Citrix ADC

Azure ILB でCitrix 高可用性テンプレートを使用して HA-INC ノードを構成する

イントラネットアプリケーション用の標準テンプレートを使用すると、HA-INC モードで一対のVPXインスタンスを迅速かつ効率的にデプロイできます。Azure 内部ロードバランサー (ILB) は、図 1 に示すように、フロントエンドに内部 IP アドレスまたはプライベート IP アドレスを使用します。このテンプレートでは、3 つのサブネットと 6 つの NIC を持つ 2 つのノードが作成されます。サブネットは、管理、クライアント、およびサーバー側のトラフィック用で、各サブネットはデバイスごとに異なる NIC に属します。

図1:内部ネットワーク内のクライアント用のCitrix ADC HA ペア

内部ネットワークの HA ペア

この展開は、図2に示すように、Citrix ADC HAペアがファイアウォールの内側にある場合にも使用できます。パブリック IP アドレスはファイアウォールに属し、ILB のフロントエンド IP アドレスに NAT されます。

図2:パブリックIPアドレスを持つファイアウォールとCitrix ADC HAのペア

ファイアウォールとのHAペア

イントラネットアプリケーション用のCitrix ADC HAペアテンプレートは、 Azureポータルで入手できます

次の手順を実行してテンプレートを起動し、Azure可用性セットを使用して高可用性VPXペアをデプロイします。

  1. Azure Portal から、[ カスタム展開 ] ページに移動します。

  2. [ 基本 ] ページが表示されます。リソースグループを作成します。[ パラメータ ] タブで、[リージョン]、[管理者ユーザー名]、[管理者パスワード]、[ライセンスタイプ] (VM sku)、およびその他のフィールドの詳細を入力します。

    基本ページ

  3. [ **次へ:レビュー+作成 **] をクリックします。

    必要な構成でAzureリソースグループが作成されるまで時間がかかることがあります。完了後、Azure ポータルでリソースグループを選択し 、LB ルール、バックエンドプール、ヘルスプローブなどの構成の詳細を表示します。高可用性ペアは ADC-VPX-0と ADC-VPX-1 として表示されます。

    追加のセキュリティルールやポートを作成するなど、HA セットアップでさらに変更が必要な場合は、Azure Portal から実行できます。

    必要な構成が完了すると、次のリソースが作成されます。

    HA ILB リソースグループ

  4. ADC-VPX-0 および ADC-VPX-1 ノードにログオンして、次の設定を検証します。

    • 両方のノードの NSIP アドレスは管理サブネットに存在する必要があります。
    • プライマリ(ADC-VPX-0)ノードとセカンダリ(ADC-VPX-1)ノードには、2 つの SNIP アドレスが表示される必要があります。一方の SNIP(クライアントサブネット)は ILB プローブへの応答に使用され、もう 1 つの SNIP(サーバーサブネット)はバックエンドサーバー通信に使用されます。

    HA-INCモードでは、ADC-VPX-0VMとADC-VPX-1VMのSNIPアドレスは、両方が同じである従来のオンプレミスADC HA展開とは異なり、同じサブネット内では異なります。 VPXペア SNIP が異なるサブネットにある場合、または VIP が SNIP と同じサブネット内にない場合に展開をサポートするには、Mac ベース転送(MBF)を有効にするか、各 VIP の静的ホストルートを各 VPX ノードに追加する必要があります。

    プライマリノード(ADC-VPX-0)

    プライマリノードにIP CLIを表示する

    プライマリノードで高可用性ノード CLI を表示する

    セカンダリノード(ADC-VPX-1)

    セカンダリノードにIP CLIを表示する

    セカンダリノードで高可用性ノード CLI を表示する

  5. プライマリノードとセカンダリノードが UP で、同期ステータスが SUCCESSになったら、プライマリノード (ADC-VPX-0) の負荷分散仮想サーバーまたはゲートウェイ仮想サーバーを、ADC Azure ロードバランサーのプライベートフローティング IP (FIP) アドレスで構成する必要があります。詳細については、「 サンプル設定 」セクションを参照してください。

  6. ADC Azure負荷分散サーバーのプライベートIPアドレスを見つけるには、 Azure portal > ADC Azure Load Balancer > Frontend IP configurationに移動します。

    ALBフロントエンドIP構成

  7. Azure Load Balancer の設定ページでは、ARM テンプレートのデプロイが LB ルール、バックエンドプール、およびヘルスプローブの作成に役立ちます。

    ARM テンプレートが LB ルールを作成

    • LB ルール (lbrule1) はデフォルトでポート 80 を使用します。

      LB ルールはポート 80 を使用

    • ポート 443 を使用するようにルールを編集し、変更を保存します。

      セキュリティを強化するため、LB仮想サーバーまたはゲートウェイ仮想サーバーにはSSLポート443を使用することをお勧めします。

      LB ルールはポート 443 を使用

ADC に VIP アドレスを追加するには、次の手順に従います。

  1. Azure Load Balancer > Frontend IP 構成に移動し、[ 追加 ] をクリックして新しい内部ロードバランサー IP アドレスを作成します。

    VIP アドレスを追加する

  2. [Add frontend IP address ] ページで、名前を入力し、クライアントサブネットを選択し、動的 IP アドレスまたは静的 IP アドレスを割り当てて、[ Add] をクリックします。

    フロントエンド IP アドレスの追加

  3. フロントエンド IP アドレスは作成されますが、LB ルールは関連付けられていません。新しい負荷分散ルールを作成し、フロントエンド IP アドレスに関連付けます。

    新しい負荷分散ルールを作成する

  4. [ Azure ロードバランサー ] ページで、[ 負荷分散ルール] を選択し、[ 追加] をクリックします。

    LB ルールを追加する

  5. 新しいフロントエンド IP アドレスとポートを選択して、新しい LB ルールを作成します。[フローティング IP ] フィールドは [ 有効] に設定する必要があります。

    フローティング IP 対応

  6. これで、 フロントエンド IP 設定に 、適用されている LB ルールが表示されます。

    LB ルールを適用する

設定例

ゲートウェイ VPN 仮想サーバーと負荷分散仮想サーバーを設定するには、プライマリノード (ADC-VPX-0) で次のコマンドを実行します。設定はセカンダリノード(ADC-VPX-1)に自動的に同期されます。

ゲートウェイのサンプル構成

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp
<!--NeedCopy-->

負荷分散のサンプル構成

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp
<!--NeedCopy-->

ILB の内部 IP アドレスに関連付けられている完全修飾ドメイン名 (FQDN) を使用して、負荷分散または VPN 仮想サーバーにアクセスできるようになりました。

負荷分散仮想サーバーの構成方法の詳細については、「 Resources 」セクションを参照してください。

リソース:

次のリンクには、HA の導入と仮想サーバの設定に関する追加情報が表示されます。

関連リソース:

Azure ILB でCitrix 高可用性テンプレートを使用して HA-INC ノードを構成する