Designentscheidung: Bereitstellungsarchitektur und Überlegungen

Das Entwerfen我ADC-Architektur Planun和死亡g der Bereitstellung sind die beiden wichtigsten Aktivitäten für den Übergang. Die Auswahl der richtigen Funktionen und des besten Architekturmodells für Ihre ADC-Bereitstellungen kann sowohl zeitaufwändig als auch schwierig sein. Dieser Abschnitt enthält Anleitungen zu den Funktionen und Funktionen von Citrix ADC, die Ihnen bei der Auswahl des besten Modells helfen.

Welche Arten von Bereitstellungen sind verfügbar und was sind die Best Practices bei der Bereitstellung dieses Typs?

• Verwenden Sie Multi-NIC- und Multi-IP-Design, wenn Sie in der Produktion bereitstellen, in der Hochverfügbarkeitsanforderungen an Redundanz oder Sicherheit bestehen

  • Die Verwendung von Citrix-Lösungsvorlagen im Azure Marketplace ist die empfohlene Bereitstellungsmethode
  • Citrix empfiehlt die Bereitstellung der Multi-NIC-Architektur mithilfe der Citrix-Lösungsvorlage “Citrix ADC” aus dem Azure Marketplace. Wenn Sie diese Citrix Lösungsvorlage
    auswählen, erhalten Sie die folgenden Softwareplanoptionen: - Citrix ADC VPX Bring Your Own License - Citrix ADC VPX-Abonnementlizenz - Citrix ADC HA (Availability Zone) - SL - Citrix ADC HA (Verfügbarkeitssatz) BYOL - Citrix ADC HA (Verfügbarkeitssatz) - SL - Citrix ADC HA (Availability Zone) BYOL - Citrix ADC FIPS HA (Availability Zone) BYOL - Citrix ADC FIPS Standalone BYOL - Citrix ADC FIPS HA (Availability Set) BYOL
  • Integriert mit Citrix ADM für GSLB (Traffic-Management) und Lizenzierung
  • Am besten für die folgenden Anwendungsfälle
    • Isolierung von Daten- und Managementverkehr
    • Verbesserte Skalierung und Leistung des ADC
    • Wo Anwendungen einen Durchsatz von mehr als 1 Gbit/s erfordern
    • Webanwendungs-Firewall (WAF) -Bereitstellungen
• Verwenden Sie das Single-NIC-, Multi-IP-Design für Produktionsumgebungen mit einem einzelnen Subnetz oder für Nicht-Produktionsumgebungen, wie z. B.
  • Mit einer einzigen Netzwerkkarte haben Sie 3 IP-Konfigurationen:
    • ipconfig1 ist Management
    • ipconfig2 ist clientseitiger Verkehr
    • ipconfig3 ist Backend-Serververkehr
  • Ipconfig3 sollte keine öffentliche IP-Adresse zugeordnet haben
  • Fügen Sie zuerst IP-Adressen für alle Konfigurationen im Azure-Portal hinzu, bevor Sie sie im Citrix ADC konfigurieren
  • Erstellen Sie ein unmarkiertes VLAN für jede Datenschnittstelle auf dem ADC VPX und binden Sie die primäre IP der NIC. Dieses Verfahren verhindert, dass sich MAC-Verschiebungen und Schnittstellenänderungen in Azure unerwartet auf Ihren ADC auswirken.
• Verwenden Sie die Single-NIC, Single-IP für einen Citrix ADC im eigenständigen Modus.
  • Alle Funktionen, NSIP, SNIP und VIP, sind an eine einzige Citrix ADC IP-Adresse gebunden
  • Konfigurieren Sie die Ressourcengruppe, die Netzwerksicherheitsgruppen und das virtuelle Netzwerk, bevor Sie die Citrix ADC VPX VM bereitstellen, damit die Netzwerkinformationen vor der Bereitstellung verfügbar sind
  • Nur in Azure und auf Azure Stack verfügbar
• Bei der Bereitstellung von Hochverfügbarkeit mithilfe von Availability Sets (empfohlen)
  • Der ADC VPX benötigt eine HA-unabhängige Netzwerkkonfiguration (INC)
  • Der Azure Load Balancer muss im DSR-Modus (Direct Server Return) konfiguriert werden
• Bei der Bereitstellung von Hochverfügbarkeit mithilfe von Availability
  • Verwenden Sie die Citrix Solution-Vorlage “Citrix ADC” im Azure Marketplace mit einem Softwareplan, bei dem “(Availability Zone)” im Namen enthalten ist
  • Derzeit unterstützen nicht alle Azure-Regionen Availability Zones. Überprüfen Sie daher Ihre Region, bevor Sie diese Lösungsvorlage bereitstellen

Was sind die Vorteile der Verwendung von Azure Accelerated Networking?

• Beschleunigtes Netzwerk是错的皮毛阿莱Instanztypen verfügbar, und die VMs müssen angehalten werden, bevor beschleunigtes Netzwerk auf einer Netzwerkkarte aktiviert wird.

• Sie müssen alle Konfigurationsänderungen von der Citrix ADC VPX PV-Schnittstelle aus durchführen. Verwenden Sie den ADC-Befehlshow interface, um zu ermitteln, welche physische Schnittstelle an PV gebunden ist.

• Citrix empfiehlt, keine Vorgänge an der Citrix ADC VPX VF-Schnittstelle auszuführen. Wenn Sie Vorgänge an der VF-Schnittstelle ausführen müssen, lässt Citrix nur die Vorgänge zumLöschen von StatistikenoderAktivieren,Deaktivierenund*Zurücksetzen der Schnittstellezu. VLAN-Bindung ist nicht verfügbar.

Welche Methoden stehen für die Bereitstellung von Citrix ADC zur Verfügung?

• Bereitstellen über den Azure Marketplace. Citrix ADC VPX ist eine virtuelle Appliance, die als Image in Microsoft Azure Marketplace zur Verfügung steht.

• Verwenden Sie die JSON-Vorlage Citrix ADC Azure Resource Manager (ARM), die auf GitHub verfügbar ist.

• Stellen Sie mithilfe des Citrix ADM Service bereit.

Traffic-Verteilung

Bei DNS-basiertem Autoscaling ist DNS die Layer, die entscheidet, wohin der Datenverkehr geleitet wird. Der Traffic Manager verwendet DNS, um den Clientdatenverkehr an die entsprechende Citrix ADC-Instanz weiterzuleiten, die in der Autoscaling-Gruppe Citrix Application Delivery and Management verfügbar ist. Azure Traffic Manager löst den FQDN in die VIP-Adresse der Citrix ADC-Instanz auf.

Mit Azure Load-Balancer (ALB) als Traffic-Manager geht der eingehende Datenverkehr zuerst an die ALB und entscheidet, wohin der Datenverkehr geleitet wird. ALB verwaltet den Clientdatenverkehr und verteilt ihn an Citrix ADC VPX Cluster. ALB sendet den Clientdatenverkehr an Citrix ADC VPX-Clusterknoten, die in der Autoscaling-Gruppe Citrix Application Delivery and Management über Availability Zones hinweg verfügbar sind.

Bei beiden Optionen zur Traffic-Verteilung löst die Citrix Application Delivery and Management die Scale-Out- oder Scale-In-Aktion auf Cluster-Ebene aus. Wenn ein Scale-Out ausgelöst wird, werden die registrierten virtuellen Maschinen bereitgestellt und dem Cluster hinzugefügt. Wenn ein Scale-In ausgelöst wird, werden die Knoten entfernt und aus den Citrix ADC VPX Clustern entfernt.

Wie stellen Sie Citrix ADC VPX auf Azure mit Global Server Load Balancing (GSLB) bereit und verwenden Azure DNS Private Zones?

• Bei Verwendung des DNS-basierten Verkehrsmanagements benötigt jede Citrix ADC-Instanz in der Gruppe Citrix Application Delivery and Management Autoscale eine öffentliche IP-Adresse.

• Bei DNS-basiertem Autoscaling wartet Application Delivery and Management auf den angegebenen Time-To-Live (TTL) -Zeitraum. Nachdem die TTL abgelaufen ist, wartet sie darauf, dass bestehende Verbindungen aufgebraucht werden, bevor sie die Node-Bereitstellung einleitet.

• Bei Verwendung des ALB-basierten Verkehrsmanagements wird die öffentliche IP-Adresse Azure Load Balancer zugewiesen. Citrix ADC VPX Instanzen benötigen keine öffentliche IP-Adresse.

• Der Citrix ADC erfordert entweder einen virtuellen DNS-Server oder einen konfigurierten Nameserver, der vom Azure Load Balancer zur Auflösung verwendet wird.

• Für eine Hybrid-GLSB-Konfiguration (Multi-Cloud/Rechenzentrum)

  • Für den Metrikaustausch zwischen den Knoten muss auf jedem Citrix ADC-Knoten eine SNIP-Adresse oder eine GLB-Site-IP-Adresse konfiguriert werden.
  • Der ADNS- oder ADNS-TCP-Dienst muss auf den Citrix ADC-Knoten eingerichtet sein, um den DNS-Verkehr zu verarbeiten
  • Die Azure Cloud-Sicherheitsgruppen und -Firewalls müssen Datenverkehr an den Ports 53 und 3009 zulassen
  • Die Unterstützung für andere GSLB-Load-Balancing-Lösungen als Citrix ADC ist begrenzt
  • Verwenden Sie das Multi-Cloud GLB StyleBook zur Konfiguration des globalen Load Balancing

Autoscale-Anleitung

Eine Autoscale-Gruppe ist eine Gruppe von Citrix ADC-Instanzen, die Anwendungen als einzelne Entität ausgleichen. Die Anzahl der Instanzen in der ADC Autoscale-Gruppe basiert auf den konfigurierten Parametern, z. B. der CPU-Auslastung. Die Azure-Infrastruktur (ALB oder Azure Traffic Manager) sendet den Clientdatenverkehr an eine Autoscaling-Gruppe für die Citrix Anwendungsbereitstellung und -verwaltung in der Verfügbarkeitsgruppe. Die Citrix Anwendungsbereitstellung und -verwaltung löst die Scale-Out- oder Scale-In-Aktion auf Cluster-Ebene aus.

Was sind die Anforderungen für die Integration von Citrix ADC mit Azure Autoscale?

• Die Verwendung von Autoscale mit Azure Virtual Machine Scale Sets (VMSS) mit Multi-IP-Bereitstellungen, die für hohe Verfügbarkeit aktiviert sind, minimiert die Kosten. Citrix empfiehlt die Verwendung von Autoscale, um die Konfiguration und den Overhead zu reduzieren, der für die Überwachung der Serverleistung über VNets hinweg erforderlich ist.

• Eine Azure Active Directory (AAD) -Anwendung und ein Dienstprinzipal mit Mitwirkender Rolle für die betroffenen Ressourcen sind erforderlich, um Autoscale zu implementieren

• Mit der automatischen Skalierung wird ein IP-Set auf Clustern in jeder Availability Zone erstellt. Danach werden die IP-Adressen der Domäne und der Instanz beim Azure Traffic Manager oder ALB registriert. Wenn die Anwendung entfernt wird, werden die Domänen- und Instanz-IP-Adressen vom Azure-Verkehrs-Manager oder ALB abgemeldet. Dann wird der IP-Satz gelöscht.

SD-WAN

麻省理工学院SD-WAN萤石Citrix ADC电器Konnektiv死去ität zwischen Ihren Unternehmensrechenzentren und der Azure-Cloud bereitstellen. Citrix SD-WAN macht Azure zu einer nahtlosen Erweiterung des Unternehmensnetzwerks. Citrix ADC verschlüsselt die Verbindung zwischen dem Unternehmensrechenzentrum und der Azure-Cloud, sodass alle zwischen den beiden übertragenen Daten sicher sind. Um die Kommunikation zu sichern, verwendet ein Citrix SD-WAN Connector-Tunnel zwischen einem Rechenzentrum und der Azure-Cloud die offene Standard Internet Protocol Security (IPsec) -Protokollsuite.

Was sind die Einschränkungen bei der Bereitstellung eines Citrix SD-WAN-Connector-Tunnels?

• Die Citrix ADC Appliance muss über eine öffentlich zugängliche IPv4-Adresse (Typ SNIP) verfügen, um sie als Tunnelendpunktadresse für den SD-WAN-Connector-Tunnel zu verwenden

• Die Citrix ADC Appliance sollte sich nicht hinter einem NAT-Gerät befinden

• Der Citrix SD-WAN-Konnektortunnel unterstützt nur IKE1-, AES- und HMAC SHA1-Einstellungen für IPsec-Einstellungen

• Citrix SD-WAN benötigt die Edge-Firewall, um die folgenden Pakete an den ADC weiterzuleiten
  • Beliebige UDP-Pakete auf Port 4500 oder Port 500
  • Beliebige ESP-Pakete des Protokolltyps 50

• IKE-Rekeying将不unterstutzt。您得einen großen Wert für die Lebensdauer der Sicherheitszuordnung festlegen, damit der Tunnel nicht unerwartet ausfällt.

• Konfigurieren Sie Azure, bevor Sie den SD-WAN-Tunnel einrichten, da das Azure-Setup die IP-Adresse und den PSK generiert, die für die Tunnelkonfiguration verwendet werden.

Citrix Application Delivery Management (ADM) -Dienst

Der Citrix Application Delivery Management Service (ADM) in der Citrix Cloud bietet einen zentralen Ort für die Verwaltung Ihrer Citrix ADC-Bereitstellungen. Diese Bereitstellungen umfassen Azure Cloud- oder on-premises Versionen der folgenden: Citrix ADC MPX, Citrix ADC VPX, Citrix ADC SDX, Citrix ADC CPX, Citrix Gateway und Citrix Secure Web Gateway-Appliances. Citrix ADM ist eine Cloud-basierte Lösung, die Ihre gesamte Anwendungsbereitstellungsinfrastruktur verwaltet, überwacht und bei der Fehlerbehebung unterstützt. Citrix ADM enthält alle erforderlichen Funktionen, um Citrix ADC in einer einfach zu navigierenden Cloud-basierten Konsole bereitzustellen, zu automatisieren und zu lizenzieren.

Wie funktioniert der Citrix ADM Service?

• Bereitstellen über den Azure Marketplace. Citrix ADC VPX ist eine virtuelle Appliance, die als Image in Microsoft Azure Marketplace zur Verfügung steht.

• Bereitstellen mit der auf GitHub verfügbaren JSON-Vorlage Citrix ADC Azure Resource Manager (ARM)

• Bereitstellen mit dem Citrix ADM Service

StyleBooks

Der komplexeste Teil der Bereitstellung eines ADC besteht darin, ihn für die Zusammenarbeit mit Ihrem Authentifizierungssystem und Ihren Anwendungen zu konfigurieren. Citrix bietet StyleBooks an, um die Konfiguration zu vereinfachen. StyleBooks bieten eine Möglichkeit, die komplexe Aufgabe von Citrix ADC-Konfigurationen zu vereinfachen. Ein StyleBook ist eine vorkonfigurierte Vorlage, mit der Benutzer Citrix ADC-Konfigurationen erstellen oder verwalten können. StyleBooks gibt es für die meisten gängigen Anwendungen und Konfigurationen. Mit dem SSO Office 365 StyleBook können Sie beispielsweise SSO für Microsoft Office 365 über Citrix ADC-Instanzen aktivieren.

Was sind die Citrix ADM StyleBook-Anwendungsvorlagen und wie verwende ich sie?

• Wir empfehlen die Verwendung von StyleBooks für die Erstkonfiguration, sofern eines verfügbar ist. StyleBooks für Microsoft 365, Skype, Exchange, SharePoint und ADFS sind verfügbar

• Microsoft SharePoint StyleBook erfordert Folgendes:
  • Sharepoint 2016 oder höher
  • Citrix ADM v12.0 oder höher
  • Citrix ADC v10.5 oder höher

• Microsoft SharePoint StyleBook unterstützt die Funktionen Load Balancing, Content Switching, Responder, Rewrite, Komprimierung und Integrated Caching von Citrix ADC

• Wenn Sie SSL mit SharePoint StyleBook verwenden, stellen Sie sicher, dass der Rewrite-Konfigurationsparameter im Abschnitt Erweiterte SharePoint-Einstellungen des StyleBook aktiviert ist.

• Citrix empfiehlt, zuerst Dry Run auszuwählen, um die Konfigurationsobjekte anzuzeigen, die das StyleBook auf den Citrix ADC-Zielinstanzen erstellt. Wenn dies akzeptabel ist, führen Sie dann die eigentliche Konfiguration aus.

Lastausgleich mit Azure Tag

Für eigenständige Citrix ADC VPX- und Hochverfügbarkeitsinstanzen, die in der Azure Cloud bereitgestellt werden, können Sie jetzt Lastausgleichsdienstgruppen erstellen, die mit einem Azure-Tag verknüpft sind. Die VPX-Instanz überwacht ständig virtuelle Azure-Computer (Back-End-Server) und Netzwerkschnittstellen (NICs) oder beides mit dem entsprechenden Tag und aktualisiert die Servicegruppe entsprechend. Die VPX-Instanz erstellt die Dienstgruppe, die die Back-End-Server mit Tags ausgleicht. Immer wenn eine VM oder Netzwerkkarte mit dem entsprechenden Tag hinzugefügt oder gelöscht wird, erkennt der ADC die Änderung und aktualisiert die Dienstgruppe automatisch.

Wie konfiguriere ich Load Balancing für die Verwendung von Azure Tags?

• Tags müssen der VM-Instanz oder der Netzwerkkarte der VM zugewiesen werden

• Wenn Sie die Azure CLI zum Verteilen von Tags verwenden, muss der sekundäre (Standby-) Citrix ADC den rain_tags-Prozess nach einem Warm-Neustart beenden. Dieses Verhalten verhindert, dass die alten Informationen versehentlich verwendet werden

• Der ADC Der拉赫盛VPX弄乱,markierte我死去P-Adresse für den Backend-Server zu erreichen. Für eine getaggte VM ist dies die primäre IP-Adresse, für eine markierte Netzwerkkarte ist es die IP-Adresse der Netzwerkkarte. Wenn sich die VM in einem anderen VNet befindet, muss VNet-Peering aktiviert sein.

• Speichern Sie alle Konfigurationen, damit sie zwischen VM-Neustarts bestehen bleiben

Links zu anderen Ressourcen

Citrix ADC VPX auf Azure Bereitstellungshandbuch

Bereitstellungshandbuch Citrix ADC VPX auf Azure — Disaster Recovery

PoC-Handbuch: Verbundene Authentifizierung von Microsoft Azure Active Directory für Citrix Virtual Apps and Desktops mit Citrix ADC

Konfigurieren einer Citrix ADC VPX-Instanz für beschleunigte Azure-Netzwerke

Provisioning von Citrix ADC VPX Instanzen unter Microsoft Azure

Citrix ADC für Azure DNS Private Zone - Bereitstellungshandbuch

Bereitstellungshandbuch Citrix ADC VPX auf Azure — GSLB

Autoscale-Architektur für Microsoft Azure

Azure Autoscale-Einstellungen

Bereitstellungshandbuch Citrix ADC VPX auf Azure — Autoscale

Konfiguration eines CloudBridge Connector-Tunnels zwischen einem Rechenzentrum und der Azure Cloud

Office 365 konfigurieren

Microsoft SharePoint-StyleBook

SSO Office 365 StyleBook

StyleBooks für Citrix ADC-Konfigurationen

Verwenden von StyleBooks zum Konfigurieren von GLB

Azure-Tags für Citrix ADC VPX Bereitstellung