部署指南 思杰 ADC VPX 在 AWS 上 - 灾难恢复
贡献者
作者: 布雷克·辛德勒,解决方案架构师
概述
Citrix ADC 是一种应用交付和负载均衡解决方案,无论应用程序托管在何处,它都能为 Web、传统和云原生应用程序提供高质量的用户体验。它具有多种外形规格和部署选项,不会将用户锁定在单一配置或云中。池化容量许可允许在云部署之间移动容量。
作为服务和应用交付领域无可争议的领导者,Citrix ADC 部署在全球数千个网络中,以优化、保护和控制所有企业和云服务的交付。Citrix ADC 直接部署在 Web 和数据库服务器前端,将高速负载均衡和内容切换、HTTP 压缩、内容缓存、SSL 加速、应用流可见性以及强大的应用防火墙集成到一个易于使用的平台中。通过将网络数据转化为可操作的商业智能的端到端监控,大大简化了满足 SLA 的过程。Citrix ADC 允许使用简单的声明式策略引擎定义和管理策略,无需编程专业知识。
思杰 VPX
Citrix ADC VPX 产品是一种虚拟设备,可以托管在各种虚拟化和云平台上:
-
思杰虚拟机监控程序™
-
威睿 ESX 虚拟化平台
-
微软 Hyper-V 虚拟化平台
-
林纳克斯 KVM
-
亚马逊云服务
-
微软 Azure 平台
-
谷歌云计算平台
本部署指南重点介绍在亚马逊网络服务上部署 Citrix ADC VPX。
亚马逊网络服务
Amazon Web Services (AWS) 是由 Amazon 提供的一个全面且不断发展的云计算平台,它包括基础设施即服务 (IaaS)、平台即服务 (PaaS) 和打包软件即服务 (SaaS) 产品。AWS 服务可以提供诸如计算能力、数据库存储和内容交付服务之类的工具。
AWS 提供以下基本服务:
-
AWS 计算服务
-
迁移相关服务
-
存储
-
数据库服务
-
管理工具
-
安全相关服务
-
数据分析
-
网络服务
-
消息传递
-
开发人员工具
-
移动服务
AWS 术语
以下是本文档中使用的用户必须熟悉的关键术语的简要说明:
-
弹性网络接口 (ENI) - 一种虚拟网络接口,用户可以将其附加到虚拟私有云 (VPC) 中的实例。
-
弹性 IP (EIP) 地址 - 用户在 Amazon EC2 或 Amazon VPC 中分配并附加到实例的静态公共 IPv4 地址。弹性 IP 地址与用户账户关联,而不是与特定实例关联。它们是弹性的,因为用户可以根据需要轻松地分配、附加、分离和释放它们。
-
子网 - VPC IP 地址范围的一个分段,EC2 实例可以附加到该分段。用户可以创建子网,根据安全和操作需求对实例进行分组。
-
虚拟私有云 (VPC) - 一种 Web 服务,用于在 AWS 云中预置逻辑隔离的部分,用户可以在其中启动他们定义的虚拟网络中的 AWS 资源。
以下是本文档中使用的用户应该熟悉的其他术语的简要说明:
-
Amazon 机器映像 (AMI) - 一种机器映像,它提供了启动实例(即云中的虚拟服务器)所需的信息。
-
弹性块存储 - 为 AWS 云中的 Amazon EC2 实例提供持久性块存储卷。
-
简单存储服务 (S3) - 互联网存储。它旨在让开发人员更轻松地进行 Web 规模计算。
-
弹性计算云 (EC2) - 一种 Web 服务,可在云中提供安全、可调整大小的计算容量。它旨在让开发人员更轻松地进行 Web 规模云计算。
-
弹性负载均衡 (ELB) - 将传入的应用程序流量分配到多个可用区中的多个 EC2 实例。ELB 提高了用户应用程序的容错能力。
-
实例类型 - Amazon EC2 提供了多种实例类型,经过优化以适应不同的用例。实例类型包含 CPU、内存、存储和网络容量的不同组合,并让用户可以灵活地为其应用程序选择适当的资源组合。
-
身份和访问管理 (IAM) - 一种具有权限策略的 AWS 身份,这些策略决定了该身份在 AWS 中可以做什么和不能做什么。用户可以使用 IAM 角色,使在 EC2 实例上运行的应用程序能够安全地访问其 AWS 资源。在高可用性设置中部署 VPX 实例需要 IAM 角色。
-
Internet 网关 - 将网络连接到 Internet。用户可以将 VPC 外部 IP 地址的流量路由到 Internet 网关。
-
密钥对 - 用户用于以电子方式证明其身份的一组安全凭证。密钥对由私钥和公钥组成。
-
路由表 - 一组路由规则,用于控制离开与该路由表关联的任何子网的流量。用户可以将多个子网与单个路由表关联,但一个子网一次只能与一个路由表关联。
-
自动扩缩 - 一种基于用户定义的策略、计划和运行状况检查自动启动或终止 Amazon EC2 实例的 Web 服务。
-
CloudFormation - 一种用于编写或更改模板的服务,这些模板可将相关的 AWS 资源作为一个单元进行创建和删除。
用例
灾难恢复 (DR)
灾难是由自然灾害或人为事件引起的业务功能突然中断。灾难会影响数据中心运营,之后必须完全重建和恢复灾难现场丢失的资源和数据。数据丢失或数据中心停机至关重要,会中断业务连续性。
当今客户面临的挑战之一是决定将其灾难恢复站点设置在哪里。企业正在寻求一致性和性能,而无论任何底层基础设施或网络故障。
许多组织正在决定迁移到云端,其可能的原因包括:
-
使用经济性 — 拥有本地数据中心的资本支出已得到充分证明,通过使用云,这些企业可以腾出时间和资源来扩展自己的系统。
-
更快的恢复时间 — 大部分自动化编排可在短短几分钟内实现恢复。
-
此外,还有一些技术通过提供持续数据保护或持续快照来帮助复制数据,以防止任何中断或攻击。
-
最后,在某些用例中,客户需要多种不同类型的合规性和安全控制,而这些在公共云上已经存在。这使得他们更容易实现所需的合规性,而不是自行构建。
部署类型
单 NIC 部署
-
典型的部署类型
- 独立部署
-
使用案例
-
客户通常会使用单网卡部署,以便将其部署到非生产环境、设置测试环境,或者在生产部署之前暂存新的环境。
-
单网卡部署还可用于快速高效地将应用程序直接部署到云端。
-
当客户寻求单个子网配置的简单性时,会使用单网卡部署。
-
三网卡部署
-
典型的部署类型
-
独立部署
-
高可用性功能
-
-
使用案例
-
三网卡部署用于实现数据和管理流量的真正隔离。
-
三网卡部署还可提高 ADC 的扩展性和性能。
-
三网卡部署用于吞吐量通常为 1 Gbps 或更高的网络应用程序,建议采用三网卡部署。
-
CFT 部署
如果客户正在自定义部署或自动化部署,他们将使用 CloudFormation 模板进行部署。
Citrix ADC VPX 在 亚马逊云科技 上的部署架构示例
上图显示了具有 Citrix ADC VPX 部署的 AWS VPC 的典型拓扑。
AWS 虚拟私有云具有
-
一个互联网网关,用于路由进出 VPC 的流量。
-
互联网网关与互联网之间的网络连接。
-
三个子网,分别用于管理、客户端和服务器。
-
互联网网关与两个子网(管理和客户端)之间的网络连接。
-
一个部署在 VPC 内的独立 Citrix ADC VPX 实例。该 VPX 实例有三个 ENI,每个子网连接一个。
部署步骤
用于灾难恢复的单 NIC 部署
Citrix ADC VPX Express 实例在 AWS Marketplace 中以 Amazon Machine Image (AMI) 的形式提供。Citrix VPX 支持的 AMI 允许的最低 EC2 实例类型为 m4.large。使用单个 VPC 子网下载并创建 VPX 实例。Citrix ADC VPX 实例至少需要 2 个虚拟 CPU 和 2 GB 内存。执行的初始配置包括网络接口配置、VIP 配置和功能配置。可以通过登录 GUI 或通过 SSH(用户名:nsroot)执行进一步配置。
配置的输出内容包括以下各项:
-
InstanceIdNS - 新创建的 VPX 实例的实例 ID。这是 GUI/SSH 访问的默认密码。
-
ManagementURL - 使用此 HTTPS URL 访问管理 GUI(使用自签名证书)以登录 VPX 并进行进一步配置。
-
ManagementURL2 - 使用此 HTTP URL 访问管理 GUI(如果您的浏览器在处理自签名证书时遇到问题)以登录 VPX。
-
PublicNSIP - 使用此公共 IP 通过 SSH 登录设备。
-
PublicIpVIP - 可访问负载均衡应用程序的公共 IP。
VPX 以单网卡模式部署。
标准的 NetScaler® IP 地址:NSIP(管理 IP)、VIP(访问负载均衡应用程序的 IP)和 SNIP(用于向后端实例发送流量的 IP)都配置在单个网卡上,并从所提供的 VPC 子网的 (RFC1918) 地址空间中获取。(RFC1918) NSIP 映射到 VPX 实例的公共 IP,RFC1918 VIP 映射到公共弹性 IP。
许可证
在 AWS 上运行的 Citrix ADC VPX 实例需要许可证。
在 AWS 上运行的 Citrix ADC VPX 实例有以下许可选项:
部署方式选择
用户可以使用以下选项在 AWS 上部署 Citrix ADC VPX 独立实例
-
AWS 网页控制台
-
Citrix 编写的云形成模板
-
AWS 命令行界面
部署步骤
用户可以通过 AWS Web 控制台在 AWS 上部署 Citrix ADC VPX 实例。
部署过程涵盖了以下几个步骤:
-
创建密钥对
-
创建虚拟私有云 (VPC)
-
创建 VPX 实例
-
创建单个 VPC 子网
-
创建网络接口的配置信息
-
将 NSIP 映射到 VPX 实例的公共 IP
-
将 VIP 映射到公共弹性 IP
-
连接到 VPX 实例
创建密钥对
Amazon EC2 使用密钥对来加密和解密登录信息。要登录实例,用户必须创建密钥对,在启动实例时指定密钥对的名称,并在连接到实例时提供私钥。
当用户使用 AWS 启动实例向导查看和启动实例时,系统会提示他们使用现有密钥对或创建新密钥对。
有关如何创建密钥对的更多信息,请参阅 Amazon EC2 密钥对和 Linux 实例
创建 VPC
Citrix ADC VPC 实例部署在 AWS VPC 内部。VPC 允许用户定义专用于其 AWS 账户的虚拟网络。
有关 AWS VPC 的更多信息,请参阅 亚马逊 VPC 的 IPv4 入门。
为 Citrix ADC VPX 实例创建 VPC 时,请记住以下几点。
使用“仅包含单个公共子网的 VPC”选项在 AWS 可用区中创建 AWS VPC。
Citrix 建议用户将先前创建的 NSIP 和 VIP 地址映射到公共子网。
使用 亚马逊云科技 Express 亚马逊机器镜像 创建 Citrix ADC VPX 实例
从 AWS VPX Express AMI 镜像中创建一个 思杰 应用交付控制器 VPX 实例。
从 AWS 控制面板中,转到 计算 > 启动实例 > AWS 市场。
在单击 Launch Instance 之前,用户应通过检查 Launch Instance 下方显示的说明来确保其区域正确。
在 AWS Marketplace 搜索栏中,搜索关键词 思杰 应用交付控制器 VPX。
选择要部署的版本,然后点击 选择。
对于 Citrix ADC VPX 版本,用户有以下选项
-
一个许可版本
-
Citrix ADC VPX Express 设备(一个免费的虚拟设备,该设备从 Citrix ADC 12.0 56.20 版本开始提供。)
-
自带设备部署
启动实例向导已启动。请按照向导的指示创建一个实例。
向导会提示用户
-
选择实例类型
-
配置实例设置
-
添加存储
-
添加标签
-
审查
分配和关联弹性 IP
如果用户为实例分配公共 IP 地址,该地址仅在实例停止之前保持分配状态。之后,该地址将被释放回地址池。当用户重新启动实例时,会分配一个新的公共 IP 地址。
相比之下,弹性 IP (EIP) 地址会一直保持分配状态,直到该地址与实例解除关联。
为管理 NIC 分配并关联一个弹性 IP。
有关如何分配和关联弹性 IP 地址的更多信息,请参阅以下主题:
这些步骤完成了在 AWS 上创建 Citrix ADC VPX 实例的过程。实例可能需要几分钟才能准备就绪。请检查实例是否已通过其状态检查。用户可以在“实例”页面上的“状态检查”列中查看此信息。
连接到 VPX 实例
用户创建 VPX 实例后,可以使用 GUI 和 SSH 客户端连接到该实例。
GUI 连接
以下是访问 Citrix ADC VPX 实例的默认管理员凭据
-
用户名:
nsroot -
密码:
nsroot帐户的默认密码设置为 Citrix ADC VPX 实例的 AWS 实例 ID。
SSH 客户端连接
在 AWS 管理控制台中,选择 Citrix ADC VPX 实例,然后单击“连接”。按照“连接到您的实例”页面上提供的说明进行操作。
有关如何使用 AWS Web 控制台在 AWS 上部署 Citrix ADC VPX 独立实例的更多信息,请参阅
用于灾难恢复的三网卡部署
Citrix ADC VPX 实例在 AWS Marketplace 中以 Amazon Machine Image (AMI) 的形式提供,并且可以在 AWS VPC 中作为 Elastic Compute Cloud (EC2) 实例启动。Citrix VPX 上支持的 AMI 允许的最低 EC2 实例类型为 m4.large。Citrix ADC VPX AMI 实例至少需要 2 个虚拟 CPU 和 2 GB 内存。在 AWS VPC 中启动的 EC2 实例还可以提供 VPX 配置所需的多个接口、每个接口的多个 IP 地址以及公共和私有 IP 地址。
每个 VPX 实例至少需要三个 IP 子网
-
一个管理子网
-
一个面向客户端的子网 (VIP)
-
一个面向后端的子网 (SNIP)
Citrix 建议在 AWS 上安装标准 VPX 实例时使用三个网络接口。
AWS 目前仅向在 AWS VPC 中运行的实例提供多 IP 功能。VPC 中的 VPX 实例可用于对在 EC2 实例中运行的服务器进行负载平衡。Amazon VPC 允许用户创建和控制虚拟网络环境,包括其自己的 IP 地址范围、子网、路由表和网络网关。
注意:
默认情况下,每个 AWS 账户在每个 AWS 区域最多可以创建 5 个 VPC 实例。用户可以通过提交 Amazon 的请求表单来请求更高的 VPC 限制:Amazon VPC 请求
许可证
部署在 AWS 上的 Citrix ADC VPX 实例需要许可证。
以下许可选项可用于在 AWS 上运行的 Citrix ADC VPX 实例
多种部署选项
用户可以使用以下选项在 AWS 上部署独立的 Citrix ADC VPX 实例
-
AWS 网络控制台
-
思杰编写的云地层模板
-
AWS 命令行界面
部署步骤
用户可以通过 AWS Web 控制台在 AWS 上部署 Citrix ADC VPX 实例。
部署过程将包含以下几个步骤
-
创建密钥对
-
创建虚拟私有云 (VPC)
-
添加更多子网
-
创建安全组和相应的安全规则
-
添加路由表
-
创建互联网网关
-
创建思杰应用交付控制器 VPX 实例
-
创建并附加更多网络接口
-
将弹性 IP 附加到管理 NIC
-
连接到 VPX 实例
创建密钥对
Amazon EC2 使用密钥对来加密和解密登录信息。要登录实例,用户必须创建密钥对,在启动实例时指定密钥对的名称,并在连接到实例时提供私钥。
当用户使用 AWS 启动实例向导审查并启动实例时,系统会提示他们使用现有密钥对或创建新密钥对。
有关如何创建密钥对的更多信息,请参阅 Amazon EC2 密钥对和 Linux 实例
创建 VPC
Citrix ADC VPC 实例部署在 AWS VPC 中。VPC 允许用户定义专用于其 AWS 账户的虚拟网络。
有关 AWS VPC 的更多信息,请参阅 Amazon VPC 的 IPv4 入门
在为 Citrix ADC VPX 实例创建 VPC 时,请记住以下几点
-
使用“仅含单个公共子网的 VPC”选项在 AWS 可用区中创建 AWS VPC。
-
Citrix 建议用户至少创建以下三种类型的子网:
-
一个用于管理流量的子网。将管理 IP (NSIP) 放置在此子网上。默认情况下,弹性网络接口 (ENI) eth0 用于管理 IP。
-
一个或多个用于客户端访问(用户到 Citrix ADC VPX)流量的子网,客户端通过这些子网连接到一个或多个分配给 Citrix ADC 负载平衡虚拟服务器的虚拟 IP (VIP) 地址。
-
一个或多个用于服务器访问(VPX 到服务器)流量的子网,用户服务器通过这些子网连接到 VPX 拥有的子网 IP (SNIP) 地址。
-
所有子网必须位于同一可用区中。
-
添加子网
使用 VPC 向导进行部署时,只会创建一个子网。根据用户要求,用户可能需要创建更多子网。
有关如何创建更多子网的更多信息,请参阅 VPCs and Subnets。
创建安全组以及安全规则
要控制入站和出站流量,请创建安全组并向组添加规则。
有关如何创建组和添加规则的更多信息,请参阅 Security Groups for Your VPC。
对于 Citrix ADC VPX 实例,EC2 向导提供默认安全组,这些安全组由 AWS Marketplace 生成,并基于 Citrix 推荐的设置。但是,用户可以根据自己的要求创建更多安全组。
注意:
安全组上必须打开端口 22、80、443,分别用于 SSH、HTTP 和 HTTPS 访问。
添加路由表
路由表包含一组称为路由的规则,用于确定网络流量的去向。VPC 中的每个子网都必须与一个路由表关联。
有关如何创建路由表的更多信息,请参阅路由表。
创建互联网网关
Internet 网关有两个用途:在 VPC 路由表中为可路由到 Internet 的流量提供目标,以及为已分配公共 IPv4 地址的实例执行网络地址转换 (NAT)。
为互联网流量创建互联网网关。
有关如何创建 Internet 网关的更多信息,请参阅创建和附加 Internet 网关一节
使用 亚马逊 EC2 服务创建 思杰应用交付控制器 VPX 实例
要使用 AWS EC2 服务创建 Citrix ADC VPX 实例,请完成以下步骤
-
在 AWS 控制面板中,转到 计算 > EC2 > 启动实例 > AWS Marketplace。
-
在单击 启动实例 之前,用户应通过检查 启动实例 下方出现的注释来确保其区域正确。
-
In the Search AWS Marketplace bar, search with the keyword Citrix ADC VPX.
-
选择用户要部署的版本,然后单击“选择”。对于 Citrix ADC VPX 版本,用户有以下选项:
-
一个已获得许可的版本
-
Citrix ADC VPX Express 设备(一个免费的虚拟设备,该虚拟设备自 Citrix ADC 12.0 56.20 版本起提供。)
-
携带您自己的设备
-
启动实例向导随即启动。按照向导创建实例。
该向导会提示用户执行以下操作:
-
选择实例类型
-
配置实例设置
-
添加存储
-
添加标签
-
配置安全组设置
-
审核
创建并附加更多网络接口
为 VIP 和 SNIP 创建另外两个网络接口。
有关如何创建更多网络接口的详细信息,请参阅创建网络接口部分。
用户创建网络接口后,必须将接口附加到 VPX 实例。在附加接口之前,请关闭 VPX 实例,附加接口,然后启动实例。
有关如何附加网络接口的详细信息,请参阅启动实例时附加网络接口部分。
分配和关联弹性 IP
如果用户为 EC2 实例分配公共 IP 地址,该地址将一直保持分配状态,直到实例停止。之后,该地址将被释放回地址池。当用户重新启动实例时,会分配一个新的公共 IP 地址。
相比之下,弹性 IP (EIP) 地址会一直保持分配状态,直到该地址与实例解除关联。
为管理 NIC 分配并关联一个弹性 IP。
有关如何分配和关联弹性 IP 地址的更多信息,请参阅以下主题
这些步骤完成了在 AWS 上创建 Citrix ADC VPX 实例的过程。实例可能需要几分钟才能准备就绪。请检查实例是否已通过其状态检查。用户可以在“实例”页面上的“状态检查”列中查看此信息。
连接到 VPX 实例
用户创建 VPX 实例后,可以使用 GUI 和 SSH 客户端连接到该实例。
GUI 连接
以下是访问 Citrix ADC VPX 实例的默认管理员凭据
-
用户名:
nsroot -
密码:
nsroot账户的默认密码设置为 Citrix ADC VPX 实例的 AWS 实例 ID。
SSH 客户端连接
在 AWS 管理控制台中,选择 Citrix ADC VPX 实例,然后单击 连接。按照 连接到您的实例 页面上给出的说明进行操作。
有关如何使用 AWS Web 控制台在 AWS 上部署 Citrix ADC VPX 独立实例的更多信息,请参阅
CFT 部署
Citrix ADC VPX 在 AWS 应用商店中以亚马逊机器镜像 (AMI) 的形式提供。
在 AWS 环境中使用 CloudFormation 模板来部署 Citrix ADC VPX 之前,AWS 用户必须先接受相关条款并订阅 AWS Marketplace 上的产品。Marketplace 中提供的每个 Citrix ADC VPX 版本都需要执行此步骤。
CloudFormation 存储库中的每个模板都附带了描述模板用法和架构的文档。这些模板旨在将 Citrix ADC VPX 的推荐部署架构编纂成代码,或向用户介绍 Citrix ADC,或演示特定功能、版本或选项。用户可以重用、修改或增强这些模板,以满足其特定的生产和测试需求。大多数模板除了创建 IAM 角色的权限外,还需要完整的 EC2 权限。
CloudFormation 模板中包含的 AMI ID 是专门为特定版本的 Citrix ADC VPX(例如,版本 12.0-56.20)以及其对应的版次(例如,Citrix ADC VPX Platinum Edition - 10 Mbps)或 Citrix ADC BYOL 而特别设定的。如果用户希望将不同版本或版次的 Citrix ADC VPX 与 CloudFormation 模板一同进行使用,则需要手动编辑该模板并替换其中所包含的 AMI ID。
The latest Citrix ADC AWS-AMI-IDs are available on GitHub at Citrix ADC AWS CloudFormation Master.
CFT 单网卡部署
CloudFormation 模板除了正常的 EC2 完全权限外,还需要足够的权限来创建 IAM 角色和 Lambda 函数。此模板的用户在使用此 CloudFormation 模板之前,还需要接受条款并订阅 AWS Marketplace 产品。
此 CloudFormation 模板使用单个 VPC 子网从 VPX Express AMI 创建 VPX Express 实例。CloudFormation 模板还预置了一个 Lambda 函数,用于初始化 VPX 实例。Lambda 函数执行的初始配置包括网络接口配置、VIP 配置和功能配置。可以通过登录 GUI 或通过 SSH(用户名:nsroot)执行进一步配置。
CloudFormation 模板的输出包括以下内容:
-
InstanceIdNS - 新创建的 VPX 实例的实例 ID。这是 GUI/SSH 访问的默认密码。
-
ManagementURL2 - 使用此 HTTP URL 访问管理 GUI(如果您的浏览器在处理自签名证书时遇到问题)以登录 VPX。
-
PublicNSIP - 使用此公共 IP 通过 SSH 连接到设备。
-
PublicIpVIP - 可访问负载均衡应用程序的公共 IP。
CloudFormation 模板以单 NIC 模式部署 VPX。标准 NetScaler IP 地址:NSIP(管理 IP)、VIP(访问负载均衡应用程序的地址)和 SNIP(用于向后端实例发送流量的 IP)都配置在单个 NIC 上,并从所提供的 VPC 子网的 (RFC1918) 地址空间中获取。(RFC1918) NSIP 映射到 VPX 实例的公共 IP,RFC1918 VIP 映射到公共弹性 IP。如果 VPX 重启,公共 NSIP 映射将丢失。在这种情况下,NSIP 只能从 VPC 子网内部,从同一子网中的另一个 EC2 实例访问。其他可能的架构包括跨多个 VPC 子网的 2 NIC 和 3 NIC 配置。
CFT 三网卡部署
此模板部署一个 VPC,包含 3 个子网(管理、客户端、服务器),用于 2 个可用区。它部署一个 Internet 网关,并在公共子网上配置默认路由。此模板还在可用区之间创建了一个高可用性对,包含两个 Citrix ADC 实例:主实例上有 3 个 ENI 与 3 个 VPC 子网(管理、客户端、服务器)关联,辅助实例上有 3 个 ENI 与 3 个 VPC 子网(管理、客户端、服务器)关联。此 CFT 创建的所有资源名称都以堆栈名称的 tagName 作为前缀。
CloudFormation 模板的输出结果中包含以下内容:
-
PrimaryCitrixADCManagementURL - 这是指向主 VPX 设备管理图形用户界面的 HTTPS 网址,该网址使用了自签名证书。
-
PrimaryCitrixADCManagementURL2 - HTTP URL to the Management GUI of the Primary VPX
-
主 Citrix ADC 实例 ID - 新创建的主 VPX 实例的实例 ID
-
主 Citrix ADC 公共 VIP - 与 VIP 关联的主 VPX 实例的弹性 IP 地址
-
PrimaryCitrixADCPrivateNSIP - Private IP (NS IP) used for management of the Primary VPX
-
PrimaryCitrixADCPublicNSIP - Public IP (NS IP) used for management of the Primary VPX
-
PrimaryCitrixADCPrivateVIP - Private IP address of the Primary VPX instance associated with the VIP
-
PrimaryCitrixADCSNIP - Private IP address of the Primary VPX instance associated with the SNIP
-
SecondaryCitrixADCManagementURL - 辅助虚拟专用交换机的管理图形用户界面的 HTTPS 网址(使用自签名证书)
-
SecondaryCitrixADCManagementURL2 - 辅助虚拟专用交换机的管理图形用户界面的超文本传输协议网址
-
SecondaryCitrixADCInstanceID - Instance Id of the newly created Secondary VPX instance
-
SecondaryCitrixADCPrivateNSIP - Private IP (NS IP) used for management of the Secondary VPX
-
SecondaryCitrixADCPublicNSIP - Public IP (NS IP) used for management of the Secondary VPX
-
SecondaryCitrixADCPrivateVIP - Private IP address of the Secondary VPX instance associated with the VIP
-
SecondaryCitrixADCSNIP - Private IP address of the Secondary VPX instance associated with the SNIP
-
安全组 - VPX 所属的安全组 ID
向 CFT 提供输入时,CFT 中任何参数旁的 * 表示该字段为必填字段。例如,VPC ID* 是一个必填字段。
必须满足以下先决条件。CloudFormation 模板需要足够的权限来创建 IAM 角色,这超出了正常的 EC2 完全权限。此模板的用户在使用此 CloudFormation 模板之前,还需要接受条款并订阅 AWS Marketplace 产品。
以下列出的内容也应该存在
-
密钥对
-
3 个未分配的 EIP
-
主要管理接口
-
客户端 VIP
-
辅助管理接口
-
有关在 AWS 上预置 Citrix ADC VPX 实例的更多信息,用户可以访问 在 AWS 上预置 Citrix ADC VPX 实例
先决条件
在尝试在 AWS 中创建 VPX 实例之前,用户应确保具备以下条件
-
一个 AWS 账户,用于在亚马逊网络服务 (AWS) 虚拟私有云 (VPC) 中启动 Citrix ADC VPX AMI。用户可以在
免费创建 AWS 账户。 -
一个 AWS 身份和访问管理 (IAM) 用户账户,以安全地控制用户对 AWS 服务和资源的访问。
有关如何创建 IAM 用户账户的更多信息,请参阅 创建 IAM 用户(控制台)。
IAM 角色对于独立部署和高可用性部署都是强制性的。
IAM 角色必须具有以下权限
-
ec2:描述实例
-
ec2:描述网络接口
-
ec2:DetachNetworkInterface
-
ec2:附加网络接口
-
ec2:启动实例
-
停止 EC2 实例
-
ec2:重启实例
-
ec2:描述地址
-
ec2:关联地址
-
ec2:解除关联地址
-
自动扩缩容:*
-
简单通知服务:*
-
sqs:*
-
模拟 IAM 主体策略
-
iam:GetRole
如果使用 Citrix CloudFormation 模板,IAM 角色将自动创建。该模板不允许选择已创建的 IAM 角色。
注意:
当用户通过 GUI 登录 VPX 实例时,会出现配置 IAM 角色所需权限的提示。如果权限已配置,请忽略该提示。
有关更多信息,请参阅
注意: 用户还需要 AWS CLI 来将网络接口类型更改为 SR-IOV。
限制条件和使用准则
在 AWS 上部署 Citrix ADC VPX 实例时,适用以下限制和使用指南
-
用户在开始新的部署之前,应阅读上面列出的 AWS 术语。
-
集群功能仅在通过 Citrix ADM 自动扩缩组进行预配时受支持。
-
为了使高可用性设置有效工作,请将专用 NAT 设备关联到管理接口,或将弹性 IP (EIP) 关联到 NSIP。
有关 NAT 的更多信息,请参阅 AWS 文档中的 NAT 实例
-
数据流量和管理流量必须通过属于不同子网的 ENI 进行隔离。
-
管理 ENI 上只能存在 NSIP 地址。
-
如果使用 NAT 实例进行安全防护而不是将 EIP 分配给 NSIP,则需要进行适当的 VPC 级别路由更改。
有关进行 VPC 级别路由更改的说明,请参阅 AWS 文档中的 场景 2:具有公共和私有子网的 VPC。
- VPX 实例可以从一种 EC2 实例类型移动到另一种(例如,从 m3.large 移动到 m3.xlarge)。
有关更多信息,请访问 限制和使用指南
-
对于 AWS 上的 VPX 存储介质,Citrix 推荐使用 EBS,因为它具有持久性,并且即使从实例分离后数据仍然可用。
-
不支持动态向 VPX 添加 ENI。请重新启动 VPX 实例以应用更新。Citrix 建议用户停止独立或 HA 实例,附加新的 ENI,然后重新启动实例。主 ENI 一旦部署就无法更改或附加到不同的子网。在 VPX 停止时,可以根据需要分离和更改辅助 ENI。
-
用户可以为 ENI 分配多个 IP 地址。每个 ENI 的最大 IP 地址数量由 EC2 实例类型决定。
请参阅 Elastic Network Interfaces 中的“每个实例类型每个网络接口的 IP 地址”部分。
- 用户必须在将 IP 地址分配给 ENI 之前,在 AWS 中分配这些 IP 地址。
有关更多信息,请参阅 弹性网络接口。
-
Citrix 建议用户避免在 Citrix ADC VPX 接口上使用启用和禁用接口命令。
-
Citrix ADC
set ha node \<NODE\_ID\> -haStatus STAYPRIMARY和set ha node \<NODE\_ID\> -haStatus STAYSECONDARY命令默认处于禁用状态。 -
VPX 不支持 IPv6 协议。
-
由于 AWS 限制,不支持以下功能:
-
无故地址解析协议 (GARP)
-
L2 模式(桥接)。对于与 SNIP 位于同一子网中的服务器,透明 vServer 支持 L2(MAC 重写)。
-
带标签的虚拟局域网
-
动态路由
-
虚拟 MAC
-
-
为了使 RNAT、路由和透明 vServer 正常工作,请确保数据路径中所有 ENI 的源/目标检查已禁用。
有关更多信息,请参阅 Elastic Network Interfaces 中的“更改源/目标检查”
-
在 AWS 上的 Citrix ADC VPX 部署中,在某些 AWS 区域,AWS 基础设施可能无法解析 AWS API 调用。如果 API 调用是通过 Citrix ADC VPX 实例上的非管理接口发出的,则会发生这种情况。作为一种解决方法,请将 API 调用限制为仅管理接口。为此,请在 VPX 实例上创建 NSVLAN,并使用相应的命令将管理接口绑定到 NSVLAN。
-
例如:
-
set ns config -nsvlan <vlan id> -ifnum 1/1 -tagged NO -
save config
-
-
在提示符处重启 VPX 实例。
有关配置 NSVLAN 的更多信息,请参阅配置 NSVLAN。
- 在 AWS 控制台中,“监控”选项卡下显示的 VPX 实例的 vCPU 使用率可能很高(高达 100%),即使实际使用率低得多。要查看实际的 vCPU 使用率,请导航到“查看所有 CloudWatch 指标”。
有关更多信息,请参阅使用 Amazon CloudWatch 监控您的实例
- 或者,如果低延迟和性能不是问题,用户可以启用 CPU Yield 功能,让数据包引擎在没有流量时处于空闲状态。
有关 CPU Yield 功能以及如何启用它的更多详细信息,请访问Citrix 支持知识中心。
AWS 上的 VPX 支持
AWS 上支持的 VPX 型号**
- Citrix ADC VPX 产品标准版/企业版/白金版 - 200 Mbps
- Citrix ADC VPX 标准版/企业版/白金版 - 1000 兆比特每秒
- Citrix ADC VPX 标准版/企业版/白金版 - 3 吉比特每秒
- 思杰 应用交付控制器 VPX 标准版/企业版/白金版 - 5 Gbps
- Citrix ADC VPX 的标准版、高级版和尊享版,支持 10 Mbps
- Citrix ADC VPX 的精简版,支持 20 兆位/秒
- Citrix ADC VPX - 客户授权许可版本
支持的 AWS 区域
- 美国西部(俄勒冈)区域
- 美国西部(北加利福尼亚)区域
- 美国东部(俄亥俄)区域
- 美国东部(北弗吉尼亚)区域
- 亚太地区(首尔)区域
- 加拿大(中部)区域
- 亚太地区(新加坡)区域
- 亚太地区(悉尼)区域
- 亚太地区(东京)区域
- 亚太地区(香港)区域
- 加拿大(中部)区域
- 中国(北京)区域
- 中国(宁夏)区域
- 欧盟(法兰克福)区域
- 欧盟(爱尔兰)区域
- 欧盟(伦敦)区域
- 欧盟(巴黎)区域 * 南美洲(圣保罗)区域|
- AWS 政府云 (美国东部) 区域
支持的 AWS 实例类型
- m3.large, m3.large, m3.2xlarge
- c4.large, c4.large, c4.2xlarge, c4.4xlarge, c4.8xlarge
- m4.大型, m4.大型, m4.2倍特大型, m4.4倍特大型, m4.10倍特大型
- m5.大型, m5.特大型, m5.2倍特大型, m5.4倍特大型, m5.12倍特大型, m5.24倍特大型
- c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge, c5.24xlarge
- C5n.large, C5n.xlarge, C5n.2xlarge, C5n.4xlarge, C5n.9xlarge, C5n.18xlarge
支持的 AWS 服务
- #EC2
- #拉姆达
- #S3
- #VPC
- #路由 53
- #ELB
- #云监控
- #AWS 自动扩缩
- #云形成
- 简单队列服务 (SQS)
- 简单通知服务 (SNS)
- 身份与访问管理 (IAM)
为获得更高带宽,Citrix 建议使用以下实例类型
| 实例类型 | Bandwidth | 增强型网络 (SR-IOV) |
|---|---|---|
| M4.10x 大型 | 3 千兆位每秒 和 5 千兆位每秒 | 是 |
| C4.8x 大型 | 3 千兆位每秒 和 5 千兆位每秒 | 是 |
| C5.18xlarge/M5.18xlarge | 25 吉比特每秒 | ENA |
| C5n.18xlarge | 30 吉比特每秒 | ENA |
要了解当前支持的 VPX 型号和 AWS 区域、实例类型和服务,请访问 VPX-AWS 支持矩阵。