IP アドレスは、特定の IP が外部のファイアウォールまたは NAT デバイスでホストされているクラウドサービスを使用する場合に必要です。サイトは親サイトとして構成する必要があります。[トリガーモニター] が [常に] に設定されていることを確認し、[メトリック交換]、[ネットワークメトリック交換]、および [持続性セッションエントリ交換] の下部にある 3 つのチェックボックスをオフにします。

netscaler-and-amazon-aws-29

トリガモニタの設定を MEPDOWN に設定することが推奨されます。詳しくは、「 GSLB サービスグループの構成」を参照してください。

手順 4:

以下は、AWS 設定のスクリーンショットです。サイトの IP アドレスとパブリック IP アドレスがどこにあるかを示しています。これらは、[ネットワークとセキュリティ] > [Elastic IP] にあります。

[作成] をクリックし、手順 3 と 4 を繰り返して、Azure 内の他のリソースの場所に GSLB サイトを構成します (これは、同じ Citrix ADC 上で構成できます)。

netscaler-and-amazon-aws-30

手順 5:

トラフィック管理」>「GSLB」>「サービスグループ」に移動します。

netscaler-and-amazon-aws-31

手順 6:

[追加] をクリックして、新しいサービスグループを追加します。サービスグループに名前を付け、HTTP プロトコルを使用し、[サイト名] で、前の手順で作成した各サイトを選択します。[AutoScaleモード] を DNS として設定し、[状態] および [ヘルスモニタ] のチェックボックスをオフにします。

[OK] をクリックして、サービスグループを作成します。

netscaler-and-amazon-aws-32

手順 7:

[サービスグループメンバー] をクリックし、[サーバーベース] を選択します。実行ガイドの開始時に設定された、それぞれの Elastic Load Balancing Serveを選択します。トラフィックがポート 80 を通過するように設定します。

[作成] をクリックします。

netscaler-and-amazon-aws-33

手順 8:

サービスグループのメンバーバインディングには、Elastic Load Balancer から受信する 2 つのインスタンスが設定されます。

ステップを繰り返して、AWS の 2 番目のリソースロケーションにサービスグループを設定します。(これは同じ場所から行うことができます)。

netscaler-and-amazon-aws-34

手順 9:

[トラフィック管理] > [GSLB] > [仮想サーバー] に移動します。

[追加] をクリックして、仮想サーバーを作成します。サーバーの名前を指定し、DNSレコードタイプがAに設定され、サービスタイプがHTTPに設定され、AppFlowロギングの作成後に有効にするチェックボックスをオンにします。[OK] をクリックして、GSLB 仮想サーバーを作成します。(Citrix ADC ADC GUI)

netscaler-and-amazon-aws-35

手順 10:

GSLB 仮想サーバーが作成されたら、[GSLB 仮想サーバーサービスグループバインドなし] をクリックします。

[追加] をクリックして、仮想サーバーを作成します。サーバーの名前を指定し、DNSレコードタイプがAに設定され、サービスタイプがHTTPに設定され、AppFlowロギングの作成後に有効にするチェックボックスをオンにします。[OK] をクリックして、GSLB 仮想サーバーを作成します。(Citrix ADC ADC GUI)

netscaler-and-amazon-aws-36

手順 11:

[ServiceGroup Binding] で、 [サービスグループ名の選択] を使用して、前の手順で作成したサービスグループを選択して追加します。

netscaler-and-amazon-aws-37

手順 12:

次に、[GSLB 仮想サーバードメインバインディングなし] をクリックして、GSLB 仮想サーバードメインバインディングを設定します。FQDN とバインドを構成し、残りの設定をデフォルトのままにしておくことができます。

netscaler-and-amazon-aws-38

手順 13:

[サービスなし] をクリックして、ADNS サービスを構成します。サービス名を追加し、[新しいサーバー] をクリックして、ADNS サーバーの IP アドレスを入力します。

また、ADNS がすでに構成されている場合は、[既存のサーバー] を選択し、メニューから ADNS を選択できます。プロトコルが ADNS で、トラフィックがポート 53 経由であることを確認します。

メソッドをLEASTCONNECTION、バックアップメソッドをROUNDROBINとして構成する

netscaler-and-amazon-aws-39


AWS による Citrix ADC バックエンド自動スケーリング

AWS には、管理者が設定したルールに基づいて、AWS で実行されている追加のインスタンスをスピンアップする Auto Scaling という機能が含まれています。これらのルールは CPU 使用率によって定義され、オンデマンドでインスタンスを作成および削除することを中心に行われます。Citrix ADC は AWS Auto Scaling ソリューションと直接統合し、Citrix ADC は負荷分散が可能なすべての利用可能なバックエンドサーバーを認識します。この機能の制限は、現在 AWS の 1 つの AZ 内でのみ機能することです。

AWS コンポーネントを設定する

手順 1:

AWS リソースグループに サインインし、 EC2 に移動します。EC2 で [自動スケーリング] > [起動設定] に移動します。[起動設定の作成] をクリックします。

netscaler-and-amazon-aws-40

手順 2:

この手順から、選択したサーバーの種類を選択できます。ここで、自動スケーリングする VM を設定します。この例では、 Amazon Linux AMIを選択する必要があります。

netscaler-and-amazon-aws-41

手順3:

バックエンドリソースの潜在的な差異から選択して、必要なインスタンスのタイプを選択します。実行ガイドの残りの部分として、インスタンスに名前を付けます。インスタンスの名前は、バックエンドサーバーと呼ばれます。インスタンスのストレージを設定してセキュリティグループに追加するか、この実行ガイドで作成したすべての AWS コンポーネントを含む新しいセキュリティグループを作成します。

netscaler-and-amazon-aws-42

手順 4:

セキュリティグループに関する追加の注意事項。この実行ガイドでは、以下のポートが開いています。

netscaler-and-amazon-aws-43


Citrix ADC バックエンド自動スケーリンググループとポリシー

AWSでCitrix ADCフロントエンドAuto Scalingを構成します:

手順 1:

AWS リソースグループに サインインし、 EC2 に移動します。EC2 内で [AUTO SCALING] > [Auto Scalingグループ] に移動します。

[Radio] ボタンをクリックして、既存の起動設定からAuto Scalingグループを作成します。ラボガイドの前のステップで作成した BackendServer を必ず選択してください。

[Create Auto Scaling Group] でグループ名を追加し、初期グループサイズを選択し、[Network] と [Subnet] を選択して、[Next ] をクリックします。

注:

サブネットは、Citrix ADC サブネットIP(SNIP)から到達可能である必要があります。

netscaler-and-amazon-aws-44

手順 2:

Auto Scaling グループの作成 設定ページで、スケーリングポリシーを設定します。このためには、スケーリングポリシーを使用してこのグループの容量を調整するためのラジオボタンをクリックします。次に、ステップまたは単純な スケーリングポリシーを使用して Auto Scaling グループをスケーリングします。

netscaler-and-amazon-aws-45

手順3:

[新しいアラームの追加]を選択します。

netscaler-and-amazon-aws-46

手順 4:

アラームの作成中に、Citrix ADCに通知を送信するように設定します。5 分間連続して 1 回以上の CPU 使用率の平均が 70 以上になるようにアラームを設定します。ポリシーを適用します。

netscaler-and-amazon-aws-47

手順 5:

ポリシーがトリガーされたときに 1 つのインスタンスを追加するように Auto Scaling グループを設定します。

netscaler-and-amazon-aws-48

手順 6:

同じアラームとポリシーを設定しますが、今回は、CPU の平均が 5 分間 30 未満のときにバックエンドサーバーを削除します。減少ポリシーがトリガーされたときに、減少グループサイズを [削除 1 インスタンス] に設定します。

注:

サーバーの削除については、Citrix ADCに、削除対象としてマークされたバックエンドサーバーにトラフィックを送信しないように通知しています。

Auto Scaling グループを確認および作成するには、[通知の設定] および [タグの設定] をクリックします。

注:

Min 変数と Max 変数は、Auto Scaling グループ内で作成および実行されるインスタンスの最小数と最大数を設定するように設定できます。現在、AWS では、1 つのネットワークインターフェイスだけで追加のインスタンスをスピンアップできます。

AWS で Citrix ADC を作成する

手順 1:

AWS リソースグループに サインインし、 EC2 に移動します。EC2 で [インスタンス] > [インスタンス]に移動します。

netscaler-and-amazon-aws-49

手順 2:

左側の AWS Marketplaceに移動し、「Citrix ADC」を検索します。「 Citrix Networking VPX-カスタマーライセンス」を選択します。Auto Scaling を使用するには、バージョン番号が 12.0.51.x であることを確認してください。以前のバージョンを選択して、Auto Scaling をサポートする Citrix ADC のバージョンを選択できます。

netscaler-and-amazon-aws-50

手順3:

左側の AWS Marketplaceに移動し、「Citrix ADC」を検索します。「 Citrix Networking VPX-カスタマーライセンス」を選択します。Auto Scaling を使用するには、バージョン番号が 12.0.51.x であることを確認してください。以前のバージョンを選択して、Auto Scaling をサポートする Citrix ADC のバージョンを選択できます。

インスタンスタイプを選択します。たとえば、汎用 m4.xlarge の 4vCPU や 16gb RAM などです。[次へ] をクリックします。

手順 4:

[インスタンスの詳細の構成] タブで、[サブネット] を選択します(3 つのサブネットは、最終的にNSIP、SNIP、VIP/ゲートウェイ用に構成する必要があります)。また、IAM ロールを追加する必要があります。新しい IAM ロールを作成するときにクリックします。次のステップで見つかった IAM ロールを追加します。この役割を作成したら、Citrix ADC クラウドプロファイルに追加する必要があります。

手順 5:

クラウドプロファイルの設定は次のとおりです。

CloudFormationテンプレートは、デフォルトでは以下のIAMロールを作成し、割り当てます

 "Version": "2012-10-17",
 "Statement": [
    {
        "Action": [
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DetachNetworkInterface",
        "ec2:AttachNetworkInterface",
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances",
        "autoscaling:\*",
        "sns:\*",
        "sqs:\*"
        “iam: SimulatePrincipalPolicy”
        “iam: GetRole”
        ],
        "Resource": "\*",
        "Effect": "Allow"
    }
 ]
}

手順 6:

[ストレージの追加] オプションをクリックします。[タグの追加] タブで、[キー] 値を [名前] に設定し、[値] を [Citrix ADC-Autoscale] に設定して、これらの EC2 リソースにタグを付けます。

手順 7:

[Configure Security Group] タブで、次のポート要件で新しいセキュリティグループを作成します。

インスタンスを確認して起動します。

netscaler-and-amazon-aws-51

手順 8:

[ネットワークとセキュリティ] > [ネットワークインターフェイス] に移動し、[ネットワークインターフェイスの作成] をクリックします。

説明を追加し、サブネットを選択します。このサブネットは SNIP に使用されるため、内部ネットワークのサブネットに配置する必要があります。また、前の手順でクレートされたセキュリティグループを選択します。[Yes, Create] をクリックします。

netscaler-and-amazon-aws-52

追加のネットワークインターフェイスを追加します。これは、ゲートウェイ/LB VIP 用のパブリック向けサブネットです。説明を作成し、上記で設定したセキュリティグループを選択します。

netscaler-and-amazon-aws-53

手順 9:

インスタンス に戻り、Citrix ADCを選択します。ネットワークインターフェイスをCitrix ADCに追加するには、インスタンスを停止する必要があります。「アクション」リストで「インスタンスの状態 」を選択し、「 停止 」をクリックします。

もう一度 [アクション] ボタンをクリックし、[ネットワークとネットワークインターフェイスの接続] に移動します。

netscaler-and-amazon-aws-54

NSIPインターフェイスはすでにVMに接続されており、次に追加するインターフェイスはLB-VIPであり、続いてSNIP用のサーバ/内部インターフェイスを追加する必要があります。ネットワークインターフェイスがアタッチされると、インスタンスを起動できます。

新しい Elastic IP を設定し、NSIP インターフェイスに関連付けます。

AWS Auto Scalingと統合するようにCitrix ADCを設定する

手順 1:

この実習ガイドの前のステップでNSIPに関連付けたElastic IPに移動して、Citrix ADC管理コンソールにアクセスします。

Citrix ADCを構成する最初のステップは、クラウドプロファイルをアタッチすることです。[AWS ]、[クラウドプロファイル] の順にクリックします。次に、[追加] をクリックして、クラウドプロファイルを作成します。

クラウドプロファイルの名前を指定します。仮想サーバーのIPアドレスが入力され、Citrix ADC上の内部IPと相関関係があるはずです。Auto Scale Group は、このラボガイドの前のステップで作成したものです。[Graceful] を選択すると、バックエンドインスタンスのタイムアウトが削除され、すべてのパケット転送が完了し、猶予期間内にセッションが終了しないようにできます。猶予期間の遅延は調整できます。

netscaler-and-amazon-aws-55


AWSでCitrix ADCフロントエンドAuto Scalingを構成します

  1. Auto Scaling グループを作成するには、Citrix ADM にサインインします。

  2. [ネットワーク] > [AutoScaleグループ] に移動し、[追加] をクリックしてグループ名を作成します。

    frontend-autoscale-group-01

  3. [サイト] 設定で、[追加] をクリックします。

    frontend-autoscale-group-02

クラウドアクセスプロファイルの作成

  1. サイトを作成するときに、 クラウドアクセスプロファイルAWSを追加します。

    frontend-autoscale-group-03

  2. プロフィールに名前を付け、AWS ポータルにサインインします。ID とアクセス管理 (IAM) サービスを検索して、ユーザーアクセスと暗号化キーを管理します。

    frontend-autoscale-group-04

  3. IAM ダッシュボードで、左側のパネルで [Roles] を選択し、対応する Citrix ADM ロールを検索します。

    frontend-autoscale-group-05

  4. ロール ARN をクリップボードにコピーします。

    frontend-autoscale-group-06

  5. 名前をコピーしたら、Citrix ADMコンソールに戻り、 ロールARN テキストフィールドに名前を貼り付けます。

  6. 外部 ID を取得するには、AWS ロール ダッシュボードに戻り、[信頼関係] タブに移動し、[条件] から値をコピーします。

    frontend-autoscale-group-07

  7. Citrix ADMコンソールで、値を 外部ID フィールドに貼り付け、「 作成 」をクリックします。

    frontend-autoscale-group-08

  8. リージョンを選択し、適切な VPC ネットワークを選択します。

    frontend-autoscale-group-09

  9. エージェントを [使用可能] から [構成済み] に移動します。

    frontend-autoscale-group-10

  10. 対応する クラウドアクセスプロファイルを選択します。

    frontend-autoscale-group-11

    frontend-autoscale-group-12

  11. ロードされたら、アベイラビリティーゾーンを [使用可能] から [構成済み] に移動し、対応するタグをAutoScale グループに追加します。[次へ] を選択して、 AutoScale パラメーターの設定を開始します。

    frontend-autoscale-group-13

AutoScaleパラメーターを設定する

  1. AutoScaleパラメーターを設定するときは、[しきい値][パラメーター] を希望の設定に調整します。次に、[次へ] をクリックして、 プロビジョニングパラメーター の設定を開始します。

    frontend-autoscale-group-14

  2. [プロビジョニングパラメーター] セクションで、[IAMロール] フィールドからロールを選択します。

    frontend-autoscale-group-15

  3. 適切なCitrix ADC製品とエディションを選択します。

    frontend-autoscale-group-16

  4. AWS の特定のインスタンスから Amazon マシンイメージ(AMI)ID を収集します。AWS AMI ID フィールドにその ID を入力します。

    frontend-autoscale-group-17

    frontend-autoscale-group-18

  5. AMI IDを追加したら、 セキュリティグループを適切なグループで更新します。

    frontend-autoscale-group-19

  6. ゾーン 1、2、3 の構成を開始するには、対応する管理サブネット、クライアントサブネット、およびサーバーサブネットを割り当てます。

    frontend-autoscale-group-20

  7. [完了] をクリックして、この Auto Scaling グループの設定を作成します。作成プロセスには最大で 10 ~ 20 分かかります。

    frontend-autoscale-group-21

    frontend-autoscale-group-22

AWS でのインスタンスの初期化

  1. Auto Scaling グループの作成中に、AWS コンソールを開き、[サービス] タブに移動します。Amazon Elastic Compute Cloud(EC2) サービスを選択します。

    frontend-autoscale-group-23

  2. EC2 ダッシュボードで、[インスタンス] タブを選択し、[AutoScaleグループ] セクションで設定されたタグを使用してフィルタリングします。

    frontend-autoscale-group-24

  3. フィルタリングすると、まだ初期化されている保留中のインスタンスが表示されます。

    frontend-autoscale-group-25

  4. インスタンスは、作成後に初期化を完了する必要があります。

    frontend-autoscale-group-26

Auto Scaling グループイベントをモニタリングする

  1. Auto Scalingグループを作成したら、グループを選択し、[AutoScaleグループ]ダッシュボードに進みます。

    frontend-autoscale-group-27

  2. 特定の期間を除外して、Auto Scaling グループをモニタリングします。リアルタイムの洞察を得るには、モニタリング期間を [Live] に変更します。

    frontend-autoscale-group-28

  3. グラフに表示されている次のデータポイントをクリックすると、グループイベントが表示されます。

    frontend-autoscale-group-29

  4. 特定のライブイベントを表示するときに、対応する Auto Scaling グループの特定のイベントをモニタリングできます。

    frontend-autoscale-group-30

Citrix ADMサービスを使用してCitrix ADC VPXインスタンスをプロビジョニングする

Citrix ADM Serviceは、Citrix ADCインスタンスを監視し、アプリケーションの正常性、パフォーマンス、セキュリティを可視化できるクラウドベースのソリューションです。さらに、Provisioning ツールを利用して AWS などのパブリッククラウドでインスタンスを自動作成することで、オンプレミスかクラウドかにかかわらず、複数の場所にある ADC インスタンスの管理も簡素化されます。

前提条件

Citrix ADM サービスを使用して AWS で Citrix ADC インスタンスをプロビジョニングするには、前提条件のドキュメントにまとめられているいくつかの手順を実行する必要があります。詳しくは、「AWS でのCitrix ADC VPX インスタンスのプロビジョニング」を参照してください。

これらの手順には、Citrix ADMでCitrix ADC VPXインスタンスをプロビジョニングする前に、AWSで以下のタスクを実行することが含まれます。

  • サブネットの作成
  • セキュリティグループの作成
  • IAM ロールを作成してポリシーを定義する

IAM ロールは、Citrix ADM サービスが AWS アカウントにアクセスできるようにするアクセス許可で設定する必要があります。すべての設定が完了したら、Citrix ADMサービスを活用して、AWSでVPXインスタンスをプロビジョニングできます。

Citrix ADMサービスを使用してCitrix ADC VPXインスタンスをプロビジョニングする

Citrix Cloud ADMサービスにサインインし、 「ネットワーク」>「インスタンス」>「Citrix ADC」の順に選択します。次に、 [アクションの選択] タブで、[クラウドでプロビジョニング] をクリックします。

クラウドのプロビジョニング

これにより、プロビジョニングするインスタンスに関する情報を定義するよう求められます。

具体的には、以下を定義する必要があります。

  • [インスタンスのタイプ]: [スタンドアロンインスタンス] が選択されています。
  • Name: プロビジョニング時にインスタンスで採用する名前。
  • サイト: サイトは、配置を行うエリアまたはリージョンを定義します。
  • エージェント: エージェントは、サイト内で利用可能な ADM エージェントを指定します。これは、自動プロビジョニングを実行する前に設定する必要があります。この実習を開始する前に、サイトとそのサイトに属するエージェントの両方を作成する必要があります。
  • デバイスプロファイル: ユーザー名として「nsroot」と必要なパスワードを持つデバイスプロファイル。Citrix ADC がCitrix ADM によってプロビジョニングされると、ADCのnsrootユーザーのパスワードは、プロファイルに記載されているパスワードに設定されます。さらに、このプロファイルは、インスタンスにログインする必要があるときはいつでも、Citrix ADMによって使用されます。
  • タグ: インスタンスまたはインスタンスのグループのオプションのタグ。

クラウドのプロビジョニング

次に、AWS アカウントの クラウドアクセスプロファイル を選択します。これは、Citrix ADM が AWS アカウントにサインインしてエンティティを取得し、プロビジョニングやプロビジョニング解除などの操作を実行するために使用するプロファイルです。Citrix ADM Serviceは、そのプロファイルを使用して、残りのフィールドにアカウントに関連するオブジェクトを入力します。

このシナリオでは、Citrix ADMサービスによってVPXインスタンスのプロビジョニングに使用されるIAMロールが事前定義されていますが、他のロールを作成することもできます。

プロビジョニングプロファイル

次に、目的のスループットに基づいて、展開するVPXインスタンスの製品エディションを選択する必要があります。

注:

VPX Expressは、ライセンスなしでVPXインスタンスを展開するために含まれています。

プロビジョニングプロファイル

バージョン

メジャーリリースとマイナーリリースを選択して、実行するソフトウェアのリリースを決定します。

セキュリティグループ

セキュリティグループには、異なる仮想プライベートクラウド(VPC)にアクセスするための事前定義されたアクセス権限が必要です。各インスタンスには 3 つのネットワークインターフェイスまたは vNIC が必要であるため、展開するサービスに 3 つの異なるセキュリティグループを適用する必要があります。

  • 1つはリモート管理用(役割NSIP)
  • 1 つはクライアント側アクセス(ロール VIP)
  • サーバ側の通信用(SNIP の役割)

また、このソリューションのスケーラビリティに必要なIPの数を選択する必要があります。

最後に、展開するアベイラビリティーゾーンを選択し、サブネットごとに一致する VPC サブネット情報を定義する必要があります。

  • 1つは管理インターフェイス(NSIP)用
  • 1 つはクライアントがアクセスする (VIP)
  • SNIPがバックエンドサーバー(SNIP)にアクセスするために1つ

製品セレクション 2

[完了] をクリックすると、展開が開始されます。展開が正常に完了すると、VPXが展開されたという通知を受け取ります。

展開の完了

展開が完了すると、すべての管理と展開の目的で、Citrix ADMでCitrix ADC VPXインスタンスを確認できます。

展開の完了

その後、EC2コンソールに移動して、Citrix ADM設定で設定した名前で作成された新しいインスタンスを確認できます。これは、すべてCitrix ADMの管理のために同期され、Citrix ADCへのアプリケーションの展開のための準備ができています。

AWS展開

AWS展開

これらのインスタンスのプロビジョニングを解除するには、Citrix Cloud ADMサービスに戻り、 「ネットワーク」>「インスタンス」>「Citrix ADC」の順に選択します。[アクションの選択] タブで、[プロビジョニング解除] をクリックします。

AWS のプロビジョニング解除

AWS のプロビジョニング解除

操作を確認するプロンプトが表示されます。続行するには、[Yes] を選択すると、すべてのProvisioning が取り消されます。

AWS プロビジョニング解除の確認

VPXインスタンスがプロビジョニング解除されたという確認メッセージを受け取ると、Citrix ADMコンソールにデバイスが表示されなくなります。

AWS プロビジョニング解除の確認 2

AWS プロビジョニング解除の確認 3

詳細情報の表示

Citrix ADC とAmazon Web Services 検証済みのリファレンスデザイン