Déployer une paire HA NetScaler VPX dans Azure en utilisant les configurations IP secondaires

Vous pouvez déployer une paire haute disponibilité NetScaler VPX dans Azure avec les deux instances NetScaler VPX sur le même réseau virtuel (VNet), en utilisant les configurations IP secondaires des interfaces réseau (NIC). Ce déploiement HA élimine le besoin d’un équilibreur de charge Azure (ALB). Lors du basculement, les adresses IP privées secondaires attribuées aux cartes réseau côté client et côté serveur du nœud principal sont migrées vers le nœud secondaire. Toutes les adresses IP publiques associées à ces adresses IP privées secondaires sont également déplacées en conséquence.

Important :

Avant de commencer le déploiement, assurez-vous que votre environnement Azure répond aux prérequis afin d’éviter tout problème lors de la configuration.

Voici quelques-uns des avantages de l’utilisation des configurations IP secondaires :

• Basculement simplifié : Les adresses IP secondaires permettent la migration automatique des adresses IP virtuelles (VIP) et des adresses IP de sous-réseau (SNIP) entre les nœuds HA, assurant un basculement transparent sans nécessiter d’équilibrage de charge externe.
• Évolutivité : Plusieurs adresses IP peuvent être attribuées à une seule carte réseau, ce qui permet un routage flexible du trafic et une mise à l’échelle des services au sein de la même VM.
• Résilience : La capacité de déplacer les adresses IP privées secondaires entre les nœuds améliore la disponibilité du réseau et permet une récupération rapide en cas de défaillance d’un nœud.
• Rentabilité : En éliminant le besoin d’un ALB, vous réduisez les coûts d’infrastructure tout en maintenant une haute disponibilité et une gestion du trafic au sein du même sous-réseau.

L’illustration suivante représente un scénario de basculement HA par la migration des adresses IP privées secondaires.

Prérequis pour déployer une paire HA NetScaler VPX™ en utilisant les configurations IP secondaires Azure

• Utilisez NetScaler version 14.1–34.42 ou ultérieure.

• Assurez-vous que votre abonnement a le nouveau plan de contrôle Azure activé.

Remarque :

Si le nouveau plan de contrôle Azure n’est pas activé pour votre abonnement, les déploiements à haute disponibilité peuvent connaître une durée de basculement plus longue. Dans de tels cas, contactez le support Azure pour obtenir de l’aide afin d’activer le nouveau plan de contrôle.

Comment déployer une paire HA NetScaler VPX à l’aide des configurations d’IP secondaires d’Azure

Pour déployer une paire HA NetScaler VPX à l’aide des configurations d’IP secondaires dans Azure, suivez ces étapes :

1. Déployez deux instances NetScaler VPX dans Azure, chacune avec trois interfaces réseau dans le même groupe de ressources et le même VNet.
2. Attribuez une identité gérée aux deux instances NetScaler VPX.
3. Attribuez des configurations d’IP secondaires Azure aux interfaces réseau client et serveur du nœud principal.
4. Configurez le VIP et le SNIP sur le nœud principal en utilisant l’adresse IP privée Azure de la configuration d’IP secondaire.
5. Configurez les adresses IP privées principales des interfaces réseau du serveur sur les instances NetScaler primaire et secondaire pour qu’elles soient le VIP, sur le nœud principal.
6. Configurez la haute disponibilité (HA) sur les deux nœuds.

Étape 1. Déployez deux instances NetScaler VPX (nœuds principal et secondaire) dans le même groupe de ressources et le même VNet. Assurez-vous que chaque instance NetScaler VPX dispose de trois cartes réseau : Ethernet 0, Ethernet 1 et Ethernet 2.

Pour des étapes détaillées, consultez Déployer deux instances VPX sur Azure.

Étape 2. Appliquez une identité gérée attribuée par le système ou une identité gérée attribuée par l’utilisateur aux deux instances NetScaler VPX.

Remarque :

Le principal de service Azure n’est pas pris en charge pour cette fonctionnalité.

Pour plus de détails, consultez Identités gérées pour les ressources Azure.

Pour obtenir des instructions sur la configuration d’une identité gérée sur NetScaler VPX, consultez Configurer une identité gérée sur une machine virtuelle.

Étape 3. Ajoutez l’une des attributions de rôle Azure suivantes à l’identité gérée associée aux instances NetScaler VPX.

• Lecteur et contributeur réseau : Accorde un accès en lecture seule aux ressources Azure et les autorisations requises pour gérer les ressources réseau.
• Contributeur : Fournit un accès complet aux ressources Azure.

Étape 4. Sur le nœud principal, attribuez des adresses IP privées à Ethernet 1 (IP client ou VIP) et Ethernet 2 (IP de serveur back-end ou SNIP).

Le portail Azure attribue automatiquement des adresses IP privées principales aux cartes réseau configurées. Pour attribuer davantage d’adresses IP privées aux interfaces réseau VIP et SNIP, utilisez des configurations IP secondaires.

Pour attribuer une configuration IP secondaire à une interface réseau dans Azure, procédez comme suit :

1. Connectez-vous au portail Azure et accédez à Machines virtuelles.
2. Sélectionnez la machine virtuelle associée à l’interface réseau.
3. Dans les paramètres de la machine virtuelle, accédez à Paramètres réseau et sélectionnez la carte réseau à laquelle vous souhaitez ajouter une adresse IP privée secondaire.
4. Dans les paramètres de l’interface réseau, cliquez sur l’onglet Configurations IP.

5. Cliquez sur Ajouter pour attribuer une configuration IP de type Secondaire.

   • Si vous choisissez une méthode d’allocation statique, entrez une adresse IPv4 spécifique dans la plage de sous-réseau de l’instance.
   • Si vous choisissez une méthode d’allocation dynamique, Azure attribue automatiquement une adresse IP.
6. Cliquez sur Ajouter ou Enregistrer pour appliquer les modifications.

Étape 5. Configurez le VIP et le SNIP sur le nœud principal en utilisant les adresses IP privées de la configuration IP secondaire.

1. Accédez au nœud principal via SSH. Ouvrez un client SSH et exécutez la commande suivante :

   ssh -i <location of your private key> nsroot@<public DNS of the instance>
   <!--NeedCopy-->
   

2. Configurez les adresses VIP et SNIP.

   Pour configurer l’adresse VIP, exécutez la commande suivante :

   add ns ip <IPAddress> <netmask> -type VIP
   <!--NeedCopy-->
   

   Exemple :

   add ns ip 192.0.2.11 255.255.255.0 -type VIP
   <!--NeedCopy-->
   

   Pour configurer l’adresse SNIP, exécutez la commande suivante :

   add ns ip <IPAddress> <netmask> -type SNIP
   <!--NeedCopy-->
   

   Exemple :

   add ns ip 192.0.3.11 255.255.255.0 -type SNIP
   <!--NeedCopy-->
   

3. Enregistrez la configuration en exécutant la commande save config.

4. Vérifiez les adresses IP configurées à l’aide de la commande suivante :

   show ns ip
   <!--NeedCopy-->
   

Étape 6. Configurez les adresses IP privées principales des interfaces réseau du serveur sur les instances NetScaler principale et secondaire pour qu’elles soient le VIP, sur le nœud principal.

1. Accédez au nœud principal via SSH. Ouvrez un client SSH et exécutez la commande suivante :

   ssh -i <location of your private key> nsroot@<public DNS of the instance>
   <!--NeedCopy-->
   

   Exemple :

   ssh -i ~/.ssh/mykey.pem nsroot@primary-instance.eastus.cloudapp.azure.com
   <!--NeedCopy-->
   

2. Sur le nœud principal, configurez l’adresse IP privée principale d’Ethernet 2 (NIC du serveur back-end) des instances NetScaler principale et secondaire pour qu’elle soit le VIP :

   add ns ip <private IPaddress of primary instance> <netmask> -type VIP
   
   add ns ip <private IPaddress of secondary instance> <netmask> -type VIP
   <!--NeedCopy-->
   

   Exemple :

   add ns ip 192.0.3.10 255.255.255.0 -type VIP
   
   add ns ip 192.0.3.20 255.255.255.0 -type VIP
   <!--NeedCopy-->
   

Étape 7. Configurez la HA sur les deux nœuds.

1. Sur le nœud principal, ouvrez un client Shell et exécutez la commande suivante :

   add ha node <peer node id> <private IP address of the management NIC of the secondary node>
   <!--NeedCopy-->
   

   Exemple :

   add ha node 1 192.0.1.20
   <!--NeedCopy-->
   

2. Sur le nœud secondaire, exécutez la commande suivante :

   add ha node <peer node id> <private IP address of the management NIC of the primary node>
   <!--NeedCopy-->
   

   Exemple :

   add ha node 1 192.0.1.10
   <!--NeedCopy-->
   

3. Enregistrez la configuration en exécutant la commande save config.

4. Vérifiez les nœuds HA configurés en exécutant la commande show ha node.

   Pendant le basculement, les configurations IP secondaires pour les interfaces réseau VIP et SNIP sont déplacées de l’ancien nœud principal vers le nouveau nœud principal.

Déployer une paire HA NetScaler VPX dans Azure à l’aide de modèles de solution

Les modèles de solution Azure automatisent le déploiement de la haute disponibilité (HA) de NetScaler VPX, réduisant le temps de déploiement et éliminant la configuration manuelle sur Azure et NetScaler. Les clients peuvent déployer une solution HA prête pour la production avec un effort minimal à l’aide de ces modèles de solution.

Cette solution déploie deux instances NetScaler VPX sur différentes zones de disponibilité ou groupes à haute disponibilité pour une haute disponibilité et une tolérance aux pannes.

Pour plus d’informations sur les modèles de solution, consultez la documentation Microsoft.

Fonctionnalités clés du déploiement de la solution NetScaler VPX Azure

• Haute disponibilité : Déploie deux instances NetScaler VPX sur des zones de disponibilité Azure distinctes avec une configuration HA automatisée et une découverte de nœuds homologues.

• Mise en réseau :

  • Déploiement à trois cartes réseau : Utilise des sous-réseaux dédiés pour la gestion, le client et le serveur pour la segmentation du réseau.
  • Prise en charge du réseau virtuel : Fonctionne avec les réseaux virtuels nouveaux et existants.
  • Configuration d’adresses IP publiques : Permet de configurer des adresses IP publiques pour le trafic de gestion et le trafic client.
  • Mise en réseau accélérée : Option pour activer ou désactiver la mise en réseau accélérée.

• Sécurité et conformité :

  • Groupes de sécurité réseau (NSG) : Comprend des règles de trafic entrant personnalisables pour une sécurité renforcée.
  • Intégration RBAC : Attributions de rôles automatiques via une identité gérée affectée par le système.

Prérequis

Avant de commencer, assurez-vous de disposer des éléments suivants :

• Un abonnement Azure actif avec des autorisations administratives.
• Une région Azure prenant en charge les zones de disponibilité.
• Fichiers de licence NetScaler (apportez votre propre licence).

Informations sur l’offre de la Place de marché (Apportez votre propre licence - BYOL)

Lors du déploiement de NetScaler VPX sur Azure à l’aide du modèle de solution, utilisez le modèle Apportez votre propre licence (BYOL).

• ID de l’offre : netscalervpx-141
• ID de référence SKU/plan : netscalerbyol
• Éditeur : Citrix

Déploiement d’une paire NetScaler VPX HA dans Azure à l’aide de modèles de solution

Cette section explique comment déployer NetScaler VPX à l’aide du portail Azure Marketplace.

Étape 1. Déployer à partir d’Azure Marketplace.

1. Connectez-vous au portail Azure.

2. Recherchez NetScaler VPX dans Azure Marketplace pour trouver les options de déploiement.

   

Étape 2. Sélectionnez un plan de déploiement.

Choisissez l’un des plans suivants en fonction de vos exigences de disponibilité :

• NetScaler VPX HA (Zone de disponibilité) via IP secondaire - BYOL
• NetScaler VPX HA (Groupe à haute disponibilité) via IP secondaire - BYOL

Étape 3. Configurez les paramètres de base et les informations d’identification de l’administrateur.

• Abonnement - Sélectionnez votre abonnement Azure.
• Groupe de ressources - Créez un nouveau groupe de ressources ou sélectionnez-en un existant.
• Région - Sélectionnez une région Azure qui prend en charge les zones de disponibilité ou les groupes à haute disponibilité.
• Préfixe du nom de la VM - Saisissez un préfixe pour les instances de machine virtuelle NetScaler VPX.
• Version de publication - Spécifiez la version NetScaler VPX souhaitée (par exemple, 14.1).
• Nom d’utilisateur de l’administrateur - Saisissez un nom d’utilisateur administrateur.
• Type d’authentification - Sélectionnez Mot de passe ou Clé publique SSH.
• Informations d’identification - Saisissez votre mot de passe ou votre clé SSH en fonction du type d’authentification que vous avez sélectionné.

Étape 4. Configurez les paramètres de la machine virtuelle.

• Taille de la VM - Sélectionnez une taille qui répond à vos exigences de performance.
• Type de disque du système d’exploitation - Sélectionnez un type de disque de stockage (par exemple, Standard_LRS ou Premium_LRS).
• Publier les métriques de surveillance - Activez cette option pour envoyer les métriques de performance de NetScaler ADC à Azure Monitor.

Étape 5. Configurez les paramètres réseau.

• Réseau virtuel - Créez un nouveau réseau virtuel ou sélectionnez-en un existant.
• Espace d’adressage - Spécifiez le bloc CIDR pour un nouveau réseau virtuel.
• Sous-réseaux - Configurez les sous-réseaux de gestion, client et serveur.
• Mise en réseau accélérée - Activez-la pour améliorer les performances réseau sur les interfaces clés.
• Adresses IP publiques de gestion - Attribuez des adresses IP publiques aux VM 1 et VM 2 (recommandé).
• Adresse IP publique du client - Attribuez éventuellement une adresse IP publique pour l’accès client.
• Étiquettes DNS - Ajoutez des étiquettes DNS uniques si la résolution DNS est requise.
• Ports entrants publics - Autorisez les ports requis (par exemple, SSH-22, HTTP-80, HTTPS-443).

Étape 6. Vérifiez et terminez le déploiement.

1. Vérifiez tous les paramètres de configuration choisis pour vous assurer qu’ils répondent à vos exigences.
2. Acceptez les termes et conditions.
3. Sélectionnez Créer pour commencer le déploiement.

Étape 7. Vérifiez votre déploiement.

Une fois le déploiement terminé, vérifiez que votre paire NetScaler HA est configurée correctement et fonctionne comme prévu.

1. Vérifier l’état du nœud HA.

   1. Connectez-vous à l’une des instances NetScaler à l’aide de SSH.

   2. Exécutez la commande show ha node pour vérifier l’état du nœud HA.

   3. Vérifiez les points suivants :

      • Les deux nœuds apparaissent dans la sortie
      • L’état de synchronisation (Sync) est sain
      • Le mode INC (Independent Network Configuration) est configuré correctement

   

2. Valider la configuration de l’adresse IP.

   Exécutez la commande show ns ip sur l’instance NetScaler. Vérifiez la sortie pour vous assurer que toutes les adresses IP virtuelles (VIP) et les adresses IP de sous-réseau (SNIP) sont présentes et configurées correctement.

   

3. Effectuez un test de basculement de haute disponibilité.

   Nous vous recommandons d’effectuer un test de basculement manuel pour vérifier la résilience de votre configuration HA.

   1. Exécutez la commande force ha failover –force pour lancer le basculement.

   2. Vérifiez les points suivants :

      • Le basculement se termine avec succès
      • Toutes les configurations IP secondaires sont transférées vers le nouveau nœud principal