Konfigurieren Sie HA-INC-Knoten mithilfe der NetScaler-Hochverfügbarkeitsvorlage mit Azure ILB
Sie können schnell und effizient ein Paar VPX-Instanzen im HA-INC-Modus bereitstellen, indem Sie die Standardvorlage für Intranetanwendungen verwenden. Der Azure Internal Load Balancer (ILB) verwendet eine interne oder private IP-Adresse für das Frontend, wie in Abbildung 1 dargestellt. Die Vorlage erstellt zwei Knoten mit drei Subnetzen und sechs NICs. Die Subnetze dienen der Verwaltung, des Clients und des serverseitigen Datenverkehrs, wobei jedes Subnetz zu einer anderen Netzwerkkarte auf jedem Gerät gehört.
Abbildung 1: NetScaler HA-Paar für Clients in einem internen Netzwerk
Sie können diese Bereitstellung auch verwenden, wenn sich das NetScaler HA-Paar hinter einer Firewall befindet, wie in Abbildung 2 dargestellt. Die öffentliche IP-Adresse gehört zur Firewall und ist mit NAT der Front-End-IP-Adresse der ILB verbunden.
Abbildung 2: NetScaler HA-Paar mit Firewall mit öffentlicher IP-Adresse
Sie können die NetScaler HA-Paarvorlage für Intranetanwendungen im Azure-Portalabrufen
Führen Sie die folgenden Schritte aus, um die Vorlage zu starten und ein Hochverfügbarkeits-VPX-Paar mithilfe von Azure Availability Sets bereitzustellen.
-
Navigieren Sie im Azure-Portal zur Seite Benutzerdefinierte Bereitstellung .
-
Die Seite Grundlagen wird angezeigt. Erstellen Sie eine Ressourcengruppe. Geben Sie auf der Registerkarte Parameter Details für die Region, den Admin-Benutzernamen, das Admin-Kennwort, den Lizenztyp (
VM sku
) und andere Felder ein. -
Klicken Sie auf Weiter: Überprüfen + erstellen.
Es kann einen Moment dauern, bis die Azure Resource Group mit den erforderlichen Konfigurationen erstellt wurde. Wählen Sie nach Abschluss die Ressourcengruppe im Azure-Portal aus, um die Konfigurationsdetails wie LB-Regeln, Back-End-Pools und Integritäts-Sonden anzuzeigen. Das Hochverfügbarkeitspaar erscheint als ADC-VPX-0 und ADC-VPX-1.
Wenn weitere Änderungen für das HA-Setup erforderlich sind, z. B. das Erstellen weiterer Sicherheitsregeln und Ports, können Sie dies über das Azure-Portal vornehmen.
Sobald die erforderliche Konfiguration abgeschlossen ist, werden die folgenden Ressourcen erstellt.
-
Melden Sie sich bei den Knoten ADC-VPX-0 und ADC-VPX-1 an, um die folgende Konfiguration zu überprüfen:
- NSIP-Adressen für beide Knoten müssen sich im Management-Subnetz befinden.
- Auf den primären (ADC-VPX-0) und sekundären (ADC-VPX-1) Knoten müssen Sie zwei SNIP-Adressen sehen. Ein SNIP (Client-Subnetz) wird für die Reaktion auf ILB-Prüfpunkte verwendet und das andere SNIP (Serversubnetz) wird für die Back-End-Server-Kommunikation verwendet.
Hinweis:
Im HA-INC-Modus unterscheiden sich die SNIP-Adresse der ADC-VPX-0- und ADC-VPX-1-VMs im selben Subnetz, im Gegensatz zu der klassischen lokalen ADC HA-Bereitstellung, bei der beide gleich sind. Um Bereitstellungen zu unterstützen, wenn sich das VPX-Paar SNIP in verschiedenen Subnetzen befindet oder wenn sich der VIP nicht im selben Subnetz wie ein SNIP befindet, müssen Sie entweder Mac-Based Forwarding (MBF) aktivieren oder jedem VPX-Knoten eine statische Host-Route für jeden VIP hinzufügen.
Auf dem primären Knoten (ADC-VPX-0)
Auf dem sekundären Knoten (ADC-VPX-1)
-
Nachdem die primären und sekundären Knoten aktiv sind und der Synchronisierungsstatus ERFOLGREICHist, müssen Sie den virtuellen Lastausgleichsserver oder den virtuellen Gateway-Server auf dem Primärknoten (ADC-VPX-0) mit der privaten Floating IP (FIP) -Adresse des ADC Azure Load Balancers konfigurieren. Weitere Informationen finden Sie im Abschnitt Beispielkonfiguration .
-
Um die private IP-Adresse des ADC Azure Load Balancers zu finden, navigieren Sie zum Azure-Portal > ADC Azure Load Balancer > Frontend IP-Konfiguration.
-
Auf der Azure Load Balancer-Konfigurationsseite hilft die ARM-Vorlagenbereitstellung beim Erstellen der LB-Regel, Back-End-Pools und Gesundheitsproben.
-
Die LB-Regel (LBrule1) verwendet standardmäßig Port 80.
-
Bearbeiten Sie die Regel, um Port 443 zu verwenden, und speichern Sie die Änderungen.
Hinweis:
Für eine verbesserte Sicherheit empfiehlt Citrix, den SSL-Port 443 für den virtuellen LB-Server oder den virtuellen Gateway-Server zu verwenden.
-
Gehen Sie wie folgt vor, um weitere VIP-Adressen zum ADC hinzuzufügen:
-
Navigieren Sie zu Azure Load Balancer > Frontend-IP-Konfiguration, und klicken Sie auf Hinzufügen, um eine neue interne Load Balancer-IP-Adresse zu erstellen.
-
Geben Sie auf der Seite Frontend-IP-Adresse hinzufügen einen Namen ein, wählen Sie das Client-Subnetz aus, weisen Sie entweder dynamische oder statische IP-Adresse zu und klicken Sie auf Hinzufügen.
-
Die Front-End-IP-Adresse wird erstellt, aber eine LB-Regel ist nicht zugeordnet. Erstellen Sie eine neue Lastausgleichsregel, und verknüpfen Sie sie mit der Front-End-IP-Adresse.
-
Wählen Sie auf der Seite Azure Load Balancer die Option Load Balancing-Regelnaus, und klicken Sie dann auf Hinzufügen.
-
Erstellen Sie eine neue LB-Regel, indem Sie die neue Front-End-IP-Adresse und den Port auswählen. DasFloating-IP-Feld muss auf Enabledgesetzt sein.
-
Jetzt zeigt die Frontend-IP-Konfiguration die angewendete LB-Regel an.
Beispiel-Konfiguration
Führen Sie zum Konfigurieren eines virtuellen Gateway-VPN-Servers und eines virtuellen Lastausgleichsservers die folgenden Befehle auf dem primären Knoten aus (ADC-VPX-0). Die Konfiguration synchronisiert sich automatisch mit dem sekundären Knoten (ADC-VPX-1).
Gateway Beispielkonfiguration
enable feature aaa LB SSL SSLVPN
enable ns mode MBF
add vpn vserver vpn_ssl SSL 10.11.1.4 443
add ssl certKey ckp -cert wild-cgwsanity.cer -key wild-cgwsanity.key
bind ssl vserver vpn_ssl -certkeyName ckp
<!--NeedCopy-->
Beispielkonfiguration für den Lastausgleich
enable feature LB SSL
enable ns mode MBF
add lb vserver lb_vs1 SSL 10.11.1.7 443
bind ssl vserver lb_vs1 -certkeyName ckp
<!--NeedCopy-->
Sie können jetzt mit dem vollqualifizierten Domänennamen (FQDN), der mit der internen IP-Adresse von ILB verknüpft ist, auf den Lastausgleich- oder virtuellen VPN-Server zugreifen.
Weitere Informationen zur Konfiguration des virtuellen Load-Balancing-Servers finden Sie im Abschnitt Ressourcen .
Ressourcen:
Die folgenden Links bieten zusätzliche Informationen zur HA-Bereitstellung und Konfiguration virtueller Server:
- Konfigurieren von Knoten mit hoher Verfügbarkeit in verschiedenen Subnetzen
- Einrichten des grundlegenden Lastausgleichs
Verwandte Ressourcen: