NetScaler VPX

适用于 Microsoft Azure 上 Citrix ADC VPX 实例的网络体系结构

在 Azure Resource Manager (ARM) 中,Citrix ADC VPX 虚拟机 (VM) 驻留在虚拟网络中。 可以在虚拟网络的给定子网中创建单个网络接口,并且可以连接到 VPX 实例。 可以使用网络安全组过滤传输到 Azure 虚拟网络中的 VPX 实例的网络流量以及从该实例传输的网络流量。 网络安全组包含允许或拒绝传入 VPX 实例的入站网络流量或从 VPX 实例传出的出站网络流量的安全规则。 有关详细信息,请参阅 安全组

网络安全组过滤对 Citrix ADC VPX 实例的请求,然后 VPX 实例将这些请求发送到服务器。 来自服务器的响应以相反方向通过相同的路径。 可以将网络安全组配置为筛选单个 VPX VM,或者,在子网和虚拟网络中,可以筛选多个 VPX 实例的部署中的流量。

NIC 包含虚拟网络、子网、内部 IP 地址和公用 IP 地址等网络配置详细信息。

在 ARM 上,最好知道用于访问使用单个 NIC 和单个 IP 地址部署的 VM 的以下 IP 地址:

  • 公有 IP (PIP) 地址是直接在 NetScaler 虚拟机的虚拟 NIC 上配置的面向 Internet 的 IP 地址。 这允许您直接从外部网络访问 VM。
  • Citrix ADC IP(也称为 NSIP)地址是在 VM 上配置的内部 IP 地址。 该地址不可路由。
  • 虚拟 IP 地址 (VIP) 是使用 NSIP 和端口号配置的。 客户端通过 PIP 地址访问 NetScaler 服务,并且当请求到达 NetScaler VPX VM 的 NIC 或 Azure 负载均衡器时,VIP 将被转换为内部 IP (NSIP) 和内部端口号。
  • 内部 IP 地址是指 VM 的来自虚拟网络的地址空间池的专用内部 IP 地址。 此 IP 地址无法从外部网络进行访问。 此 IP 地址默认是动态的,除非您将其设置为静态。 根据在网络安全组上创建的规则,来自 Internet 的流量将被路由到此地址。 网络安全组与 NIC 相集成,以将正确类型的流量选择性发送到 NIC 上的正确端口,这取决于在 VM 上配置的服务。

下图显示了流量如何通过在 ARM 中预配的 NetScaler VPX 实例从客户端流向服务器。

从客户端到服务器的流量

通过网络地址转换传输流量

还可以为您的 Citrix ADC VPX 实例(实例级别)请求公用 IP (PIP) 地址。 如果您在 VM 级别使用此直接 PIP,则不需要定义入站和出站规则即可拦截网络流量。 来自 Internet 的传入请求直接在 VM 上接收。 Azure 执行网络地址转换 (NAT),并将流量转发到 VPX 实例的内部 IP 地址。

下图显示了 Azure 如何执行网络地址转换以映射 NetScaler 内部 IP 地址。

通过 NAT 的流量

在此示例中,分配给网络安全组的公用 IP 地址为 140.x.x.x,内部 IP 地址为 10.x.x.x。 定义入站和出站规则时,将定义公用 HTTP 端口 80 作为用于接收客户端请求的端口,将定义相应的专用端口 10080 作为 Citrix ADC VPX 实例进行侦听的端口。 客户端请求在公用 IP 地址 (140.x.x.x) 上接收。 Azure 执行网络地址转换,以将 PIP 映射到端口 10080 上的内部 IP 地址 10.x.x.x,并转发客户端请求。

注意:

处于高可用性模式的 Citrix ADC VPX VM 由在其上配置了入站规则以控制负载平衡流量的外部或内部负载均衡器进行控制。 外部流量首先被这些负载均衡器拦截,并且流量将根据所配置的负载平衡规则(在负载均衡器上定义了后端池、NAT 规则和运行状况探测)改变方向。

端口用法指南

可以在创建 Citrix ADC VPX 实例时或预配虚拟机后配置更多入站和出站规则 n 网络安全组。 每个入站和出站规则都与一个公用端口和一个专用端口相关联。

在配置网络安全组规则之前,请注意以下关于可使用的端口号的指南:

  1. Citrix ADC VPX 实例保留以下端口。 在对来自 Internet 的请求使用公用 IP 地址时,不能将这些端口定义为专用端口。

    端口 21、22、80、443、8080、67、161、179、500、520、3003、3008、3009、3010、3011、4001、5061、9000、7000。

    但是,如果您希望面向 Internet 的服务(例如 VIP)使用标准端口(例如端口 443),则必须使用网络安全组创建端口映射。 然后,标准端口会映射到 NetScaler 上为此 VIP 服务配置的其他某个端口。

    例如,VIP 服务可能会在 VPX 实例上的端口 8443 上运行,但映射到公用端口 443。 因此,当用户通过公用 IP 访问端口 443 时,请求将定向到专用端口 8443。

  2. 公用 IP 地址不支持动态打开端口映射的协议,例如被动 FTP 或 ALG。

  3. 高可用性不适用于使用与 VPX 实例关联的公用 IP 地址 (PIP),而非在 Azure 负载均衡器上配置的 PIP。

注意:

在 Azure Resource Manager 中,Citrix ADC VPX 实例与两个 IP 地址(公用 IP 地址 (PIP) 和内部 IP 地址)相关联。 外部流量连接到 PIP,而内部 IP 地址或 NSIP 是不可路由的。 要在 VPX 中配置 VIP,请使用内部 IP 地址和任何可用的空闲端口。 请勿使用 PIP 来配置 VIP。

适用于 Microsoft Azure 上 Citrix ADC VPX 实例的网络体系结构