設計上の決定:要件と制限

Azureクラウド内では、Citrix ADC仮想アプライアンスとコンテナ化アプライアンスの機能セットが削減されています。Azure はインフラストラクチャレベルで機能を実行するため、VLAN タグ付けなどの一部の機能は不要になりました。制限と要件を理解することは、移行を計画する上で重要です。HSM Key Vault に GSLB と Azure を使用することには、他にも知っておくべき要件があります。

Azure Key Vault

Citrix ADCはAzure Key Vaultと統合し、その秘密キーをKey Vaultに保存します。これにより、キーのセキュリティ保護が強化されます。Azure Key Vault を使用すると、キーの保存と管理が簡単になります。Azure Key Vault は、Azure とオンプレミスの両方のデータセンターにまたがるすべてのエンタープライズ ADC アプライアンスのための一元的なキー管理場所を提供します。

計画段階で回答すべき質問には、次のようなものがあります。

ADCアプリケーションはAzure Key Vaultとどのように統合されていますか?また、その制限は何ですか?

  • Citrix ADC と Azure Key Vault の統合には、TLS 1.3 プロトコルを使用する必要があります

  • FIPS 140-2 レベル 2 のコンプライアンスには、Azure Key Vault Premium の料金範囲と、ハードウェアセキュリティモジュール (HSM) でバックアップされるキーの使用が必要です

  • ADCはSSLハンドシェイクごとにKey Vaultにアクセスします

  • Azure Key Vault へのアクセスには、Azure Enterprise アプリケーションとサービスプリンシパルが必要です。

  • Citrix ADC の Azure Key Vault の使用には、次の制限があります。

    • Azure Key Vault は同時呼び出しの数を制限し、制限はリクエストの種類とキーの種類によって異なります
    • 楕円曲線暗号 (ECC) キーはサポートされていません
    • HDX Enlightened Data Transport (EDT) およびデータグラムトランスポート層セキュリティ (DTLS) プロトコルは、Azure Key Vaultとの通信には使用できません
    • クラスタリングパーティションと管理パーティションはサポートされていません
    • Azureアプリケーション、Azure Key Vault、およびHSM証明書とキーのペアは、Citrix ADCアプライアンスに追加した後、Azureで更新できません
    • HSM 証明書バンドルはサポートされていません
    • HSM キーは DTLS 仮想サーバーにバインドできません
    • SSL サービスリクエストもオンライン証明書ステータスプロトコル (OCSP) リクエストも、HSM キーで作成された証明書とキーのペアを使用することはできません。
    • HSM キーと証明書の不一致が発生してもエラーは生成されません

GSLBか

企業がワークロードを Azure Cloud に移行する際には、DNS 解決を安全な方法で可能にするハイブリッドモデルが必要です。Azure DNS プライベートゾーンサービスは、この移行の鍵です。プライベート DNS ゾーンを使用すると、企業はオンプレミスサーバーと Azure ベースサーバーの両方で DNS 解決を可能にするハイブリッドモデルを作成できます。Azure サーバーは、ExpressRoute または VPN トンネルを介してオンプレミスのデータセンターに接続できます。Citrix ADCは、グローバル規模でオンプレミスワークロードとAzureワークロードの両方にトラフィックを分散するためのシームレスな方法を提供します。グローバルサーバー負荷分散(GSLB)機能は、そのグローバルな規模を提供し、Citrix ADCコンソール内のADNSサービスに依存します。

この GSLB 機能は、オンプレミスから Azure クラウドへの移行、DNS ベースのフェールオーバー、ブルーグリーン環境のテストなどのビジネス目標をサポートします。ラウンドロビン方式とロケーションベース (静的近接性) サーバールーティング方法の両方を使用できます。GSLBは、StoreFrontを含むあらゆるサービスまたはホストの解像度に使用できます。

オンプレミスとAzureクラウドのハイブリッド展開の両方でCitrix ADC for GSLBを使用する場合の要件と制限は何ですか?

  • ADNSサービスは、Citrix ADCアプライアンスで実行されるDNSサーバーです。ADNSは、Citrix ADCがゾーンとその中のすべてのホストに対する権限のあるネームサーバーになるように、DNSネームスペースの委任をサポートしています

  • GSLB プライベート DNS ゾーンのサポートは、ADNS サービスを実行している Azure クラウドの Citrix ADC アプライアンスを使用して実装されます。

  • 仮想ネットワークとデータセンターネットワークの両方に DNS フォワーダーを使用する計画を立てる

  • すべてのDNSクエリは、最高のユーザーエクスペリエンスを提供するために、まずローカルDNSフォワーダーにルーティングされます

  • GSLB DBS サービスには以下が必要です。

    • Citrix ADC バージョン 12.0.57 以降および Microsoft Azure Load Balancer インスタンス
    • Citrix ADC GSLB サービスグループ機能の拡張
    • GSLB サービスグループエンティティ:Citrix ADC バージョン 12.057 以降
    • DBS 機能コンポーネントは GSLB サービスグループにバインドする必要があります

AzureでCitrix ADC VPXインスタンスを実行する際の制限は何ですか?

  • Azure とオンプレミスデータセンター間の安全なトンネルは、通常は ExpressRoute または VPN 接続を介して存在する必要があります。

  • 仮想マシンの割り当て解除後にIPアドレスが変更されることによって発生する問題を回避するために、Citrix ADC仮想マシンに静的内部IPアドレスを割り当てます

Azure Citrix ADC では利用できないデータセンターの Citrix ADC 機能は何ですか?

  • パブリックIP (PIP) アドレスがAzure Load Balancer ではなくVPXインスタンスに関連付けられている場合、高可用性は機能しません

  • Azure アーキテクチャは、次の Citrix ADC 機能をサポートしていません。
    • クラスタリング(Citrix ADM Autoscale 機能を介して展開されていない限り)
    • IPv6
    • Gratuitous ARP (GARP)
    • L2モード(ブリッジ)。ただし、MACリライト(L2)を備えた透過仮想サーバーは、ADCのSNIPと同じサブネット上のサーバーで動作します
    • タグ付きVLAN
    • 動的ルーティング
    • 仮想 MAC
    • USIP
    • ジャンボフレーム
  • パブリックIPアドレスは、パッシブFTPやALGなど、ポートマッピングが動的に開かれるプロトコルをサポートしていません

他のリソースへのリンク

Azure Key Vault サービスの制限

Azure Key Vaultのサポート

導入ガイド Azure上のCitrix ADC VPX-GSLB

Citrix ADC VPX on Azure導入ガイド

Citrix ADC VPX スタンドアロンインスタンスを構成する

導入ガイドAzure上のCitrix ADC VPX — ディザスタリカバリ

Azure上のNetScalerで観察されたMACの動き

設計上の決定:要件と制限