Fonctionnement de la haute disponibilité sur AWS
Vous pouvez configurer deux instances NetScaler VPX sur AWS en tant que paire active-passive de haute disponibilité (HA). Lorsque vous configurez une instance en tant que nœud principal et l’autre en tant que nœud secondaire, le nœud principal accepte les connexions et gère les serveurs. Le nœud secondaire surveille le nœud principal. Si, pour une raison quelconque, le nœud principal n’est pas en mesure d’accepter les connexions, le nœud secondaire prend le relais.
Dans AWS, les types de déploiement suivants sont pris en charge pour les instances VPX :
- Haute disponibilité au sein de la même zone
- Haute disponibilité entre différentes zones
Remarque :
Pour que la haute disponibilité fonctionne, assurez-vous que les deux instances NetScaler VPX sont associées à des rôles IAM et qu’une adresse IP élastique (EIP) est attribuée au NSIP. Il n’est pas nécessaire d’attribuer une EIP sur le NSIP si le NSIP peut atteindre Internet via l’instance NAT.
Haute disponibilité au sein des mêmes zones
Dans un déploiement à haute disponibilité au sein des mêmes zones, les deux instances VPX doivent avoir des configurations réseau similaires.
Suivez ces deux règles :
Règle 1. Toute carte réseau (NIC) sur une instance VPX doit se trouver dans le même sous-réseau que la carte réseau correspondante de l’autre VPX. Les deux instances doivent avoir :
- Une interface de gestion sur le même sous-réseau (appelé sous-réseau de gestion)
- Une interface client sur le même sous-réseau (appelé sous-réseau client)
- Une interface serveur sur le même sous-réseau (appelé sous-réseau serveur)
Règle 2. La séquence des cartes réseau de gestion, client et serveur sur les deux instances doit être la même. Par exemple, le scénario suivant n’est pas pris en charge.
Instance VPX 1
NIC 0 : gestion NIC 1 : client NIC 2 : Serveur
Instance VPX 2
NIC 0 : gestion
NIC 1 : serveur
NIC 2 : client
Dans ce scénario, la NIC 1 de l’instance 1 se trouve dans le sous-réseau client, tandis que la NIC 1 de l’instance 2 se trouve dans le sous-réseau serveur. Pour que la haute disponibilité fonctionne, la NIC 1 des deux instances doit se trouver soit dans le sous-réseau client, soit dans le sous-réseau serveur.
À partir de la version 13.0 41.xx, la haute disponibilité peut être obtenue en migrant les adresses IP privées secondaires attachées aux NIC (NIC côté client et côté serveur) du nœud HA principal vers le nœud HA secondaire après un basculement. Dans ce déploiement :
-
Les deux instances VPX ont le même nombre de NIC et le même mappage de sous-réseau selon l’énumération des NIC.
-
Chaque NIC VPX possède une adresse IP privée supplémentaire, à l’exception de la première NIC, qui correspond à l’adresse IP de gestion. L’adresse IP privée supplémentaire apparaît comme l’adresse IP privée principale dans la console web AWS. Dans notre document, nous appelons cette adresse IP supplémentaire l’adresse IP factice).
-
Les adresses IP factices ne doivent pas être configurées sur l’instance NetScaler en tant que VIP et SNIP.
-
D’autres adresses IP privées secondaires doivent être créées, si nécessaire, et configurées en tant que VIP et SNIP.
-
Lors d’un basculement, le nouveau nœud principal recherche les SNIP et VIP configurés et les déplace des NIC attachées au précédent nœud principal vers les NIC correspondantes sur le nouveau nœud principal.
-
Les instances NetScaler nécessitent des autorisations IAM pour que la haute disponibilité fonctionne. Ajoutez les privilèges IAM suivants à la politique IAM ajoutée à chaque instance.
"iam:GetRole"
"ec2:DescribeInstances"
"ec2:DescribeNetworkInterfaces"
"ec2:AssignPrivateIpAddresses"
Remarque :
unassignPrivateIpAddressn’est pas requis.
Cette méthode est plus rapide que la méthode héritée. Dans l’ancienne méthode, la haute disponibilité (HA) dépend de la migration des interfaces réseau élastiques AWS du nœud principal vers le nœud secondaire.
Pour une méthode héritée, les stratégies suivantes sont requises :
"iam:GetRole"
"ec2:DescribeInstances"
"ec2:DescribeAddresses"
"ec2:AssociateAddress"
"ec2:DisassociateAddress"
Pour plus d’informations, consultez Déployer une paire haute disponibilité sur AWS.
Haute disponibilité entre différentes zones
Vous pouvez configurer deux instances NetScaler VPX sur deux sous-réseaux différents ou deux zones de disponibilité AWS différentes, en tant que paire haute disponibilité active-passive en mode Configuration réseau indépendante (INC). Lors du basculement, l’EIP (adresse IP élastique) du VIP de l’instance principale migre vers l’instance secondaire, qui prend le relais en tant que nouvelle instance principale. Dans le processus de basculement, l’API AWS :
- Vérifie les serveurs virtuels auxquels
IPSetsest attaché. - Trouve l’adresse IP qui a une adresse IP publique associée, parmi les deux adresses IP sur lesquelles le serveur virtuel écoute. L’une est directement attachée au serveur virtuel, et l’autre est attachée via l’ensemble d’adresses IP.
- Réassocie l’adresse IP publique (EIP) à l’adresse IP privée appartenant au nouveau VIP principal.
Pour la haute disponibilité entre différentes zones, les stratégies suivantes sont requises :
"iam:GetRole"
"ec2:DescribeInstances"
"ec2:DescribeAddresses"
"ec2:AssociateAddress"
"ec2:DisassociateAddress"
Pour plus d’informations, consultez Haute disponibilité entre les zones de disponibilité AWS.
Avant de commencer votre déploiement
Avant de commencer tout déploiement HA sur AWS, lisez le document suivant :
- Prérequis
- Limitations et directives d’utilisation
- Déployer une instance NetScaler VPX sur AWS
- Haute disponibilité
Dépannage
Pour dépanner toute défaillance lors d’un basculement HA d’une instance NetScaler VPX sur le cloud AWS, vérifiez le fichier cloud-ha-daemon.log stocké à l’emplacement /var/log/.