AWS 中基于应用程序的预配
NetScaler 控制台服务引入了“基于应用程序”的配置,旨在简化和简化云数据中心上的 NetScaler 部署,并从中交付应用程序。
NetScaler 控制台服务接受客户的云证书,并通过协调在 AWS 上启动 NetScaler、代理和必要的云实体,来设置应用程序交付所需的基础架构。NetScaler 管理员可以为其 NetScaler 同时使用灵活和云市场许可证,从而确保许可选项的灵活性。
然后,管理员可以通过 NetScaler 控制台服务以直接的、以应用为中心的方式定义交付设置,在云端交付应用。然后,它负责配置 ADC 和 AWS 基础设施以交付其应用程序。应用交付后,NetScaler 管理员可以访问 NetScaler 控制台服务的丰富分析和监视功能,从而有效地管理和监视其应用。
必备条件
在 AWS Marketplace 中订阅以下产品。
- NetScaler VPX-订阅以下变体之一:
- NetScaler VPX BYOL - 如果您购买了弹性许可证,则可订阅,并且这些许可证可在 NetScaler 控制台服务中获得,用于许可 NetScaler 实例。
- NetScaler VPX Premium - 1000 Mbps 如果您想从 AWS Marketplace 获得基于订阅的许可,请订阅。
- NetScaler 代理服务
- 选择 VPC-选择一个 VPC 来设置应用程序交付的基础设施。VPC 的 CIDR 应为 /22 或更高。在基础结构部署过程中,会为 ADC 基础结构创建专用子网,占用每个选定可用区域的 /24 地址空间。根据您的部署从列表中选择一个 VPC:
- 如果您希望部署类似于 DMZ,则可与应用程序分开的专用 VPC。
- 同样存在应用程序的 VPC。
- NAT 网关-自动配置的交付基础设施,例如控制台代理,必须能够通过互联网访问 NetScaler 控制台服务。NAT 网关可以提供这种访问权限。如果您已经有 NAT 网关,则还可以在部署期间选择该网关,将其重复用于交付基础设施。如果未选择 NAT 网关,则部署过程会创建一个。
云访问配置文件
云访问配置文件用于向客户的 AWS 帐户授予对 NetScaler 控制台服务的权限。创建云访问配置文件时,管理员必须在 AWS 中运行 CloudFormationTemplate (CFT)。CFT 在客户的 AWS 帐户中创建 IAM 角色和策略。
- 导航到基础架构 > 预配 > 基于应用程序 > 云访问配置文件。
- 按照屏幕上的说明为您的订阅创建云访问配置文件。
注意:
要创建此配置文件,NetScaler 管理员还必须是 AWS 帐户管理员,并且必须具有创建 IAM 实体的必要权限。
应用程序环境
应用程序环境代表在 VPC 中为交付应用程序而设置的交付基础设施。管理员在 NetScaler 控制台服务中创建应用程序环境时,用于交付和监视应用程序的所有资源,包括网关、安全组、子网、NetScaler 实例和控制台代理,都将作为应用程序环境的一部分进行部署。有关更多信息,请参阅常见问题解答部分。
- 导航到 基础结构 > 预配 > 基于应用程序 > 环境。
- 按照屏幕上的说明创建应用程序环境。
注意:
该服务不会对客户在其 VPC 中创建的资源进行任何更改。它仅提供必要的基础设施来交付和监视应用程序。
应用程序交付
应用程序交付是基于应用程序的配置功能的核心组件,包含必需的应用程序交付和安全信息。 作为应用程序交付配置的一部分,您可以定义以下实体:
- 代表客户端如何访问应用程序的端点,例如协议、端口、证书和密码。例如,端点的 SSL 配置文件代表一组 SSL 配置,其中包括支持的密码和协议。默认情况下,预定义的 A+ SSL 配置文件可用。
- 代表应用程序组件的服务,必须根据特定的 HTTP 请求进行访问。例如,电子商务应用程序的组件可以是订单服务、目录服务或支付服务,它们安装在不同的应用程序服务器上,并且必须根据访问的 URL 路由请求。应用程序服务的服务配置文件代表交付基础设施如何访问和监视应用程序服务,例如负载平衡、SSL 和运行状况检查设置。
- 内容政策,用于定义在特定服务的请求到达时如何检查和修改 L7 内容。它用于根据标头、URL 或 IP 地址对 HTTP 请求执行预定义的操作。其中一些操作可能是标头信息丰富、重定向请求或删除请求。
- 导航到基础结构 > 预配 > 基于应用程序 > 应用程序交付。
- 按照屏幕上的说明创建新应用程序。
常见问题解答
NetScaler 控制台服务创建了哪些实体来在云中交付应用程序
NetScaler 控制台服务在客户的 VPC 中创建以下实体:
- 每个可用区中的 NetScaler VPX 群集。
- VPX 实例作为 EC2 自动缩放组进行部署。
- 单节点群集是在应用程序环境创建期间创建的。该群集最多可以扩展到 8 个节点。
- 每个可用区中的控制台代理。
- 子网:管理网络、客户端网络和服务器网络各有一个子网。
- 安全组:管理、客户端和服务器 NIC 各有一个安全组。
- 管理安全组:此安全组与 NetScaler 实例和代理的管理 NIC 相关联。它包含允许在 NetScaler 实例、代理和任何其他控制平面流量之间进行通信的规则。
- 客户端安全组:此安全组与 NetScaler 实例的客户端 NIC 相关联,用于允许数据流向 NetScaler 虚拟服务器。
- 服务器安全组: 此安全组与 NetScaler 实例的服务器 NIC 相关联,不包含任何默认规则。
- 路由表
- 客户端路由表:此路由表为互联网流量提供便利。它包括一条将流量定向到与 VPC 关联的互联网网关的路由,这使得 VPC 内的资源能够连接到互联网。
- 管理路由表:此路由表为 NetScaler 和 NAT 网关的网络地址转换 (NAT) 代理发出的流量提供便利。
- 每个可用区中的 NAT 网关:NAT 网关使 NetScaler 和 Console 代理能够访问互联网。
注意:
如果您想在其 VPC 中重复使用现有 NAT 网关,则不会创建 NAT 网关。
- 密钥管理器:密钥管理器用于:
- 存储用于向 NetScaler 控制台服务注册代理的代理令牌和 URL。
- 存储 ADC 密码以进行身份验证。
- Lambda 函数
- ClusterLambdaFunction:这个 lambda 函数负责创建和管理 NetScaler 群集。
- StatsLambdaFunction:这个 lambda 函数是为从 NetScaler 收集用于自动扩展的指标而创建的。
用于自动扩展 NetScaler 的指标有哪些
以下指标用于自动扩展 NetScaler:
- AutoScale 组中的最小实例数为 1,最大实例数为 8。
- 按 1 个容量单位横向扩展。也就是说, 在 60 秒的连续 5 个周期内,cpu_use > 70% 或吞吐量大于 70%。
- 按 1 个容量单位进行扩展。也就是说, 在 60 秒的连续 5 个周期内,cpu_use =< 30%,吞吐量 =< 30%。
管理员如何识别 NetScaler 控制台服务在云中创建的资源
默认情况下,所有 AWS 资源均使用标记“UsedFor: AppDeliveryByNetScaler”创建。此外,使用应用程序环境创建工作流程中指定的标签对资源进行标记。
NetScaler 管理员如何在应用程序环境中升级 NetScaler
执行以下步骤升级 NetScaler:
-
在 AWS 控制台中,对为应用程序环境创建的 AutoScale 组禁用动态扩展。
命名惯例:Adc-<App Environment Name>-<Availability Zone>-<random alphanumeric string>
-
在 NetScaler 控制台服务中,使用应用程序环境的“编辑”选项,将 AMI 详细信息更新到 NetScaler 升级到的 ADC 版本。
-
在 NetScaler 控制台服务中,使用升级作业功能升级 ADC。
-
在 AWS 控制台中,为 AutoScale 组重新启用动态扩展。