ADC

Déployer une zone privée DNS NetScaler for Azure

Azure DNS est un service de l’infrastructure Microsoft Azure destiné à héberger des domaines DNS et à fournir une résolution de noms.

Les zones privées Azure DNS sont un service axé sur la résolution des noms de domaine dans un réseau privé. Avec les zones privées, les clients peuvent utiliser leurs propres noms de domaine personnalisés plutôt que les noms fournis par Azure disponibles aujourd’hui.

NetScaler, la principale solution de mise à disposition d’applications, est la mieux adaptée pour fournir des fonctionnalités d’équilibrage de charge et de GSLB pour une zone privée Azure DNS. En s’abonnant à la zone privée Azure DNS, l’entreprise peut compter sur la puissance et l’intelligence de NetScaler Global Server Load Balancing (GSLB) pour répartir le trafic intranet entre les charges de travail dans plusieurs zones géographiques et entre les centres de données, connectés via des tunnels VPN sécurisés. Cette collaboration garantit aux entreprises un accès fluide à une partie de leur charge de travail qu’elles souhaitent transférer vers le cloud public Azure.

Présentation d’Azure DNS

Le système de noms de domaine (DNS) est chargé de traduire ou de résoudre un nom de service en adresse IP. Service d’hébergement pour les domaines DNS, Azure DNS permet de résoudre les noms en utilisant l’infrastructure Microsoft Azure. En plus de prendre en charge les domaines DNS accessibles sur Internet, Azure DNS prend désormais également en charge les domaines DNS privés.

Azure DNS fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans avoir besoin d’une solution DNS personnalisée. En utilisant des zones DNS privées, vous pouvez utiliser vos propres noms de domaine personnalisés plutôt que les noms fournis par Azure. L’utilisation de noms de domaine personnalisés vous permet d’adapter l’architecture de votre réseau virtuel aux besoins de votre entreprise. Il fournit une résolution de noms pour les machines virtuelles (VM) au sein d’un réseau virtuel et entre les réseaux virtuels. Les clients peuvent également configurer les noms de zone avec une vue à horizon partagé, ce qui permet à une zone DNS privée et à une zone DNS publique de partager un nom.

Pourquoi choisir la zone privée NetScaler GSLB pour Azure DNS ?

Dans le monde d’aujourd’hui, les entreprises souhaitent transférer leurs charges de travail des applications locales vers le cloud Azure. La transition vers le cloud leur permet d’appliquer le délai de mise sur le marché, les dépenses en capital et le prix, la facilité de déploiement et la sécurité. Le service de zone privée Azure DNS constitue une proposition unique pour les entreprises qui transfèrent une partie de leurs charges de travail vers le cloud Azure. Ces entreprises peuvent créer leur nom DNS privé, qu’elles utilisaient depuis des années lors de déploiements sur site, lorsqu’elles utilisent le service de zone privée. Avec ce modèle hybride de serveurs d’applications intranet sur site et connectés au cloud Azure via des tunnels VPN sécurisés, le seul défi consiste à disposer d’un accès fluide à ces applications intranet. NetScaler résout ce cas d’utilisation unique grâce à sa fonctionnalité d’équilibrage de charge global, qui achemine le trafic des applications vers les charges de travail/serveurs distribués les plus optimaux, sur site ou sur le cloud Azure, et fournit l’état de santé du serveur d’applications.

Cas d’utilisation

Les utilisateurs d’un réseau sur site et de différents réseaux virtuels Azure peuvent se connecter aux serveurs les plus optimaux d’un réseau interne pour accéder au contenu requis. Cela garantit que l’application est toujours disponible, que les coûts sont optimisés et que l’expérience utilisateur est bonne. La gestion du trafic privé Azure (PTM) est ici la principale exigence. Azure PTM garantit que les requêtes DNS des utilisateurs sont résolues vers une adresse IP privée appropriée du serveur d’applications.

Solution de cas d’utilisation

NetScaler inclut la fonctionnalité d’équilibrage de charge global du serveur (GSLB) pour répondre aux exigences d’Azure PTM. GSLB agit comme un serveur DNS, qui reçoit les requêtes DNS et les résout en une adresse IP appropriée pour fournir :

  • Basculement sans faille basé sur le DNS.
  • Migration progressive de l’environnement sur site vers le cloud.
  • Test A/B d’une nouvelle fonctionnalité.

Parmi les nombreuses méthodes d’équilibrage de charge prises en charge, les méthodes suivantes peuvent être utiles dans cette solution :

  1. Round Robin
  2. Proximité statique (sélection du serveur basée sur l’emplacement). Il peut être déployé de deux manières :

    1. GSLB basé sur le sous-réseau du client EDNS (ECS) sur NetScaler.
    2. Déployez un redirecteur DNS pour chaque réseau virtuel.

Topologie

La figure suivante illustre le déploiement de NetScaler GSLB pour une zone DNS privée Azure.

Figure 1 : zone privée NetScaler GSLB pour Azure DNS

Un utilisateur peut accéder à n’importe quel serveur d’applications sur Azure ou sur site selon la méthode NetScaler GSLB dans une zone DNS privée Azure. Tout le trafic entre On-Prem et le réseau virtuel Azure passe uniquement par un tunnel VPN sécurisé. Le trafic des applications, le trafic DNS et le trafic de surveillance sont présentés dans la topologie précédente. En fonction de la redondance requise, NetScaler et le redirecteur DNS peuvent être déployés dans les réseaux virtuels et les centres de données. Pour des raisons de simplicité, un seul NetScaler est présenté ici, mais nous recommandons au moins un ensemble de NetScaler et de redirecteur DNS pour la région Azure. Toutes les requêtes DNS des utilisateurs sont d’abord envoyées au redirecteur DNS dont les règles sont définies pour le transfert des requêtes vers un serveur DNS approprié.

Configuration de la zone privée DNS NetScaler pour Azure

Produits et versions testés :

Produit Version
Azure Abonnement au cloud
NetScaler VPX BYOL (apportez votre propre licence)

Remarque :

Le déploiement est testé et reste le même avec NetScaler version 12.0 et supérieure.

Conditions préalables

Les prérequis généraux sont les suivants.

Description de la solution

Si vous souhaitez héberger une application Azure DNS private zone (rr.ptm.mysite.net) qui s’exécute sur HTTPS et est déployée sur Azure et sur site avec un accès à l’intranet basé sur la méthode d’équilibrage de charge GSLB en boucle. Pour réaliser ce déploiement, activez GSLB pour la zone DNS privée Azure avec NetScaler, qui comprend les configurations suivantes :

  1. Configurez Azure et la configuration locale.
  2. Appliance NetScaler sur le réseau virtuel Azure.

Configuration d’Azure et de la configuration locale

Comme indiqué dans la topologie, configurez le réseau virtuel Azure (VNet A, VNet B dans ce cas) et la configuration sur site.

  1. Créez une zone DNS privée Azure avec un nom de domaine (mysite.net).
  2. Créez deux réseaux virtuels (VNet A, VNet B) dans un modèle Hub et Spoke dans une région Azure.
  3. Déployez un serveur d’applications, un redirecteur DNS, un client Windows 10 Pro, NetScaler dans le réseau virtuel A.
  4. Déployez un serveur d’applications et déployez un redirecteur DNS si des clients se trouvent dans le réseau virtuel B.
  5. Déployez un serveur d’applications, un redirecteur DNS et un client Windows 10 pro sur site.

Zone DNS privée Azure

Créez une zone DNS privée Azure avec un nom de domaine.

  1. Connectez-vous au portail Azure et sélectionnez ou créez un tableau de bord.
  2. Cliquez sur Créer une ressource et recherchez la zone DNS pour créer (mysite.net dans ce cas) la zone DNS privée Azure avec le nom de domaine (mysite.net).

Exemple de zone DNS du portail Azure

Réseaux virtuels Azure (VNet A, VNet B) dans le modèle Hub and Spoke

Créez deux réseaux virtuels (VNet A, VNet B) dans un modèle Hub et Spoke dans une région Azure.

  1. Créez deux réseaux virtuels.
  2. Sélectionnez le même tableau de bord, cliquez sur Créer une ressource et recherchez des réseaux virtuels pour créer deux réseaux virtuels, à savoir le réseau virtuel A et le réseau virtuel B dans la même région, puis associez-les pour former un modèle Hub and Spoke, comme illustré dans l’image suivante. Pour plus d’informations sur la configuration d’une topologie en forme de hub and spoke, voir Implémenter une topologie de réseau en étoiledans Azure.

    Virtual Network A (VNet A)

    Virtual Network B (VNet B)

Peering entre réseaux virtuels A et réseau virtuel B

Pour associer VNet A et VNet B :

  1. Cliquez sur Peerings dans le menu Paramètres du réseau virtuel A et du réseau virtuel homologue B.

  2. Activez Autoriser le trafic transféré et Autoriser le transit par la passerelle, comme indiqué dans l’image suivante.

    VNet A vers B

L’image suivante illustre le peering réussi du réseau virtuel A vers le réseau virtuel B.

Peerings du réseau virtuel

Peering d’un réseau VNet B vers un réseau VNet A

Pour associer le réseau virtuel B et le réseau virtuel A :

  1. Cliquez sur Peerings dans le menu Paramètres du réseau virtuel B et du réseau virtuel homologue A.
  2. Activez Autoriser le trafic transféré et utilisez des passerelles distantes comme indiqué dans l’image suivante.
![VNet B to A](/en-us/citrix-adc/media/image-07.png)

L’image suivante illustre le peering réussi du réseau virtuel B vers le réseau virtuel A. Peerings du réseau virtuel B

Déployer un serveur d’applications, un redirecteur DNS, un client Windows 10 Pro, NetScaler dans le réseau virtuel A

Nous discutons brièvement du serveur d’applications, du redirecteur DNS, du client Windows 10 pro et de NetScaler sur le réseau virtuel A.

  1. Sélectionnez le même tableau de bord, puis cliquez sur Créer une ressource.
  2. Recherchez les instances respectives et attribuez une adresse IP à partir du sous-réseau VNet A.

Serveur d’applications

Le serveur d’applications n’est rien d’autre que le serveur Web (serveur HTTP) sur lequel un serveur Ubuntu 16.04 est déployé en tant qu’instance sur la machine virtuelle Azure ou sur site. Pour en faire un serveur Web, à l’invite de commande, tapez :

sudo apt install apache2

Client Windows 10 Professionnel

Lancez l’instance Windows 10 pro en tant que machine cliente sur VNet A et sur site.

NetScaler

NetScaler complète la zone privée Azure DNA grâce au bilan de santé et aux analyses de NetScaler MAS. Lancez un NetScaler depuis Azure Marketplace en fonction de vos besoins. Ici, nous avons utilisé NetScaler (BYOL) pour ce déploiement.

Pour connaître les étapes détaillées du déploiement de NetScaler sur Microsoft Azure. Voir Déployer une instance NetScaler VPXsur Microsoft Azure.

Après le déploiement, utilisez NetScaler IP pour configurer NetScaler GSLB.

redirecteur DNS

Il est utilisé pour transférer les demandes des clients des domaines hébergés liés à NetScaler GSLB (ADNS IP). Lancez un serveur Ubuntu 16.04 en tant qu’instance Linux (serveur Ubuntu 16.04) et consultez l’URL ci-dessous pour savoir comment le configurer en tant que redirecteur DNS.

Remarque :

pour la méthode d’équilibrage de charge Round Robin GSLB, un redirecteur DNS pour la région Azure est suffisant, mais pour la proximité statique, nous avons besoin d’un redirecteur DNS par réseau virtuel.

  1. Après avoir déployé le redirecteur, remplacez les paramètres du serveur DNS du réseau virtuel A par défaut par des paramètres personnalisés avec l’adresse IP du redirecteur DNS VNet A, comme indiqué dans l’image suivante.
  2. Modifiez le named.conf.options fichier dans le redirecteur DNS de VNet A pour ajouter des règles de transfert pour le domaine (mysite.net) et le sous-domaine (ptm.mysite.net) à l’adresse IP ADNS de NetScaler GSLB.
  3. Redémarrez le redirecteur DNS pour refléter les modifications apportées au fichier named.conf.options.

Paramètres du redirecteur DNS VNet A

    zone "mysite.net" {
               type forward;
    forwarders { 168.63.129.16; };
    };
    zone "ptm.mysite.net" {
        type forward;
        forwarders { 10.8.0.5; };
    };
 <!--NeedCopy-->

Remarque :

Pour l’adresse IP de la zone de domaine (« mysite.net »), utilisez l’adresse IP DNS de votre région Azure. Pour l’adresse IP de zone du sous-domaine (« ptm.mysite.net »), utilisez toutes les adresses IP ADNS de vos instances GSLB.

Déployez un serveur d’applications et un redirecteur DNS si des clients se trouvent dans le réseau virtuel B

  1. Pour le réseau virtuel B, sélectionnez le même tableau de bord, cliquez sur Créer une ressource.
  2. Recherchez les instances respectives et attribuez une adresse IP à partir du sous-réseau VNet B.
  3. Lancez le serveur d’applications et le redirecteur DNS s’il existe un équilibrage de charge GSLB de proximité statique similaire à celui du réseau virtuel A.
  4. Modifiez les paramètres du redirecteur DNS VNet B named.conf.options comme indiqué dans le paramètre suivant :

    Paramètres du redirecteur DNS VNet B :

    zone "ptm.mysite.net" {
        type forward;
        forwarders { 10.8.0.5; };
    };
<!--NeedCopy-->

L’image suivante illustre les paramètres du redirecteur DNS VNet B : Serveurs DNS du réseau virtuel A

Déployer un serveur d’applications, un redirecteur DNS et un client Windows 10 pro sur site

  1. Pour les applications sur site, lancez les machines virtuelles sur du matériel vierge et installez le serveur d’applications, le redirecteur DNS et le client Windows 10 pro similaires au réseau virtuel A.

  2. Modifiez les paramètres du redirecteur DNS local named.conf.options comme indiqué dans l’exemple suivant.

Paramètres du redirecteur DNS sur site

    zone "mysite.net" {
               type forward;
               forwarders { 10.8.0.6; };
    };
    zone "ptm.mysite.net" {
        type forward;
        forwarders { 10.8.0.5; };
    };
<!--NeedCopy-->

En effet mysite.net, nous avons attribué l’adresse IP du redirecteur DNS VNet A au lieu de l’adresse IP du serveur de zone DNS privé Azure, car il s’agit d’une adresse IP spéciale qui n’est pas accessible depuis les locaux. Cette modification est donc requise dans le paramètre du redirecteur DNS sur site.

Configurer le réseau virtuel NetScaler sur Azure

Comme indiqué dans la topologie, déployez NetScaler sur le réseau virtuel Azure (VNet A dans ce cas) et accédez-y via l’interface graphique de NetScaler.

Configuration de NetScaler GSLB

  1. Créez un service ADNS.
  2. Créez des sites locaux et distants.
  3. Créez des services pour les serveurs virtuels locaux.
  4. Créez des serveurs virtuels pour les services GSLB.

Ajouter un service ADNS

  1. Connectez-vous à l’interface graphique de NetScaler.
  2. Dans l’onglet Configuration, accédez à Gestion du trafic > Équilibrage de charge > Services.
  3. Ajoutez un service. Nous vous recommandons de configurer le service ADNS à la fois en TCP et en UDP, comme indiqué dans l’image suivante :

Service d'équilibrage de charge (serveur existant)

Service d'équilibrage de charge, nouveau serveur

Services de gestion du trafic

Ajouter des sites GSLB

  1. Ajoutez des sites locaux et distants entre lesquels le GSLB sera configuré.
  2. Dans l’onglet Configuration, accédez à Gestion du trafic > GSLB > Sites GSLB. Ajoutez un site comme indiqué dans l’exemple suivant et répétez la même procédure pour les autres sites.

    Créer un site GSLB

    Site GSLB IP du cluster

    Sites du GSLB

Ajouter des services GSLB

  1. Ajoutez des services GSLB pour les serveurs virtuels locaux et distants afin d’équilibrer la charge des serveurs d’applications.
  2. Dans l’onglet Configuration, accédez à Gestion du trafic > GSLB > Services GSLB.
  3. Ajoutez les services comme indiqué dans les exemples suivants.
  4. Liez le moniteur HTTP pour vérifier l’état du serveur.

    Paramètres du service GSLB 1

    Paramètres du service GSLB 2

  5. Après avoir créé le service, accédez à l’onglet Paramètres avancés du service GSLB.
  6. Cliquez sur Ajouter un moniteur pour lier le service GSLB à un moniteur HTTP afin d’afficher l’état du service. Moniteur d'équilibrage de charge de service GSLB

  7. Une fois que vous vous êtes connecté au moniteur HTTP, l’état des services est marqué comme UP, comme indiqué dans l’image suivante : Services GSLB

Ajouter un serveur virtuel GSLB

Ajoutez un serveur virtuel GSLB via lequel les services GSLB alias des serveurs d’applications sont accessibles.

  1. Dans l’onglet Configuration, accédez à Gestion du trafic > GSLB > Serveurs virtuels GSLB.
  2. Ajoutez les serveurs virtuels comme indiqué dans l’exemple suivant.
  3. Liez les services GSLB et le nom de domaine à celui-ci.

    Serveur virtuel GSLB

  4. Après avoir créé le serveur virtuel GSLB et sélectionné la méthode d’équilibrage de charge appropriée (Round Robin dans ce cas), liez les services et les domaines GSLB pour terminer l’étape.

    Liaison de domaine du serveur virtuel GSLB

  5. Accédez à l’onglet Paramètres avancés du serveur virtuel et cliquez sur l’onglet Ajouter des domaines pour lier un domaine.

  6. Accédez à Avancé > Services et cliquez sur la flèche pour lier un service GSLB et lier les trois services (réseau virtuel A, réseau virtuel B, local) au serveur virtuel.

    Services GSLB et liaison de groupes de services

    Après avoir lié les services et le domaine GSLB au serveur virtuel, il apparaît comme indiqué dans l’image suivante :

    Paramètres du serveur virtuel GSLB

Vérifiez si le serveur virtuel GSLB est actif et sain à 100 %. Lorsque le moniteur indique que le serveur est opérationnel et en bon état, cela signifie que les sites sont synchronisés et que les services principaux sont disponibles.

Équilibrage de charge des serveurs virtuels GSLB

Pour tester le déploiement, accédez à l’URL du domaine rr.ptm.mysite.net depuis la machine cliente cloud ou depuis la machine cliente locale. Si vous y accédez depuis une machine cliente Windows dans le cloud, assurez-vous que le serveur d’applications local est accessible dans une zone DNS privée sans avoir besoin de solutions DNS tierces ou personnalisées.

Déployer une zone privée DNS NetScaler for Azure