ADC

So funktioniert Hochverfügbarkeit auf AWS

Sie können zwei Citrix ADC VPX-Instanzen auf AWS als aktives und passives Paar mit hoher Verfügbarkeit (HA) konfigurieren. Wenn Sie eine Instanz als primären Knoten und die andere als sekundären Knoten konfigurieren, akzeptiert der primäre Knoten Verbindungen und verwaltet Server. Der sekundäre Knoten überwacht den primären Knoten. Wenn der primäre Knoten aus irgendeinem Grund keine Verbindungen akzeptieren kann, übernimmt der sekundäre Knoten die Übernahme.

In AWS werden die folgenden Bereitstellungstypen für VPX-Instanzen unterstützt:

  • Hochverfügbarkeit innerhalb derselben Zone
  • Hohe Verfügbarkeit über verschiedene Zonen hinweg

Hinweis

Damit die Hochverfügbarkeit funktioniert, stellen Sie sicher, dass beide Citrix ADC VPX-Instanzen mit IAM-Rollen verknüpft und dem NSIP die Elastic IP (EIP)-Adresse zugewiesen sind. Sie müssen NSIP keine EIP zuweisen, wenn das NSIP über die NAT-Instanz das Internet erreichen kann.

Hohe Verfügbarkeit innerhalb derselben Zonen

In einer Hochverfügbarkeitsbereitstellung innerhalb derselben Zonen müssen beide VPX-Instanzen ähnliche Netzwerkkonfigurationen haben.

Folgen Sie diesen beiden Regeln:

Regel 1. Jede Netzwerkkarte auf einer VPX-Instanz muss sich im selben Subnetz befinden wie die entsprechende Netzwerkkarte in der anderen VPX. Beide Instanzen müssen Folgendes haben:

  • Verwaltungsschnittstelle im selben Subnetz (als Management-Subnetz bezeichnet)
  • Client-Schnittstelle im selben Subnetz (als Client-Subnetz bezeichnet)
  • Serverschnittstelle im selben Subnetz (als Serversubnetz bezeichnet)

Regel 2. Die Reihenfolge der Mgmt-NIC, der Client-NIC und der Server-NIC auf beiden Instanzen muss identisch sein. Beispielsweise wird das folgende Szenario nicht unterstützt.

VPX-Instanz 1

NIC 0: Verwaltung NIC 1: Client NIC 2: Server

VPX-Instanz 2

NIC 0: Verwaltung

NIC 1: Server

NIC 2: Client

In diesem Szenario befindet sich NIC 1 von Instanz 1 im Clientsubnetz, während NIC 1 von Instanz 2 im Serversubnetz ist. Damit HA funktioniert, muss sich NIC 1 der beiden Instanzen entweder im Client-Subnetz oder im Serversubnetz befinden.

Ab 13.0 41.xx kann eine hohe Verfügbarkeit erreicht werden, indem sekundäre private IP-Adressen migriert werden, die an die Netzwerkkarten (Client- und serverseitige Netzwerkkarten) des primären HA-Knotens nach dem Failover angeschlossen sind. In dieser Bereitstellung gilt:

  • Beide VPX-Instanzen haben die gleiche Anzahl von Netzwerkkarten und Subnetzzuordnung gemäß der NIC-Aufzählung.

  • Jede VPX-NIC hat eine zusätzliche private IP-Adresse, mit Ausnahme der ersten NIC - die der Verwaltungs-IP-Adresse entspricht. Die zusätzliche private IP-Adresse wird als primäre private IP-Adresse in der AWS-Webkonsole angezeigt. In unserem Dokument bezeichnen wir diese zusätzliche IP-Adresse als Dummy-IP-Adresse).

  • Die Dummy-IP-Adressen dürfen auf der Citrix ADC-Instanz nicht als VIP und SNIP konfiguriert werden.

  • Andere sekundäre private IP-Adressen müssen bei Bedarf erstellt und als VIP und SNIP konfiguriert werden.

  • Bei Failover sucht der neue Primärknoten nach konfigurierten SNIPs und VIPs und verschiebt sie von NICs, die an den vorherigen primären Knoten angeschlossen sind, auf die entsprechenden Netzwerkkarten auf dem neuen Primärbereich.

  • Citrix ADC Instanzen erfordern IAM-Berechtigungen, damit HA funktioniert. Fügen Sie der IAM-Richtlinie, die jeder Instanz hinzugefügt wurde, die folgenden IAM-Berechtigungen hinzu.

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeNetworkInterfaces" "ec2:AssignPrivateIpAddresses"

Hinweis:unassignPrivateIpAddress ist nicht erforderlich.

Diese Methode ist schneller als die Legacy-Methode. Bei der älteren Methode hängt HA von der Migration elastischer AWS-Netzwerkschnittstellen des primären Knotens zum sekundären Knoten ab.

Für eine Legacy-Methode sind die folgenden Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Bereitstellen eines Hochverfügbarkeitspaares in AWS.

Hohe Verfügbarkeit über verschiedene Zonen hinweg

Sie können zwei Citrix ADC VPX-Instanzen in zwei verschiedenen Subnetzen oder zwei verschiedenen AWS-Verfügbarkeitszonen als aktiv-passives Paar mit hoher Verfügbarkeit im Modus Independent Network Configuration (INC) konfigurieren. Beim Failover migriert die EIP (Elastic IP) des VIP der primären Instanz auf die sekundäre, die als neue primäre Instanz übernommen wird. Im Failover-Prozess wird die AWS-API:

  • Überprüft die virtuellen Server, an die IPSets angeschlossen sind.
  • Sucht die IP-Adresse mit einer zugeordneten öffentlichen IP-Adresse aus den beiden IP-Adressen, die der virtuelle Server überwacht. Eine, die direkt an den virtuellen Server angeschlossen ist, und eine, die über den IP-Satz angeschlossen ist.
  • Ordnet die öffentliche IP (EIP) der privaten IP zu, die zum neuen primären VIP gehört.

Für HA über verschiedene Zonen hinweg sind folgende Richtlinien erforderlich:

"iam:GetRole" "ec2:DescribeInstances" "ec2:DescribeAddresses" "ec2:AssociateAddress" "ec2:DisassociateAddress"

Weitere Informationen finden Sie unter Hochverfügbarkeit in AWS Availability Zones.

Bevor Sie mit der Bereitstellung beginnen

Bevor Sie mit einer HA-Bereitstellung auf AWS beginnen, lesen Sie das folgende Dokument:

Problembehandlung

Gehen Sie wie folgt vor, um Fehler während eines HA-Failovers der Citrix ADC VPX-Instanz in der AWS-Cloud zu beheben:

  • Überprüfen Sie für Version 13.0 Build 65.3 und höher die am Speicherort /var/log/ gespeicherte Datei cloud-ha-daemon.log.
  • Überprüfen Sie bei Versionen vor 13.0 Build 65.3 die am Speicherort /var/log/ gespeicherte Datei ns.log.
So funktioniert Hochverfügbarkeit auf AWS