Documentation Produit
NetScaler VPX
14.1-Aktuelle Version 13.1 12.1
Voir PDF

Déployer une paire haute disponibilité VPX avec des adresses IP privées dans différentes zones AWS

June 8, 2026
Contributeur: 
C C

Vous pouvez configurer deux instances NetScaler VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes en utilisant des adresses IP privées en mode INC. Cette solution peut être facilement intégrée à la (/fr-fr/vpx/13-1/deploy-aws/vpx-ha-eip-different-aws-zones.html) existante. Par conséquent, vous pouvez utiliser les deux solutions ensemble.

Pour plus d’informations sur la haute disponibilité, consultez (/fr-fr/citrix-adc/13-1/system/high-availability-introduction.html). Pour plus d’informations sur INC, consultez (/fr-fr/citrix-adc/13-1/system/high-availability-introduction/configuring-high-availability-nodes-different-subnets.html).

Remarque :

Ce déploiement est pris en charge à partir de la version 13.0 build 67.39 de NetScaler. Ce déploiement est compatible avec AWS Transit Gateway.

Paire haute disponibilité avec des adresses IP privées utilisant un VPC non partagé AWS

Prérequis

Assurez-vous que le rôle IAM associé à votre compte AWS dispose des autorisations IAM suivantes :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeAddresses",
                "ec2:AssociateAddress",
                "ec2:DisassociateAddress",
                "ec2:DescribeRouteTables",
                "ec2:DeleteRoute",
                "ec2:CreateRoute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "iam:SimulatePrincipalPolicy",
                "iam:GetRole"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

<!--NeedCopy-->

Déployer une paire HA VPX avec des adresses IP privées utilisant un VPC non partagé AWS

Voici le résumé des étapes pour déployer une paire VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes en utilisant des adresses IP privées.

  1. Créer un cloud privé virtuel Amazon.
  2. Déployer deux instances VPX dans deux zones de disponibilité différentes.
  3. Configurer la haute disponibilité
    1. Configurer la haute disponibilité en mode INC dans les deux instances.
    2. Ajouter les tables de routage respectives dans le VPC qui pointent vers l’interface client.
    3. Ajouter un serveur virtuel dans l’instance principale.

Pour les étapes 1, 2 et 3b, utilisez la console AWS. Pour les étapes 3a et 3c, utilisez l’interface graphique ou la CLI de NetScaler VPX.

Étape 1. Créez un cloud privé virtuel (VPC) Amazon.

Étape 2. Déployez deux instances VPX dans deux zones de disponibilité différentes avec le même nombre d’ENI (interfaces réseau).

Pour plus d’informations sur la création d’un VPC et le déploiement d’une instance VPX sur AWS, consultez Déployer une instance autonome NetScaler VPX sur AWS et Scénario : instance autonome

Étape 3. Configurez les adresses VIP ADC en choisissant un sous-réseau qui ne chevauche pas les sous-réseaux VPC Amazon. Si votre VPC est 192.168.0.0/16, alors pour configurer les adresses VIP ADC, vous pouvez choisir n’importe quel sous-réseau parmi ces plages d’adresses IP :

  • 0.0.0.0 - 192.167.0.0
  • 192.169.0.0 - 254.255.255.0

Dans cet exemple, le sous-réseau 10.10.10.0/24 a été choisi et des VIP ont été créées dans ce sous-réseau. Vous pouvez choisir n’importe quel sous-réseau autre que le sous-réseau VPC (192.168.0.0/16).

Étape 4. Ajoutez une route qui pointe vers l’interface client (VIP) du nœud principal à partir de la table de routage du VPC.

Depuis l’interface de ligne de commande (CLI) AWS, tapez la commande suivante :

aws ec2 create-route --route-table-id rtb-2272532 --destination-cidr-block 10.10.10.0/24 --gateway-id <eni-client-primary>
<!--NeedCopy-->

Depuis l’interface graphique (GUI) AWS, suivez les étapes suivantes pour ajouter une route :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Tables de routage, puis sélectionnez la table de routage.
  3. Choisissez Actions, puis cliquez sur Modifier les routes.
  4. Pour ajouter une route, choisissez Ajouter une route. Pour Destination, entrez le bloc CIDR de destination, une adresse IP unique ou l’ID d’une liste de préfixes. Pour l’ID de passerelle, sélectionnez l’ENI d’une interface client du nœud principal.

Tables de routage - modifier les routes

Remarque :

Vous devez désactiver le contrôle source/destination sur l’ENI client de l’instance principale.

Pour désactiver le contrôle source/destination pour une interface réseau à l’aide de la console, effectuez les étapes suivantes :

  1. Ouvrez la console Amazon EC2.
  2. Dans le volet de navigation, choisissez Interfaces réseau.
  3. Sélectionnez l’interface réseau d’une interface client principale, puis choisissez Actions, et cliquez sur Modifier le contrôle source/destination.
  4. Dans la boîte de dialogue, choisissez Désactivé, cliquez sur Enregistrer.

Modifier le contrôle source-destination

Étape 5. Configurez la haute disponibilité. Vous pouvez utiliser l’interface de ligne de commande (CLI) ou l’interface graphique (GUI) de NetScaler VPX pour configurer la haute disponibilité.

Configurer la haute disponibilité à l’aide de la CLI

  1. Configurez la haute disponibilité en mode INC dans les deux instances.

    Sur le nœud principal :

    add ha node 1 \<sec\_ip\> -inc ENABLED
<!--NeedCopy-->

    Sur le nœud secondaire :

    add ha node 1 \<prim\_ip\> -inc ENABLED
<!--NeedCopy-->

    <sec_ip> fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    <prim_ip> fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale. Vous devez l’ajouter à partir du sous-réseau choisi, par exemple, 10.10.10.0/24.

    Saisissez la commande suivante :

    add \<server\_type\> vserver \<vserver\_name\> \<protocol\> \<primary\_vip\> \<port\>
<!--NeedCopy-->

Configurer la haute disponibilité à l’aide de l’interface graphique

  1. Configurez la haute disponibilité en mode INC sur les deux instances

  2. Connectez-vous au nœud principal avec le nom d’utilisateur nsroot et l’ID d’instance comme mot de passe.

  3. Accédez à Configuration > Système > Haute disponibilité, puis cliquez sur Ajouter.

  4. Dans le champ Adresse IP du nœud distant, ajoutez l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

  5. Sélectionnez le mode Activer la carte réseau (Configuration réseau indépendante) sur le nœud local.

  6. Sous Informations d’identification de connexion du système distant, ajoutez le nom d’utilisateur et le mot de passe pour le nœud secondaire, puis cliquez sur Créer.

  7. Répétez les étapes sur le nœud secondaire.

  8. Ajouter un serveur virtuel dans l’instance principale

    Accédez à Configuration > Gestion du trafic > Serveurs virtuels > Ajouter.

    Ajouter un serveur virtuel

Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC partagé AWS

Dans un modèle de VPC partagé AWS, le compte propriétaire du VPC (propriétaire) partage un ou plusieurs sous-réseaux avec d’autres comptes (participants). Par conséquent, vous avez un compte propriétaire de VPC et un compte participant. Une fois qu’un sous-réseau est partagé, les participants peuvent afficher, créer, modifier et supprimer leurs ressources d’application dans les sous-réseaux partagés avec eux. Les participants ne peuvent pas afficher, modifier ou supprimer les ressources qui appartiennent à d’autres participants ou au propriétaire du VPC.

Pour plus d’informations sur le VPC partagé AWS, consultez la documentation AWS.

Remarque :

Les étapes de configuration pour le déploiement d’une paire HA VPX avec des adresses IP privées à l’aide d’un VPC partagé AWS sont les mêmes que celles de Déployer une paire HA VPX avec des adresses IP privées à l’aide d’un VPC non partagé AWS, à l’exception suivante :

  • Les tables de routage dans le VPC qui pointent vers l’interface client doivent être ajoutées à partir du compte propriétaire du VPC.

Prérequis

  • Assurez-vous que le rôle IAM associé à l’instance NetScaler VPX dans le compte participant AWS dispose des autorisations IAM suivantes :

     "Version": "2012-10-17",
     "Statement": [
         {
             "Sid": "VisualEditor0",
             "Effect": "Allow",
             "Action": [
                 "ec2:DisassociateAddress",
                 "iam:GetRole",
                 "iam:SimulatePrincipalPolicy",
                 "ec2:DescribeInstances",
                 "ec2:DescribeAddresses",
                 "ec2:ModifyNetworkInterfaceAttribute",
                 “ec2:AssociateAddress”,
                 "sts:AssumeRole"
         ],
             "Resource": "*"
         }
     ]
 }
 <!--NeedCopy-->

    Remarque :

    Le rôle AssumeRole permet à l’instance NetScaler VPX d’assumer le rôle IAM inter-comptes, qui est créé par le compte propriétaire du VPC.

  • Assurez-vous que le compte propriétaire du VPC fournit les autorisations IAM suivantes au compte participant à l’aide du rôle IAM inter-comptes :

     {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Sid": "VisualEditor0",
             "Effect": "Allow",
             "Action": [
                 "ec2:CreateRoute",
                 "ec2:DeleteRoute",
                 "ec2:DescribeRouteTables"
             ],
             "Resource": "*"
         }
     ]
 }
 <!--NeedCopy-->

Créer un rôle IAM inter-comptes

  1. Connectez-vous à la console web AWS.
  2. Dans l’onglet IAM, accédez à Rôles, puis choisissez Créer un rôle.

  3. Choisissez Un autre compte AWS.

    Rôle de création de VPC partagé

  4. Saisissez le numéro d’identification de compte à 12 chiffres du compte participant auquel vous souhaitez accorder un accès administrateur.

Définir le rôle IAM inter-comptes à l’aide de l’interface de ligne de commande NetScaler

La commande suivante permet à l’instance NetScaler VPX d’assumer le rôle IAM inter-comptes qui existe dans le compte propriétaire du VPC.

set cloud awsParam -roleARN <string>
<!--NeedCopy-->

Définir le rôle IAM inter-comptes à l’aide de l’interface graphique NetScaler

  1. Connectez-vous à l’appliance NetScaler et accédez à Configuration > AWS > Modifier les paramètres cloud.

    Modifier les paramètres cloud

  2. Dans la page Configurer les paramètres cloud AWS, saisissez une valeur pour le champ RoleARN.

    Configurer les paramètres cloud AWS

Scénario

Dans ce scénario, un seul VPC est créé. Dans ce VPC, deux instances VPX sont créées dans deux zones de disponibilité. Chaque instance dispose de trois sous-réseaux : un pour la gestion, un pour le client et un pour le serveur back-end.

Les diagrammes suivants illustrent la configuration de haute disponibilité NetScaler VPX en mode INC, sur AWS. Le sous-réseau personnalisé 10.10.10.10, qui ne fait pas partie du VPC, est utilisé comme VIP. Par conséquent, le sous-réseau 10.10.10.10 peut être utilisé dans toutes les zones de disponibilité.

Configuration de haute disponibilité avant le basculement en mode INC

Configuration de haute disponibilité après le basculement en mode INC

Pour ce scénario, utilisez l’interface de ligne de commande pour configurer la haute disponibilité.

  1. Mettre en place la haute disponibilité en mode INC sur les deux instances.

    Saisissez les commandes suivantes sur les nœuds principal et secondaire.

    Sur le nœud principal :

    add ha node 1 192.168.4.10 -inc enabled
<!--NeedCopy-->

    Ici, 192.168.4.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud secondaire.

    Sur le nœud secondaire :

    add ha node 1 192.168.1.10 -inc enabled
<!--NeedCopy-->

    Ici, 192.168.1.10 fait référence à l’adresse IP privée de la carte réseau de gestion du nœud principal.

  2. Ajoutez un serveur virtuel sur l’instance principale.

    Saisissez la commande suivante :

    add lbvserver vserver1 http 10.10.10.10 80
<!--NeedCopy-->

  3. Enregistrez la configuration.

  4. Après un basculement forcé :

    • L’instance secondaire devient la nouvelle instance principale.
    • La route VPC pointant vers l’ENI principal migre vers l’ENI client secondaire.
    • Le trafic client reprend vers la nouvelle instance principale.

Configuration d’AWS Transit Gateway pour la solution d’IP privée HA

Vous avez besoin d’AWS Transit Gateway pour rendre le sous-réseau VIP privé routable au sein du réseau interne, à travers les VPC AWS, les régions et les réseaux sur site. Le VPC doit se connecter à AWS Transit Gateway. Une route statique pour le sous-réseau VIP ou le pool d’adresses IP dans la table de routage d’AWS Transit Gateway est créée et pointe vers le VPC.

Passerelle de transit AWS(/fr-fr/vpx/media/aws-transit-gateway.png)

Pour configurer la passerelle de transit AWS, suivez ces étapes :

  1. Ouvrez la console Amazon VPC.
  2. Dans le volet de navigation, choisissez Tables de routage de la passerelle de transit.

  3. Choisissez l’onglet Routes, puis cliquez sur Créer une route statique.

    Table de routage de la passerelle de transit AWS(/fr-fr/vpx/media/aws-transit-gateway-route-table.png)

  4. Créez une route statique où le CIDR pointe vers votre sous-réseau VIPS privé et l’attachement pointe vers le VPC contenant NetScaler VPX.

    Créer une route statique(/fr-fr/vpx/media/tg-create-static-route.png)

  5. Cliquez sur Créer une route statique, puis choisissez Fermer.

Dépannage

Si vous rencontrez des problèmes lors de la configuration de la solution IP privée HA multizone, vérifiez les points clés suivants pour le dépannage :

  • Les nœuds principal et secondaire disposent du même ensemble d’autorisations IAM.
  • Le mode INC est activé sur les nœuds principal et secondaire.
  • Les nœuds principal et secondaire ont le même nombre d’interfaces.
  • Lors de la création d’une instance, suivez le même ordre d’attachement des interfaces sur les deux nœuds. Sur un nœud principal, si l’interface client est attachée en premier et l’interface serveur en second, suivez le même ordre sur le nœud secondaire. En cas de non-concordance, détachez et rattachez les interfaces dans le bon ordre.
  • Si le trafic ne circule pas, assurez-vous que le « Contrôle source/dest. » est désactivé sur l’interface client du nœud principal pour la première fois.
  • Assurez-vous que la commande cloudhadaemon (ps -aux | grep cloudha) est en cours d’exécution dans le Shell.
  • Assurez-vous que la version du firmware NetScaler est 13.0 build 70.x ou ultérieure.
  • Pour les problèmes liés au processus de basculement, vérifiez le fichier journal disponible à l’adresse : /var/log/cloud-ha-daemon.log
Déployer une paire haute disponibilité VPX avec des adresses IP privées dans différentes zones AWS
June 8, 2026
Contributeur: 
C C
June 8, 2026
Contributeur: 
C C

Dans cet article

Commentaires sur le site | Your privacy choices footer linkVos préférences de confidentialité | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.