SC2SでのVPX Amazonマシンイメージ(AMI)の作成
協力者
著者: ジル・フェッシャー、建築家
SC2S は、AWS Marketplace にアクセスできないエアギャップの AWS インスタンス化です。すべての Amazon マシンイメージ(AMI)は、 vmimport
ツールを使用して環境に手動でアップロードする必要があります。Citrix ADC VPX アプライアンスの性質上、イメージファイルが大きすぎて vmimport
ツールを使用できません。VPX AMI は、将来の使用に備えて起動できるように作成する必要があります。SC2S専用に次のメソッドを作成しましたが、マーケットプレイスが存在しない場合や、マーケットプレイスでVPX AMIオファリングが利用できない場合など、この性質の将来のユースケースに使用できます。
SC2SでVPXを作成する:ローサイドのステップ(商用AWS)
-
Citrix ADC CがSC2Sに存在するVPCと同じCIDRブロックを使用して、UC2S(商用)にVPCとサブネットを作成します。(たとえば、VPC ウィザードを使用して、サイズが 10.0.0.0/16 の VPC を作成し、サイズが 10.0.0.0/24 の単一のパブリックサブネットを作成します)。
これは、次の 2 つの方法のいずれかを実行できます。
- 基本的な CIDR とサブネットを使用して SC2S でテスト VPC を作成する
- SC2S で使用されている CIDR とサブネットをコピーします。
注:C2S
の場合、VPC の作成はサービスを通じて行われ、スーパーネットから IP スペースが自動的に割り当てられます。この場合、第2の方法が必要である。GovCloudについては、詳細な手順を待つか、マーケットプレイスから最新バージョンのVPXをダウンロードしてください。
-
AWS マーケットプレイスのCitrix ADC AMI から EC2 インスタンスを展開します。インスタンスは カスタマーライセンスが必要です。非Nitroベースのインスタンス (
m4.xlarge
など) を使用します。前のステップで作成した VPC を選択します。パブリック IP の自動割り当てを無効にします。
わかりやすい名前で、インスタンスに名前を付けます。以下の手順で多数のインスタンスを作成し、さらに設定するには、各インスタンスを特定する必要があります。
セキュリティグループが自動入力されます。インスタンスの起動の残りの手順は、[次へ] をクリックします。
-
Windows Server 2019 または 2016 ベース踏み台ホストを作成して、VPXインスタンスに到達します。
このインスタンスは
m4.xlarge
にすることができ、自動割り当てられたパブリック IP を使用して、Citrix ADC と同じ VPC および AZ に構築する必要があります。ルートボリュームには最低 45 GiB の汎用 SSD (gp2) が必要です。注:
環境で Elastic IP(EIP)の作成が許可されている場合は、踏み台ホストの作成をスキップできます。VPXインスタンスはネットワークまたはインターネットから直接接続できます。セキュリティ上の目的で、踏み台ホストの使用を推奨します。また、エアギャップのある環境では EIP の可用性が欠如しています。
インスタンスに認識可能な名前を付けます (たとえば、SC2S: WS2016 Bastion Low)。
簡単にするために、 すべてのトラフィックを許可するセキュリティグループを作成します。このセキュリティグループは後でロックダウンできます。
インスタンスの準備ができたら、パブリック IP を使用してマシンに RDP インします。次に、PuTTYとWinSCPをダウンロードし、VPXインスタンスの作成に使用されたキーペアをコピーします。これには、PuttyGenを使用して.pemを.ppkに変換する必要があります。サーバーマネージャーで、Windows ファイアウォールと Internet Explorer セキュリティ強化を無効にします。PuTTYを使用して、新しくデプロイしたCitrix ADC アプライアンスにSSH接続できることを確認します。インスタンスの
nsroot
パスワードをメモします。デフォルトでは、これは AWS インスタンス ID です。後のステップで必要になるように、インスタンスのプライベート IP を書き留めておきます。この段階では、Citrix ADC アプライアンスが動作しています。注:このVPXを設定
しないでください!ログインするだけで、
nsroot
機能を検証できます。 -
AWS コンソールから Citrix ADC インスタンスをパワーオフします。Citrix ADC インスタンスからルートEBSボリュームをデタッチします。
ルートボリュームをデタッチするには、ルートデバイスをクリックし
/dev/sda1
、ボリュームIDをクリックします。[ボリューム] タブで、ボリュームを選択し、認識可能な名前を付けて (たとえば、 SC2S: Commercial Root Vol)、ボリューム ID を書き留めます。[** アクション] > [ボリュームのデタッチ] > [OK]** をクリックします。これで、ボリュームの状態が [ Available]になります。 -
新しい Amazon Linux EC2 インスタンス(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、64 ビット、EBS バックアップ、ENA 対応)をデプロイします。このインスタンスは、以前にデプロイしたVPXインスタンスと同じインスタンスタイプ(たとえば
m4.xlarge
)で、同じVPCとサブネットに存在し、「パブリックIPの自動割り当て」設定を無効にする必要があります。インスタンスに認識可能な名前を付けます (たとえば、 SC2S: Linux Low)。すべてのトラフィックを許可するようにセキュリティグループを設定します。インスタンスが起動したら、電源を切ります。 -
VPXから切り離されたルートEBSボリュームをLinux EC2インスタンスにアタッチします。
[インスタンス] > [アタッチ] をクリックして、作成した Linux インスタンスを選択します。
-
ルートVPXボリュームよりも容量の大きいボリュームを作成します。VPXボリュームのルートボリューム容量は 30 GiB です。容量が 35 GiB のボリュームを作成します。ボリュームタイプを General Purpose SSD (gp2) に設定し、認識可能な名前を付けます ( SC2S: Copy Low Vol)。新しいボリュームを Linux インスタンスにアタッチします。
-
Linux インスタンスをパワーオンし、プライベートキーファイルを使用して踏み台ホストから SSH インスタンスに接続します。としてログイン
ec2-user*
します。 -
NEW EBS ボリュームにパーティションを作成します。
注:
この例では、VPXルートボリューム SC2S: 商用ルート ボリュームは
/dev/sdf
、新しく作成された 35 GiB ボリューム SC2S: コピー低 ボリュームはです/dev/sdg
。パーティションは、 SC2S: 低ボリュームコピー のみで作成されます。AWS コンソールでは、これらのブロックデバイスはシンボリックリンクで示されます。Linuxインスタンスでは、/dev/sdf
および/dev/sdg
がそれぞれ/dev/xvdf
および/dev/xvdg
として参照されます。Linux CLIで、ファイルシステムがないことを確認します。応答は データ のみである必要があります。
sudo file –s /dev/xvdg
ファイルシステムを作成します。
sudo mkfs -t xfs /dev/xvdg
マウントポイントを作成し、デバイスをマウントします。
sudo mkdir /copy
sudo mount /dev/svdg /copy
デバイスがマウントされていること、および 3 つのデバイス(
xvda
xvdf
、などxvdg
)があることを確認します。lsblk
を使用して
fdisk
、n
パーティションを作成します。新しいパーティション、プライマリパーティp
ション、パーティション番号、および1
最初と最後のセクタ (ENTER、ENTER)。終了するには、CRTL+C キーを押します。sudo fdisk /dev/xvdg >n >p >1 >enter >enter >CTRL+C
-
VPXルートボリュームを新しいEBSボリュームにブロックレベルでコピーします(たとえば、 SC2S: 商用ルート ボリュームを SC2S: コピー低ボリューム)。ここで作成したファイルは
citrixADC.img
、SC2S 環境に移動できます。sudo dd if=/dev/xvdf of=/copy/citrixADC.img status=progress
このコピーには数時間かかる場合があります。
ファイルのコピーが完了したら、ファイルが /copy ディレクトリにあることを確認し、読み取り、書き込み、実行を許可するようにファイルのアクセス許可を変更します。
ls /copy sudo chmod 777 /copy/citrixADC.img
-
WinSCPは、ハイサイドまでDTOできる場所に
citrixADC.img
ファイルを移動します。必要な場合、踏み台は、イメージファイルをにコピーするのに十分な大きさです。
SC2SでのVPXの作成-ハイサイドでのステップ
-
Low 側のステップ 1 と同じ CIDR ブロックとサブネットを持つ VPC を作成するか、既存の VPC を使用します。この例では、VPC の CIDR は 10.0.0.0/16 で、サブネット IP スペースは 10.0.0.0/16 です。作成される最終的なVPXは、商用マーケットプレイスのオリジナルと同じIPでなければならないため、これは非常に重要です。
-
新しい VPC およびサブネットで、ローサイドにデプロイされた Citrix ADC インスタンスと同じインスタンスタイプの Amazon Linux(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、EBS-backed、ENA 対応、64 ビット)のインスタンスを起動します(例:
m4.xlarge
)。インスタンスに認識可能な名前を付けます (たとえば、SC2S: Linux High)。インスタンスの準備ができたら、電源を切ります。 - 転送されたファイルサイズよりも大きい容量の EBS ボリュームを 2 つ追加します(例:35 GiB)。これらのボリュームは、ローサイドで作成されたものと同じ SSD タイプ (gp2) でなければなりません。
- 第1巻はローサイドからのコピー用です。ボリュームに認識可能な名前を付けます (「SC2S: コピー高ボリューム」など)。このボリュームを SC2S の新しい Linux インスタンスに
/dev/sdf
としてアタッチします。これは、インスタンスの/dev/xvdf
のシンボリックリンクです。
- 2番目のボリュームが新しいVPXのルートボリュームになります。ボリュームに認識可能な名前を付けます (「SC2S: Final VPX Vol」など)。このボリュームを SC2S の新しい Linux インスタンスに
/dev/sdg
としてアタッチします。これは、インスタンスの/dev/xvdg
のシンボリックリンクです。
これで、インスタンスには、ルートデバイスを含む 3 つのブロックデバイスがアタッチされました。インスタンスをパワーオンします。
- 第1巻はローサイドからのコピー用です。ボリュームに認識可能な名前を付けます (「SC2S: コピー高ボリューム」など)。このボリュームを SC2S の新しい Linux インスタンスに
-
ハイサイドの Windows Server 2019 または 2016 ベース踏み台ホストを、ローサイド踏み台と同じ方法で作成します。このインスタンスは、新しく作成された VPC とサブネットにあり、ファイル転送には少なくとも 45 GiB である必要があります。「パブリックIPの自動割り当て」を有効に設定します。インスタンスに認識可能な名前(「SC2S: WS2016 Bastion_High」など)を指定し、セキュリティグループに「すべてのトラフィック」を許可するように設定します。
-
踏み台ホストの準備ができたら、パブリックIPを使用してマシンにRDPインし、PuTTYとWinSCPをダウンロードし、VPXインスタンスの作成に使用されたキーペアにコピーします。これには、PuttyGenを使用して.pemを.ppkに変換する必要があります。サーバーマネージャーで、Windows ファイアウォールと Internet Explorer のセキュリティ強化を無効にします。
-
CitrixADC.img ファイルを新しい踏み台ホストにコピーします。
-
AWS プライベートキーとユーザー名を使用して、踏み台ホストから新しい Linux インスタンス(「SC2S: Linux High」など)への PuTTY セッションを開始します
ec2-user
。 -
lsblk
を使用して、すべてのデバイスがインスタンスに存在することを確認します。 -
/dev/xvdf
デバイスにファイルシステムがないことを確認してから、ファイルシステムを作成します。注:
/dev/xvdg
デバイス上にファイルシステムを作成しないでください。sudo file –s /dev/xvdf sudo mkfs –t xfs /dev/xvdf
-
デバイスのマウントポイントを作成し、デバイスをマウントして、ボリュームマウントポイントが
/copy
であることを確認します 。sudo mkdir /copy sudo mount /dev/xvdf /copy lsblk
-
を使用してパーティションを作成します
fdisk
。sudo fdisk /dev/xvdf >n >p >1 >enter >enter >CTRL+C
-
/copy ディレクトリの権限を変更します。
sudo chmod 777 /copy
-
踏み台ホストで WinSCP を使用して、Linux インスタンスに接続します。CitrixADC.img ファイルを /copy ディレクトリにコピーします。ファイルがコピーされたら、WinSCP コンソールから読み取り、書き込み、および実行を許可するようにアクセス許可を変更します。
-
Linux CLI で、次のコマンドを使用してイメージファイルを /dev/xvdg デバイスにコピーします。
sudo dd if=/copy/citrixADC.img of=/dev/xvdg status=progress
-
コピーが完了したら、
lsblk
コマンドを実行して、Citrix ADC パーティションが/dev/xvdgデバイスに表示されていることを確認します。lsblk
-
Linux インスタンスの電源を切り、/dev/xvdg (/dev/sdg) ボリューム (「SC2S: 最終的な VPX ボリューム」など) をデタッチします。
-
ハイサイド(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、EBS-backed、ENA 対応、64 ビット、セキュリティグループ)で作成された VPC およびサブネットに、低側のVPXとまったく同じインスタンスタイプの新しい Linux インスタンスをデプロイします。
m4.xlarge
Traffic」)。セットアップ中に、このドキュメントの前のセクションで説明した低側のVPXと同じIPを設定します。インスタンスの準備ができたら、インスタンスの電源をオフにします。 -
新しくデプロイされた Linux インスタンスのルートボリュームをデタッチし、デタッチされたインスタンス (「SC2S: Final VPX Vol」など) をアタッチします。アタッチ時に、デバイスをルートボリューム(つまり
/dev/xvda
)として指定します。 -
インスタンスをパワーオンします。ハイサイド踏み台ホストを使用して、インスタンスにPUTTY/SSHを実行して、VPXの機能を検証します。このドキュメントの前のセクションで説明
nsroot
したインスタンス ID パスワードを使用してログインし、簡単なコマンドを実行します。sh version
起動したVPXインスタンスからのAMIの作成
-
Citrix ADC インスタンスにログインします。シェルに移動して、root として必要な変更を実行します。
shell
-
ADCソフトウェアから次のディレクトリとファイルを強制的かつ再帰的に削除します。ファイルとディレクトリを手動で削除するには、それぞれの前に rm —rf を追加します。 ‘/nsconfig/ns.conf’
‘/nsconfig/ssh/’
‘/nsconfig/ssl/’
‘/nsconfig/aws_bootstrap’
‘/nsconfig/rainman.conf’
‘/var/nslog’
‘/var/log/messages’
‘/var/log/.log’
‘/var/core/’
‘/nsconfig/.AWS/’
‘/var/db’
‘/etc/resolv.conf’
‘/flash/BUILD’
‘/mpsconfig/pgxl/.ssh/id_rsa.pub’
‘/var/pubkey/nsroot/.ssh/authorized_keys’
‘/var/pubkey/root/.ssh/authorized_keys’または次のスクリプトを実行します。
#!/bin/sh -x rm -rf /nsconfig/ns.conf* rm -rf /nsconfig/ssh/* rm -rf /nsconfig/ssl/* rm -rf /nsconfig/aws_bootstrap rm -rf /nsconfig/rainman.conf rm -rf /var/nslog rm -rf /var/log/messages* rm -rf /var/log/\*.log rm -rf /var/core/\* rm -rf /nsconfig/.AWS/ rm -rf /var/db rm -rf /etc/resolv.conf rm -rf /flash/BUILD rm -rf /mpsconfig/pgxl/.ssh/id_rsa.pub rm -rf /var/pubkey/nsroot/.ssh/authorized_keys rm -rf /var/pubkey/root/.ssh/authorized_keys
-
/flash/nsconfig ディレクトリの権限を 755 に変更します。
chmod 755 /flash/nsconfig
-
残りのキーが残っていないことを確認します。存在する場合は、強制的に再帰的に削除します。
find / -type f -name “authorized*” rm -rf <filename>
-
/nsconfig/license にライセンスが残っていないことを確認します。存在する場合は、強制的に再帰的に削除します。
注:
このフォルダーには他のディレクトリとファイル (SSL や XML など) があり、ライセンスファイルが存在する場合のみ削除してください。
ls /nsconfig/license ls /nsconfig/license/ssl ls /nsconfig/license/xml
-
AWS コンソールからマシンの電源を切ります。インスタンスが停止したら、インスタンスから AMI を作成します。
インスタンスに ALL が認識できる名前を付けます。これは、SC2S のすべての管理者に対してパブリックに共有されます (例:「Citrix ADC VPX 13.0~47.24」)。
-
AMI の準備ができたら、そこからインスタンスをデプロイして機能を検証します。
-
AMI のアクセス許可を
Public
に設定します。これにより、SC2S のすべての管理者が使用できるようになります。
新しいリリースにアップグレードするには
-
SC2S内の既存のCitrix ADC VPXの場合:利用可能なアップグレードソフトウェアを使用してVPXをアップグレードします https://citrix.com/downloads, ファイルをハイサイドにDTOします. のガイダンス Citrix ADC スタンドアロンアプライアンスのアップグレード に従ってインストールします。推奨されるアップグレード方法は、コマンドラインを使用することです。
-
SC2Sの新しいCitrix ADC VPXの場合:AMIを作成してパブリックに共有します。既存のAMIからインスタンスを起動し、前のセクションのようにマシンをアップグレードし、このドキュメントの「起動したVPXインスタンスからAMIを作成する」セクションの手順を実行します。