Citrix SD-WAN-Plattformen

Citrix SD-WAN Standard Edition Virtual Appliance (VPX) Unterstützung für AWS

Das folgende Verfahren beschreibt, wie virtuelle SD-WAN (VPX) Appliances im Hochverfügbarkeitsmodus in der AWS-Cloud bereitgestellt werden.

Punkte, die bei der Bereitstellung von SD-WAN VPX Hochverfügbarkeitsgeräten in der AWS Cloud zu berücksichtigen sind.

  1. AWS unterstützt nicht GARP (Generic Attribute Registration Protocol), VLAN- oder L2-bezogene Funktionen wie Promiscuous-Modus und Bridging. Dies liegt daran, dass zwei VMs, die verschiedenen Kunden angehören, auf denselben Host-Netzwerkkarten geplant werden können.
  2. L2 erfordert, dass die Switch-Appliance konfiguriert wird, und diese werden nicht AWS-Benutzern zur Verfügung gestellt.
  3. Das Modell für die hohe Verfügbarkeit der SD-WAN-Appliance hängt von GARP ab. Wenn ein Failover auftritt, sendet die neue primäre Appliance GARPS für VIP-Adressen.
  4. AWS verfolgt einen neuen Ansatz für Hochverfügbarkeits-Failover. Ein neues Konzept von ENI (Elastic Network Interface) wird eingeführt. ENI ist eine Entität, die für Network Interface steht, die Attribute wie IP-Adresse, MAC-Adresse, Sicherheitsgruppe und Port Rules hat.
  5. Sie können ENIs von einer aktiven oder inaktiven Instanz in eine andere aktive oder inaktive Instanz verschieben.
  6. Die Instance muss in der Lage sein, den Hot-Plug von Schnittstellen zu verarbeiten.
  7. Jeder Instance-Typ hat Beschränkungen hinsichtlich der Anzahl der zugehörigen ENIs und der Anzahl der IPs pro ENI.
  8. AWS Design für Hochverfügbarkeits-Failover beinhaltet die Kommunikation von Instances mit dem externen Server, um Query API AWS-Server aufzurufen.
  9. Die AWS-Server sind traditionelle HTTP-Server. Eine Anfrage wird von einer Instance an den Query API-Server gesendet, um Informationen zu einem Instanc/Subnet/VPC oder einem anderen Attribut auf der AWS abzurufen oder zu veröffentlichen.
  10. Beim Setup der Cloud-Plattform wird die Konfiguration der gemeinsamen MAC-Basisadressen ignoriert und hat keine Bedeutung.

Bereitstellen von Citrix SD-WAN Standard Edition VPX im Hochverfügbarkeitsmodus mit Cloud-Vorlage

Weitere Informationen finden Sie unter EBS Best Practices und Wissenswerte Best Practices für Amazon EBS-Verschlüsselung

  • Zum Definieren von Sicherheitsgruppen muss die Richtlinie wie folgt aussehen:

    • Ausgehend: Aller Traffic zulassen
    • Eingehend:
    • SSH von allen IP-Adressen/Subnetzen, aus denen auf Management-IP zugegriffen wird.
    • Der gesamte Datenverkehr von Ihren AWS VPCs (private IPs)
    • Der gesamte Datenverkehr von den öffentlichen IPs der Citrix SD-WAN Peer Appliances, die auf Prem oder in der Cloud gehostet werden. Ab Version 11.3 hat Citrix SD-WAN Unterstützung für die M5- und C5-Instances eingeführt. Die neueren AWS-Regionen wie Hongkong und Paris unterstützen nur M5- und C5-Instances.

Die M5- und C5-Instances haben eine verbesserte Hardwareleistung und sind für anspruchsvollere Workloads ausgelegt. Die M5- und C5-Instances bieten ein besseres Preis-Leistungs-Verhältnis als die M4-Instances pro Kern.

Hinweis

  • Die M5- und C5-Instances werden nur von einer Neubereitstellung von 11.3 und höher unterstützt. Um die M5- und C5-Instances weiterhin zu verwenden, können Sie die Version 11.3 nicht von der 11.3-Version herabstufen, da die M5- und C5-Instances vor der Version 11.3 auf keiner Firmware-Version unterstützt werden.

  • Instanzen, die mit 10.2.4/11.2.1-Versionen bereitgestellt werden, können AMIs ihren Instance-Typ nicht in M5/C5 ändern.

Deployment SD-WAN Standard Edition VPX im Hochverfügbarkeitsmodus mithilfe der Cloud-Vorlage

Die SD-WAN-Hochverfügbarkeitslösung wird auf dem AWS-Marktplatz veröffentlicht. Sie können die CloudFormation-Vorlage abonnieren und zur Bereitstellung des HA-Setups verwenden.

Voraussetzungen

Bevor Sie die CloudFormation-Vorlage starten, müssen Sie VPC, Subnetze, Routingtabellen für Management-, LAN- und WAN-Netzwerk erstellen. Informationen zum Erstellen und Definieren der Subnetze und Routentabellen (falls nicht erstellt) finden Sie imInstallieren von SD-WAN VPX Standard Edition AMI auf AWSThema.

So stellen Sie SD-WAN Standard Edition VPX im Hochverfügbarkeitsmodus mithilfe der Cloud-Vorlage bereit:

  1. Gehen Sie zu AWS-Marktplatz und klicken Sie auf die Registerkarte Preise . Wählen Sie die Region aus der Dropdownliste aus, und geben Sie die Versandoption als Hochverfügbarkeitsmodus an. Klicken Sie auf Weiter zum Abonnieren.

    AWS-Vorlage

  2. Klicken Sie auf Weiter zur Konfiguration.

    Stack erstellen

  3. Geben Sie die Fulfillment-Option als CloudFormation-Vorlage und Bereitstellung des Hochverfügbarkeitsmodus aus der Dropdownliste an. Wählen Sie Region aus, und klicken Sie auf Weiter, um zu starten.

    Vorlage erstellen

  4. Wählen Sie im Fenster “Software starten” die Aktion CloudFormation starten und klicken Sie auf Starten.

    Starten

  5. Im Fenster Stack erstellen wird die vordefinierte S3-Vorlagen-URL während der CloudFormation angezeigt. Klicken Sie auf Weiter.

    URL der S3-Vorlage

  6. Geben Sie im Abschnitt Details angeben einen Stapelnamen an.

    Details angeben

  7. Konfigurieren der Konfiguration des virtuellen privaten Netzwerks. Geben Sie folgende Parameterdetails ein:
    • VPC-ID: Geben Sie die virtuelle private Cloud-ID an.
    • Remote-SSH-CIDR-IP: Geben Sie den IP-Adressbereich an, der SSH für die EC2-Instanz (Port 22) verwendet werden kann.

      Hinweis Es wird empfohlen, SSH nur von den bekannten IP-Adressen zu erlauben.

    • Remote HTTP CIDR IP: Geben Sie den IP-Adressbereich an, der HTTP für die EC2-Instanz (Port80) verwendet werden kann.
    • Remote HTTPS-CIDR-IP: Geben Sie den IP-Adressbereich an, der für die EC2-Instanz HTTPS (Port 443) verwendet werden kann.
    • Schlüsselpaar: Geben Sie einen Namen eines vorhandenen EC2 KeyPair an, um den SSH-Zugriff auf die Instanzen zu ermöglichen.

    Parameter

  8. Konfigurieren Sie Netzwerkschnittstellen, die mit den erstellten Instanzen verbunden sein müssen. Beachten Sie, dass die primären IPs für die primäre Instance des Hochverfügbarkeitspaares und Sekundär-IPs für die sekundäre Instance des Paares mit hoher Verfügbarkeit konfiguriert sind.

    Netzwerkschnittstelle

  9. Konfigurieren Sie andere Parameter wie Instant Type und Mandantentyp, und klicken Sie auf Weiter .

    Sofortiger Mietertyp

    Hinweis

    Wenn Validierungen fehlschlagen, benachrichtigt AWS Sie und lässt Sie erst fortfahren, wenn die Fehler behoben sind.

  10. Tags festlegen. Diese Tags sind AWS-spezifische Optionen, die vom Benutzer konfiguriert werden können.

    Tags

  11. Die Konfiguration der IAM-Rolle wird nicht empfohlen. Dies wird bereits durch die angepasste IAM-Rolle erstellt, die über die Cloud Formation-Vorlage erfolgt.

    Berechtigung

  12. Nachdem Sie auf Weiter geklickt haben, überprüfen Sie die Vorlage und bestätigen Sie die benutzerdefinierte IAM-Rolle, die von der Cloud Formation-Vorlage erstellt wurde. Fahren Sie mit Erstellenfort.

    Funktionen

  13. Der neue Stack, den Sie erstellt haben, wird auf der Seite Cloud Formation Stacks angezeigt. Überwachen Sie nach erfolgreichem Vorlagenupload den Status der Vorlage.

    Stacks erstellen

  14. Überwachen Sie die Ereignisse aller Ressourcen, die von der Cloud Formation-Vorlage erstellt wurden. Wenn ein Fehler auftritt, werden detaillierte Beschreibungen der Ereignisse von AWS generiert, die beim Debuggen des Problems helfen. Die Ereignisse werden wie folgt angezeigt:

    CloudFormation

  15. Nach erfolgreicher Stapelerstellung wird der Status der Vorlage als Create_Completeangezeigt.

    Erstellen Sie vollständig

  16. Navigieren Sie von der AWS-Konsole zu Services > EC2 > Instanzen. Sie können zwei Instanzen SDWANPrimary undSDWANSecondary** Instanzen sehen, die mit Elastic IPs erstellt wurden und ausgeführt werden, die mit den Instanzen verknüpft sind.

    ! [Primäre sekundäre] (/en-us/citrix-sd-wan-platforms/vpx-models/media/primary-secondary.png)

  17. Wählen Sie SDWANPrimary Instanz aus. Sie können alle Ressourcen bemerken, die der Instance, den Sicherheitsgruppen, der Elastic IP, der IAM-Rolle und vier Netzwerkschnittstellen zu Recht zugewiesen sind. Fehler beim Erstellen von Hochverfügbarkeitsfunktionen funktionieren möglicherweise nicht wie erwartet.

  18. Wählen Sie in ähnlicher Weise SDWANSecondary Instanz und überprüfen Sie die oben genannten Ressourcen.

Sekundäre Floating-IPs für LAN- und WAN

Sie benötigen sekundäre Floating-IPs für LAN- und WAN-Verbindungen, damit die hohe Verfügbarkeit funktioniert. Sobald der Stack erstellt ist, weisen Sie den LAN- und WAN-Schnittstellen der aktiven EC2-Instance neue sekundäre private IPs zu. Diese sekundär konfigurierten IPs werden beim Konfigurieren virtueller IP-Adressen in VPX verwendet.

Führen Sie das folgende Verfahren aus, um die sekundären LAN-IPs an die aktive Instance anzufügen:

Hinweis

Sobald die HA-Lösung bereitgestellt ist, müssen wir nur der primären Instance sekundäre Floating-IP zuweisen.

  1. Navigieren Sie zu Services > EC2 > Instanzen.

    Instanzen

  2. Navigieren Sie zu Services > EC2 > Netzwerkschnittstellen, und wählen Sie die LAN/WAN Elastic Network Interfaces (ENI) der primären Instanz aus.

    Netzwerkschnittstellen

  3. Weisen Sie neue sekundäre IP zu.

    Sekundäre IP

  4. Klicken Sie auf Ja, Aktualisieren.

    ja update

  5. Erstellen Sie auf ähnliche Weise auch sekundäre private IP für die WAN-Schnittstelle.

Eine öffentliche IP, die für die WAN-Verbindung erforderlich ist, um mit der externen Welt zu kommunizieren. Führen Sie die folgenden Schritte durch, um Elastic IP der WAN-ENI-Schnittstelle zuzuordnen:

  1. Navigieren Sie zu Adressen > Neue Adresse zuordnen.

    Neue Adresse zuteilen

  2. Wählen Sie die erstellte elastische IP aus, und klicken Sie auf Aktion > Adresse verknüpfen und ordnen Sie die Öffentlichkeit der sekundären privaten WAN-IP zu, die wir gerade erstellt haben.

    Adresse des Mitarbeiters

  3. Überprüfen Sie, ob endgültige Schnittstellen und IPs wie folgt erwartet werden:

    • Primäre Instanz: Primäre Instanz
    • Sekundäre Instanz: Sekundäre Instanz

    Jetzt ist das Instanzprovisioning abgeschlossen. Die Konfiguration der SD-WAN-Hochverfügbarkeits-Appliance ähnelt fast der Konfiguration einer eigenständigen Appliance. Die Unterschiede sind nachstehend aufgeführt:

    • Geben Sie beim Erstellen von LAN- und WAN Virtual IP-Schnittstellen die erstellten sekundären privaten IPs an Geben Sie für die virtuelle IP-Schnittstelle für hohe Verfügbarkeit eine Dummy-IP im Hochverfügbarkeitsnetzwerk an.

      Dummy-IP

    • Aktivieren Sie Hochverfügbarkeit und geben Sie die hochverfügbaren Schnittstellen-IPs der aktiven und sekundären Instance an.

      HA Schnittstelle IP

      Sie können den Status der Hochverfügbarkeit überprüfen.

      HA-Status

Konfigurieren von Hochverfügbarkeits-Fail-Over für jede SD-WAN-Instanz, die auf AWS ausgeführt wird

Richten Sie Hochverfügbarkeits-Peers mit einem Hochverfügbarkeits-Peer mit drei oder mehr ENIs und einem Hochverfügbarkeits-Peer mit einer gleichen Anzahl von ENIs ein. In beiden Peers ist das erste ENI dem Management gewidmet. Ein Hochverfügbarkeits-Peer besitzt alle Traffic-ENIs. Während eines Failovers wechseln die ENIs des Datenverkehrs von der fehlerhaften Instanz zur neuen primären Instanz.

Beispielsweise kann es bis zu 20 Sekunden dauern, bis zwei Traffic-ENIs verschoben werden. AWS verfügt über keine SLAs für die API-Antwort, und Sie können keine für Hochverfügbarkeits-Failover-Zeit verwenden.

Hinweis

Der AWS-Entwurf beschränkt sich auf Instanzen, die von den AWS-Servern abhängig sind, um auf Anhängen und Trennen zu reagieren. Die Failoverzeit ist unvorhersehbar.

Konfigurationsschritte

  1. Erhalten Sie Informationen über Ihre Peer Instance mit hoher Verfügbarkeit über Informationen über die Anzahl der zugehörigen ENIs und Details von ENIs, die mit der REST-API verknüpft sind.
  2. Erkennen Sie den Zustand der fehlerhaften Instanz.
  3. Rufen Sie Detach of ENIs von fehlgeschlagenen Instanz mit REST-APIs auf.
  4. Stellen Sie sicher, dass alle zugeordneten ENIs getrennt sind.
  5. Fügen Sie ENIs an die aktuelle primäre Instanz an.
  6. Stellen Sie sicher, dass alle ENIs beigefügt sind.
  7. Trigger obere Schichten, um zu erkennen, dass neue ENIs vorhanden sind.

SD-WAN hohe Verfügbarkeit AWS

SD-WAN Hochverfügbarkeit AWS-Failover

In AWS VPC wird für eine aktive SD-WAN-Instanz eine weitere hoch verfügbare SD-WAN-Instanz veröffentlicht, die in derselben VPC ausgeführt wird.

  1. Die konfigurierten Verbindungen sind zwischen aktiven und Standby-SD-WAN-Appliances identisch.
  2. Für AWS können Sie ein Subnetz und einen dedizierten Link für die Kommunikation des RACP-Protokolls zwischen den SD-WAN-Appliances erstellen.
  3. Konfigurieren Sie in der SD-WAN-GUI Folgendes:
    • Erstellen Sie eine Schnittstellengruppe. Nennen Sie es als High Availability-Link. Fügen Sie die Schnittstelle hinzu, die für hohe Verfügbarkeit verwendet wird.
    • Erstellen Sie eine virtuelle IP-Adresse für die Interface-Gruppe.
    • Aktivieren Sie in High Availability Node Hochverfügbarkeit und fügen Sie die Steuerung Virtuelle IPs hinzu, die das RACP-Protokoll für die Kommunikation verwendet. Stellen Sie sicher, dass die IP-Adressen mit der konfigurierten IP-Adresse übereinstimmen, während Sie Netzwerkschnittstellen in AWS erstellen.
    • Führen Sie das Änderungsmanagement durch, und laden Sie die aktive Konfiguration für die Standby-SD-WAN-Appliance herunter.
    • Nachdem Sie die Konfiguration über das lokale Änderungsmanagement auf der Standby-SD-WAN-Appliance angewendet haben, werden Heartbeats zwischen aktiven und Standby-SD-WAN-Hochverfügbarkeits-Appliances ausgetauscht.
    • Wenn ein Failover auftritt, sehen Sie, dass die SD-WAN-Appliance vom Stand-by-Modus in den aktiven Modus wechselt und/oder umgekehrt ohne Konfigurationsverlust.

Hinweis

  1. AWS unterstützt den Hochverfügbarkeitsmodus mit Funktionen wie Elastic Load Balancing und Auto Scaling, wobei die Herausforderung besteht, die Konfiguration innerhalb der SD-WAN-Appliances zu synchronisieren. In dieser Bereitstellung wenden Sie das vorhandene RACP-Protokoll für eine effiziente Hochverfügbarkeit an.

  2. Sowohl MCN als auch Zweigstellen-Appliances können in der Cloud-Umgebung verfügbar gemacht werden.