Citrix ADC 和 Amazon Web Services 验证的参考设计
概述 Citrix Networking VPX
Citrix ADC 是一款一体化应用程序交付控制器,它通过使用以下方法使应用程序的运行速度提高五倍、降低应用程序拥有成本、优化用户体验并确保应用程序始终可用:
- 高级第 4-7 层服务负载均衡和流量管理
- 久经考验的应用程序加速,如 HTTP 压缩和缓存
- 集成应用程序防火墙,确保应用程序安全
- 卸载服务器以显著降低成本并整合服务器
作为服务和应用程序交付领域无可争议的领导者,Citrix ADC 已部署在全球数千个网络中,以优化、保护和控制所有企业和云服务的交付。Citrix ADC 直接部署在 Web 和数据库服务器的前面,将高速负载平衡和内容切换、HTTP 压缩、内容缓存、SSL 加速、应用程序流可见性和强大的应用程序防火墙整合到一个易于使用的集成平台中。通过端到端监视,将网络数据转换为可操作的商业智能,大大简化了会议 SLA。Citrix ADC 允许使用简单的声明式策略引擎定义和管理策略,而无需编程专业知识。
概述Amazon Web Services 中的 Citrix ADC
从版本 10.5—61.11 开始,Amazon Web Services (AWS) 中提供对 Citrix Networking VPX 的支持。Citrix Networking VPX 在 AWS 市场上以 Amazon Machine Image (AMI) 的形式提供。AWS 上的 Citrix Networking VPX 使客户能够利用 AWS 云计算功能,并使用 Citrix ADC 负载平衡和流量管理功能来满足其业务需求。AWS 上的 Citrix ADC 支持物理 Citrix ADC 设备的所有流量管理功能。在 AWS 中运行的 Citrix ADC 实例可以部署为独立实例或高可用性对。
Citrix Networking VPX AMI 打包为在 AWS VPC 中启动的 EC2 实例。VPX AMI 实例最低需要 2 个虚拟 CPU 和 2 GB 内存。从 AWS VPC 内启动的 EC2 实例还可以提供多个接口,每个接口有多个 IP 地址,以及 VPX 配置所需的公共和专用 IP 地址。目前,在 AWS 上,VPX 只能在 VPC 中启动,因为每个 VPX 实例至少需要三个 IP 地址。(虽然 AWS 上的 VPX 可以通过一个或两个弹性网络接口来实现,但 Citrix 建议对 AWS 上的标准 VPX 安装使用三个网络接口)。AWS 目前只对在 AWS VPC 中运行的实例提供多 IP 功能。VPC 中的 VPX 实例可用于对 EC2 实例中运行的服务器实现负载平衡。
Amazon VPC 允许您创建和控制虚拟网络环境,包括您自己的 IP 地址范围、子网、路由表和网络网关。
注意:
默认情况下,每个 AWS 帐户的每个 AWS 区域最多可以创建 5 个 VPC 实例。您可以通过提交 Amazon 申请表来请求更高的VPC 限制。
在 AWS VPC 中启动了 Citrix Networking VPX 的 EC2 实例(AMI 映像)。
下图显示了典型的 AWS VPX 部署。
图中显示了采用 Citrix Networking VPX 部署的 AWS VPC 的简单拓扑结构。AWS VPC 包含:
- 用于路由 VPC 内外部流量的单个 Internet 网关。
- Internet 网关与 Internet 之间的网络连接。
- 三个子网,分别用于管理、客户端和服务器。
- Internet 网关与两个子网(管理和客户端)之间的网络连接。
- 在 VPC 中部署的单个 Citrix Networking VPX。VPX 实例有三个弹性网络接口 (ENI),分别连接到每个子网。
局限性与用法指南
- VPX 不支持群集功能。
- 要使高可用性按预期工作,请将专用 NATing 设备关联到管理接口,或者将 EIP 关联到 NSIP。有关 NAT 的更多信息,请参阅 AWS 文档中的 NAT 实例。
- 应使用属于两个不同子网的 ENI 将数据流量与管理流量隔离。
- 管理 ENI 上只能使用 NSIP 地址。
- 如果使用 NAT 实例来实现安全性,而不是将 EIP 分配给 NSIP,需要更改恰当的 VPC 级别路由。有关更改 VPC 级别路由的说明,请参阅 AWS 文档中的 场景 2:带有公有子网和私有子网的 VPC。
- VPX 实例可以从一种 EC2 实例类型移动到另一种类型(例如,从 m3.large 到 m3.xlarge)。
- 对于 AWS 上的 VPX 的存储方案,Citrix 建议选择 EBS,因为它具有持久性,并且即使从实例断开连接,仍然可用。
- 不支持将 ENI 动态添加到 VPX。您必须重新启动 VPX 实例才能应用更新。Citrix 建议您停止独立或高可用性实例,连接新的 ENI,然后重新启动实例。
- 您可以将多个 IP 地址分配给一个 ENI。每个 ENI 的 IP 地址最大数量取决于 EC2 实例类型,请参阅对 ENI 和 IP 地址的 EC2 支持。
- Citrix 建议避免在 Citrix Networking VPX 接口上使用启用和禁用接口命令。
由于 AWS 的限制,不支持以下功能:
第 3 层限制:
- 动态路由
- IPV6
第 2 层限制:
- 免费 ARP (GARP)
- L2 模式
- 已标记的 VLAN
- 虚拟 MAC (VMAC)
支持的 EC2 实例、弹性网卡和 IP 地址容量
Citrix ADC AMI 可以在以下任何 EC2 实例类型上启动。此表列出了每种受支持的 EC2 实例类型及其相应的受支持 ENI 数量,以及每个 ENI 的专用 IPv4 地址数。
| Instance Name(实例名称) | ENI 数 | 每个 ENI 的专用 IPv4 地址 |
|---|---|---|
| t2.small | 3 | 4 |
| t2.medium | 3 | 6 |
| t2.large | 3 | 12 |
| t2.xlarge | 3 | 15 |
| t2.2xlarge | 3 | 15 |
| m3.large | 3 | 10 |
| m3.xlarge | 4 | 15 |
| m3.2xlarge | 4 | 30 |
| m4.large | 2 | 10 |
| m4.xlarge | 4 | 15 |
| m4.2xlarge | 4 | 15 |
| m4.4xlarge | 8 | 30 |
| m4.10xlarge | 8 | 30 |
| m4.16xlarge | 8 | 30 |
| m5.large | 3 | 10 |
| *m5.xlarge | 4 | 15 |
| m5.2xlarge | 4 | 15 |
| m5.4xlarge | 8 | 30 |
| m5.8xlarge | 8 | 30 |
| m5.12xlarge | 8 | 30 |
| m5.16xlarge | 15 | 50 |
| m5.24xlarge | 15 | 50 |
| m5a.large | 3 | 10 |
| m5a.xlarge | 4 | 15 |
| m5a.2xlarge | 4 | 15 |
| m5a.4xlarge | 8 | 30 |
| m5a.8xlarge | 8 | 30 |
| m5a.12xlarge | 8 | 30 |
| m5a.16xlarge | 15 | 50 |
| m5a.24xlarge | 15 | 50 |
| c4.large | 3 | 10 |
| c4.xlarge | 4 | 15 |
| c4.2xlarge | 4 | 15 |
| c4.4xlarge | 8 | 30 |
| c4.8xlarge | 8 | 30 |
| c5.large | 3 | 10 |
| c5.xlarge | 4 | 15 |
| c5.2xlarge | 4 | 15 |
| c5.4xlarge | 8 | 30 |
| c5.9xlarge | 8 | 30 |
| c5.12xlarge | 8 | 30 |
| c5.18xlarge | 15 | 50 |
| c5.24xlarge | 15 | 50 |
| c5a.large | 3 | 10 |
| c5a.xlarge | 4 | 15 |
| c5a.2xlarge | 4 | 15 |
| c5a.4xlarge | 8 | 30 |
| c5a.9xlarge | 8 | 30 |
| c5a.12xlarge | 8 | 30 |
| c5a.18xlarge | 15 | 50 |
| c5a.24xlarge | 15 | 50 |
| c5n.large | 3 | 10 |
| c5n.xlarge | 4 | 15 |
| c5n.2xlarge | 4 | 15 |
| c5n.4xlarge | 8 | 30 |
| c5n.9xlarge | 8 | 30 |
| c5n.18xlarge | 15 | 50 |
| d2.xlarge | 4 | 15 |
| d2.2xlarge | 4 | 15 |
| d2.4xlarge | 8 | 30 |
| d2.8xlarge | 8 | 30 |
* 首选实例类型
有关更多信息,请参阅 Amazon EC2 实例
用例
与要求将每项服务作为单独的虚拟设备部署的替代解决方案相比,AWS 上的 Citrix ADC 将四级负载平衡、L7 流量管理、服务器卸载、应用程序加速、应用程序安全和其他基本应用程序交付功能整合到单个 VPX 中实例,可通过 AWS Marketplace 方便地获得。此外,所有内容均受单一策略框架管理,并使用用于管理本地 Citrix ADC 部署的相同功能强大的工具集进行管理。最终结果是,AWS 上的 Citrix ADC 支持多个引人注目的用例,这些用例不仅支持当今企业的迫切需求,而且还支持从传统计算基础设施向企业云数据中心的持续演变。
Web 和Virtual Apps and Desktops 的生产交付
积极采用 AWS 作为基础设施即服务 (IaaS) 产品来生产应用程序交付的企业现在可以使用世界上最大的网站和云服务提供商所使用的相同云联网平台来对这些应用程序进行前端处理。可以利用广泛的卸载、加速和安全功能来增强性能并降低成本。
Citrix Desktops as Service 是一种云就绪解决方案,用于将任何 Windows 应用程序或桌面交付到通过任何网络向任何设备交付的云服务。通过今天部署这个扩展的应用程序和桌面交付平台,您可以利用任何虚拟基础架构或云管理平台。这使您能够利用云计算的自动化和协调功能。
混合云设计
遵循混合云战略的企业 IT 组织通过选择最适合其私有云的应用程序和使用情景以及最适合公共云的应用程序和使用情景来实现两全其美,从而使他们能够灵活调整、发展和转型以满足现代工作场所的需求。
借助 AWS 上的 Citrix ADC,跨越企业数据中心并扩展到 AWS 的混合云可以从同一个云联网平台中受益。Citrix ADC 显著简化了应用程序和工作负载在私有数据中心和 AWS 之间来回转换。AWS 上的 Citrix ADC 可以利用全套功能,从使用 DataStream 实现的智能数据库负载平衡到使用 AppFlow® 实现前所未有的应用程序可见性,以及通过 Action Analytics 进行实时监视和响应。
业务连续性
希望将 AWS 用作灾难恢复和业务连续性计划的企业可以依靠在本地和 AWS 中运行的 Citrix ADC 全球服务器负载平衡来持续监视企业数据中心和 AWS 环境的可用性和性能,从而确保用户总是被发送到最佳位置。
在 Citrix ADC 设备上配置 GSLB 并启用度量交换协议 (MEP) 时,设备使用 DNS 基础设施将客户端连接到最符合您设置标准的数据中心。条件可以指定负载最少的数据中心、最近的数据中心、响应来自客户端位置的请求最快的数据中心、这些衡量指标的组合以及 SNMP 衡量指标。设备会跟踪每个数据中心的位置、性能、负载和可用性,并使用这些因素来选择要向其发送客户端请求的数据中心。GSLB 配置由配置中的每个设备上的一组 GSLB 实体组成。这些实体包括 GSLB 站点、GSLB 服务、GSLB 虚拟服务器、负载平衡和/或内容交换服务器以及 ADNS 服务。
开发和测试
企业在本地运行生产交付,但使用 AWS 进行开发和测试现在可以在其 AWS 测试环境中包含 Citrix ADC,这样可以更好地模仿测试环境中的生产实施,从而缩短了生产时间。
在每个用例中,网络架构师还可以利用 Citrix CloudBridge(配置为独立实例或 Citrix ADC 铂金版实例的功能)来保护和优化一个或多个企业数据中心与 AWS 云之间的连接,从而加快数据传输/同步并最大限度地降低网络成本。
AWS 网络架构 — ENI 和 EIP
在 VPC 中启动的 Citrix ADC 实例最多可以有八个弹性网络接口 (ENI)。反过来,可以为每个 ENI 分配一个或多个专用 IP 地址,每个专用 IP 地址都可以选择映射到可公开路由的弹性 IP 地址。
在这种情况下,网络接口和 IP 地址之所以具有“弹性”,是因为能够以编程方式将它们重新映射到其他实例,此功能无需等待硬件更换或 DNS 更改完全传播到所有实例,即可从实例或可用区故障中恢复您的客户。
其他需要考虑的详细信息包括以下内容:
- 一个实例可以在不同的子网中具有不同的 ENI(但不能在不同的可用区中)。
- 每个 ENI 必须至少分配一个 IP 地址,并且必须分配给一个安全组(见下文)。
- 每个子网的地址 1—4(即 10.x.x.1-4)保留供 Amazon 使用。
- Citrix ADC 只知道专用 IP 地址。分配的任何 EIP 都不会显示在 Citrix ADC CLI 或任何相关管理工具中。
EC2 与 VPC
AWS 包含多种不同的服务,例如 Amazon Simple Storage Services (S3)、Amazon Elastic Compute Cloud (EC2) 和 Amazon Virtual Private Cloud (VPC)。在这种情况下,后两者之间的区别很重要。特别是,对于 EC2,虚拟机实例仅限于单个联网接口和单个 IP 地址。此外,联网功能和控件极少。这就排除了使用 EC2 for Citrix ADC(至少需要三个 IP 地址)的可能性,这也是只能在 AWS VPC 中启动 Citrix ADC 实例的原因。
VPC 不仅支持具有多个接口以及多个私有和公有 IP 地址的虚拟机,还允许您创建和控制具有自己的 IP 地址范围、子网、路由表和网络网关的隔离虚拟网络环境。
区域和可用区
在 AWS 云中,区域指的是特定的地理位置,例如美国东部。在每个区域中,至少有两个可用区,每个可用区都可被视为独立的云数据中心,经过精心设计,可以隔离其他可用区域的故障,并提供到其他可用区的低延迟网络连接相同的地区。
通过在单独的可用区中实施实例,您可以保护应用程序免受影响单个位置的故障的影响。
网络架构师在此级别需要注意的限制和依赖关系包括以下几点:
- 虽然虚拟私有云可以跨多个可用区,但它不能跨越多个区域。
- 一个 VPC 中的单个子网不能跨越多个可用区。
- 所有进出 VPC 的流量都必须通过相应的默认 Internet 网关进行路由
在 AWS 上配置 VPX
在本练习中,您将创建 VPC 和子网,并在子网中启动面向公众的实例。您的实例将能够与Internet通信,并且您可以使用 SSH(如果是 Linux 实例)或远程桌面(如果是 Windows 实例)从本地计算机访问您的实例。在现实环境中,您可以使用此场景创建面向公众的 Web 服务器;例如,托管博客。
注意:
本练习旨在帮助您快速设置自己的非默认 VPC。如果您已经拥有默认 VPC,并且想要开始在其中启动实例(而不是创建或配置新 VPC),请参阅在 默认 VPC 中启动 EC2 实例。
要完成本练习,您需要执行以下操作:
- 创建具有单个公有子网的非默认 VPC。子网使您能够根据自己的安全和运营需求对实例进行分组。公有子网是通过Internet网关访问Internet的子网。
- 为您的实例创建一个仅允许流量通过特定端口的安全组。
- 在您的子网中启动 Amazon EC2 实例。
- 将弹性 IP 地址与您的实例关联。这允许您的实例访问Internet。
您必须先注册 AWS,然后才能首次使用 Amazon VPC。当您注册时,您的 AWS 帐户将自动注册 AWS 中的所有服务,包括 Amazon VPC。如果您尚未创建 AWS 帐户,请前往 http://aws.amazon.com,然后选择 创建免费帐户。
步骤 1:创建 VPC
在此步骤中,您将使用 Amazon VPC 控制台中的 Amazon VPC 向导来创建 VPC。该向导将为您执行以下步骤:
- 创建带有 /16 CIDR 块的 VPC(一个拥有 65,536 个专用 IP 地址的网络)。有关 CIDR 表示法和 VPC 大小的更多信息,请参阅您的 VPC。
- 将Internet网关连接到 VPC。有关Internet网关的更多信息,请参阅 Internet网关。
- 在 VPC 中创建一个大小为 /24 的子网(包含 256 个专用 IP 地址的范围)。
- 创建自定义路由表,并将其与您的子网关联,以便流量可以在子网和 Internet 网关之间流动。有关路由表的更多信息,请参阅 路由表。
下图显示了您完成此步骤后 VPC 的体系结构。
使用Amazon VPC 向导创建 VPC
-
打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/。
-
在右上角的导航栏中,记下您将在其中创建 VPC 的区域。请确保在本练习的其余部分中继续在同一区域工作,因为您无法从其他区域将实例启动到您的 VPC 中。有关区域的更多信息,请参阅 区域和可用区。
-
在导航窗格中,选择 VPC 控制板,然后选择启动 VPC 向导。
注意:
请勿在导航窗格中选择您的 VPC;您无法从此页面访问 VPC 向导。
-
选择第一个选项,即 带有单一公有子网的 VPC,然后 选择 Select。
-
在配置页面上,在 VPC 名称字段中输入您的 VPC 的名称;例如 my-vpc,然后在子网名称字段中输入 子网 的名称。这有助于您在创建 VPC 和子网后,在 Amazon VPC 控制台中识别 VPC 和子网。在本练习中,您可以将剩余的配置设置保留在页面上,然后选择 创建 VPC。
(可选)如果您愿意,可以按如下方式修改配置设置,然后选择 创建 VPC。
-
IP CIDR 块显示您将用于 VPC 的 IP 地址范围 (10.0.0.0/16),公有子网字段显示您将用于子网的 IP 地址范围 (10.0.0.0/24)。如果您不想使用默认 CIDR 范围,可以指定自己的 CIDR 范围。有关更多信息,请参阅 VPC 和子网大小调整。
-
可用区列表允许您选择要在其中创建子网的可用区。您可以离开“无首选项”,让 AWS 为您选择可用区。有关更多信息,请参阅 区域和可用区。
-
在“将 S3 端点添加到您的子网”部分,您可以选择一个子网,在其中创建 VPC 端点到同一区域的 Amazon S3。有关更多信息,请参阅 VPC 终端节点。
-
Enable DNS hostnames选项,设置为“是”时,可确保在 VPC 中启动的实例接收 DNS 主机名。有关更多信息,请参阅在 您的 VPC 中使用 DNS。 -
硬件租赁选项允许您选择在您的 VPC 中启动的实例是在共享硬件还是专用硬件上运行。选择专用租赁会产生额外费用。有关硬件租赁的更多信息,请参阅 专用实例。
-
-
状态窗口显示正在进行的工作。工作完成后,选择“确定”关闭状态窗口。
-
Your VPCs page显示您的默认 VPC 和您刚刚创建的 VPC。您创建的 VPC 是非默认 VPC,因此 默认 VPC 列显示否。
查看有关您的 VPC 的信息
创建 VPC 后,您可以查看有关子网、Internet 网关和路由表的信息。您创建的 VPC 有两个路由表:一个是所有 VPC 默认都具有的主路由表,另一个是向导创建的自定义路由表。自定义路由表与您的子网关联,这意味着该表中的路由决定了子网流量的流动方式。如果您向 VPC 添加新子网,则默认情况下它将使用主路由表。
查看有关您的 VPC 的信息
- 打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/。
- 在导航窗格中,选择 您的 VPC。记下您创建的 VPC 的名称和 ID(查看“名称”和“VPC ID”列)。您将使用此信息来识别与您的 VPC 关联的组件。
- 在导航窗格中,选择 子网。控制台显示您在创建 VPC 时创建的子网。 您可以通过名称列中的子网名称识别子网,也可以使用您在上一步中获得的 VPC 信息并在 VPC 列中查看。
- 在导航窗格中,选择 互联网网关。通过查看 VPC 列,您可以找到连接到您的 VPC 的 Internet 网关,该列显示 VPC 的 ID 和名称(如果适用)。
- 在导航窗格中,选择 路由表。有两个与 VPC 关联的路由表。选择自定义路由表(主列显示否),然后选择路由选项卡,在详细信息窗格中显示路由信息:
- 表中的第一行是本地路由,它允许 VPC 内的实例进行通信。默认情况下,每个路由表中都存在此路由,您无法将其删除。
- 第二行显示 Amazon VPC 向导添加的路由,该路由用于使发往 VPC 外部 IP 地址 (0.0.0.0/0) 的流量能够从子网流向Internet网关。
- 选择主路由表。主路由表有本地路由,但没有其他路由。
步骤 2:创建安全组 12
安全组充当虚拟防火墙来控制其关联实例的流量。要使用安全组,您需要添加入站规则以控制传入实例的流量,并添加出站规则以控制来自实例的传出流量。要将安全组与实例关联,请在启动实例时指定安全组。如果您在安全组中添加和移除规则,我们会自动将这些更改应用于与安全组关联的实例。
您的 VPC 附带默认安全组。任何在启动期间未与其他安全组关联的实例都将与默认安全组关联。在本练习中,您将创建一个名为 WebServerSG 的新安全组,并在您的 VPC 中启动实例时指定该安全组。
主题
创建您的 WebServerSG 安全组
您可以使用 Amazon VPC 控制台创建安全组。
WebServerSG 安全组的规则
下表描述了 WebServerSG 安全组的入站和出站规则。您需要自己添加入站规则。出站规则是允许所有出站通信到任何地方的默认规则 — 您无需自己添加此规则。
| 入库 | |||
|---|---|---|---|
| 源 IP | 协议 | 端口范围 | 注意 |
| 0.0.0.0/0 | TCP | 80 | 允许从任何地方进行入站 HTTP 访问。 |
| 0.0.0.0/0 | TCP | 443 | 允许从任何地方进行入站 HTTPS 访问。 |
| 您的家庭网络的公有 IP 地址范围 | TCP | 22 | 允许从您的家庭网络对 Linux/UNIX 实例进行入站 SSH 访问。 |
| 您的家庭网络的公有 IP 地址范围 | TCP | 3389 | 允许从您的家庭网络对 Windows 实例进行入站 RDP 访问。 |
| 出境 | |||
|---|---|---|---|
| 目标 IP | 协议 | 端口范围 | 注意 |
| 0.0.0.0/0 | 全部 | 全部 | 允许所有出站通信的默认出站规则。 |
创建 WebServerSG 安全组并添加规则
- 打开 Amazon VPC 控制台,网址为 https://aws.amazon.com/console/。
- 在导航窗格中,选择 安全组。
- 选择 创建安全组。
- 在组名字段中,输入 WebServerSG 作为安全组的名称,并提供描述。您可以选择使用 Name tag 字段为安全组创建一个标签,其密钥为 Name,并指定一个值。
- 从 VPC 菜单中选择您的 VPC 的 ID ,然后选择“是, 创建”。
- 选择您刚刚创建的 WebServerSG 安全组 (您可以在“组名”列中查看其名称)。
- 在 入站规则选项卡上,选择 编辑 并添加入站流量规则,如下所示,然后在完成后选择 保存 :
- 从“类型”列表中选择 HTTP ,然后在“来源”字段中输入 0.0.0.0/0 。
- 选择“添加其他规则”,然后从“类型”列表中选择 HTTPS ,并在“来源”字段中输入 0.0.0.0/0 。
- 选择 添加其他规则。如果您要启动 Linux 实例,请从“类型”列表中选择 SSH ,或者如果您要启动 Windows 实例,请从“类型”列表中选择 RDP 。在“来源”字段中输入您的网络的公有 IP 地址范围。如果您不知道此地址范围,则可以在本练习中使用 0.0.0.0/0。
小心:
如果您使用 0.0.0.0/0,则允许所有 IP 地址使用 SSH 或 RDP 访问您的实例。这对于简短的练习来说是可以接受的,但对于生产环境来说是不安全的。在生产环境中,您将仅授权特定 IP 地址或地址范围访问您的实例。
步骤 3:在您的 VPC 中启动实例 14
在 VPC 中启动 EC2 实例时,必须指定要在其中启动实例的子网。在这种情况下,您将在您创建的 VPC 的公有子网中启动实例。您将使用 Amazon EC2 控制台中的 Amazon EC2 启动向导来启动您的实例。
下图显示了您完成此步骤后 VPC 的体系结构。
在 VPC 中启动 EC2 实例
- 打开 Amazon EC2 控制台。
- 在右上角的导航栏中,确保选择创建 VPC 和安全组时所在的区域。
- 在控制面板中,选择 启动实例。
- 在向导的第一页上,选择要使用的 AMI。在本练习中,我们建议您选择 Amazon Linux AMI 或 Windows AMI。
- 在 选择实例类型 页面上,您可以选择要启动的实例的硬件配置和大小。默认情况下,向导会根据您选择的 AMI 选择第一个可用的实例类型。您可以保留默认选择,然后选择 下一步:配置实例详情。
- 在 配置实例详细信息 页面上,从网络列表中选择您创建的 VPC ,并从子 网 列表中选择子网。保留其余的默认设置,然后浏览向导的后续页面,直到到达“标签实例”页面。
- 在 标签实例 页面上,您可以使用名称标签来标记您的实例;例如,name=myWebServer。这有助于您在启动 Amazon EC2 控制台后在 Amazon EC2 控制台中识别您的实例。完成后选择“下一步:配置安全组”。
- 在 配置安全组 页面上,向导自动定义 launch-wizard-x 安全组以允许您连接到您的实例。而是选择“选择现有安全组”选项,选择您之前创建的 WebServerSG 组,然后选择“查看并启动”。
- 在“查看实例启动”页面上,检查您的实例的详细信息,然后选择 Launch。
- 在“选择现有密钥对 或 创建新密钥对”对话框中,您可以选择现有密钥对或创建新密钥对。如果您创建了新的密钥对,请确保下载该文件并将其存储在安全的位置。您需要私有密钥的内容才能在实例启动后连接到实例。要启动您的实例,请选中确认复选框,然后选择 启动实例。
- 在确认页面上,选择 查看实例 ,在实例页面上查看您的 实例 。选择您的实例,然后在 描述 选项卡中查看其详细信息。专用 IP 字段显示从子网的 IP 地址范围中分配给实例的专用 IP 地址。
步骤 4:为您的实例分配弹性 IP 地址
在上一步中,您在公有子网中启动了实例,该子网具有指向 Internet 网关的路由。但是,您的子网中的实例还需要一个公有 IP 地址才能与 Internet 通信。默认情况下,不会为非默认 VPC 中的实例分配公有 IP 地址。在此步骤中,您将为您的帐户分配弹性 IP 地址,然后将其与您的实例关联。有关弹性 IP 地址的更多信息,请参阅 弹性 IP 地址。
下图显示了您完成此步骤后 VPC 的体系结构。
分配和分配弹性 IP 地址
- 打开 Amazon VPC 控制台,网址为 https://console.aws.amazon.com/vpc/。
- 在导航窗格中,选择 弹性 IP。
-
选择“分配新地址”,然后选择“是,分配”。
注意:
如果您的帐户支持 EC2-Classic,请先从网络平台列表中选择 EC2-VPC 。
- 从列表中选择 弹性 IP 地址 ,选择 操作,然后选择 关联地址。
- 在对话框中,从“关联对象”列表 中选择“实例”,然后从“实例”列表中选择您的实例。完成后选择“是,关联”。
现在可以从Internet访问您的实例。您可以使用 SSH 或远程桌面从家庭网络通过实例的弹性 IP 地址连接到实例。有关如何连接到 Linux 实例的更多信息,请参阅适用于 Linux 实例的 Amazon EC2 用户指南中的 连接到您 的 Linux 实例。有关如何连接到 Windows 实例的更多信息,请参阅适用于 Windows 实例的 Amazon EC2 用户指南中的 使用 RDP 连接到您 的 Windows 实例。
练习到此结束;您可以选择继续在 VPC 中使用您的实例,或者如果您不需要该实例,则可以终止该实例并释放其弹性 IP 地址以避免产生费用。您也可以删除自己的 VPC — 请注意,您无需为本练习中创建的 VPC 和 VPC 组件(例如子网和路由表)付费。
为 Citrix Virtual Apps and Desktops 配置 Unified Gateway
导航到您的 Citrix ADC 的管理控制台。
使用 nsroot 和 AWS 在构建过程中分配的实例 ID 登录 Citrix ADC。
安装 SSL 证书:
- 导航到 流量管理 — SSL。右键单击并启用此功能。
- 将 SSL 证书导入密钥对。
安装 SSL 证书:
- 展开 Citrix Gateway 并选择 虚拟服务器。
-
单击添加。
输入您在 Citrix ADC 构建过程中分配的公有子网中的网关和 IP 地址的名称。
注意:
稍后分配弹性 IP 地址时,请根据需要记下此 IP 地址。
- 单击“确定”,然后单击“无服务器证书”,然后选择您之前导入的证书。单击 Bind(绑定)。
- 单击“确定”和“完成”,在此阶段,Citrix Gateway 应显示为“启动”状态。
要配置Unified Gateway,请参阅 https://support.citrix.com/article/CTX205485/how-do-i-configure-unified-gateway-for-common-enterprise-applications。
提供对Unified Gateway 实例的外部访问权限:
- 在 aws.amazon.com 上登录您的 AWS 门户网站,然后导航到您的实例。
-
右键单击您的 Citrix ADC,选择 网络 ,然后选择 管理专用 IP 地址。
- 在要运行 Citrix ADC 网关的接口上单击“分配新 IP”。
-
分配 IP 地址确保使用分配给 Citrix ADC 网关的地址相同。
- 单击“是更新”。这会将新 IP 地址分配给 AWS 级别的实例。现在,您可以为该专用 IP 分配新的弹性 IP。
- 导航到“网络和安全”和“弹性 IP”。
-
出现提示时,单击“分配新地址”— 选择“是”以获取新的 IP 地址。
-
从列表中选择地址,然后选择 关联地址。
-
从实例列表中选择之前构建的 Citrix ADC 实例。选择此选项后,您将能够选择静态分配给实例的 IP 地址(与 Citrix Gateway 的地址相同),然后选择关联。
- 将您的 DNS 名称记录指向 Amazon 分配给您的弹性 IP 地址。
- 登录您的 Citrix Gateway。
面向 StoreFront 的高可用性负载平衡
请参阅 Citrix 配置步骤。
在两个 AWS 位置配置 GSLB
在 AWS 上为 Citrix ADC 设置 GSLB 主要包括配置 Citrix ADC 以对位于 Citrix ADC 所属的 VPC 之外的服务器的流量进行负载均衡,例如位于不同可用区域的另一个 VPC 或本地数据中心内的服务器,依此类推。
带有云负载均衡器的基于域名的服务 (GSLB DBS)
GSLB 和 DBS 概述
Citrix ADC GSLB 支持使用云负载均衡器的 DBS(基于域的服务),允许使用云负载均衡器解决方案自动发现动态云服务。此配置允许 Citrix ADC 在主动-主动环境中实现全局服务器负载平衡基于域名的服务 (GSLB DBS)。DBS 允许通过 DNS 发现扩展 AWS 和 Microsoft Azure 环境中的后端资源。
本节介绍了 AWS 和 Azure Auto Scaling 环境中的 Citrix ADC 之间的集成。本文档的最后一部分详细介绍了如何设置跨越特定于某个 AWS 区域的两个不同可用区 (AZ) 的 Citrix ADC 的 HA 对。
必备条件
Citrix ADC GSLB 服务组的先决条件包括正常运行的 AWS/Microsoft Azure 环境,具有配置安全组、Linux Web 服务器、AWS 内的 Citrix ADC、弹性 IP 和弹性负载平衡器的知识和能力。
GSLB DBS 服务集成要求为 AWS ELB 和 Microsoft Azure ALB 负载平衡器实例使用 Citrix ADC 版本 12.0.57。
Citrix ADC GSLB 服务组功能增强
GSLB 服务组实体:Citrix ADC 版本 12.0.57
引入了 GSLB 服务组,它支持使用 BDS 动态发现进行自动扩展。
DBS 功能组件(基于域的服务)应绑定到 GSLB 服务组
示例:
> add server sydney_server LB-Sydney-xxxxxxxxxx.ap-southeast-2.elb.amazonaws.com
> add gslb serviceGroup sydney_sg HTTP -autoScale DNS -siteName sydney
> bind gslb serviceGroup sydney_sg sydney_server 80
<!--NeedCopy-->
基于域名的服务 — AWS ELB
GLSB DBS 利用您的弹性负载均衡器的 FQDN 动态更新 GSLB 服务组,以包括在 AWS 中创建和删除的后端服务器。AWS 中的后端服务器或实例可以配置为根据网络需求或 CPU 使用率进行扩展。要配置此功能,我们将 Citrix ADC 指向我们的弹性负载均衡器,以便动态路由到 AWS 中的不同服务器,无需每次在 AWS 中创建和删除实例时手动更新 Citrix ADC。GSLB 服务组的 Citrix ADC DBS 功能使用 DNS 感知服务发现来确定 AutoScaler 组中标识的 DBS 命名空间的成员服务资源。
示意图:
带有云负载均衡器的 Citrix ADC GSLB DBA AutoScale 组件
在 AWS 中跨多个可用区使用 Citrix ADC HA
在 AWS 中跨不同可用区部署 Citrix ADC 是 Citrix ADC 12.1 发布的一项新功能。这是通过将 Citrix ADC 连接到弹性网络 IP 地址 (ENI) 来完成的。
该解决方案的工作方式与其他解决方案略有不同,因为它要求您在 VPX 上设置 HA 和独立的网络配置。此解决方案使用虚拟服务器的 IP 集功能的新功能来维护故障切换。
要开始使用,您必须登录 Citrix ADC 并定义或设置服务器端网络地址、客户端地址以及两者的路由。
在 AWS 控制台中,已使用弹性 IP 设置了第一个 VPX。
进入弹性接口后,要使解决方案发挥作用,首先要将该弹性 IP 与该接口上的现有私有地址关联。
建立关联后,您就可以继续进行故障转移了。
在底部,VPX 上现在应该有第二个弹性 IP。
因此,请转到 VPX 启动故障转移并返回 AWS 控制台。这次查看属于第一个 Citrix ADC 的弹性 IP,请注意新的 EIP 不存在,因为它现在已移至第二个 Citrix ADC。
要验证这一点,请在第一个和第二个 Citrix ADC 上输入 sh ow nod e 命令,查看第二个 Citrix ADC 现在是否像处于 待机 状态之前一样设置为 主状态。
现在,您可以查看实时流量了。
您可以在故障转移后向 VIP 发送请求。如果您在 Citrix ADC 上首次处于活动状态的 LB 虚拟服务器上进行统计,请注意那里没有收到任何请求。如果您在之前处于待机状态、现在处于活动状态的 Citrix ADC 上运行相同的命令,则可以看到那里有虚拟服务器命中。显示在高可用性转换之后,流量流向了新的 Citrix ADC。
现在,如果您想进行一些调试或查看当前状态,可以直接到外壳程序中查找记录,以显示高可用性故障转移发生的时间,以及何时发出 AWS 配置或 API 调用以将所有 EIP 从主 Citrix ADC 转移到辅助。
配置 AWS 组件
安全组
注意:
建议为 ELB、Citrix ADC GSLB 实例和 Linux 实例创建不同的安全组,因为每个实体所需的规则集会有所不同。为简洁起见,此示例具有整合的安全组配置。
请参阅您的 VPC 的安全组 ,以确保正确配置虚拟防火墙。
步骤 1:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到 网络和安全 > 安全组。
步骤 2:
单击“创建安全组”并提供名称和描述。该安全组包括 Citrix ADC 和 Linux 后端 Web 服务器。
步骤 3:
添加以下屏幕截图中的入站端口规则。
注意:
建议限制源 IP 访问以实现粒度强化。
Amazon Linux 后端网络服务
第 4 步:
登录您的 AWS 资源组并导航至 EC2。在 EC2 内导航到实例。
第 5 步:
点击 启动实例 ,使用下面的详细信息配置 Amazon Linux 实例。
填写有关在此实例上设置 Web 服务器或后端服务的详细信息。
Citrix ADC 配置
第 6 步:
登录您的 AWS 资源组并导航至 EC2。在 EC2 内导航到实例。
第 7 步:
点击 启动实例 ,使用下面的详细信息配置 Amazon AMI 实例。
弹性 IP 配置
注意:
如果需要降低成本,也可以让 Citrix ADC 使用单个弹性 IP 运行,因为 NSIP 没有公有 IP。取而代之的是将弹性 IP 连接到 SNIP,这可以掩盖盒子的管理访问权限,还有 GSLB 站点 IP 和 ADNS IP。
第 8 步:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到 网络和安全 ,然后配置 弹性 IP。
单击“分配新地址”以创建新的弹性 IP 地址。
将弹性 IP 配置为指向 AWS 中正在运行的 Citrix ADC 实例。
配置第二个弹性 IP,然后再次将其指向正在运行的 Citrix ADC 实例。
弹性负载平衡器
第 9 步:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到负载均衡,然后导航到负载均衡器。
第 10 步:
单击“创建负载均衡器”以配置传统负载均衡器
您的弹性负载均衡器允许您对后端 Amazon Linux 实例进行负载均衡,同时还可以对根据需求启动的其他实例进行负载均衡。
配置基于域名的全局服务器负载平衡服务
流量管理配置
注意:
需要使用域名服务器或 DNS 虚拟服务器配置 Citrix ADC,通过这些服务器将为 DBS 服务组解析 ELB/ALB 域。
步骤 1:
导航到 Traffic Management(流量管理)> Load Balancing(负载平衡)> Servers(服务器)。
步骤 2:
单击“添加”创建服务器,为弹性负载均衡器 (ELB) 提供 AWS 中的 A 记录(域名)对应的名称和 FQDN。
重复步骤 2,从 AWS 中的第二个资源位置添加第二个 ELB。
GSLB 配置
步骤 1:
导航到 流量管理 > GSLB > 站点。
步骤 3:
单击“添加”按钮配置 GSLB 站点。
为站点命名。根据您在哪个 Citrix ADC 上配置站点,将类型配置为远程或本地。站点 IP 地址是 GSLB 站点的 IP 地址。GSLB 站点使用此 IP 地址与其他 GSLB 站点通信。如果使用特定 IP 托管在外部防火墙或 NAT 设备上的云服务,则需要公有 IP 地址。该站点应配置为父站点。确保触发器监视器设置为“始终”,并确保勾选“衡量指标交换”、“网络衡量指标交换”和“持久性会话条目交换”底部的三个复选框。
建议将触发器监视器设置设置为 MEPDOWN。有关详细信息,请参阅 配置 GSLB 服务组。
第 4 步:
以下是我们 AWS 配置的屏幕截图,显示了在哪里可以找到站点 IP 地址和公有 IP 地址。它们位于“网络与安全”>“弹性 IP”下。
单击“创建”,重复步骤 3 和 4,为 Azure 中的其他资源位置配置 GSLB 站点(可以在同一 Citrix ADC 上配置)
第 5 步:
导航到 流量管理 > GSLB > 服务组。
第 6 步:
单击“添 加”以添加新的服务组。命名服务组,使用 HTTP 协议,然后在“站点名称”下选择在前面的步骤中创建的相应站点。请务必将自动缩放模式配置为 DNS,并勾选“状态”和“运行状况监视”对应的复选框。
单击“确定”创建服务组。
第 7 步:
单击“服务组成员”,然后选择“基于服务器”。选择在运行指南开头部分配置的相应弹性负载平衡服务器。将流量配置为通过端口 80。
单击创建。
第 8 步:
服务组成员绑定应填充从弹性负载平衡器接收的两个实例。
重复步骤,为 AWS 中的第二个资源位置配置服务组。(这可以在同一位置完成)。
第 9 步:
导航到 流量管理 > GSLB > 虚拟服务器。
单击“添加”创建虚拟服务器。命名服务器,将 DNS 记录类型设置为 A,服务类型设置为 HTTP,并选中“创建后启用”和“AppFlow 日志记录”复选框。单击“确定”创建 GSLB 虚拟服务器。(Citrix ADC GUI)
第 10 步:
创建 GSLB 虚拟服务器后,单击“无 GSLB 虚拟服务器服务组绑定”。
单击“添加”创建虚拟服务器。命名服务器,将 DNS 记录类型设置为 A,服务类型设置为 HTTP,并选中“创建后启用”和“AppFlow 日志记录”复选框。单击“确定”创建 GSLB 虚拟服务器。(Citrix ADC GUI)
第 11 步:
在 ServiceGroup 绑定下,使用 选择服务组名称 选择并添加在前面的步骤中创建的服务组。
第 12 步:
接下来,通过单击“否 GSLB 虚拟服务器域绑定”来配置 GSLB 虚拟服务器域绑定。配置 FQDN 和 Bind,其余设置可以保留为默认值。
第 13 步:
通过单击“无服务”来配置 ADNS 服务。添加服务名称,单击“新建服务器”,然后输入 ADNS 服务器的 IP 地址。
此外,如果您的 ADNS 已配置,则可以选择“现有服务器”,然后从菜单中选择您的 ADNS。确保协议是 ADNS,并且流量通过端口 53。
将方法配置为 LEASTCONNECTION,将备份方法配置为 ROUNDROBIN
Citrix ADC 使用 AWS Auto Scaling 后端
AWS 包含一项名为 Auto Scaling 的功能,该功能可根据管理员设置的规则启动在 AWS 中运行的其他实例。这些规则由 CPU 使用率定义,围绕按需创建和删除实例。Citrix ADC 直接与 AWS Auto Scaling 解决方案集成,使 Citrix ADC 能够识别它可以进行负载平衡的所有可用后端服务器。此功能的局限性在于它目前只能在 AWS 的一个可用区内运行。
配置 AWS 组件
步骤 1:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到 Auto Scaling > 启动配置。单击“创建启动配置”。
步骤 2:
在此步骤中,您可以选择所选的服务器类型。您可以在此处配置要自动扩展的虚拟机。在本示例中,我们必须选择 Amazon Linux AMI。
步骤 3:
从后端资源的潜在差异中进行选择,选择所需的实例类型。为运行指南的其余部分命名您的实例。实例的名称称为后端服务器。为实例配置存储并将其添加到安全组,或者创建一个包含本运行指南中创建的所有 AWS 组件的新安全组。
第 4 步:
您的安全组的附加说明。对于本运行指南,以下是已打开的端口:
Citrix ADC 后端 Auto Scaling 组和策略
在 AWS 中配置 Citrix ADC 前端 Auto Scaling:
步骤 1:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到 Auto Scaling > Auto Scaling 组。
单击 单选 按钮从现有启动配置创建 Auto Scaling 组。请务必选择我们在实验指南的上一步中创建的后端服务器。
在“创建 Auto Scaling 组”下添加组名称,选择初始组大小,选择网络和子网, 然后单击“下一步”。
注意:
必须可以通过 Citrix ADC 的子网 IP (SNIP) 访问子网。
步骤 2:
在 创建 Auto Scaling 组 配置页面上,配置您的扩展策略。您可以通过单击使用扩展策略的单选按钮来调整此组的容量来完成此操作。接下来,单击使用分步或简单扩展策略扩展 Auto Scaling 组。
步骤 3:
选择 添加新警报。
第 4 步:
在创建警报时,请配置为向 Citrix ADC 发送通知。配置警报,使得至少连续 5 分钟的 CPU 利用率平均值大于等于 70。应用该策略。
第 5 步:
在 Auto Scaling 组中进行配置,以便在策略触发时添加一个实例。
第 6 步:
配置相同的警报和策略,但这次是在 CPU 平均 <=30 持续 5 分钟时删除后端服务器。触发减少策略时,将减少组大小设置为移除 1 个实例。
注意:
对于服务器的删除,我们通知 Citrix ADC 不要向标记为删除的后端服务器发送任何流量。
单击“配置通知”和“配置标签”以查看和创建 Auto Scaling 组。
注意:
可以配置 Min 和 Max 变量以设置将在 Auto Scaling 组中创建和运行的实例的最少和最大数量。目前 AWS 仅支持使用一个网络接口启动其他实例。
在 AWS 中创建 Citrix ADC
步骤 1:
登录您的 AWS 资源组并导航至 EC2。在 EC2 中导航到 实例 > 实例。
步骤 2:
导航到左侧的 AWS Marketplace,然后搜索 Citrix ADC。选择 Citrix Networking VPX — 客户许可。确保版本号为 12.0.51.x 或更高版本才能使用 Auto Scaling。您可以选择以前的版本来选择支持 Auto Scaling 的 Citrix ADC 版本。
步骤 3:
导航到左侧的 AWS Marketplace,然后搜索 Citrix ADC。选择 Citrix Networking VPX — 客户许可。确保版本号为 12.0.51.x 或更高版本才能使用 Auto Scaling。您可以选择以前的版本来选择支持 Auto Scaling 的 Citrix ADC 版本。
选择实例类型,例如通用型 m4.xlarge 4vCPU 和 16GB RAM。单击下一步。
第 4 步:
在 配置实例详细信息 选项卡上,选择 子网 (最终必须为 NSIP、SNIP 和 VIP/Gateway 配置三个子网)。此外,您还必须添加一个 IAM 角色。单击以创建新的 IAM 角色。添加在以下步骤中找到的 IAM 角色。创建此角色后,您需要将其添加到 Citrix ADC 上的云配置文件中。
第 5 步:
云配置文件的配置如下所示:
默认情况下,CloudFormation 模板会创建和附加以下 IAM 角色
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:DescribeAddresses",
"ec2:AssociateAddress",
"ec2:DisassociateAddress",
"ec2:DescribeInstances",
"ec2:DescribeNetworkInterfaces",
"ec2:DetachNetworkInterface",
"ec2:AttachNetworkInterface",
"ec2:StopInstances",
"ec2:StartInstances",
"ec2:RebootInstances",
"autoscaling:\*",
"sns:\*",
"sqs:\*",
"iam:GetRole",
"iam:SimulatePrincipalPolicy"
]
Resource: "\*"
Effect: Allow
}
]
<!--NeedCopy-->
可以进一步限制 IAM 角色权限,如下所示:
"Action": [
ec2:DescribeInstances,
ec2:DescribeNetworkInterfaces,
ec2:DetachNetworkInterface,
ec2:AttachNetworkInterface,
ec2:StartInstances,
ec2:StopInstances,
ec2:RebootInstances,
ec2:DescribeAddresses,
ec2:AssociateAddress,
ec2:DisassociateAddress,
ec2:AssignPrivateIpAddress,
ec2:UnAssignPrivateIpAddress,
autoscaling:*,
sns:CreateTopic,
sns:DeleteTopic,
sns:ListTopics,
sns:Subscribe,
sqs:CreateQueue,
sqs:ListQueues,
sqs:DeleteMessage,
sqs:GetQueueAttributes,
sqs:SetQueueAttributes,
iam:SimulatePrincipalPolicy,
iam:GetRole
]
<!--NeedCopy-->
第 6 步:
单击“添加存储”选项。在 添加标签 选项卡上,将密钥值设置为名称,将值设置为 Citrix ADC-AutoScale 以标记这些 EC2 资源。
第 7 步:
在 配置安全组 选项卡上,创建具有以下端口要求的新安全组:
查看并启动实例。
第 8 步:
导航到 网络和安全 > 网络接口 ,然后单击 创建网络接口。
添加描述,然后选择一个子网。此子网用于您的 SNIP,因此应将其放置在内部网络的子网中。另外,选择在上一步中创建的安全组。单击 Yes, Create(是,创建)。
添加一个额外的网络接口。这是您的网关/LB VIP 的面向公有子网。创建描述并选择上面配置的安全组。
第 9 步:
导航回 实例 并选择您的 Citrix ADC。要将网络接口添加到 Citrix ADC,必须停止实例。在“操作”列表中,选择“实例状态”,然后单击“停止”。
再次单击“操作”按钮,然后向下导航到“网络”和“连接网络接口”。
NSIP 接口已连接到虚拟机,下一个要添加的接口应该是 LB-VIP,然后为 SNIP 添加服务器/内部接口。连接网络接口后,即可启动实例。
配置新的弹性 IP 并将其与您的 NSIP 接口关联。
配置 Citrix ADC 以与 AWS Auto Scaling 集成
步骤 1:
导航到您在本实验指南的上一步中与 NSIP 关联的弹性 IP,以访问 Citrix ADC 管理控制台。
配置 Citrix ADC 的第一步是附加云配置文件。单击 AWS ,然后单击“云配置文件”。接下来单击“添加”以创建云配置文件。
为云配置文件提供一个名称。虚拟服务器 IP 地址应填充 Citrix ADC 上的内部 IP 并与之关联。自动缩放组是您在本实验指南前面的步骤中创建的组。选择“优雅”,这将允许删除后端实例的超时时间,从而允许在宽限期内完成任何数据包传输并且不会终止会话。宽限期的时间延迟可以调整。
在 AWS 中配置 Citrix ADC 前端 Auto Scaling
-
要创建 Auto Scaling 组,请登录 Citrix ADM。
-
导航到 网络 > AutoScale 群组,然后单击“添加”创建群组名称。
-
在“站点”设置中,单击“添加”。
创建云访问配置文件
-
创建站点时,在 云访问配置文件中添加 AWS。
-
命名配置文件并登录您的 AWS 门户。搜索 身份和访问管理 (IAM) 服务以管理用户访问和加密密钥。
-
在 IAM 控制面板中,选择左侧面板上的 角色 并搜索相应的 Citrix ADM 角色。
-
将 角色 ARN 复制到剪贴板。
-
复制名称后,返回 Citrix ADM 控制台并将名称粘贴到 角色 ARN 文本字段中。
-
要获取外部 ID,请返回 AWS 角色 控制面板,导航至“信任关系”选项卡,然后复制 条件中的值。
-
在 Citrix ADM 控制台中,将值粘贴到“外部 ID”字段中,然后单击“创建”。
-
选择区域,然后选择相应的 VPC 网络。
-
将代理从“可用”移至“已配置”。
-
选择相应的 云访问配置文件。
-
加载后,将可用区从“可 用”移至“已配置”,并将相应的标签添加到 AutoScale 组中。选择“下一步”开始设置 AutoScal e 参数。
设置 AutoScale 参数
-
设置 AutoScale 参数时,将 阈值 和 参数 调整为所需的设置。然后单击“下一步”开始配置 配置参数 设置。
-
在 配置参数 部分中,从 IAM 角色字段中选择角色 。
-
选择相应的 Citrix ADC 产品和版本。
-
从 AWS 中的特定实例收集 Amazon Machine Image (AMI)。在 AWS AMI ID 字段中输入该 ID 。
-
添加 AMI ID后,使用相应的 组更新安全 组。
-
要开始配置区域 1、2 和 3,请分配相应的管理、客户端和服务器子网。
-
单击“完成”创建此 Auto Scaling 组的配置。创建过程最多可能需要 10-20 分钟。
在 AWS 中初始化实例
-
在创建 Auto Scaling 组时,打开 AWS 控制台并导航到服务选项卡。选择 Amazon Elastic Compute Cloud (EC2) 服务。
-
在 EC2 控制面板上,选择 实例 选项卡,然后使用在 AutoScale 组部分中设置的标签进行筛选。
-
筛选后,您可以看到仍在初始化的待处理实例。
-
实例应在创建后完成初始化。
监视 Auto Scaling 组事件
-
创建 Auto Scaling 组后,选择您的群组并进入 AutoScale 组控制面板。
-
筛选出特定的时间段以监视 Auto Scaling 组。要获得实时洞察,请将监视周期更改为“实时”。
-
单击图表中显示的以下数据点以查看任何小组活动。
-
查看特定直播事件时,您可以监视对应 Auto Scaling 组的特定事件。
使用 Citrix ADM 服务置备 Citrix ADC VPX 实例
Citrix ADM 服务是一种基于云的解决方案,能够监视 Citrix ADC 实例并了解应用程序的运行状况、性能和安全性。此外,通过利用预配工具在公有云(如 AWS)中自动创建实例,它还简化了多个位置的 ADC 实例的管理,无论这些实例位于本地还是云中。
必备条件
使用 Citrix ADM 服务在 AWS 上配置 Citrix ADC 实例需要执行一些必备文档中总结的步骤。有关更多信息,请参阅在 AWS 上预置 Citrix ADC VPX 实例。
这些步骤包括在 Citrix ADM 中预置 Citrix ADC VPX 实例之前在 AWS 上执行以下任务:
- 创建子网
- 创建安全组
- 创建 IAM 角色并定义策略
必须将 IAM 角色配置为允许 Citrix ADM 服务访问 AWS 帐户的权限。设置完所有内容后,您可以利用 Citrix ADM 服务在 AWS 上预置 VPX 实例。
使用 Citrix ADM 服务置备 Citrix ADC VPX 实例
登录 Citrix Cloud ADM 服务并导航到 网络 > 实例 > Citrix ADC。然后在“选择操作”选项卡下,单击“在云端配置”。
这会提示您定义要置备的实例的相关信息。
具体来说,您必须定义以下内容:
- 实例类型: 此处选择了独立实例。
- 名称: 您希望实例在置备时采用的名称。
- 站点: 该站点定义了您将在哪个区域或区域中进行部署。
- 代理: 代理指示站点中将提供哪个 ADM 代理。在执行自动资源调配之前,必须先进行设置。在开始本练习之前,您需要同时创建一个站点和属于该站点的代理。
- 设备配置文件: 具有“nsroot”作为用户名和所需密码的设备配置文件。Citrix ADM 调配了 Citrix ADC 后,ADC 的 nsroot 用户的密码将被设置为配置文件中提到的密码。此外,Citrix ADM 将在需要登录实例时使用此配置文件。
- 标签: 实例或实例组的可选标签。
然后为您的 AWS 帐户选择 云访问配置文件 。这是 Citrix ADM 用来登录您的 AWS 帐户以获取实体和执行配置和取消配置等操作的配置文件。Citrix ADM 服务使用该配置文件在其余字段中填充与您的帐户相关的对象。
在此方案中,有一个预定义的 IAM 角色,Citrix ADM 服务使用该角色来预置 VPX 实例,但您可以创建其他角色。
然后,您必须根据所需的吞吐量选择要部署的 VPX 实例的产品版本。
注意:
VPX Express 包含在内,供您在没有许可证的情况下部署 VPX 实例。
版本
选择主版本和次要版本,确定要运行的软件版本。
安全组
安全组应具有访问不同虚拟私有云 (VPC) 的预定义权限。由于每个实例需要三个网络接口或 vNIC,因此您需要对部署的服务应用三个不同的安全组,包括:
- 一个用于远程管理(角色 NSIP)
- 一个用于客户端访问(角色 VIP)
- 一个用于服务器端通信(角色 SNIP)
此外,您应该选择此解决方案可扩展性所需的必要数量的 IP。
最后,您必须选择希望部署所在的可用区,并为每个子网定义一致的 VPC 子网信息:
- 一个用于管理接口 (NSIP)
- 一个供客户访问 (VIP)
- 一个用于 SNIP 访问后端服务器 (SNIP)
单击“完成”后,开始部署。成功完成部署后,您会收到一条通知,告知您的 VPX 已部署。
部署完成后,您可以在 Citrix ADM 中查看 Citrix ADC VPX 实例,用于所有管理和部署目的。
然后,您可以导航到 EC2 控制台,查看使用我们在 Citrix ADM 设置中建立的名称创建的新实例。所有这些都已同步,以便在 Citrix ADM 中进行管理,并准备好将应用程序部署到 Citrix ADC。
AWS 部署
要取消配置这些实例,请导航回到 Citrix Cloud ADM 服务,然后转到 网络 > 实例 > Citrix ADC。在“选择操作”选项卡下,单击“取消配置”。
AWS 取消配置
系统会提示您确认您的操作。要继续,请选择“是”,然后撤消所有配置。
在您收到 VPX 实例已取消置备的确认信息后,您将无法再在 Citrix ADM 控制台中看到该设备。
更多信息
在本文中
- 概述 Citrix Networking VPX
- 概述Amazon Web Services 中的 Citrix ADC
- 局限性与用法指南
- 支持的 EC2 实例、弹性网卡和 IP 地址容量
- 用例
- AWS 网络架构 — ENI 和 EIP
- 在 AWS 上配置 VPX
- 为 Citrix Virtual Apps and Desktops 配置 Unified Gateway
- 面向 StoreFront 的高可用性负载平衡
- 在两个 AWS 位置配置 GSLB
- 带有云负载均衡器的基于域名的服务 (GSLB DBS)
- 在 AWS 中跨多个可用区使用 Citrix ADC HA
- 配置 AWS 组件
- 配置基于域名的全局服务器负载平衡服务
- Citrix ADC 使用 AWS Auto Scaling 后端
- Citrix ADC 后端 Auto Scaling 组和策略
- 配置 Citrix ADC 以与 AWS Auto Scaling 集成
- 在 AWS 中配置 Citrix ADC 前端 Auto Scaling
- 使用 Citrix ADM 服务置备 Citrix ADC VPX 实例
- 更多信息