NetScaler VPX

MicrosoftのAzure上のCitrix ADC VPXインスタンスのネットワークアーキテクチャ

Azure Resource Manager(ARM)では、Citrix ADC VPX仮想マシン(VM)が仮想ネットワークに存在します。 仮想ネットワークの特定のサブネットに単一のネットワークインターフェイスを作成でき、VPXインスタンスに接続できます。 ネットワークセキュリティグループを使用して、Azure仮想ネットワーク内のVPXインスタンスとの間のネットワークトラフィックをフィルタリングできます。 ネットワークセキュリティグループには、VPXインスタンスへのインバウンドネットワークトラフィックまたはVPXインスタンスからのアウトバウンドネットワークトラフィックを許可または拒否するセキュリティルールが含まれています。 詳細については、「 セキュリティグループ」を参照してください。

ネットワークセキュリティグループは、Citrix ADC VPXインスタンスへの要求をフィルタリングし、VPXインスタンスはそれらをサーバーに送信します。 サーバーからの応答は、逆の順序で同じパスをたどります。 ネットワークセキュリティグループは、単一のVPX VMをフィルタリングするように構成することも、サブネットと仮想ネットワークを使用して、複数のVPXインスタンスを展開するトラフィックをフィルタリングすることもできます。

NICには、ネットワーク構成の詳細(仮想ネットワーク、サブネット、内部IPアドレス、パブリックIPアドレスなど)が含まれます。

ARM では、単一の NIC と 1 つの IP アドレスでデプロイされた仮想マシンにアクセスするために使用される、次の IP アドレスを知っておくとよいでしょう。

  • パブリックIP(PIP)アドレスは、NetScaler VMの仮想NIC上で直接構成されるインターネット側IPアドレスです。 これにより、外部ネットワークから VM に直接アクセスできます。
  • Citrix ADC IP(NSIPとも呼ばれる)アドレスは、仮想マシン上で構成された内部IPアドレスです。 これはルーティング不可能です。
  • 仮想IPアドレス(VIP)は、NSIPとポート番号を使用して構成されます。 クライアントはPIPアドレスからNetScalerサービスにアクセスし、要求がNetScaler VPX VMまたはAzureロードバランサーのNICに到達すると、VIPが内部IP(NSIP)および内部ポート番号に変換されます。
  • 内部IPアドレスは、仮想ネットワークのアドレス空間プールにある、VMのプライベート内部IPアドレスです。 このIPアドレスは、外部ネットワークから到達できません。 このIPアドレスは、静的に設定しない限り、デフォルトで動的です。 インターネットからのトラフィックは、ネットワークセキュリティグループで作成されたルールに従って、このアドレスにルーティングされます。 ネットワークセキュリティグループは NIC と統合して、仮想マシンで設定されたサービスに応じて、適切なタイプのトラフィックを NIC の適切なポートに選択的に送信します。

以下の図は、ARMでプロビジョニングされたNetScaler VPXインスタンスを介したクライアントからサーバーへのトラフィックフローを示しています。

クライアントからサーバーへのトラフィックフロー

ネットワークアドレス変換によるトラフィックフロー

Citrix ADC VPXインスタンス(インスタンスレベル)のパブリックIP(PIP)アドレスをリクエストすることもできます。 この直接PIPをVMレベルで使用する場合、ネットワークトラフィックを傍受する受信および送信規則を定義する必要はありません。 インターネットからの着信要求がVMで直接受信されます。 Azureはネットワークアドレス変換(NAT)を実行し、VPXインスタンスの内部IPアドレスにトラフィックを転送します。

以下の図は、Azureがネットワークアドレス変換を実行し、NetScaler内部IPアドレスをマップする方法を示しています。

NAT 経由のトラフィックフロー

この例では、ネットワークセキュリティグループに割り当てられたパブリック IP は 140.x.x.x で、内部 IP アドレスは 10.x.x.x です。 インバウンドルールとアウトバウンドルールが定義されている場合、パブリックHTTPポート80はクライアントリクエストを受信するポートとして定義され、対応するプライベートポート10080はCitrix ADC VPXインスタンスがリッスンするポートとして定義されます。 クライアント要求はパブリックIPアドレス140.x.x.xで受信されます。 Azureがネットワークアドレス変換を実行して、PIPを内部IPアドレス10.x.x.x(ポート10080)にマップし、クライアント要求を転送します。

高可用性のCitrix ADC VPX VMは、負荷分散トラフィックを制御するためのインバウンドルールが定義されている外部または内部のロードバランサーによって制御されます。 外部トラフィックは最初にこれらのロードバランサによって代行受信され、トラフィックは設定されたロードバランシング規則に従って迂回されます。 ロードバランサには、バックエンドプール、NAT ルール、および健全性プローブが定義されています。

ポートの使用に関する注意事項

Citrix ADC VPXインスタンスの作成中または仮想マシンのプロビジョニング後に、ネットワークセキュリティグループでより多くのインバウンドルールとアウトバウンドルールを構成できます。 各受信および送信規則は、パブリックポートおよびプライベートポートに関連付けられています。

ネットワークセキュリティグループルールを設定する前に、使用できるポート番号に関する次のガイドラインに注意してください。

  1. Citrix ADC VPXインスタンスは、以下のポートを予約します。 インターネットからの要求にパブリック IP アドレスを使用する場合、これらをプライベートポートとして定義することはできません。

    ポート21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000.

    ただし、VIP などのインターネットに直接接続するサービスで標準ポート(ポート 443 など)を使用する場合は、ネットワークセキュリティグループを使用してポートマッピングを作成する必要があります。 これにより、標準ポートがこのVIPサービス用にNetScalerで構成された別のポートにマップされます。

    たとえば、VIPサービスがVPXインスタンスのポート8443で実行されているが、パブリックポート443にマッピングされているとします。 したがって、ユーザーがパブリック IP を介してポート 443 にアクセスすると、要求はプライベートポート 8443 に送信されます。

  2. パブリックIPアドレスでは、ポートマッピングが動的に解放される、パッシブFTPやALGのようなプロトコルをサポートしていません。

  3. 高可用性は、Azureロードバランサーで構成されたPIPではなく、VPXインスタンスに関連付けられたパブリックIPアドレス(PIP)を使用するトラフィックでは機能しません。

Azure Resource Manager では、Citrix ADC VPXインスタンスは、パブリックIPアドレス(PIP)と内部IPアドレスの2つのIPアドレスに関連付けられます。 外部トラフィックはPIPに接続しますが、内部IPアドレスまたはNSIPはルーティング不可能です。 VPXでVIPを設定するには、内部IPアドレスと使用可能な空きポートのいずれかを使用します。 VIPの構成にPIPを使用してはいけません。

MicrosoftのAzure上のCitrix ADC VPXインスタンスのネットワークアーキテクチャ