参考架构:Application Delivery Management
概述
Citrix Application Delivery Management (ADM) 是一种集中式管理解决方案。它通过向管理员提供企业范围的可见性和自动化跨多个实例运行的管理作业,从而简化了操作。您可以管理和监视 Citrix 应用网络产品,包括 Citrix 应用程序交付控制器 (ADC) MPX、VPX、SDX、CPX、BLX、Citrix Gateway、Citrix Gateway、Citrix Web 应用程序防火墙 (WAF)。可以使用 ADM 从单个统一的控制台对整个全局应用程序交付基础结构进行管理、监视和故障排除。
ADM 还通过收集有关 Web 应用程序和虚拟桌面流量的详细信息(包括应用程序流、安全事件、用户会话级信息、网页性能数据和流经受管 Citrix 设备的数据库信息)来解决应用程序可见性挑战,并提供可行的报告。这种方法使管理员能够在几分钟内对客户问题进行故障排除和主动监视。
Citrix ADM Software 虚拟设备可以在多种部署模式下进行部署,并提供在现有 Citrix 网络设计中集成的灵活性。以下是使用 ADM Software 设备实施的部署方案。
- 单个服务器
- 高可用性(推荐)
- 灾难恢复模式
- ADM 代理部署(用于添加远程站点)
本 ADM 参考文档定义了一组用于交付 Citrix Application Delivery Management (Citrix ADM) 的体系结构构造块。目标受众是技术专业人员和建筑师,他们希望了解如何使用关键组件来支持以下目标。
ADM 设备软件架构
Citrix Application Delivery Management (ADM) 软件使用内置数据存储来提供与服务器的集成,服务器管理所有关键进程,例如数据收集、NITRO API 调用。服务器在其数据存储中存储实例详细信息清单,例如主机名、软件版本、正在运行和保存的配置、证书详细信息和实例上配置的实体。如果您想在有限的时间内处理少量流量或存储数据,则单服务器部署非常适合。
下图显示了 Citrix ADM 设备的不同内部和外部子系统组件以及内部 ADM 服务器组件与外部受管网络设备和实例之间的通信流。
Citrix ADM NITRO 服务充当 Web 服务器,处理使用端口 80 和 443 从管理 GUI 或 APIS/SDK 向设备内其他子系统发送的 HTTP 请求和响应。这些请求通过使用进程间通信 (IPC) 机制通过消息总线(消息处理系统)传输。最初,发送到 Control 子系统的 HTTP 请求,该子系统要么处理信息,要么将其发送到另一个更合适的子系统。其他每个子系统,包括清单、样书、数据收集器、配置、AppFlow 解码器、AppFlow Analytics、性能、事件、实体、SLA 管理器、置备程序、日志和守护进程(aaad/snmpd/ntpd/syslogd/监视/sshd/pitboss)都具有特定的角色。
ADM 系统设计
Citrix ADM 是一种集中式管理解决方案,它通过向管理员提供企业范围的可见性并自动执行跨多个实例的管理作业来简化操作。
要管理和监视应用程序和网络基础架构,必须首先在其中一个虚拟机管理程序上安装 Citrix ADM。您可以将 Citrix ADM 部署为单个服务器或高可用性模式。使用 Citrix ADC Insight Center 时,您可以迁移到 Citrix ADM,并利用管理、监视、编排和应用程序管理功能以及分析功能。
- 单服务器部署。在 Citrix ADM 单服务器部署中,数据库与服务器集成,单个服务器处理所有流量。您可以使用 Citrix Hypervisor、VMware ESXi、Microsoft Hyper-V 和 Linux KVM 部署 Citrix ADM。
- 高可用性部署。两台 Citrix ADM 服务器的高可用性部署 (HA) 可提供不间断的操作。在高可用性设置中,两个 Citrix ADM 节点必须以主动-被动模式部署在同一子网上,使用相同的软件版本和内部版本以及相同的配置。通过部署 HA 后,可以在 Citrix ADM 主节点上配置浮动 IP 地址,无需使用单独的 Citrix ADC 负载平衡器。
下图描述了高级 ADM HA 设备部署。
ADM 关键系统要求
在将 Citrix ADM 设备导入当前平台(即虚拟机管理程序)之前,必须了解关键系统许可、虚拟机管理程序要求、设备映像要求和 ADC 构建集成限制。
许可概览
Citrix ADM 需要经过验证的 Citrix ADC 许可证才能管理和监视 Citrix ADC 实例。
无需许可证,您可以管理和监视任意数量的受支持的实例和实体。但是,您可以在应用程序控制面板上为初始 30 个发现的应用程序选择和配置 Analytics,并查看 30 台虚拟服务器的分析数据,而无需申请额外要收集 30 多个已发现的应用程序(30 个虚拟服务器)的 Analytics,您必须购买并应用所需的许可证。
有关许可的完整信息可在有关许可的 Citrix ADM 产品文档中找到。
支持的虚拟机管理程序
作为虚拟设备部署在本地的 ADM 设备可以在 Citrix Hypervisor、VMware ESXi、Microsoft Hyper-V 和 Linux KVM 上运行。
下表列出了 Citrix ADM 支持的虚拟机管理程序。
| 虚拟机管理程序 | 版本 | 产品文档 |
|---|---|---|
| Citrix Hypervisor | 7.1 和 7.4 | Citrix Hypervisor 上的 Citrix ADM |
| VMware ESXi | 6.0 和 6.5 | 搭载 VMware ESXi 的 Citrix ADM |
| Microsoft Hyper-V | 2012 R2 和 2016 | 搭载 Microsoft Hyper-V 的 Citrix ADM |
| 通用 KVM | RHEL 7.4 和 Ubuntu 16.04 | 搭载 Linux KVM 服务器的 Citrix ADM |
ADM 设备和代理映像的要求
在远程数据中心部署的 Citrix ADC 实例可以通过在主数据中心运行的 Citrix ADM 进行管理和监视。Citrix ADC 实例将数据直接发送到主 Citrix ADM,导致广域网带宽消耗。此外,分析数据的处理利用了主 Citrix ADM 的 CPU 和内存资源。
客户的数据中心遍布全球。在客户可以选择的以下场景中,代理商发挥着至关重要的作用
- 在远程数据中心安装代理,以减少 WAN 带宽消耗。
- 限制直接向主 Citrix ADM 发送流量以进行数据处理的实例数量。
Citrix ADM 设备的要求
| 组件 | 要求 |
|---|---|
| RAM | 需要 32 GB |
| 虚拟 CPU | 需要八个 vCPU |
| 存储空间 | Citrix 建议对 Citrix ADM 部署使用固态驱动器 (SSD) 技术。默认值为 120 GB。实际存储需求取决于 Citrix ADM 大小估计。如果 Citrix ADM 存储需求超过 120 GB,则必须附加额外的磁盘。您只能添加一个额外的磁盘。 Citrix 建议您在初始部署时估算存储空间并附加额外的磁盘。使用 大小计算器 对 Citrix ADM 部署进行精确的大小估算;有关更多信息,请参阅如何将其他磁盘附加到 Citrix ADM。 |
| 虚拟网络接口 | 1 |
| 吞吐量 | 1 Gbps 或 100 Mbps |
Citrix ADM 内部部署代理的要求
代理在不同数据中心的主 Citrix ADM 和发现的实例之间起到中介作用。以下是安装代理的好处:
- 这些实例配置为代理,以便将未处理的数据直接发送到代理,而不是主 Citrix ADM。代理进行第一级数据处理,并以压缩格式将处理过的数据发送到主 Citrix ADM 进行存储。
- 代理和实例位于同一个数据中心,以便更快地处理数据。
- 对代理进行群集可在代理故障转移时重新分配 Citrix ADC 实例。当站点中的一个代理发生故障时,来自 Citrix ADC 实例的流量将切换到同一站点上的另一个可用代理。
以下是 Citrix ADM 本地代理的最低要求:
| 组件 | 要求 |
|---|---|
| RAM | 需要 8 GB 注意: 默认值为 32 GB。 Citrix 建议您将默认值增加到 32 GB 以获得更好的性能。 |
| 虚拟 CPU | 需要两个 vCPU |
| 存储空间 | 30 GB |
| 虚拟网络接口 | 1 |
| 吞吐量 | 1 Gbps |
下图显示了两个数据中心中的 Citrix ADC 实例以及使用基于多站点代理的体系结构的 Citrix ADM 高可用性部署。
主站点在高可用性配置中部署了 Citrix ADM 节点。主站点中的 Citrix ADC 实例直接注册到 Citrix ADM。
在辅助站点中,代理部署并向主站点中的 Citrix ADM 服务器注册。这些代理在处理持续流量的群集中工作,以防代理故障切换 — 辅助站点上的 Citrix ADC 实例通过代理注册到主 Citrix ADM 服务器。实例将数据直接发送到代理,而不是主 Citrix ADM。代理处理从实例接收到的数据,并以压缩格式将其发送到主 Citrix ADM。代理通过安全通道与 Citrix ADM 服务器进行通信,通过通道发送的数据将压缩以提高带宽效率。
Citrix ADM 功能所需的最低 Citrix ADC 版本
不同的 Citrix ADC 软件版本支持各种 Citrix ADM 功能。查看下表以确保已将 Citrix ADC 实例升级到正确的版本。
| Citrix ADM 功能 | Citrix ADC 软件版本 |
|---|---|
| 样书 | 10.5 及更高版本 |
| OpenStack/CloudStack 支持 | 11.0 及更高版本:如果需要分区 11.1 及更高版本:是否需要共享虚拟 LAN 上的分区。 |
| NSX 支持 | 11.1 Build 47.14 及更高版本 (VPX) |
| Mesos/Marathon 支持 | 10.5 及更高版本 |
| 备份/还原 | 10.1 及更高版本或对于 SDX 11.0 及更高版本 |
| 监视/报告和使用作业进行配置 | 10.1 及更高版本 |
| Citrix Analytics 功能 | Citrix ADC 软件版本 |
| Web Insight | 10.5 及更高版本 |
| HDX Insight | 10.1 及更高版本 |
| Security Insight | 11.0.65.31 及更高版本 |
| Gateway Insight | 11.0.65.31 及更高版本 |
| Cache Insight | 10.5 及更高版本* |
| SSL Insight | 12.0 及更高版本 |
重要说明: Citrix ADM 不支持集成缓存指标,其中运行版本 11.0 版本 66.x 的 Citrix ADM。
环境自定义和规模调整建议
尺寸设置
Citrix Application Delivery Management (ADM) 存储需求根据您的 Citrix ADM 大小估计确定。默认情况下,Citrix ADM 为您提供 120 GB 的存储容量。如果存储数据需要超过 120 GB 的 GB,则可以附加一个额外的磁盘(每个 ADM 的最大额外磁盘为 3 TB)。
备注:
- 在初始部署 Citrix ADM 时,估计存储需求并将额外的磁盘附加到服务器。
- 对于 Citrix ADM 单服务器部署,除了默认磁盘之外,您只能将一个磁盘连接到服务器。
- 对于 Citrix ADM 高可用性部署,必须向每个节点附加一个额外的磁盘。两个磁盘的大小应该相同。
- 如果之前连接了容量较低的外部磁盘,则必须先删除该磁盘,然后再连接新磁盘。
- 您可以附加一个容量超过 2 TB 的额外磁盘。如有必要,磁盘的大小也可以小于 2 TB。
- Citrix 建议对 Citrix ADM 部署使用固态驱动器 (SSD) 技术。
修剪设置
要限制存储在 Citrix ADM 服务器数据库中的报告数据量,可以对其进行修剪。您可以指定希望 Citrix ADM 保留网络报告数据、事件、审核日志和任务日志的时间间隔。默认情况下,此数据每 24 小时修剪一次(在 00.00 点)。更多细节可以 在这里找到。
备份设置
Citrix 设备可以自动备份到 Citrix ADM 服务器。此外,这些备份的数据将转发到外部服务器以进行历史趋势和审核。有关更多详细信息,请参阅 链接 。
ADM 部署场景
单服务器部署
在 Citrix ADM 单服务器部署中,数据库将部署并与服务器集成,而单个服务器将处理所有流量。您可以将 Citrix ADM 与 Citrix Hypervisor、VMware ESXi、Microsoft Hyper-V 和 Linux KVM 结合使用。
高可用性 (HA) 部署
两台 Citrix ADM 服务器的 HA 部署提供了不间断的操作。在高可用性设置中,两个 Citrix ADM 节点必须以主动-被动模式部署在同一子网上,使用相同的软件版本和内部版本,并且必须具有相同的配置。通过 HA 部署,在 Citrix ADM 主节点上配置浮动 IP 地址的功能无需单独的 Citrix ADC 负载平衡器。
以下是使用 Citrix ADM 进行高可用性部署的好处:
- 监视主节点和辅助节点之间的心跳的改进机制。
- 它提供数据库的物理流式复制,而不是逻辑双向复制。
- 高可用性配置提供了在主节点上配置浮动 IP 地址的功能,以消除对单独 Citrix 负载平衡器的需要。
- 它可以使用浮动 IP 地址轻松访问 Citrix ADM 用户界面。
- 仅在主节点上提供 Citrix ADM 用户界面。通过使用主节点,您可以消除访问辅助节点和更改辅助节点的风险。
- 配置浮动 IP 地址会处理故障切换情况,并且不需要重新配置实例。
- 提供检测和处理分脑情况的内置功能
下图描述了 ADM HA 部署。
高可用性体系结构的组件
在高可用性部署中,将其中一个 Citrix ADM 节点配置为主节点(ADM HA 节点 1),另一个将其中一个配置为辅助节点(ADM HA 节点 2)。如果主节点由于任何原因导致故障,辅助节点将接管作为新的主节点。
灾难恢复 (DR) 模式-参考体系结构
灾难是由自然灾害或人为事件引起的业务功能突然中断。灾难会影响数据中心运营,之后必须完全重建和恢复灾难现场的资源和数据丢失。数据中心中的数据丢失或停机至关重要,并使业务连续性崩溃。
Citrix ADM 灾难恢复 (DR) 功能为在高可用性模式下部署的 Citrix ADM 提供了完整的系统备份和恢复功能。在恢复时,恢复站点中提供了证书、配置文件和数据库的完整备份。
下表介绍了在 Citric ADM 中配置灾难恢复时使用的术语
| 条款 | 说明 |
|---|---|
| 主站点(数据中心 A) | 主站点以高可用性模式部署了 Citrix ADM 节点。 |
| 恢复站点(数据中心 B) | 恢复站点具有以独立模式部署的灾难恢复节点。此节点处于只读模式,在主站点关闭之前无法运行。 |
| 灾难恢复节点 | 恢复节点是部署在恢复站点中的独立节点。如果灾难选择主站点且该节点无法正常工作,则此节点将使该节点运行(对于新的主站点)。 |
注意: 主站点和 DR 站点通过默认情况下启用的端口 5454 和 22 相互通信。
下图显示了灾难恢复工作流、灾难发生前的初始设置以及灾难发生后的工作流。
该图显示了灾难发生前的灾难恢复设置。
主站点将 Citrix ADM 节点部署在高可用性模式下,如上一节所示。
恢复站点具有远程部署的独立 Citrix ADM 灾难恢复节点。灾难恢复节点处于只读模式,从主节点接收数据以创建数据备份。还会发现恢复站点中的 Citrix ADC 实例,但它们没有任何流量流经过。在备份过程中,所有数据、文件和配置都将从主节点发送和复制到灾难恢复节点上。
在灾难恢复站点启动脚本后,灾难恢复站点现在成为新的主站点。您还可以访问 DR 用户界面。
有关灾难恢复 (DR) 功能的完整信息,请参阅 Citrix ADM 产品文档文章 配置灾难恢复以实现高可用性。
ADM 代理部署
您可以安装和配置代理,以启用主 Citrix ADM 与另一个数据中心中的托管 Citrix ADC 实例之间的通信。
您可以在企业数据中心的以下虚拟机管理程序上安装代理:
- Citrix Hypervisor
- VMware ESXi
- Microsoft Hyper-V
- Linux KVM 服务器
每个站点安装的代理数量取决于正在处理的流量。目前,Citrix 已针对代理故障切换场景验证了每个站点的两个代理。Citrix 建议您在每个站点至少安装两个代理,以便在代理程序故障切换时流向另一个代理。
出于通信目的,代理和 Citrix ADM 内部部署服务器之间必须打开以下端口。
| 类型 | 端口 | 详细信息 |
|---|---|---|
| TCP | 8443,7443,443 | 用于代理与 Citrix ADM 本地服务器之间的出站和入站通信 |
代理和 Citrix ADC 实例之间必须打开以下端口。
| 类型 | 端口 | 详细信息 |
|---|---|---|
| SNMP | 161,162 | 将 SNMP 事件从 Citrix ADC 实例接收到代理。 |
| TCP | 5557 | 用于代理和 Citrix ADC 实例之间的日志流通信。 |
引用
Citrix Application Delivery Management 产品文档
附录
Citrix Networking 设备和功能概述
VPX 概述
Citrix ADC 是一个应用程序交付控制器,可执行特定于应用程序的流量分析,以智能地分配、优化和保护 Web 应用程序的第 4 层第 7 层 (L4-L7) 网络流量。例如,Citrix ADC 根据单个 HTTP 请求而非持续的 TCP 连接做出负载平衡决策,因此服务器的故障或速度下降可更快地得到处理,对客户端的干扰也较少。其功能集可大致分为交换功能、安全性和保护功能以及服务器场优化功能。
Citrix ADC VPX 是一个基于软件的平台,可通过互联网和私有网络提供业界领先的应用程序交付。 此虚拟设备可以部署在本地虚拟机管理程序或云平台上。该 VPX 设备受 Citrix Hypervisor、VMware ESXi、Microsoft Hyper-V、Linux KVM、Microsoft Azure 和 Amazon Web Services (AWS) 的支持。
VPX 提供 Citrix Networking 产品系列的全部功能,吞吐能力从 10 Mbps 到 100 Gbps 不等。性能由平台许可证控制,可以通过升级平台许可证按需提高性能。
Azure 中的 Citrix ADC VPX
Azure 中的 Citrix ADC VPX 部署在虚拟网络 (VNET) 中,可从 Azure 应用商店以基于订阅、签入/签出或自带许可证 (BYOL) 版本的形式提供。推荐的配置包括三个 NIC:管理、客户端子网和服务器端子网。除以下功能外,所有本地 Citrix Networking 功能均可在 Azure 中使用,但以下功能除外:群集、IPv6、免费 ARP (GARP)、L2 模式、标记 VLAN、动态路由、虚拟 MAC (VMAC)、USIP 和巨型帧。
有关在 Azure 中使用 Citrix ADC VPX 的更多详细信息可以 在这里找到。
AWS 中的 Citrix ADC VPX
AWS 中的 Citrix ADC VPX 部署在虚拟私有云 (VPC) 中,并以基于订阅的形式从 AWS Marketplace 以 Amazon Machine Image (AMI) 的形式提供,或带给您自己的许可证 (BYOL) 版本。推荐的配置包括三个弹性网络接口 (ENI):管理、面向客户端和后端子网。除以下功能外,所有本地 Citrix Networking 功能均可在 AWS 中使用:IPv6、免费 ARP (GARP)、L2 模式、标记 VLAN、动态路由、虚拟 MAC (VMAC)。
有关在 AWS 中使用 Citrix ADC VPX 的更多详细信息, 请单击此处。
MPX 概述
Citrix ADC MPX 是一个基于硬件、高性能的平台,可通过 Internet 和私有网络提供业界领先的应用程序交付,将应用程序级安全性、优化和流量管理结合到单个集成的设备中。所有 MPX 设备都支持 Citrix nCore 技术,这使他们能够使用多核 CPU 系统来实现所有应用程序工作负载的数千兆位性能和巨大的可扩展性。
MPX 可以集成到任何网络中,作为对现有负载平衡器、服务器、缓存和防火墙的补充。它不需要额外的客户端或服务器端软件,可以使用基于 Web 的 GUI 和 CLI 配置实用程序进行配置。灵活的随增长付费许可可帮助客户保护投资,避免昂贵的硬件升级,并降低总体拥有成本。
SDX 概述
Citrix ADC SDX 平台提供在单个设备上运行的完全隔离的网络实例。每个实例都是一个完整的环境,它优化了通过互联网和私有网络的应用程序的交付。SDX 平台将应用程序级安全性、优化和流量管理结合到一个集成的设备中。SDX 设备的架构使每个实例都作为一个独立的虚拟机运行,具有自己的专用内核、CPU 资源、内存资源、地址空间和带宽分配。网络 I/O 的完成方式不仅可以保持总体系统性能,而且还可以完全隔离每个租户的数据和管理层面流量。
Citrix ADC 可以使用各种方法(例如单臂模式或双臂模式)连接到网络。Citrix ADC 需要多个 IP 地址才能在网络上运行。最重要的 IP 地址是:
- NSIP (ADC IP): 每个实例只能分配一个 NSIP,用于管理。NSIP 地址不在高可用性 (HA) 对之间共享。
- VIP(虚拟服务器 IP): 虚拟服务器 IP 用于在 Citrix ADC 上托管服务。例如负载平衡虚拟服务器、SSL VPN 虚拟服务器等。VIP 地址在高可用性 (HA) 对之间共享。
- SNIP(子网 IP): 此 IP 地址用于访问特定子网。在访问配置为与子网 IP 一起使用的特定子网上的资源时,该 IP 用作网络上的源地址。SNIP 在高可用性 (HA) 对之间共享。
Citrix Application Delivery Management 分析 (Insight) 概述
Web Insight
通过提供对应用程序的集成实时监视,提供企业 Web 应用程序的可见性,使 IT 管理员能够使用 Citrix ADC 监视所有 Web 应用程序Web Insight 提供用户和服务器响应时间之类的关键信息,从而让 IT 组织能够监视并改进应用程序性能。
HDX Insight
为通过 Citrix ADC 的 ICA 流量提供端到端可见性。HDX Insight 让管理员能够查看实时客户端和网络延迟指标、历史报告和端到端性能数据,以及对性能问题进行故障排除。
Gateway Insight
它提供了用户在登录时遇到的故障的可见性,无论访问模式如何。您可以查看在给定时间登录的用户列表。此外,活动用户的数量、活动会话数以及所有用户在任何给定时间使用的字节数和许可证。
Security Insight
它提供了一个单窗格解决方案,可帮助您评估应用程序安全状态,并采取纠正措施来保护应用程序。
SSL Insight
SSL Insight 提供了对安全网络交易 (HTTPS) 的可见性。它允许 IT 管理员通过提供对安全 Web 交易的集成式实时和历史监视来监视 Citrix ADC 提供服务的所有安全 Web 应用程序。
TCP Insight
TCP Insight 提供了一种简单且可扩展的解决方案,用于监视 ADC 实例中使用的优化技术和拥塞控制策略(或算法)的指标,以避免数据传输中的网络拥塞。
Video Insight
Video Insight 功能提供了一个安全且可扩展的解决方案,用于监视 Citrix ADC 实例用于改善客户体验和运营效率的视频优化技术的指标。
WAN Insight
WAN Insight 分析使管理员能够轻松监视在数据中心和分支广域网优化设备之间流动的加速和未加速的 WAN 流量。WAN Insight 还提供对网络上客户端、应用程序和分支机构的可见性,以帮助有效地排查网络问题。