Bereitstellen eines NetScaler VPX HA-Paars in Azure unter Verwendung der sekundären IP-Konfigurationen

Sie können ein NetScaler VPX Hochverfügbarkeitspaar in Azure bereitstellen, wobei sich beide NetScaler VPX Instanzen im selben virtuellen Netzwerk (VNet) befinden und die sekundären IP-Konfigurationen der Netzwerkschnittstellen (NICs) verwendet werden. Diese HA-Bereitstellung macht den Azure Load Balancer (ALB) überflüssig. Während des Failovers werden die sekundären privaten IP-Adressen, die den clientseitigen und serverseitigen NICs des primären Knotens zugewiesen sind, auf den sekundären Knoten migriert. Alle öffentlichen IP-Adressen, die mit diesen sekundären privaten IP-Adressen verknüpft sind, werden ebenfalls entsprechend verschoben.

Wichtig:

Vor Beginn der Bereitstellung stellen Sie sicher, dass Ihre Azure-Umgebung die Voraussetzungen erfüllt, um Probleme während der Einrichtung zu vermeiden.

Im Folgenden sind einige der Vorteile der Verwendung sekundärer IP-Konfigurationen aufgeführt:

• Vereinfachtes Failover: Sekundäre IP-Adressen ermöglichen die automatische Migration von virtuellen IP-Adressen (VIPs) und Subnetz-IP-Adressen (SNIPs) zwischen HA-Knoten, wodurch ein nahtloses Failover ohne die Notwendigkeit eines externen Lastenausgleichs gewährleistet wird.
• Skalierbarkeit: Einer einzelnen NIC können mehrere IP-Adressen zugewiesen werden, was eine flexible Verkehrsführung und die Skalierung von Diensten innerhalb derselben VM ermöglicht.
• Ausfallsicherheit: Die Möglichkeit, sekundäre private IP-Adressen zwischen Knoten zu verschieben, verbessert die Netzwerkverfügbarkeit und ermöglicht eine schnelle Wiederherstellung bei Knotenausfall.
• Kosteneffizienz: Durch den Wegfall eines ALB reduzieren Sie die Infrastrukturkosten, während Hochverfügbarkeit und Verkehrsmanagement innerhalb desselben Subnetzes aufrechterhalten werden.

Die folgende Abbildung zeigt ein HA-Failover-Szenario durch die Migration sekundärer privater IP-Adressen.

Voraussetzungen für die Bereitstellung eines NetScaler VPX™ HA-Paars unter Verwendung von Azure sekundären IP-Konfigurationen

• Verwenden Sie NetScaler Version 14.1–34.42 oder höher.

• Stellen Sie sicher, dass Ihr Abonnement die neue Azure-Steuerungsebene aktiviert hat.

Hinweis:

Wenn die neue Azure-Steuerungsebene für Ihr Abonnement nicht aktiviert ist, kann es bei Hochverfügbarkeitsbereitstellungen zu einer längeren Failover-Dauer kommen. Wenden Sie sich in solchen Fällen an den Azure-Support, um Unterstützung bei der Aktivierung der neuen Steuerungsebene zu erhalten.

Bereitstellen eines NetScaler VPX HA-Paares mithilfe sekundärer Azure IP-Konfigurationen

Um ein NetScaler VPX HA-Paar mithilfe der sekundären IP-Konfigurationen in Azure bereitzustellen, gehen Sie wie folgt vor:

1. Stellen Sie zwei NetScaler VPX-Instanzen in Azure bereit, jede mit drei Netzwerkschnittstellen in derselben Ressourcengruppe und demselben VNet.
2. Weisen Sie beiden NetScaler VPX-Instanzen eine verwaltete Identität zu.
3. Weisen Sie den Client- und Server-Netzwerkschnittstellen des primären Knotens sekundäre Azure IP-Konfigurationen zu.
4. Konfigurieren Sie die VIP und SNIP auf dem primären Knoten mithilfe der privaten Azure IP-Adresse aus der sekundären IP-Konfiguration.
5. Konfigurieren Sie auf dem primären Knoten die primären privaten IP-Adressen der Server-Netzwerkschnittstellen beider NetScaler-Instanzen (primäre und sekundäre) als VIP.
6. Konfigurieren Sie HA auf beiden Knoten.

Schritt 1. Stellen Sie zwei NetScaler VPX-Instanzen (primäre und sekundäre Knoten) in derselben Ressourcengruppe und demselben VNet bereit. Stellen Sie sicher, dass jede NetScaler VPX-Instanz drei NICs hat: Ethernet 0, Ethernet 1 und Ethernet 2.

Ausführliche Schritte finden Sie unter Bereitstellen von zwei VPX-Instanzen in Azure.

Schritt 2. Wenden Sie entweder eine systemseitig zugewiesene oder eine benutzerseitig zugewiesene verwaltete Identität auf beide NetScaler VPX-Instanzen an.

Hinweis:

Der Azure-Dienstprinzipal wird für diese Funktion nicht unterstützt.

Details finden Sie unter Verwaltete Identitäten für Azure-Ressourcen.

Anweisungen zum Konfigurieren einer verwalteten Identität auf NetScaler VPX finden Sie unter Konfigurieren einer verwalteten Identität auf einer virtuellen Maschine.

Schritt 3. Fügen Sie der verwalteten Identität, die den NetScaler VPX-Instanzen zugeordnet ist, eine der folgenden Azure-Rollenzuweisungen hinzu.

• Leser und Netzwerkmitwirkender: Gewährt schreibgeschützten Zugriff auf Azure-Ressourcen und die Berechtigungen, die zur Verwaltung von Netzwerkressourcen erforderlich sind.
• Mitwirkender: Bietet vollständigen Zugriff auf Azure-Ressourcen.

Schritt 4. Weisen Sie auf dem primären Knoten private IP-Adressen Ethernet 1 (Client-IP oder VIP) und Ethernet 2 (Back-End-Server-IP oder SNIP) zu.

Das Azure-Portal weist den konfigurierten NICs automatisch primäre private IP-Adressen zu. Um weitere private IP-Adressen für die VIP- und SNIP-Netzwerkschnittstellen zuzuweisen, verwenden Sie sekundäre IP-Konfigurationen.

Um einer Netzwerkschnittstelle in Azure eine sekundäre IP-Konfiguration zuzuweisen, führen Sie die folgenden Schritte aus:

1. Melden Sie sich beim Azure-Portal an und navigieren Sie zu Virtuelle Maschinen.
2. Wählen Sie die virtuelle Maschine aus, die der Netzwerkschnittstelle zugeordnet ist.
3. Gehen Sie in den Einstellungen der virtuellen Maschine zu Netzwerkeinstellungen und wählen Sie die NIC aus, der Sie eine sekundäre private IP-Adresse hinzufügen möchten.
4. Klicken Sie in den Netzwerkschnittstelleneinstellungen auf die Registerkarte IP-Konfigurationen.

5. Klicken Sie auf Hinzufügen, um eine IP-Konfiguration vom Typ Sekundär zuzuweisen.

   • Wenn Sie eine statische Zuweisungsmethode wählen, geben Sie eine bestimmte IPv4-Adresse innerhalb des Subnetzbereichs für die Instanz ein.
   • Wenn Sie eine dynamische Zuweisungsmethode wählen, weist Azure automatisch eine IP-Adresse zu.
6. Klicken Sie auf Hinzufügen oder Speichern, um die Änderungen zu übernehmen.

Schritt 5. Konfigurieren Sie VIP und SNIP auf dem primären Knoten unter Verwendung der privaten IP-Adressen aus der sekundären IP-Konfiguration.

1. Greifen Sie über SSH auf den primären Knoten zu. Öffnen Sie einen SSH-Client und führen Sie den folgenden Befehl aus:

   ssh -i <location of your private key> nsroot@<public DNS of the instance>
   <!--NeedCopy-->
   

2. Konfigurieren Sie die VIP- und SNIP-Adressen.

   Führen Sie zum Konfigurieren der VIP-Adresse den folgenden Befehl aus:

   add ns ip <IPAddress> <netmask> -type VIP
   <!--NeedCopy-->
   

   Beispiel:

   add ns ip 192.0.2.11 255.255.255.0 -type VIP
   <!--NeedCopy-->
   

   Führen Sie zum Konfigurieren der SNIP-Adresse den folgenden Befehl aus:

   add ns ip <IPAddress> <netmask> -type SNIP
   <!--NeedCopy-->
   

   Beispiel:

   add ns ip 192.0.3.11 255.255.255.0 -type SNIP
   <!--NeedCopy-->
   

3. Speichern Sie die Konfiguration, indem Sie den Befehl save config ausführen.

4. Überprüfen Sie die konfigurierten IP-Adressen mit dem folgenden Befehl:

   show ns ip
   <!--NeedCopy-->
   

Schritt 6. Konfigurieren Sie die primären privaten IP-Adressen der Server-Netzwerkschnittstellen auf beiden primären und sekundären NetScaler-Instanzen als VIP auf dem primären Knoten.

1. Greifen Sie über SSH auf den primären Knoten zu. Öffnen Sie einen SSH-Client und führen Sie den folgenden Befehl aus:

   ssh -i <location of your private key> nsroot@<public DNS of the instance>
   <!--NeedCopy-->
   

   Beispiel:

   ssh -i ~/.ssh/mykey.pem nsroot@primary-instance.eastus.cloudapp.azure.com
   <!--NeedCopy-->
   

2. Konfigurieren Sie auf dem primären Knoten die primäre private IP-Adresse von Ethernet 2 (Back-End-Server-NIC) sowohl der primären als auch der sekundären NetScaler-Instanz als VIP:

   add ns ip <private IPaddress of primary instance> <netmask> -type VIP
   
   add ns ip <private IPaddress of secondary instance> <netmask> -type VIP
   <!--NeedCopy-->
   

   Beispiel:

   add ns ip 192.0.3.10 255.255.255.0 -type VIP
   
   add ns ip 192.0.3.20 255.255.255.0 -type VIP
   <!--NeedCopy-->
   

Schritt 7. Konfigurieren Sie HA auf beiden Knoten.

1. Öffnen Sie auf dem primären Knoten einen Shell-Client und führen Sie den folgenden Befehl aus:

   add ha node <peer node id> <private IP address of the management NIC of the secondary node>
   <!--NeedCopy-->
   

   Beispiel:

   add ha node 1 192.0.1.20
   <!--NeedCopy-->
   

2. Führen Sie auf dem sekundären Knoten den folgenden Befehl aus:

   add ha node <peer node id> <private IP address of the management NIC of the primary node>
   <!--NeedCopy-->
   

   Beispiel:

   add ha node 1 192.0.1.10
   <!--NeedCopy-->
   

3. Speichern Sie die Konfiguration, indem Sie den Befehl save config ausführen.

4. Überprüfen Sie die konfigurierten HA-Knoten, indem Sie den Befehl show ha node ausführen.

   Während des Failovers werden die sekundären IP-Konfigurationen für die VIP- und SNIP-Netzwerkschnittstellen vom vorherigen primären Knoten auf den neuen primären Knoten verschoben.

Bereitstellen eines NetScaler VPX HA-Paares in Azure mithilfe von Lösungsvorlagen

Die Azure-Lösungsvorlagen automatisieren die Bereitstellung von NetScaler VPX High Availability (HA), wodurch die Bereitstellungszeit verkürzt und die manuelle Konfiguration sowohl in Azure als auch in NetScaler entfällt. Kunden können mit diesen Lösungsvorlagen eine produktionsreife HA-Lösung mit minimalem Aufwand bereitstellen.

Diese Lösung stellt zwei NetScaler VPX-Instanzen über verschiedene Verfügbarkeitszonen oder Verfügbarkeitssätze für Hochverfügbarkeit und Fehlertoleranz bereit.

Weitere Informationen zu Lösungsvorlagen finden Sie in der Microsoft-Dokumentation.

Hauptmerkmale der NetScaler VPX Azure-Lösungsbereitstellung

• Hochverfügbarkeit: Stellt zwei NetScaler VPX-Instanzen über separate Azure-Verfügbarkeitszonen mit automatischer HA-Konfiguration und Peer-Knoten-Erkennung bereit.

• Netzwerk:

  • Bereitstellung mit drei NICs: Verwendet dedizierte Verwaltungs-, Client- und Server-Subnetze für die Netzwerksegmentierung.
  • Unterstützung für virtuelle Netzwerke: Funktioniert mit neuen und bestehenden virtuellen Netzwerken.
  • Konfiguration öffentlicher IP-Adressen: Ermöglicht konfigurierbare öffentliche IP-Adressen sowohl für den Verwaltungs- als auch für den Client-Datenverkehr.
  • Beschleunigtes Netzwerk: Option zum Aktivieren oder Deaktivieren des beschleunigten Netzwerks.

• Sicherheit und Compliance:

  • Netzwerksicherheitsgruppen (NSGs): Enthält anpassbare Eingangsregeln für verbesserte Sicherheit.
  • RBAC-Integration: Automatische Rollenzuweisungen über systemseitig zugewiesene verwaltete Identität.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Folgendes haben:

• Ein aktives Azure-Abonnement mit Administratorberechtigungen.
• Eine Azure-Region mit Unterstützung für Verfügbarkeitszonen.
• NetScaler-Lizenzdateien (Bring Your Own License).

Informationen zum Marketplace-Angebot (Bring Your Own License - BYOL)

Wenn Sie NetScaler VPX in Azure mithilfe der Lösungsvorlage bereitstellen, verwenden Sie das Bring Your Own License (BYOL)-Modell.

• Angebots-ID: netscalervpx-141
• SKU-/Plan-ID: netscalerbyol
• Herausgeber: Citrix

Bereitstellen eines NetScaler VPX HA-Paares in Azure mithilfe von Lösungsvorlagen

Dieser Abschnitt beschreibt, wie NetScaler VPX über das Azure Marketplace-Portal bereitgestellt wird.

Schritt 1. Bereitstellung über Azure Marketplace.

1. Melden Sie sich beim Azure-Portal an.

2. Suchen Sie im Azure Marketplace nach NetScaler VPX, um die Bereitstellungsoptionen zu finden.

   

Schritt 2. Wählen Sie einen Bereitstellungsplan aus.

Wählen Sie einen der folgenden Pläne basierend auf Ihren Verfügbarkeitsanforderungen:

• NetScaler VPX HA (Verfügbarkeitszone) über sekundäre IP – BYOL
• NetScaler VPX HA (Verfügbarkeitsgruppe) über sekundäre IP – BYOL

Schritt 3. Grundlegende Einstellungen und Administratoranmeldeinformationen konfigurieren.

• Abonnement – Wählen Sie Ihr Azure-Abonnement aus.
• Ressourcengruppe – Erstellen Sie eine neue Ressourcengruppe oder wählen Sie eine vorhandene aus.
• Region – Wählen Sie eine Azure-Region, die Verfügbarkeitszonen oder Verfügbarkeitsgruppen unterstützt.
• VM-Namenspräfix – Geben Sie ein Präfix für die NetScaler VPX-Instanzen der virtuellen Maschine ein.
• Release-Version – Geben Sie die gewünschte NetScaler VPX-Version an (z. B. 14.1).
• Administrator-Benutzername – Geben Sie einen Administrator-Benutzernamen ein.
• Authentifizierungstyp – Wählen Sie Passwort oder Öffentlicher SSH-Schlüssel.
• Anmeldeinformationen – Geben Sie Ihr Passwort oder Ihren SSH-Schlüssel basierend auf dem ausgewählten Authentifizierungstyp ein.

Schritt 4. Einstellungen der virtuellen Maschine konfigurieren.

• VM-Größe – Wählen Sie eine Größe, die Ihren Leistungsanforderungen entspricht.
• Betriebssystem-Datenträgertyp – Wählen Sie einen Speichermedientyp (z. B. Standard_LRS oder Premium_LRS).
• Überwachungsmetriken veröffentlichen – Aktivieren Sie diese Option, um NetScaler ADC-Leistungsmetriken an Azure Monitor zu senden.

Schritt 5. Netzwerkeinstellungen konfigurieren.

• Virtuelles Netzwerk – Erstellen Sie ein neues virtuelles Netzwerk oder wählen Sie ein vorhandenes aus.
• Adressraum – Geben Sie den CIDR-Block für ein neues virtuelles Netzwerk an.
• Subnetze – Konfigurieren Sie Management-, Client- und Server-Subnetze.
• Beschleunigtes Netzwerk – Aktivieren Sie dies für eine verbesserte Netzwerkleistung auf wichtigen Schnittstellen.
• Öffentliche Management-IP-Adressen – Weisen Sie öffentliche IP-Adressen für VM 1 und VM 2 zu (empfohlen).
• Öffentliche Client-IP-Adresse – Weisen Sie optional eine öffentliche IP-Adresse für den Clientzugriff zu.
• DNS-Bezeichnungen – Fügen Sie eindeutige DNS-Bezeichnungen hinzu, wenn eine DNS-Auflösung erforderlich ist.
• Öffentliche eingehende Ports – Erforderliche Ports zulassen (z. B. SSH-22, HTTP-80, HTTPS-443).

Schritt 6. Bereitstellung überprüfen und abschließen.

1. Überprüfen Sie alle ausgewählten Konfigurationsparameter, um sicherzustellen, dass sie Ihren Anforderungen entsprechen.
2. Akzeptieren Sie die Allgemeinen Geschäftsbedingungen.
3. Wählen Sie Erstellen, um die Bereitstellung zu starten.

Schritt 7. Überprüfen Sie Ihre Bereitstellung.

Nach Abschluss der Bereitstellung überprüfen Sie, ob Ihr NetScaler HA-Paar korrekt konfiguriert ist und wie erwartet funktioniert.

1. HA-Knotenstatus überprüfen.

   1. Verbinden Sie sich über SSH mit einer der NetScaler-Instanzen.

   2. Führen Sie den Befehl show ha node aus, um den HA-Knotenstatus zu überprüfen.

   3. Überprüfen Sie Folgendes:

      • Beide Knoten werden in der Ausgabe angezeigt
      • Der Synchronisierungsstatus (Sync) ist fehlerfrei
      • Der INC-Modus (Independent Network Configuration) ist korrekt konfiguriert

   

2. IP-Adresskonfiguration validieren.

   Führen Sie den Befehl show ns ip auf der NetScaler-Instanz aus. Überprüfen Sie die Ausgabe, um sicherzustellen, dass alle virtuellen IP-Adressen (VIPs) und Subnetz-IP-Adressen (SNIPs) vorhanden und korrekt konfiguriert sind.

   

3. Führen Sie einen Hochverfügbarkeits-Failover-Test durch.

   Wir empfehlen Ihnen, einen manuellen Failover-Test durchzuführen, um die Ausfallsicherheit Ihrer HA-Einrichtung zu überprüfen.

   1. Führen Sie den Befehl force ha failover –force aus, um das Failover einzuleiten.

   2. Überprüfen Sie Folgendes:

      • Das Failover wird erfolgreich abgeschlossen
      • Alle sekundären IP-Konfigurationen werden auf den neuen primären Knoten übertragen