Citrix ADC

AzureILBでCitrix高可用性テンプレートを使用してHA-INCノードを構成する

イントラネットアプリケーションの標準テンプレートを使用すると、VPXインスタンスのペアをHA-INCモードで迅速かつ効率的に展開できます。Azure内部ロードバランサー(ILB)は、図1に示すように、フロントエンドに内部IPアドレスまたはプライベートIPアドレスを使用します。テンプレートは、3 つのサブネットと 6 つの NIC を持つ 2 つのノードを作成します。サブネットは、管理、クライアント、およびサーバー側のトラフィック用であり、各サブネットは各デバイスの異なるNICに属します。

図 1: 内部ネットワーク内のクライアント用のCitrix ADC HAペア

内部ネットワークのHAペア

図2に示すように、Citrix ADC HAペアがファイアウォールの背後にある場合にもこの展開を使用できます。パブリックIPアドレスはファイアウォールに属し、ILBのフロントエンドIPアドレスにNAT変換されます。

図 2: パブリックIPアドレスを持つファイアウォールを備えたCitrix ADC HAペア

ファイアウォールとのHAペア

イントラネットアプリケーションのCitrix ADC HAペアテンプレートは、 Azureポータルで入手できます

次の手順を実行してテンプレートを起動し、Azure可用性セットを使用して高可用性VPXペアをデプロイします。

  1. Azureポータルから、[ カスタムデプロイメント] ページに移動します。

  2. 基本 」ページが表示されます。リソースグループを作成します。[ パラメータ ] タブで、[リージョン]、[管理者ユーザー名]、[管理者パスワード]、[ライセンスタイプ] (VM sku)、およびその他のフィールドの詳細を入力します。

    基本ページ

  3. [ 次へ]をクリックします : レビュー + 作成する > 。

    必要な構成でAzureリソースグループが作成されるまで時間がかかることがあります。完了後、Azureポータルでリソースグループを選択して、LBルール、バックエンドプール、ヘルスプローブなどの構成の詳細を確認します。高可用性ペアは、ADC-VPX-0およびADC-VPX-1として表示されます。

    追加のセキュリティルールやポートを作成するなど、HA セットアップでさらに変更が必要な場合は、Azure Portal から実行できます。

    必要な構成が完了すると、次のリソースが作成されます。

    HA ILB リソースグループ

  4. 次の構成を検証するには、 ADC-VPX-0 ノードと ADC-VPX-1 ノードにログオンする必要があります。

    • 両方のノードのNSIPアドレスは、管理サブネット内にある必要があります。
    • プライマリ(ADC-VPX-0)ノードとセカンダリ(ADC-VPX-1)ノードで、2つのSNIPアドレスを確認する必要があります。1つのSNIP(クライアントサブネット)はILBプローブへの応答に使用され、もう1つのSNIP(サーバーサブネット)はバックエンドサーバー通信に使用されます。

    HA-INCモードでは、ADC-VPX-0VMとADC-VPX-1VMのSNIPアドレスは、両方が同じである従来のオンプレミスADC HA展開とは異なり、同じサブネット内では異なります。 VPXペア SNIP が異なるサブネットにある場合、または VIP が SNIP と同じサブネット内にない場合に展開をサポートするには、Mac ベース転送(MBF)を有効にするか、各 VIP の静的ホストルートを各 VPX ノードに追加する必要があります。

    プライマリノード(ADC-VPX-0)

    プライマリノードにIP CLIを表示する

    プライマリノードでハイアベイラビリティノード CLI を表示する

    セカンダリノード(ADC-VPX-1)

    セカンダリノードにIP CLIを表示する

    セカンダリノードでハイアベイラビリティノード CLI を表示する

  5. プライマリノードとセカンダリノードがUPになり、同期 ステータスが SUCCESSになった後、プライベートフローティングIP(FIP)アドレスを使用してプライマリノード(ADC-VPX-0)の負荷分散仮想サーバーまたはゲートウェイ仮想サーバーを構成する必要があります。 ADCAzureロードバランサーの詳細については、「 サンプル設定 」セクションを参照してください。

  6. ADC Azure負荷分散サーバーのプライベートIPアドレスを見つけるには、 Azure portal > ADC Azure Load Balancer > Frontend IP configurationに移動します。

    ALBフロントエンドIP構成

  7. Azure Load Balancerの 構成ページで、ARMテンプレートの展開は、LBルール、バックエンドプール、およびヘルスプローブの作成に役立ちます。

    ARMテンプレートはLBルールを作成します

    • LBルール(LbRule1)は、デフォルトでポート80を使用します。

      LBルールはポート80を使用します

    • ポート443を使用するようにルールを編集し、変更を保存します。

      セキュリティを強化するために、LB仮想サーバーまたはゲートウェイ仮想サーバーにはSSLポート443を使用することをお勧めします。

      LBルールはポート443を使用します

ADCにVIPアドレスを追加するには、次の手順を実行します。

  1. Azure Load Balancer > Frontend IP configurationに移動してAddを選択し、新しい内部ロードバランサ―IPアドレスを作成します。

    VIPアドレスを追加する

  2. [ フロントエンドIPアドレス の追加]ページで、名前を入力し、クライアントサブネットを選択し、動的または静的IPアドレスを割り当てて、[ 追加]をクリックします。

    フロントエンドIPアドレスを追加します

  3. フロントエンドIPアドレスは作成されますが、LBルールは関連付けられていません。新しい負荷分散ルールを作成し、それをフロントエンドIPアドレスに関連付けます。

    新しい負荷分散ルールを作成します

  4. [ Azureロードバランサー]ページで、[ 負荷分散ルール]選択し、[追加]をクリックします。

    LBルールを追加する

  5. 新しいフロントエンドIPアドレスとポートを選択して、新しいLBルールを作成します。フローティングIP フィールドは 有効に設定する必要があります。

    フローティングIP対応

  6. これで、 フロントエンドIP構成に 、適用されるLBルールが表示されます。

    LBルールを適用する

構成例

ゲートウェイVPN仮想サーバーと負荷分散仮想サーバーを構成するには、プライマリノード(ADC-VPX-0)で次のコマンドを実行します。構成は、セカンダリノード(ADC-VPX-1)に自動同期します。

ゲートウェイのサンプル構成

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp
<!--NeedCopy-->

負荷分散のサンプル構成

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp
<!--NeedCopy-->

これで、ILBの内部IPアドレスに関連付けられた完全修飾ドメイン名(FQDN)を使用して、負荷分散またはVPN仮想サーバーにアクセスできます。

負荷分散仮想サーバーを構成する方法の詳細については、「 リソース」 セクションを参照してください。

リソース:

次のリンクは、HAの展開と仮想サーバーの構成に関連する追加情報を提供します。

関連リソース:

AzureILBでCitrix高可用性テンプレートを使用してHA-INCノードを構成する