高度な概念

SC2SでのVPX Amazonマシンイメージ(AMI)の作成

協力者

著者: ジル・フェッシャー、建築家

SC2S は、AWS Marketplace にアクセスできないエアギャップの AWS インスタンス化です。すべての Amazon マシンイメージ(AMI)は、 vmimport ツールを使用して環境に手動でアップロードする必要があります。Citrix ADC VPX アプライアンスの性質上、イメージファイルが大きすぎて vmimport ツールを使用できません。VPX AMI は、将来の使用に備えて起動できるように作成する必要があります。SC2S専用に次のメソッドを作成しましたが、マーケットプレイスが存在しない場合や、マーケットプレイスでVPX AMIオファリングが利用できない場合など、この性質の将来のユースケースに使用できます。

SC2SでVPXを作成する:ローサイドのステップ(商用AWS)

  1. Citrix ADC CがSC2Sに存在するVPCと同じCIDRブロックを使用して、UC2S(商用)にVPCとサブネットを作成します。(たとえば、VPC ウィザードを使用して、サイズが 10.0.0.0/16 の VPC を作成し、サイズが 10.0.0.0/24 の単一のパブリックサブネットを作成します)。

    これは、次の 2 つの方法のいずれかを実行できます。

    • 基本的な CIDR とサブネットを使用して SC2S でテスト VPC を作成する
    • SC2S で使用されている CIDR とサブネットをコピーします。

    注:C2S

    の場合、VPC の作成はサービスを通じて行われ、スーパーネットから IP スペースが自動的に割り当てられます。この場合、第2の方法が必要である。GovCloudについては、詳細な手順を待つか、マーケットプレイスから最新バージョンのVPXをダウンロードしてください。

    VPC ダッシュボードの画像

    VPC 設定ウィザードのイメージ、手順 1

    VPC ウィザードのイメージ、手順2

  2. AWS マーケットプレイスのCitrix ADC AMI から EC2 インスタンスを展開します。インスタンスは カスタマーライセンスが必要です。非Nitroベースのインスタンス (m4.xlargeなど) を使用します。

    手順 1 のイメージ、AMI を選択

    手順 2 のイメージ、インスタンスタイプの選択

    前のステップで作成した VPC を選択します。パブリック IP の自動割り当てを無効にします。 手順3 のイメージ、インスタンスの詳細を設定する

    わかりやすい名前で、インスタンスに名前を付けます。以下の手順で多数のインスタンスを作成し、さらに設定するには、各インスタンスを特定する必要があります。

    セキュリティグループが自動入力されます。インスタンスの起動の残りの手順は、[次へ] をクリックします。

    ウィザードのイメージ

  3. Windows Server 2019 または 2016 ベース踏み台ホストを作成して、VPXインスタンスに到達します。

    このインスタンスはm4.xlargeにすることができ、自動割り当てられたパブリック IP を使用して、Citrix ADC と同じ VPC および AZ に構築する必要があります。ルートボリュームには最低 45 GiB の汎用 SSD (gp2) が必要です。

    注:

    環境で Elastic IP(EIP)の作成が許可されている場合は、踏み台ホストの作成をスキップできます。VPXインスタンスはネットワークまたはインターネットから直接接続できます。セキュリティ上の目的で、踏み台ホストの使用を推奨します。また、エアギャップのある環境では EIP の可用性が欠如しています。

    手順 1 のイメージ、AMI を選択

    インスタンスに認識可能な名前を付けます (たとえば、SC2S: WS2016 Bastion Low)。

    手順 5 のイメージ、タグの追加

    簡単にするために、 すべてのトラフィックを許可するセキュリティグループを作成します。このセキュリティグループは後でロックダウンできます。

    手順 6 のイメージ、セキュリティグループの構成

    インスタンスの準備ができたら、パブリック IP を使用してマシンに RDP インします。次に、PuTTYとWinSCPをダウンロードし、VPXインスタンスの作成に使用されたキーペアをコピーします。これには、PuttyGenを使用して.pemを.ppkに変換する必要があります。サーバーマネージャーで、Windows ファイアウォールと Internet Explorer セキュリティ強化を無効にします。PuTTYを使用して、新しくデプロイしたCitrix ADC アプライアンスにSSH接続できることを確認します。インスタンスの nsroot パスワードをメモします。デフォルトでは、これは AWS インスタンス ID です。後のステップで必要になるように、インスタンスのプライベート IP を書き留めておきます。この段階では、Citrix ADC アプライアンスが動作しています。

    注:このVPXを設定

    しないでください!ログインするだけで、 nsroot 機能を検証できます。

  4. AWS コンソールから Citrix ADC インスタンスをパワーオフします。Citrix ADC インスタンスからルートEBSボリュームをデタッチします。

    新しい EC2 イメージ

    ルートボリュームをデタッチするには、ルートデバイスをクリックし /dev/sda1、ボリュームIDをクリックします。[ボリューム] タブで、ボリュームを選択し、認識可能な名前を付けて (たとえば、 SC2S: Commercial Root Vol)、ボリューム ID を書き留めます。[** アクション] > [ボリュームのデタッチ] > [OK]** をクリックします。これで、ボリュームの状態が [ Available]になります。

    インスタンスの詳細イメージ

  5. 新しい Amazon Linux EC2 インスタンス(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、64 ビット、EBS バックアップ、ENA 対応)をデプロイします。このインスタンスは、以前にデプロイしたVPXインスタンスと同じインスタンスタイプ(たとえば m4.xlarge)で、同じVPCとサブネットに存在し、「パブリックIPの自動割り当て」設定を無効にする必要があります。インスタンスに認識可能な名前を付けます (たとえば、 SC2S: Linux Low)。すべてのトラフィックを許可するようにセキュリティグループを設定します。インスタンスが起動したら、電源を切ります。

    タグ画像を追加

  6. VPXから切り離されたルートEBSボリュームをLinux EC2インスタンスにアタッチします。

    新しい EC2 イメージ

    [インスタンス] > [アタッチ] をクリックして、作成した Linux インスタンスを選択します。

    ボリュームイメージをアタッチする

  7. ルートVPXボリュームよりも容量の大きいボリュームを作成します。VPXボリュームのルートボリューム容量は 30 GiB です。容量が 35 GiB のボリュームを作成します。ボリュームタイプを General Purpose SSD (gp2) に設定し、認識可能な名前を付けます ( SC2S: Copy Low Vol)。新しいボリュームを Linux インスタンスにアタッチします。

    ボリュームの作成と接続

    ボリュームの作成と接続

    ボリュームの作成と接続

  8. Linux インスタンスをパワーオンし、プライベートキーファイルを使用して踏み台ホストから SSH インスタンスに接続します。としてログイン ec2-user*します。

  9. NEW EBS ボリュームにパーティションを作成します。

    注:

    この例では、VPXルートボリューム SC2S: 商用ルート ボリュームは /dev/sdf 、新しく作成された 35 GiB ボリューム SC2S: コピー低 ボリュームはです /dev/sdg。パーティションは、 SC2S: 低ボリュームコピー のみで作成されます。AWS コンソールでは、これらのブロックデバイスはシンボリックリンクで示されます。Linuxインスタンスでは、/dev/sdf および /dev/sdg がそれぞれ /dev/xvdf および /dev/xvdg として参照されます。

    Linux CLIで、ファイルシステムがないことを確認します。応答は データ のみである必要があります。

    sudo file –s /dev/xvdg
    

    ファイルシステムを作成します。

    sudo mkfs -t xfs /dev/xvdg
    

    マウントポイントを作成し、デバイスをマウントします。

    sudo mkdir /copy
    
    sudo mount  /dev/svdg /copy
    

    デバイスがマウントされていること、および 3 つのデバイス( xvdaxvdf、など xvdg)があることを確認します。

    lsblk
    

    を使用して fdiskn パーティションを作成します。新しいパーティション、プライマリパーティ p ション、パーティション番号、および 1 最初と最後のセクタ (ENTER、ENTER)。終了するには、CRTL+C キーを押します。

    sudo fdisk /dev/xvdg
    >n
    >p
    >1
    >enter
    >enter
    >CTRL+C
    
  10. VPXルートボリュームを新しいEBSボリュームにブロックレベルでコピーします(たとえば、 SC2S: 商用ルート ボリュームを SC2S: コピー低ボリューム)。ここで作成したファイルは citrixADC.img、SC2S 環境に移動できます。

    sudo dd if=/dev/xvdf of=/copy/citrixADC.img status=progress
    

    このコピーには数時間かかる場合があります。

    ファイルのコピーが完了したら、ファイルが /copy ディレクトリにあることを確認し、読み取り、書き込み、実行を許可するようにファイルのアクセス許可を変更します。

    ls /copy
    sudo chmod 777 /copy/citrixADC.img
    
  11. WinSCPは、ハイサイドまでDTOできる場所に citrixADC.img ファイルを移動します。必要な場合、踏み台は、イメージファイルをにコピーするのに十分な大きさです。

SC2SでのVPXの作成-ハイサイドでのステップ

  1. Low 側のステップ 1 と同じ CIDR ブロックとサブネットを持つ VPC を作成するか、既存の VPC を使用します。この例では、VPC の CIDR は 10.0.0.0/16 で、サブネット IP スペースは 10.0.0.0/16 です。作成される最終的なVPXは、商用マーケットプレイスのオリジナルと同じIPでなければならないため、これは非常に重要です。

    イメージプレースホルダ

  2. 新しい VPC およびサブネットで、ローサイドにデプロイされた Citrix ADC インスタンスと同じインスタンスタイプの Amazon Linux(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、EBS-backed、ENA 対応、64 ビット)のインスタンスを起動します(例: m4.xlarge)。インスタンスに認識可能な名前を付けます (たとえば、SC2S: Linux High)。インスタンスの準備ができたら、電源を切ります。

    イメージプレースホルダ

  3. 転送されたファイルサイズよりも大きい容量の EBS ボリュームを 2 つ追加します(例:35 GiB)。これらのボリュームは、ローサイドで作成されたものと同じ SSD タイプ (gp2) でなければなりません。
    1. 第1巻はローサイドからのコピー用です。ボリュームに認識可能な名前を付けます (「SC2S: コピー高ボリューム」など)。このボリュームを SC2S の新しい Linux インスタンスに/dev/sdfとしてアタッチします。これは、インスタンスの /dev/xvdf のシンボリックリンクです。

    イメージプレースホルダ

    1. 2番目のボリュームが新しいVPXのルートボリュームになります。ボリュームに認識可能な名前を付けます (「SC2S: Final VPX Vol」など)。このボリュームを SC2S の新しい Linux インスタンスに/dev/sdgとしてアタッチします。これは、インスタンスの /dev/xvdg のシンボリックリンクです。

    イメージプレースホルダ

    これで、インスタンスには、ルートデバイスを含む 3 つのブロックデバイスがアタッチされました。インスタンスをパワーオンします。

    イメージプレースホルダ

  4. ハイサイドの Windows Server 2019 または 2016 ベース踏み台ホストを、ローサイド踏み台と同じ方法で作成します。このインスタンスは、新しく作成された VPC とサブネットにあり、ファイル転送には少なくとも 45 GiB である必要があります。「パブリックIPの自動割り当て」を有効に設定します。インスタンスに認識可能な名前(「SC2S: WS2016 Bastion_High」など)を指定し、セキュリティグループに「すべてのトラフィック」を許可するように設定します。

  5. 踏み台ホストの準備ができたら、パブリックIPを使用してマシンにRDPインし、PuTTYとWinSCPをダウンロードし、VPXインスタンスの作成に使用されたキーペアにコピーします。これには、PuttyGenを使用して.pemを.ppkに変換する必要があります。サーバーマネージャーで、Windows ファイアウォールと Internet Explorer のセキュリティ強化を無効にします。

  6. CitrixADC.img ファイルを新しい踏み台ホストにコピーします。

  7. AWS プライベートキーとユーザー名を使用して、踏み台ホストから新しい Linux インスタンス(「SC2S: Linux High」など)への PuTTY セッションを開始します ec2-user

  8. lsblk を使用して、すべてのデバイスがインスタンスに存在することを確認します。

    イメージプレースホルダ

  9. /dev/xvdf デバイスにファイルシステムがないことを確認してから、ファイルシステムを作成します。

    注:

    /dev/xvdg デバイス上にファイルシステムを作成しないでください。

    sudo file –s /dev/xvdf
    sudo mkfs –t xfs /dev/xvdf
    

    イメージプレースホルダ

  10. デバイスのマウントポイントを作成し、デバイスをマウントして、ボリュームマウントポイントが/copyであることを確認します 。

    sudo mkdir /copy
    sudo mount /dev/xvdf /copy
    lsblk
    

    イメージプレースホルダ

  11. を使用してパーティションを作成します fdisk

    sudo fdisk /dev/xvdf
     >n
     >p
     >1
     >enter
     >enter
     >CTRL+C
    

    イメージプレースホルダ

  12. /copy ディレクトリの権限を変更します。

    sudo chmod 777 /copy
    

    イメージプレースホルダ

  13. 踏み台ホストで WinSCP を使用して、Linux インスタンスに接続します。CitrixADC.img ファイルを /copy ディレクトリにコピーします。ファイルがコピーされたら、WinSCP コンソールから読み取り、書き込み、および実行を許可するようにアクセス許可を変更します。

  14. Linux CLI で、次のコマンドを使用してイメージファイルを /dev/xvdg デバイスにコピーします。

    sudo dd if=/copy/citrixADC.img of=/dev/xvdg status=progress
    

    イメージプレースホルダ

  15. コピーが完了したら、 lsblk コマンドを実行して、Citrix ADC パーティションが/dev/xvdgデバイスに表示されていることを確認します。

    lsblk
    

    イメージプレースホルダ

  16. Linux インスタンスの電源を切り、/dev/xvdg (/dev/sdg) ボリューム (「SC2S: 最終的な VPX ボリューム」など) をデタッチします。

    イメージプレースホルダ

    イメージプレースホルダ

  17. ハイサイド(Amazon Linux 2 AMI(HVM)、SSD ボリュームタイプ、EBS-backed、ENA 対応、64 ビット、セキュリティグループ)で作成された VPC およびサブネットに、低側のVPXとまったく同じインスタンスタイプの新しい Linux インスタンスをデプロイします。 m4.xlargeTraffic」)。セットアップ中に、このドキュメントの前のセクションで説明した低側のVPXと同じIPを設定します。インスタンスの準備ができたら、インスタンスの電源をオフにします。

    イメージプレースホルダ

  18. 新しくデプロイされた Linux インスタンスのルートボリュームをデタッチし、デタッチされたインスタンス (「SC2S: Final VPX Vol」など) をアタッチします。アタッチ時に、デバイスをルートボリューム(つまり /dev/xvda)として指定します。

    イメージプレースホルダ

  19. インスタンスをパワーオンします。ハイサイド踏み台ホストを使用して、インスタンスにPUTTY/SSHを実行して、VPXの機能を検証します。このドキュメントの前のセクションで説明 nsroot したインスタンス ID パスワードを使用してログインし、簡単なコマンドを実行します。

    sh version
    

    イメージプレースホルダ

起動したVPXインスタンスからのAMIの作成

  1. Citrix ADC インスタンスにログインします。シェルに移動して、root として必要な変更を実行します。

    shell
    

    イメージプレースホルダ

  2. ADCソフトウェアから次のディレクトリとファイルを強制的かつ再帰的に削除します。ファイルとディレクトリを手動で削除するには、それぞれの前に rm —rf を追加します。 ‘/nsconfig/ns.conf
    ‘/nsconfig/ssh/

    ‘/nsconfig/ssl/
    ‘/nsconfig/aws_bootstrap’
    ‘/nsconfig/rainman.conf’
    ‘/var/nslog’
    ‘/var/log/messages

    ‘/var/log/.log’
    ‘/var/core/

    ‘/nsconfig/.AWS/’
    ‘/var/db’
    ‘/etc/resolv.conf’
    ‘/flash/BUILD’
    ‘/mpsconfig/pgxl/.ssh/id_rsa.pub’
    ‘/var/pubkey/nsroot/.ssh/authorized_keys’
    ‘/var/pubkey/root/.ssh/authorized_keys’

    image placeholder: rm -rf

    または次のスクリプトを実行します。

    #!/bin/sh -x
    rm -rf    /nsconfig/ns.conf*
    rm -rf    /nsconfig/ssh/*
    rm -rf    /nsconfig/ssl/*
    rm -rf    /nsconfig/aws_bootstrap
    rm -rf    /nsconfig/rainman.conf
    rm -rf    /var/nslog
    rm -rf    /var/log/messages*
    rm -rf    /var/log/\*.log
    rm -rf    /var/core/\*
    rm -rf    /nsconfig/.AWS/
    rm -rf    /var/db
    rm -rf    /etc/resolv.conf
    rm -rf    /flash/BUILD
    rm -rf    /mpsconfig/pgxl/.ssh/id_rsa.pub
    rm -rf    /var/pubkey/nsroot/.ssh/authorized_keys
    rm -rf    /var/pubkey/root/.ssh/authorized_keys
    
  3. /flash/nsconfig ディレクトリの権限を 755 に変更します。

    chmod 755 /flash/nsconfig
    

    イメージプレースホルダ

  4. 残りのキーが残っていないことを確認します。存在する場合は、強制的に再帰的に削除します。

    find / -type f -name “authorized*”
    rm -rf <filename>
    

    イメージプレースホルダ

  5. /nsconfig/license にライセンスが残っていないことを確認します。存在する場合は、強制的に再帰的に削除します。

    注:

    このフォルダーには他のディレクトリとファイル (SSL や XML など) があり、ライセンスファイルが存在する場合のみ削除してください。

    ls /nsconfig/license
    ls /nsconfig/license/ssl
    ls /nsconfig/license/xml
    

    イメージプレースホルダ

  6. AWS コンソールからマシンの電源を切ります。インスタンスが停止したら、インスタンスから AMI を作成します。

    イメージプレースホルダ

    インスタンスに ALL が認識できる名前を付けます。これは、SC2S のすべての管理者に対してパブリックに共有されます (例:「Citrix ADC VPX 13.0~47.24」)。

    イメージプレースホルダ

  7. AMI の準備ができたら、そこからインスタンスをデプロイして機能を検証します。

    イメージプレースホルダ

  8. AMI のアクセス許可をPublicに設定します。これにより、SC2S のすべての管理者が使用できるようになります。

新しいリリースにアップグレードするには

  • SC2S内の既存のCitrix ADC VPXの場合:利用可能なアップグレードソフトウェアを使用してVPXをアップグレードします https://citrix.com/downloads, ファイルをハイサイドにDTOします. のガイダンス Citrix ADC スタンドアロンアプライアンスのアップグレード に従ってインストールします。推奨されるアップグレード方法は、コマンドラインを使用することです。

  • SC2Sの新しいCitrix ADC VPXの場合:AMIを作成してパブリックに共有します。既存のAMIからインスタンスを起動し、前のセクションのようにマシンをアップグレードし、このドキュメントの「起動したVPXインスタンスからAMIを作成する」セクションの手順を実行します。

SC2SでのVPX Amazonマシンイメージ(AMI)の作成