Citrix SD-WAN Platforms

Prise en charge haute disponibilité de Citrix SD-WAN Standard Edition Virtual Appliance (VPX)

La procédure suivante décrit comment déployer des appliances virtuelles SD-WAN (VPX) en mode haute disponibilité sur le cloud AWS.

Points à prendre en compte lors du déploiement d’appliances haute disponibilité VPX SD-WAN dans le cloud AWS.

  1. AWS ne prend pas en charge GARP (Generic Attribute Registration Protocol), VLAN ou L2, telles que le mode promiscuous et le pontage. En effet, deux machines virtuelles appartenant à des clients différents peuvent être planifiées sur les mêmes cartes réseau de partage d’hôte.
  2. L2 exige que le commutateur soit configuré et ceux-ci ne sont pas exposés aux utilisateurs AWS.
  3. Le modèle de haute disponibilité de l’appliance SD-WAN dépend de GARP. En cas de basculement sur incident, la nouvelle appliance principale envoie GARPS pour les adresses VIP.
  4. AWS adopte une nouvelle approche pour le basculement à haute disponibilité. Un nouveau concept d’ENI (Elastic Network Interface) est introduit. ENI est une entité qui signifie Interface réseau qui a des attributs tels que l’adresse IP, l’adresse MAC, le groupe de sécurité et les règles de port.
  5. Vous pouvez déplacer les ENIs d’instance active ou inactive vers une autre instance active ou inactive.
  6. L’instance doit être capable de gérer le branchement à chaud des interfaces.
  7. Chaque type d’instance a des limites quant au nombre d’ENI associés et au nombre d’adresses IP par ENI.
  8. La conception AWS pour le basculement à haute disponibilité implique que les instances communiquent avec le serveur externe pour appeler les serveurs AWS de l’API Query.
  9. Les serveurs AWS sont des serveurs HTTP traditionnels. Une requête est envoyée à partir d’une instance au serveur d’API Query pour obtenir ou publier des informations concernant une instance, un subnet/vPC ou tout autre attribut sur AWS.
  10. Pour la configuration de la plate-forme cloud, la configuration de l’adresse MAC de base partagée est ignorée et n’a aucune signification.

Déployer Citrix SD-WAN VPX édition standard en mode haute disponibilité à l’aide d’un modèle de nuage

Pour plus d’informations, reportez-vous Meilleures pratiques EBS aux Meilleures pratiques incontournables pour le chiffrement Amazon EBS

  • Pour définir des groupes de sécurité, la stratégie doit ressembler à la suivante :

    • Sortant : Autoriser tout le trafic
    • Entrant :
    • SSH à partir de toutes les adresses IP ou sous-réseaux à partir desquels l’adresse IP de gestion sera accessible.
    • Tout le trafic provenant de vos VPC AWS (IP privées)
    • Tout le trafic provenant des IP publiques côté WAN des appliances homologues Citrix SD-WAN hébergées sur site ou dans le cloud. À partir de la version 11.3, Citrix SD-WAN a introduit la prise en charge des instances M5 et C5. Les nouvelles régions AWS, telles que Hong Kong et Paris, ne prennent en charge que les instances M5 et C5.

Les instances M5 et C5 ont des performances matérielles améliorées et sont conçues pour les charges de travail plus exigeantes. Les instances M5 et C5 offrent un meilleur rapport prix/performances que les instances M4 sur une base par cœur.

REMARQUE

  • Les instances M5 et C5 sont prises en charge à partir d’une nouvelle disposition de version 11.3 et supérieure uniquement. Pour continuer à utiliser les instances M5 et C5, vous ne pouvez pas rétrograder à partir de la version 11.3 car les instances M5 et C5 ne sont pas prises en charge sur aucune version de microprogramme antérieure à la version 11.3.

  • Instances provisionnées avec les versions 10.2.4/11.2.1, les AMI ne peuvent pas modifier leur type d’instance en M5/C5.

Déployer SD-WAN VPX en édition standard en mode haute disponibilité à l’aide d’un modèle de nuage

Le modèle de solution haute disponibilité SD-WAN est publié sur AWS Marketplace, vous pouvez vous abonner et utiliser le modèle CloudFormation pour déployer la configuration HA.

Conditions préalables

Avant de lancer le modèle CloudFormation, vous devez créer un VPC, des sous-réseaux, des tables de routage pour la gestion, le réseau local et le réseau WAN. Pour créer et définir les sous-réseaux et les tables de routage (s’ils ne sont pas créés), reportez-vous à la Installation de l’AMI SD-WAN VPX Standard Edition sur AWS rubrique.

Pour déployer SD-WAN édition standard VPX en mode haute disponibilité à l’aide d’un modèle de nuage :

  1. Accédez à Marché AWS et cliquez sur l’onglet Tarification. Sélectionnez la région dans la liste déroulante et spécifiez l’option de traitement comme déploiement en mode haute disponibilité . Cliquez sur Continuer pour vous abonner.

    Modèle AWS

  2. Cliquez sur Continuer à la configuration.

    Créer une pile

  3. Spécifiez l’option Fulfillment comme modèle CloudFormation et Déploiement en mode haute disponibilité dans la liste déroulante. Sélectionnez Région et cliquez sur Continuer à lancer.

    Créer un modèle

  4. Choisissez l’action Launch CloudFormation dans la fenêtre de lancement du logiciel, puis cliquez sur Lancer.

    Launch

  5. Dans la fenêtre Créer une pile, l’URL du modèle S3 prédéfinie apparaît pendant la formation CloudFormation. Cliquez sur Suivant.

    URL du modèle S3

  6. Spécifiez un nom de pile dans la section Spécifier les détails.

    Spécifier les détails

  7. Configurer la configuration du réseau privé virtuel. Remplissez les détails des paramètres suivants :
    • ID VPC : Fournissez l’ID de cloud privé virtuel.
    • IP CIDR SSH distant : Fournissez la plage d’adresses IP pouvant SSH à l’instance EC2 (port 22).

      Remarque Il est recommandé d’autoriser SSH uniquement à partir des adresses IP connues.

    • IP CIDR HTTP distant : Fournissez la plage d’adresses IP pouvant HTTP à l’instance EC2 (port80).
    • AdresseIP CIDR HTTPS distante : Fournissez la plage d’adresses IP pouvant HTTPS à l’instance EC2 (port 443).
    • Paire de clés : indiquez le nom d’un KeyPair EC2 existant pour activer l’accès SSH aux instances.

    Paramètres

  8. Configurez les interfaces réseau qui doivent être attachées aux instances créées. Notez que les adresses IP principales sont pour l’instance principale de la paire haute disponibilité et les adresses IP secondaires sont configurées pour l’instance secondaire de la paire haute disponibilité.

    Interface réseau

  9. Configurez d’autres paramètres tels que le type instantané et le type de location, puis cliquez sur Suivant.

    Type de locataire instantané

    REMARQUE

    Si des validations échouent, AWS vous en informe et ne vous laissera pas poursuivre tant que les erreurs ne seront pas résolus.

  10. Définir les balises. Ces balises sont des options spécifiques à AWS qui sont configurables par l’utilisateur.

    Balises

  11. La configuration du rôle IAM n’est pas recommandée. Cela est déjà créé par le rôle IAM personnalisé, qui est effectué via le modèle Cloud Formation.

    Autorisation

  12. Après avoir cliqué sur Suivant, passez en revue le modèle et reconnaissez le rôle IAM personnalisé créé par le modèle Cloud Formation. Continuez avec Create.

    Capacités

  13. La nouvelle pile que vous avez créée apparaît sur la page Cloud Formation Stacks. Après le téléchargement réussi du modèle, Surveillez l’état du modèle.

    Les piles créent

  14. Surveillez les événements de toutes les ressources créées par le modèle Cloud Formation. En cas d’échec, AWS génère des descriptions détaillées des événements, ce qui aide à déboguer le problème. Les événements apparaissent comme suit :

    CloudFormation

  15. Après la création réussie de la pile, l’état du modèle apparaît comme Create_Complete.

    Créer complet

  16. Naviguez de la console AWS vers Services > EC2 > Instances. Vous pouvez voir deux instances des instances SDWanPrimary et SDWanSecondary créées, en cours d’exécution avec des IP Elastic associées aux instances.

     ! [Secondaire primaire] (/en-us/citrix-sd-wan-platforms/vpx-models/media/primary-secondary.png)

  17. Sélectionnez l’instance SDWANPrimary. Vous pouvez remarquer toutes les ressources attribuées à juste titre à l’instance, aux groupes de sécurité, à Elastic IP, au rôle IAM et à quatre interfaces réseau. Impossible de créer une fonctionnalité de haute disponibilité peut ne pas fonctionner comme prévu.

  18. De même, sélectionnez l’instance SDwanSecondary et vérifiez les ressources ci-dessus.

IP flottantes secondaires pour les liaisons LAN et WAN

Vous avez besoin d’une IP flottante secondaire pour les liaisons LAN et WAN pour que la haute disponibilité fonctionne. Une fois la pile créée, affectez de nouvelles adresses IP privées secondaires aux interfaces LAN et WAN de l’instance EC2 active. Ces adresses IP configurées secondaires sont utilisées lors de la configuration des adresses IP virtuelles dans VPX.

Effectuez la procédure suivante pour attacher les IP LAN secondaires à l’instance active :

Remarque

Une fois la solution HA déployée, nous devons attribuer une adresse IP flottante secondaire uniquement à l’instance principale.

  1. Accédez à Services > EC2 > Instances.

    Instances

  2. Accédez à Services > EC2 > Interfaces réseau et sélectionnez les interfaces réseau élastiques LAN/WAN (ENI) de l’instance principale.

    Interfaces réseau

  3. Attribuer une nouvelle adresse IP secondaire.

    IP secondaire

  4. Cliquez sur Oui, Mettre à jour.

    Oui mise à jour

  5. De même, créez également une adresse IP privée secondaire pour l’interface WAN.

IP publique sur liaison WAN

Une adresse IP publique requise sur la liaison WAN pour communiquer avec le monde externe. Pour associer l’IP élastique à l’interface ENI WAN, procédez comme suit :

  1. Accédez à Adresses > Allouer une nouvelle adresse.

    Allouer une nouvelle adresse

  2. Sélectionnez l’adresse IP élastique créée, puis cliquez sur Action > Associer l’adresse et associez le public à l’IP WAN privé secondaire que nous venons de créer.

    Adresse associée

  3. Vérifiez que les interfaces finales et les adresses IP sont attendues comme suit :

    • Instance principale : Instance principale
    • Instance secondaire : Instance secondaire

    Maintenant, le provisioning de l’instance est terminé. La configuration de l’appliance haute disponibilité SD-WAN est presque similaire à la configuration d’une appliance autonome. Les différences sont énumérées ci-dessous :

    • Lors de la création d’interfaces IP virtuelles LAN et WAN, spécifiez les adresses IP privées secondaires créées. Et pour l’interface IP virtuelle haute disponibilité, spécifiez une adresse IP factice dans le réseau haute disponibilité.

      IP factice

    • Activez la haute disponibilité et spécifiez les adresses IP de l’interface haute disponibilité de l’instance active et secondaire.

      IP de l'interface HA

      Vous pouvez vérifier l’état de haute disponibilité.

      Statut HA

Comment configurer le basculement haute disponibilité pour toute instance SD-WAN exécutée sur AWS

Configurez des homologues haute disponibilité avec un homologue haute disponibilité avec trois ENI ou plus, et 1 homologue haute disponibilité avec un nombre égal d’ENI. Dans les deux pairs, la première ENI est dédiée à la gestion. Un homologue haute disponibilité possède toutes les NIs de trafic. Au cours d’un basculement, les ENI du trafic passent de l’instance défaillante à la nouvelle instance principale.

Par exemple, le déplacement de deux ENI de trafic peut prendre jusqu’à 20 secondes ou plus. AWS n’a pas de SLA sur la réponse API et vous ne pouvez pas en avoir un pour le temps de basculement haute disponibilité.

Remarque

La conception AWS a une limitation des instances dépendant des serveurs AWS pour répondre pour attacher et détacher. Le temps de basculement est imprévisible.

Étapes de configuration

  1. Obtenir des informations sur votre instance homologue haute disponibilité sur le nombre d’ENI associées et les détails des ENI associées à l’aide de l’API REST.
  2. Détectez la condition de l’instance défaillante.
  3. Appelez Detach des ENIS de l’instance défaillante à l’aide des API REST.
  4. Assurez-vous que toutes les ENI associées sont détachées.
  5. Attachez les NIs à l’instance principale actuelle.
  6. Assurez-vous que toutes les NIE sont jointes.
  7. Déclenchez les couches supérieures pour détecter que de nouvelles ENIs sont en place.

AWS haute disponibilité SD-WAN

Basculement AWS haute disponibilité SD-WAN

Comment configurer SD-WAN VPX-SE dans un seul sous-réseau AWS Virtual Private Cloud (VPC) ou entre des régions avec une adresse IP de liaison WAN publique

Dans AWS VPC, pour une instance SD-WAN active, une autre instance SD-WAN haute disponibilité s’exécutant dans le même VPC est publiée.

  1. Les liens configurés sont les mêmes entre les appliances SD-WAN actives et de secours.
  2. Pour AWS, vous pouvez créer un sous-réseau et un lien dédié pour le protocole RACP afin de communiquer entre les appliances SD-WAN.
  3. Dans l’interface graphique SD-WAN, configurez les éléments suivants :
    • Créez un groupe d’interfaces. Nommez-le comme lien de disponibilité élevée. Ajoutez l’interface utilisée pour la haute disponibilité.
    • Créez une adresse IP virtuelle pour le groupe Interface.
    • Dans High Availability Node, Activer la haute disponibilité et ajouter des IP virtuelles de contrôle que le protocole RACP utilise pour la communication. Assurez-vous que les adresses IP sont identiques à l’adresse IP configurée lors de la création d’interfaces réseau dans AWS.
    • Effectuez la gestion des modifications et téléchargez la configuration active de l’appliance SD-WAN de secours.
    • Après avoir appliqué la configuration via la gestion locale des modifications sur l’appliance SD-WAN de secours, vous verrez les battements de cœur échangés entre les appliances haute disponibilité SD-WAN actives et de secours.
    • Lorsque le basculement se produit, l’appliance SD-WAN passe du mode veille au mode actif et/ou inversement sans perte de configuration.

Remarque

  1. AWS prend en charge le mode haute disponibilité avec des fonctionnalités telles que l’équilibrage de la charge élastique et la mise à l’échelle automatique, où le défi consiste à synchroniser la configuration au sein des appliances SD-WAN. Dans ce déploiement, vous appliquez le protocole RACP existant pour une haute disponibilité efficace.

  2. Les appliances MCN et de site de succursale peuvent être mises à disposition dans l’environnement cloud.