Citrix ADC

AzureILBでCitrix高可用性テンプレートを使用してHA-INCノードを構成する

イントラネットアプリケーションの標準テンプレートを使用すると、VPXインスタンスのペアをHA-INCモードで迅速かつ効率的に展開できます。Azure内部ロードバランサー(ILB)は、図1に示すように、フロントエンドに内部IPアドレスまたはプライベートIPアドレスを使用します。テンプレートは、3 つのサブネットと 6 つの NIC を持つ 2 つのノードを作成します。サブネットは、管理、クライアント、およびサーバー側のトラフィック用であり、各サブネットは各デバイスの異なるNICに属します。

図 1: 内部ネットワーク内のクライアント用のCitrix ADC HAペア

内部ネットワークのHAペア

図2に示すように、Citrix ADC HAペアがファイアウォールの背後にある場合にもこの展開を使用できます。パブリックIPアドレスはファイアウォールに属し、ILBのフロントエンドIPアドレスにNAT変換されます。

図 2: パブリックIPアドレスを持つファイアウォールを備えたCitrix ADC HAペア

ファイアウォールとのHAペア

イントラネットアプリケーション用のCitrix ADC HAペアテンプレートは Azureポータルで入手できます。

次の手順を実行してテンプレートを起動し、Azure可用性セットを使用して高可用性VPXペアをデプロイします。

  1. Azureポータルから、[カスタムデプロイメント] ページに移動します。

  2. 基本 」ページが表示されます。リソースグループを作成します。[パラメータ]タブで、地域、管理者ユーザー名、管理者パスワード、ライセンスタイプ(VM sku)、およびその他のフィールドの詳細を入力します。

    基本ページ

  3. [次へ]をクリックします : レビュー + 作成する > 。

    必要な構成でAzureリソースグループが作成されるまで時間がかかることがあります。完了後、Azureポータルでリソースグループを選択して、LBルール、バックエンドプール、ヘルスプローブなどの構成の詳細を確認します。高可用性ペアは、ADC-VPX-0およびADC-VPX-1として表示されます。

    追加のセキュリティルールやポートを作成するなど、HA セットアップでさらに変更が必要な場合は、Azure Portal から実行できます。

    必要な構成が完了すると、次のリソースが作成されます。

    HAilbリソースグループ

  4. 次の構成を検証するには、 ADC-VPX-0 ノードと ADC-VPX-1 ノードにログオンする必要があります。

    • 両方のノードのNSIPアドレスは、管理サブネット内にある必要があります。
    • プライマリ(ADC-VPX-0)ノードとセカンダリ(ADC-VPX-1)ノードで、2つのSNIPアドレスを確認する必要があります。1つのSNIP(クライアントサブネット)はILBプローブへの応答に使用され、もう1つのSNIP(サーバーサブネット)はバックエンドサーバー通信に使用されます。

    HA-INCモードでは、ADC-VPX-0VMとADC-VPX-1VMのSNIPアドレスは、両方が同じである従来のオンプレミスADC HA展開とは異なり、同じサブネット内では異なります。 VPXペアSNIPが異なるサブネットにある場合、またはVIPがSNIPと同じサブネットにない場合に展開をサポートするには、Macベースの転送(MBF)を有効にするか、VIPごとに静的ホストルートを追加する必要があります。各VPXノード。

    プライマリノード(ADC-VPX-0)

    プライマリノードにIP CLIを表示する

    プライマリノードにノードCLIを表示する

    セカンダリノード(ADC-VPX-1)

    セカンダリノードにIP CLIを表示する

    セカンダリノードにノードCLIを表示する

  5. プライマリノードとセカンダリノードがUPになり、同期 ステータスが SUCCESSになった後、プライベートフローティングIP(FIP)アドレスを使用してプライマリノード(ADC-VPX-0)の負荷分散仮想サーバーまたはゲートウェイ仮想サーバーを構成する必要があります。 ADCAzureロードバランサーの詳しくは、「構成例」セクションを参照してください。

  6. ADC Azure負荷分散サーバーのプライベートIPアドレスを見つけるには、 Azure portal > ADC Azure Load Balancer > Frontend IP configurationに移動します。

    ALBフロントエンドIP構成

  7. Azure Load Balancerの 構成ページで、ARMテンプレートの展開は、LBルール、バックエンドプール、およびヘルスプローブの作成に役立ちます。

    ARMテンプレートはLBルールを作成します

    • LBルール(LbRule1)は、デフォルトでポート80を使用します。

      LBルールはポート80を使用します

    • ポート443を使用するようにルールを編集し、変更を保存します。

      セキュリティを強化するために、LB仮想サーバーまたはゲートウェイ仮想サーバーにはSSLポート443を使用することをお勧めします。

      LBルールはポート443を使用します

ADCにVIPアドレスを追加するには、次の手順を実行します。

  1. Azure Load Balancer > Frontend IP configurationに移動してAddを選択し、新しい内部ロードバランサ―IPアドレスを作成します。

    VIPアドレスを追加する

  2. [フロントエンドIPアドレス の追加]ページで、名前を入力し、クライアントサブネットを選択し、動的または静的IPアドレスを割り当てて、[追加]をクリックします。

    フロントエンドIPアドレスを追加します

  3. フロントエンドIPアドレスは作成されますが、LBルールは関連付けられていません。新しい負荷分散ルールを作成し、それをフロントエンドIPアドレスに関連付けます。

    新しい負荷分散ルールを作成します

  4. [Azureロードバランサー] ページで、[負荷分散ルール] 選択し、[追加]をクリックします。

    LBルールを追加する

  5. 新しいフロントエンドIPアドレスとポートを選択して、新しいLBルールを作成します。フローティングIP フィールドは 有効に設定する必要があります。

    フローティングIP対応

  6. これで、 フロントエンドIP構成に 、適用されるLBルールが表示されます。

    LBルールを適用する

構成例

ゲートウェイVPN仮想サーバーと負荷分散仮想サーバーを構成するには、プライマリノード(ADC-VPX-0)で次のコマンドを実行します。構成は、セカンダリノード(ADC-VPX-1)に自動同期します。

ゲートウェイのサンプル構成

enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp

負荷分散のサンプル構成

enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp

これで、ILBの内部IPアドレスに関連付けられた完全修飾ドメイン名(FQDN)を使用して、負荷分散またはVPN仮想サーバーにアクセスできます。

負荷分散仮想サーバーを構成する方法の詳細については、「 リソース」 セクションを参照してください。

リソース:

次のリンクは、HAの展開と仮想サーバーの構成に関連する追加情報を提供します。

関連リソース:

AzureILBでCitrix高可用性テンプレートを使用してHA-INCノードを構成する