Citrix ADC

AWS での高可用性の仕組み

AWS上の2つのCitrix ADC VPXインスタンスを高可用性(HA)アクティブ/パッシブのペアとして構成できます。1 つのインスタンスをプライマリノードとして構成し、もう 1 つをセカンダリノードとして設定すると、プライマリノードは接続を受け入れ、サーバーを管理します。セカンダリノードはプライマリを監視します。何らかの理由で 1 次ノードが接続を受け入れることができない場合は、2 次ノードが引き継ぎます。

AWSでは、VPXインスタンスでは以下のデプロイタイプがサポートされています。

  • 同一ゾーン内の高可用性
  • 異なるゾーン間の高可用性

高可用性を機能させるには、両方の Citrix ADC VPX インスタンスに IAM ロールがアタッチされ、Elastic IP(EIP)アドレスが NSIP に割り当てられていることを確認します。NSIPがNATインスタンスを介してインターネットに到達できる場合は、NSIPにEIPを割り当てる必要はありません。

同じゾーン内の高可用性

同じゾーン内の高可用性展開では、両方のVPXインスタンスのネットワーク構成が類似している必要があります。

次の 2 つのルールに従います。

ルール1。1つのVPXインスタンス上のNICは、もう一方のVPX内の対応するNICと同じサブネットに存在する必要があります。両方のインスタンスには、次のものが必要です。

  • 同じサブネット上の管理インターフェイス(管理サブネットと呼ばれます)
  • 同じサブネット上のクライアントインターフェイス(クライアントサブネットと呼ばれる)
  • 同じサブネット上のサーバーインターフェイス(サーバーサブネットと呼ばれます)

ルール2。両方のインスタンスの管理 NIC、クライアント NIC、およびサーバ NIC の順序は同じである必要があります。 たとえば、次のシナリオはサポートされていません。

VPXインスタンス1

NIC 0: 管理 NIC 1: クライアント NIC 2: サーバー

VPXインスタンス2

NIC 0: 管理

NIC 1: サーバ

NIC 2: クライアント

このシナリオでは、インスタンス 1 の NIC 1 はクライアントサブネットにあり、インスタンス 2 の NIC 1 はサーバーサブネットにあります。HA が機能するには、両方のインスタンスの NIC 1 がクライアントサブネットまたはサーバーサブネットにある必要があります。

13.0 41.xx から、フェールオーバー後にプライマリ HA ノードの NIC(クライアント側およびサーバ側の NIC)に接続されたセカンダリプライベート IP アドレスをセカンダリの HA ノードに移行することで、高可用性を実現できます。この展開は、以下のように管理されます。

  • 両方のVPXインスタンスは、NIC列挙に従ってNICの数とサブネットマッピングが同じです。

  • 各VPX NICには、管理IPアドレスに対応する最初のNICを除いて、追加のプライベートIPアドレスが1つあります。追加のプライベート IP アドレスは、AWS ウェブコンソールでプライマリプライベート IP アドレスとして表示されます。この文書では、この追加の IP アドレスをダミーの IP アドレスと呼びます)。

  • ダミーIPアドレスは、Citrix ADCインスタンス上でVIPおよびSNIPとして構成しないでください。

  • 必要に応じて、その他のセカンダリプライベート IP アドレスを作成し、VIP および SNIP として設定する必要があります。

  • フェールオーバー時に、新しいプライマリノードは構成済みの SNIP および VIP を検索し、以前のプライマリに接続された NIC から、新しいプライマリ上の対応する NIC に移動します。

  • Citrix ADC インスタンスでは、HA が機能するためには IAM アクセス許可が必要です。各インスタンスに追加された IAM ポリシーに次の IAM 権限を追加します。

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeNetworkInterfaces" "ec2:AssignPrivateIpAddresses"

注:unassignPrivateIpAddress は必須ではありません。

この方法は、従来の方法よりも高速です。古い方法では、HA はプライマリノードの AWS Elastic ネットワークインターフェイスからセカンダリノードへの移行に依存します。

レガシー方式の場合、次のポリシーが必要です。

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

詳しくは、「AWS に高可用性ペアをデプロイする」を参照してください。

異なるゾーン間の高可用性

独立したネットワーク構成(INC)モードで、高可用性のアクティブ/パッシブのペアとして、2つの異なるサブネットまたは2つの異なるAWSアベイラビリティーゾーンに2つのCitrix ADC VPXインスタンスを構成できます。フェイルオーバー時に、プライマリインスタンスの VIP の EIP (Elastic IP) がセカンダリに移行し、セカンダリが新しいプライマリとして引き継がれます。フェイルオーバープロセスでは、AWS API は次のことを行います。

  • IPSetsが接続されている仮想サーバーをチェックします。
  • 仮想サーバーがリッスンしている 2 つの IP アドレスから、パブリック IP が関連付けられている IP アドレスを検索します。1 つは仮想サーバーに直接接続され、もう 1 つは IP セットを介して接続されます。
  • パブリック IP(EIP)を、新しいプライマリ VIP に属するプライベート IP に再関連付けします。

異なるゾーン間の HA には、次のポリシーが必要です。

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

詳しくは、「AWS アベイラビリティーゾーン間の高可用性」を参照してください。

展開を開始する前に

AWS での HA デプロイを開始する前に、次のドキュメントをお読みください。

AWS での高可用性の仕組み