部署指南Citrix ADC VPX在AWS - GSLB上

概述

Citrix ADC是一个应用程序交付和负载平衡解决方案，为web、传统和云本地应用程序提供高质量的用户体验，而不管它们托管在哪里。它有各种各样的形式因素和部署选项，而不会将用户锁定在单一的配置或云中。共享容量许可允许在云部署之间移动容量。

作为服务和应用交付的无可争议的领导者，Citrix ADC部署在全球数千个网络中，以优化、安全和控制所有企业和云服务的交付。直接部署在web和数据库服务器的前端，Citrix ADC结合了高速负载平衡和内容切换、HTTP压缩、内容缓存、SSL加速、应用流程可见性和强大的应用防火墙，形成了一个集成的、易于使用的平台。通过端到端监控，可以将网络数据转换为可操作的业务智能，大大简化了满足sla。Citrix ADC允许使用简单的声明式策略引擎定义和管理策略，而不需要编程专业知识。

Citrix VPX

Citrix ADC VPX产品是一种虚拟设备，可以托管在各种虚拟化和云平台上:

• Citrix管理程序

• VMware ESX

• 微软hyper - v

• Linux KVM

• 亚马逊网络服务

• 微软Azure

• 谷歌云平台

本部署指南重点介绍亚马逊Web服务上的Citrix ADC VPX。

亚马逊网络服务

Amazon Web Services (AWS)是Amazon提供的一个全面的、不断发展的云计算平台，包括基础设施即服务(IaaS)、平台即服务(PaaS)和打包软件即服务(SaaS)的混合产品。AWS服务可以提供计算能力、数据库存储和内容交付服务等工具。

AWS提供以下基本服务

• AWS计算服务

• 迁移服务

• 存储

• 数据库服务

• 管理工具

• 安全服务

• 分析

• 网络

• 消息传递

• 开发人员工具

• 移动服务

AWS的术语

以下是本文件中使用的用户必须熟悉的基本术语的简要说明:

• ENI(弹性网络接口)—VPC中的虚拟网络接口，用于用户绑定实例。

• 弹性IP地址—用户在Amazon EC2或Amazon VPC中分配并挂载到实例的静态公网IPv4地址。弹性IP地址与用户帐号相关联，而不是一个特定的实例。它们是有弹性的，因为用户可以在需求改变时轻松地分配、附加、分离和释放它们。

• 子网—VPC内可绑定EC2实例的IP地址段。用户可根据安全和操作需要，创建子网对实例进行分组。

• VPC (Virtual Private Cloud)—提供逻辑隔离的AWS云区域的web服务，用户可以在自己定义的虚拟网络中启动AWS资源。

以下是本文档中用户应熟悉的其他术语的简要说明:

• Amazon Machine Image (AMI)——一个机器映像，它提供启动实例所需的信息，实例是云中的虚拟服务器。

• 弹性块存储-提供持久块存储卷，用于AWS云中的Amazon EC2实例。

• S3 (Simple Storage Service):网络存储服务。它的设计目的是让开发人员更容易进行网络规模的计算。

• 弹性计算云(EC2)——在云中提供安全、可调整大小的计算能力的web服务。它的设计目的是让开发人员更容易进行网络规模的云计算。

• 弹性负载均衡(ELB)—将传入的应用程序流量分布到多个EC2实例，位于多个可用分区中。这增加了用户应用程序的容错性。

• 实例类型——Amazon EC2提供了广泛的实例类型选择，以适应不同的用例。实例类型包括CPU、内存、存储和网络容量的不同组合，使用户可以灵活地为其应用程序选择适当的资源组合。

• 身份和访问管理(IAM)—一个AWS身份，具有决定身份在AWS中可以做什么和不能做什么的权限策略。用户可以使用IAM角色，使运行在EC2实例上的应用程序安全访问AWS资源。在高可用性设置中部署VPX实例需要IAM角色。

• Internet网关-连接一个网络到Internet。用户可以将VPC以外的IP地址的流量路由到Internet网关。

• 密钥对-一组安全凭证，用户用它以电子方式证明自己的身份。密钥对由私钥和公钥组成。

• 路由表—一组路由规则，控制离开与路由表相关联的任何子网的流量。用户可以将多个子网关联到一个路由表，但一个子网一次只能关联到一个路由表。

• 自动缩放——基于用户定义的策略、计划和运行状况检查自动启动或终止Amazon EC2实例的web服务。

• CloudFormation——一种用于编写或更改模板的服务，这些模板将创建和删除相关的AWS资源作为一个单元。

用例

与要求每个服务部署为独立虚拟设备的替代解决方案相比，AWS上的Citrix ADC在单个VPX实例中结合了L4负载平衡、L7流量管理、服务器卸载、应用程序加速、应用程序安全以及其他基本应用程序交付功能。可通过AWS Marketplace方便地获得。此外，所有内容都由单一的策略框架管理，并使用用于管理内部Citrix ADC部署的相同的、功能强大的工具集进行管理。最终的结果是，在AWS上的Citrix ADC实现了几个引人注目的用例，这些用例不仅支持当今企业的即时需求，而且还支持从传统计算基础设施到企业云数据中心的持续发展。

全局服务器负载均衡(GSLB)

全局服务器负载均衡(GSLB)对我们的许多客户都很重要。这些企业拥有服务于区域客户的在线数据中心，但随着业务需求的增长，它们现在希望通过AWS和Azure扩大并部署其在全球的业务，同时保持对区域客户的在线服务。客户也希望通过自动化配置来完成所有这些工作。因此，他们正在寻找一种能够迅速适应不断变化的业务需求或全球市场变化的解决方案。

Citrix ADC网络管理员的一侧,客户可以使用全球负载均衡(GLB)样本on-prem和配置应用程序在云中,相同的配置可以转移到云Citrix海军上将用户可以达到on-prem或云资源与GSLB取决于距离。这使得无论用户位于世界的哪个地方，都能获得无缝体验。

部署类型

Three-NIC部署

• 典型的部署

  • GLB样本

  • 与ADM

  • 使用GSLB (Route53带域名注册)

  • 授权-汇集/市场

• 用例

  • 采用三网卡部署，实现数据和管理流量的真正隔离。

  • 三网卡部署还可以提高ADC的规模和性能。

  • 三网卡部署用于吞吐量通常为1gbps或更高的网络应用程序，建议使用三网卡部署。

钢管部署

如果客户正在定制他们的部署或正在自动化他们的部署，那么他们将使用CloudFormation模板进行部署。

部署步骤

GSLB三网卡部署

Citrix ADC VPX实例在AWS市场上以AMI (Amazon Machine Image)的形式提供，可以在AWS VPC内以EC2 (Elastic Compute Cloud)的形式发布。Citrix VPX上支持的AMI所允许的最小EC2实例类型是m4.large。Citrix ADC VPX AMI实例至少需要2个虚拟cpu和2gb内存。在AWS VPC内启动的EC2实例也可以提供多个接口，每个接口提供多个IP地址，以及配置VPX所需的公网和私网IP地址。每个VPX实例至少需要三个IP子网:

• 一个管理子网

• 面向客户端的子网(VIP)

• 后端面向子网(SNIP)

Citrix为AWS安装上的标准VPX实例推荐了三个网络接口。

AWS目前只对AWS VPC内运行的实例提供多ip功能。VPC中的VPX实例可以对EC2实例中的服务器进行负载均衡。通过Amazon VPC，用户可以创建和控制虚拟的网络环境，包括自己的IP地址范围、子网、路由表和网络网关。

注意:

默认情况下，每个AWS帐户最多可以创建5个VPC实例。用户可以通过提交Amazon请求表单来请求更高的VPC限制:亚马逊VPC请求．

许可

AWS上的Citrix ADC VPX实例需要许可证。以下授权选项可用于在AWS上运行的Citrix ADC VPX实例:

• 免费(无限)

• 每小时

• 年度

• 带上你自己的驾照

• 免费试用(所有Citrix ADC VPX-AWS订购产品在AWS市场免费21天)。

部署选项

用户可以使用以下选项在AWS上部署Citrix ADC VPX独立实例:

• AWS web控制台

• Citrix-authored CloudFormation模板

• AWS CLI

Three-NIC部署步骤

用户可以通过AWS web控制台在AWS上部署Citrix ADC VPX实例。部署过程包括以下步骤:

• 创建密钥对

• 创建VPC

• 添加更多的子网

• 创建安全组和安全规则

• 添加路由表

• 创建互联网网关

• 创建Citrix ADC VPX实例

• 创建和附加更多网络接口

• 为管理网卡绑定弹性ip

• 连接到VPX实例

创建密钥对

Amazon EC2使用密钥对加密和解密登录信息。要登录到实例，用户必须创建密钥对，在启动实例时指定密钥对的名称，并在连接到实例时提供私钥。

当用户使用AWS launch instance向导查看并启动实例时，会提示他们使用现有的密钥对或创建新的密钥对。有关如何创建密钥对的详细信息，请参见:Amazon EC2密钥对和Linux实例．

创建一个VPC

一个Citrix ADC VPC实例部署在AWS VPC内部。VPC允许用户自定义AWS帐户专用的虚拟网络。有关AWS VPC的更多信息，请参见:入门Amazon VPC使用IPv4．

在为Citrix ADC VPX实例创建VPC时，请注意以下事项。

• “单子网使用VPC”可选参数，在AWS可用分区中创建AWS VPC。

• Citrix建议用户至少创建三个子网，子网类型如下:

  • 1个子网用于管理流量。将管理IP (NSIP)放置在该子网中。系统默认使用ENI (elastic network interface) eth0作为管理IP地址。

  • 用于客户端访问(用户到Citrix ADC VPX)流量的一个或多个子网，通过这些子网，客户端连接到分配给Citrix ADC负载均衡虚拟服务器的一个或多个虚拟IP (VIP)地址。

  • 用于服务器访问(vpx到服务器)流量的一个或多个子网，用户服务器通过该子网连接到vpx拥有的子网IP (SNIP)地址。有关Citrix ADC负载均衡和虚拟服务器、虚拟IP地址(vip)和子网IP地址(SNIPs)的更多信息。

  • 所有子网必须在同一个可用分区中。

添加子网

使用VPC向导部署时，只创建了1个子网。根据用户需求，用户可能需要创建更多子网。有关如何创建更多子网的详细信息，请参见:vpc和子网．

创建安全组和安全规则

创建安全组，并向安全组中添加规则，可以控制入方向和出方向的流量。有关如何创建组和添加规则的详细信息，请参见:创建VPC的安全组．

对于Citrix ADC VPX实例，EC2向导提供默认安全组，这些安全组由AWS Marketplace生成，并基于Citrix的推荐设置。但用户可以根据需要创建更多的安全组。

注意:

Security组上需要开放的端口22、80、443，分别用于SSH、HTTP和HTTPS访问。

添加路由表

路由表包含一组称为路由的规则，用于确定网络流量的方向。VPC中的每个子网都需要关联路由表。有关如何创建路由表的更多信息，请参见:路由表．

创建互联网网关

internet网关主要用于两个目的:在VPC路由表中为internet上可路由的流量提供一个目标器;对于已经分配了公网IPv4地址的实例，可以进行NAT转换。

为互联网流量创建一个互联网网关。有关如何创建Internet网关的更多信息，请参阅:创建并连接互联网网关．

使用AWS EC2 Service创建Citrix ADC VPX实例

要使用AWS EC2服务创建Citrix ADC VPX实例，请完成以下步骤:

• 从AWS仪表板，转到计算> EC2 >启动实例> AWS Marketplace．

• 在点击之前启动实例，用户应检查下面显示的注释，以确保其区域是正确的启动实例．

• 在搜索AWS市场栏，搜索与关键字Citrix ADC VPX．

• 选择用户想要部署的版本，然后单击选择．对于Citrix ADC VPX版本，用户有以下选项:

  • 授权版本

  • Citrix ADC VPX Express设备(这是一个免费的虚拟设备，可从Citrix ADC版本12.0 56.20获得。)

  • 自带设备

的启动实例向导开始。按照向导创建实例。向导提示用户:

• 选择实例类型

• 配置实例

• 添加存储

• 添加标签

• 配置安全组

• 审查

创建和附加更多网络接口

为VIP和SNIP再创建两个网络接口。有关如何创建更多网络接口的详细信息，请参见:新建网络接口．

用户创建网络接口后，需要将网络接口绑定到VPX实例上。在绑定接口之前，需要先关闭VPX实例，再绑定接口，再上电VPX实例。有关如何附加网络接口的更多信息，请参见:启动实例时附加网络接口．

分配和关联弹性ip

如果用户为一个EC2实例分配了一个公共IP地址，它将一直保持分配状态，直到该实例停止。之后，地址被释放回池中。当用户重启实例时，会分配一个新的公网IP地址。

相反，弹性IP (EIP)地址将一直被分配，直到该地址与实例解除关联。

为管理网卡分配并关联弹性IP。有关如何分配和关联弹性IP地址的更多信息，请参阅以下主题:

• 分配弹性IP地址

• 关联弹性IP地址与运行实例

这些步骤完成了在AWS上创建Citrix ADC VPX实例的过程。可能需要几分钟的时间来准备实例。检查实例是否通过了状态检查。用户可以在状态检查列。

连接到VPX实例

VPX实例创建完成后，用户可以通过GUI和SSH客户端连接到VPX实例。

• GUI

以下是访问Citrix ADC VPX实例的默认管理员凭据:

用户名:nsroot

密码:服务器的默认密码nsroot“account”设置为Citrix ADC VPX实例的AWS实例id。

• SSH客户机

从AWS管理控制台，选择Citrix ADC VPX实例并单击连接．按照连接到实例页面上给出的说明操作。

有关如何使用AWS web控制台在AWS上部署Citrix ADC VPX独立实例的更多信息，请参见:

• 场景:独立的实例

• 使用CFT在AWS上配置Citrix ADC VPX独立实例

在两个AWS位置上配置GSLB

在AWS上为Citrix ADC建立GSLB，主要是通过配置Citrix ADC，将流量负载均衡到该Citrix ADC所属VPC以外的服务器，如不同可用区域的其他VPC内或本地数据中心内的服务器。

基于云负载均衡的域名服务(GSLB DBS)

GSLB和DBS概述

Citrix ADC GSLB支持使用DBS (Domain Based Services)的云负载均衡器，允许使用云负载均衡器解决方案自动发现动态云服务。此配置允许Citrix ADC在双活环境中实现GSLB DBS (Global Server Load Balancing Domain-Name - Based Services)。DBS允许从DNS发现扩展AWS环境中的后端资源。

本节介绍Citrix ADC在AWS自动伸缩环境中的集成。文档的最后一节详细介绍了设置HA对Citrix adc的能力，这些adc跨越了特定于AWS区域的两个不同可用性区域(Availability zone, az)。

Citrix ADC GSLB服务组功能增强

GSLB服务组实体:Citrix ADC版本12.0.57

介绍了支持DBS动态发现的自动伸缩的GSLB服务组。

DBS Feature Components (domain-based service)需要绑定GSLB服务组。

例子:

' > add server sydney_server LB-Sydney-xxxxxxxxxx.ap-southeast-2.elb.amazonaws.com .

add gslb serviceGroup sydney_sg HTTP -autoScale DNS -siteName sydney bind gslb serviceGroup sydney_sg sydney_server 80 '

基于域名的服务- AWS ELB

GLSB DBS利用用户Elastic Load Balancer的FQDN动态更新GSLB服务组，包括在AWS中创建和删除的后端服务器。可以将AWS中的后端服务器或实例配置为根据网络需求或CPU利用率进行伸缩。要配置此功能，请将Citrix ADC指向弹性负载均衡器，以动态路由到AWS中的不同服务器，而不必每次在AWS中创建和删除实例时手动更新Citrix ADC。GSLB服务组的Citrix ADC DBS特性使用DNS感知服务发现来确定AutoScale组中标识的DBS命名空间的成员服务资源。

图:

Citrix ADC GSLB DBS AutoScale组件与云负载平衡:

配置AWS组件

安全组

注意:

建议为ELB、Citrix ADC GSLB实例和Linux实例创建不同的安全组，因为每个实体所需的规则集是不同的。为了简洁起见，本示例有一个统一的Security Group配置。

为了确保虚拟防火墙的正确配置，请参见:创建VPC的安全组．

步骤1:

登录用户AWS资源组并导航到EC2 >网络和安全>安全组．

步骤2:

点击创建安全组并提供名称和描述。这个安全组包括Citrix ADC和Linux后端web服务器。

步骤3:

从下面的截图中添加入站端口规则。

注意:

对于颗粒硬化，建议限制源IP访问。有关更多信息，请参见:Web服务器规则．

Amazon Linux后端Web服务

步骤4:

登录用户AWS资源组并导航到EC2实例>．

步骤5:单击启动实例使用下面的详细信息来配置亚马逊Linux实例。

填写关于在此实例上设置Web服务器或后端服务的详细信息。

Citrix ADC配置

步骤6:

登录用户AWS资源组并导航到EC2实例>．

第七步:

点击启动实例并使用以下详细信息配置亚马逊AMI实例。

弹性IP配置

注意:

如果需要降低成本，Citrix ADC也可以使用单个弹性IP运行，方法是不为NSIP使用公共IP。相反，在SNIP上附加一个弹性IP，除了GSLB站点IP和ADNS IP外，还可以覆盖对盒子的管理访问。

第八步:

登录用户AWS资源组并导航到EC2 > NETWORK & SECURITY >弹性ip．

点击分配新地址创建弹性IP地址。

配置Elastic IP以指向在AWS中运行Citrix ADC实例的用户。

配置第二个弹性IP，并再次将其指向运行Citrix ADC实例的用户。

弹性负载平衡器

步骤9:

登录用户AWS资源组并导航到EC2 > LOAD BALANCING > LOAD balancer．

第十步:

点击创建负载均衡器配置一个经典的负载均衡器。

用户Elastic Load balancer允许用户对其后端Amazon Linux实例进行负载平衡，同时也能够对其他基于需求的实例进行负载平衡。

配置全局服务器负载均衡域名服务

交通管理配置

注意:

需要使用名称服务器或DNS虚拟服务器配置Citrix ADC，通过该服务器为DBS服务组解析ELB/ALB域。有关更多信息，请参见:DNS命名服务器．

步骤1:

导航到交通管理>负载平衡>服务器．

步骤2:

点击添加要创建服务器，需要为ELB (Elastic Load Balancer)在AWS中提供与a记录(域名)对应的名称和FQDN。

重复步骤2，从AWS中的第二个资源位置添加第二个ELB。

GSLB配置

步骤1:

导航到流量管理> GSLB >站点．

步骤2:

单击添加按钮来配置GSLB站点。

网站的名字。“类型”配置为“远程”或“本地”，Citrix ADC用户根据该类型配置站点。“站点IP地址”为GSLB站点的IP地址。GSLB站点使用该IP地址与其他GSLB站点进行通信。当使用云服务时，如果特定的IP位于外部防火墙或NAT设备上，则需要使用公网IP地址。该站点应配置为父站点。确保将Trigger Monitors设置为ALWAYS，并确保勾选底部的度量交换、网络度量交换和持久性会话条目交换三个框。

Citrix建议设置触发器监控器设置为MEPDOWN．有关更多信息，请参见:配置GSLB服务组．

步骤3:

以下截图来自AWS配置，显示用户可以在哪里找到站点IP地址和公共IP地址。ip地址在网络与安全>弹性ip．

点击创建，重复步骤2和步骤3为AWS中的其他资源位置配置GSLB站点(这可以在同一个Citrix ADC上配置)。

步骤4:

导航到流量管理> GSLB >服务组．

步骤5:

点击添加添加服务组。命名服务组，使用HTTP协议，然后在网站的名字，选择在前面步骤中创建的各自站点。请确保将“自动缩放模式”配置为DNS，并勾选“状态和运行状况监视”复选框。

点击好吧创建服务组。

步骤6:

点击服务小组成员并选择基于服务器．选择在运行指南开始部分配置的相应的弹性负载均衡服务器。配置流量通过80端口。

点击创建．

第七步:

服务组成员绑定应该填充从弹性负载均衡器接收的两个实例。

重复步骤，为AWS中的第二个资源位置配置Service Group。(这可以在同一个位置完成)。

第八步:

导航到流量管理> GSLB >虚拟服务器．

点击添加创建虚拟服务器。为服务器命名，“DNS记录类型”设置为“A”，“服务类型”设置为“HTTP”，并勾选“新建”和“AppFlow日志”后的“启用”复选框。点击好吧创建GSLB虚拟服务器。(Citrix ADC GUI)

步骤9:

创建GSLB虚拟服务器后，单击没有GSLB虚拟服务器服务组绑定．

点击添加创建虚拟服务器。为服务器命名，“DNS记录类型”设置为“A”，“服务类型”设置为“HTTP”，并勾选“新建”和“AppFlow日志”后的“启用”复选框。点击好吧创建GSLB虚拟服务器。(Citrix ADC GUI)

第十步:

在“ServiceGroup Binding”下使用选择服务组名称选择并添加在前面的步骤中创建的服务组。

步骤11:

下一步，单击，配置GSLB虚拟服务器域绑定没有GSLB虚拟服务器域绑定．配置FQDN和Bind，其余的设置可以保留为默认值。

步骤12:

配置ADNS服务没有服务．添加服务名称，单击新服务器，输入ADNS服务器的IP地址。

此外，如果用户ADNS已经配置，用户可以选择现有的服务器然后从菜单中选择他们的ADNS。确保协议是ADNS，流量通过53端口。

将方法配置为LEASTCONNECTION备份方法为设置轮流捡取．

Citrix ADC用于混合和多云部署的全局负载均衡

Citrix ADC混合和多云全局负载均衡(GLB)解决方案允许用户在混合云、多云和内部部署的多个数据中心之间分配应用程序流量。Citrix ADC混合和多云GLB解决方案可以帮助用户在混合或多云环境中管理负载平衡设置，而无需更改现有设置。此外，如果用户有本地设置，他们可以在完全迁移到云之前，通过使用Citrix ADC混合和多云GLB解决方案在云中测试他们的一些服务。例如，用户只能将一小部分流量路由到云，并在本地处理大部分流量。Citrix ADC混合和多云GLB解决方案还允许用户通过一个单一、统一的控制台跨地理位置管理和监控Citrix ADC实例。

混合和多云架构还可以通过避免“供应商锁定”和使用不同的基础设施来满足用户合作伙伴和客户的需求，从而提高整体企业性能。使用多种云架构，用户可以更好地管理他们的基础设施成本，因为他们现在只需要为他们使用的东西付费。用户还可以更好地扩展他们的应用程序，因为他们现在可以按需使用基础设施。它还提供从一个云快速切换到另一个云的能力，以利用每个提供商的最佳产品。

Citrix ADC混合和多云GLB解决方案的架构

下图说明了Citrix ADC混合和多云GLB特性的架构。

Citrix ADC GLB节点处理DNS名称解析。这些GLB节点中的任何一个都可以接收来自任何客户机位置的DNS请求。接收DNS请求的GLB节点返回负载均衡方式选择的负载均衡器虚拟服务器IP地址。度量(站点、网络和持久性度量)使用度量交换协议(MEP)在GLB节点之间进行交换，MEP是一个专有的Citrix协议。有关MEP协议的更多信息，请参阅:配置指标交换协议．

在GLB节点中配置的监视器监视同一数据中心中的负载均衡虚拟服务器的健康状态。在父子拓扑中，GLB和Citrix ADC节点之间的度量是通过使用MEP交换的。但是，在父-子拓扑中，在GLB和Citrix ADC LB节点之间配置监视探针是可选的。

Citrix Application Delivery Management (ADM)服务代理支持在Citrix ADM和用户数据中心中的托管实例之间进行通信。有关Citrix ADM服务代理以及如何安装它们的更多信息，请参见:开始．

注意:

本文档做了以下假设:

• 如果用户有一个现有的负载平衡设置，它就会启动并运行。

• 每个Citrix ADC GLB节点配置一个SNIP地址或一个GLB站点IP地址。该IP地址作为数据中心与其他数据中心交换指标时的源IP地址。

• 在每个Citrix ADC GLB实例上配置ADNS或ADNS- tcp服务来接收DNS流量。

• 已在云服务提供商中配置防火墙和安全组。

安全组配置

用户必须在云服务提供商中设置所需的防火墙/安全组配置。有关AWS安全特性的更多信息，请参见:AWS /文档/亚马逊VPC /用户指南/安全．

同时，在GLB节点上，用户需要开放ADNS服务/DNS服务器IP地址的53端口和MEP流量交换GSLB站点IP地址的3009端口。在负载均衡节点上，用户需要打开相应的端口来接收应用流量。例如，用户需要打开80端口来接收HTTP流量，打开443端口来接收HTTPS流量。打开443端口，用于Citrix ADM服务代理与Citrix ADM进行NITRO通信。

对于动态往返时间的GLB方法，根据配置的LDNS探测类型，用户必须开放53端口，允许UDP和TCP探测。UDP或TCP探针使用其中一个SNIPs发起，因此必须对绑定到服务器端子网的安全组进行此设置。

Citrix ADC混合和多云GLB解决方案的能力

本节将介绍Citrix ADC混合和多云GLB解决方案的一些功能。

兼容其他负载均衡解决方案

Citrix ADC混合和多云GLB解决方案支持多种负载均衡解决方案，如Citrix ADC负载均衡、NGINX负载均衡、HAProxy负载均衡和其他第三方负载均衡。

注意:

只有在使用基于邻近性和非度量的GLB方法以及没有配置父子拓扑时，才支持Citrix ADC以外的负载平衡解决方案。

GLB方法

Citrix ADC混合和多云GLB解决方案支持以下GLB方式。

• 基于指标的最大下界的方法。基于度量的GLB方法通过度量交换协议从其他Citrix ADC节点收集度量。

  • 最小连接:客户端请求被路由到活动连接最少的负载均衡器。

  • 最小带宽:客户端请求被路由到当前服务流量最小的负载均衡器。

  • 最少包数:客户端请求被路由到最近14秒内收到包数最少的负载均衡器。

• 基于非度量的GLB方法

  • 轮询:客户端请求被路由到负载均衡器列表中最上面的负载均衡器的IP地址。然后，负载均衡器移到列表的底部。

  • 源IP哈希:根据客户端IP地址的哈希值选择负载均衡器。

• 是附近最大下界的方法

  • 静态接近:客户端请求被路由到最接近客户端IP地址的负载均衡器。

  • RTT (Round-Trip Time):根据RTT值(客户端本地DNS服务器到数据中心连接的时间延迟)选择性能最好的负载均衡器的IP地址。

有关负载均衡方法的更多信息，请参见:负载平衡算法．

GLB拓扑

Citrix ADC混合和多云GLB解决方案支持主-被动拓扑和父-子拓扑。

• 主-被动拓扑—提供灾难恢复，并通过防止故障点来确保应用程序的持续可用性。如果主数据中心宕机，则被动数据中心可以正常运行。有关GSLB主-被动拓扑的更多信息，请参见:配置GSLB容灾功能．

• 父子拓扑—如果客户使用基于度量的GLB方法配置GLB和LB节点，以及LB节点部署在不同的Citrix ADC实例上，则可以使用父子拓扑。在父-子拓扑中，LB节点(子站点)必须是Citrix ADC设备，因为父站点和子站点之间的度量交换是通过度量交换协议(MEP)进行的。

有关父子拓扑的更多信息，请参见:使用MEP协议的父子拓扑部署．

IPv6支持

Citrix ADC混合和多云GLB解决方案也支持IPv6。

监控

Citrix ADC混合和多云GLB解决方案支持内置监视器，并提供安全连接选项。但是，如果LB和GLB配置在同一个Citrix ADC实例上，或者使用parent-child拓扑，则配置监视器是可选的。

持久性

Citrix ADC混合和多云GLB解决方案支持以下功能:

• 基于源IP的持久会话，因此，如果来自同一客户端的多个请求在配置的超时窗口内到达，它们将被定向到同一服务。如果超时时间在客户端再次发送请求前超过，则会话将被丢弃，并使用配置的负载均衡算法为客户端下一次请求选择新的服务器。

• 溢出持久性，以便备份虚拟服务器继续处理它接收到的请求，即使在主服务器上的负载低于阈值之后。有关更多信息，请参见:配置溢出．

• 站点持久性，使GLB节点选择一个数据中心来处理客户端请求，并将所选数据中心的IP地址转发给所有后续DNS请求。如果配置的持久性应用于DOWN的站点，则GLB节点使用GLB方法选择一个新站点，并且新站点将成为来自客户端的后续请求的持久性站点。

使用Citrix ADM StyleBooks进行配置

客户可以在Citrix ADM上使用默认的多云GLB StyleBook，以混合和多云GLB配置的方式配置Citrix ADC实例。

客户可以使用LB Node StyleBook的默认multicloud GLB StyleBook来配置Citrix ADC负载均衡节点，这些节点是父-子拓扑中的子站点，处理应用程序流量。只有当用户希望在父-子拓扑中配置LB节点时，才使用此StyleBook。但是，每个LB节点必须使用这个StyleBook单独配置。

Citrix ADC混合和多云GLB解决方案配置流程

客户可以在Citrix ADM上使用附带的多云GLB StyleBook，使用混合和多云GLB配置来配置Citrix ADC实例。

下图显示了配置Citrix ADC混合和多云GLB解决方案的工作流。在图表之后，我们会对工作流图中的步骤进行更详细的说明。

云管理员的任务如下:

1. 注册一个Citrix Cloud帐户。

   要开始使用Citrix ADM，请创建一个Citrix Cloud公司账户，或加入公司内某人创建的现有账户。

2. 用户登录Citrix Cloud后，单击管理在Citrix应用程序交付管理第一次设置ADM服务。

3. 下载并安装多个Citrix ADM服务代理。

   用户必须在自己的网络环境中安装和配置Citrix ADM服务代理，以便在Citrix ADM和其数据中心或云中的受管实例之间进行通信。在每个区域安装一个代理，以便他们可以在托管实例上配置LB和GLB配置。LB和GLB配置可以共用一个座席。有关以上三个任务的更多信息，请参阅:开始．

4. 在微软Azure/AWS云/本地数据中心上部署负载均衡器。

   根据用户在云和本地部署的负载均衡器的类型，相应地提供它们。例如，用户可以在微软Azure资源管理器(ARM)门户、亚马逊Web服务(AWS)虚拟私有云和本地数据中心中提供Citrix ADC VPX实例。通过创建虚拟机和配置其他资源，将Citrix ADC实例配置为独立模式的LB或GLB节点。有关如何部署Citrix ADC VPX实例的更多信息，请参阅以下文档:

   • AWS上的Citrix ADC VPX．

   • 配置NetScaler VPX独立实例．

5. 执行安全配置。

   在ARM和AWS中配置网络安全组和网络acl，控制用户实例和子网的入、出流量。

6. 在Citrix ADM中添加Citrix ADC实例。

   Citrix ADC实例是用户希望从Citrix adm发现、管理和监控的网络设备或虚拟设备。要管理和监控这些实例，用户必须将实例添加到服务中，并注册LB(如果用户使用Citrix ADC用于LB)和GLB实例。有关如何在Citrix ADM中添加Citrix ADC实例的更多信息，请参见:开始

7. 使用默认的Citrix ADM StyleBooks实现GLB和LB配置。

   • 使用多云GLB StyleBook在选定的GLB Citrix ADC实例上执行GLB配置。

   • 配置负载均衡。(如果用户已经在被管理实例上配置了LB，则可以跳过此步骤。)用户可以通过以下两种方式配置Citrix ADC实例上的负载均衡器:

   • 手动配置实例以实现应用的负载均衡。有关如何手动配置实例的更多信息，请参见:设置基本负载均衡．

   • 使用样本。用户可以使用一个Citrix ADM StyleBooks (HTTP/SSL Load Balancing StyleBook或HTTP/SSL Load Balancing (with Monitors) StyleBook)在选定的Citrix ADC实例上创建负载平衡器配置。用户还可以创建自己的StyleBooks。有关StyleBooks的更多信息，请参见:样本．

8. 使用Multi-cloud GLB StyleBook for LB Node配置GLB parent-child拓扑

   • 如果用户使用基于度量的GLB算法(最小包、最小连接、最小带宽)配置GLB和LB节点，并且LB节点部署在不同的Citrix ADC实例上。

   • 如果需要站点持久性。

使用StyleBooks在Citrix ADC LB节点上配置GLB

客户可使用LB节点的多云GLB StyleBook如果使用基于度量的GLB算法(最小包、最小连接、最小带宽)来配置GLB和LB节点，以及LB节点部署在不同的Citrix ADC实例上。

用户还可以使用这个StyleBook为现有的父站点配置更多的子站点。这个StyleBook每次配置一个子站点。因此，从StyleBook中创建尽可能多的配置(配置包)。StyleBook在子站点上应用GLB配置。用户最多可以配置1024个子站点。

注意:

使用multicloud GLB StyleBook配置父站点。

这个StyleBook做了以下假设:

• 已配置SNIP地址或GLB站点IP地址。

• 已在云服务提供商中配置防火墙和安全组。

使用LB节点的multicloud GLB StyleBook在Parent-Child拓扑中配置子站点

1. 导航到应用程序>配置>新建．

2. 导航到应用程序>配置,然后单击创建新的．

   StyleBook以用户界面页面的形式出现，用户可以在上面输入在这个StyleBook中定义的所有参数的值。

注意:

在本文档中，数据中心和站点可以互换使用。

1. 设置以下参数:

   • 应用程序名称．输入部署在要为其创建子站点的GLB站点上的GLB应用程序的名称。

   • 协议．2 .在下拉列表框中选择已部署应用的应用协议。

   • 磅健康检查(可选)

   • 健康检查类型．从下拉列表框中，选择用于检查站点上代表应用程序的负载均衡器VIP地址的健康状况的探针类型。

   • 安全模式．(可选)选择是的如果需要基于SSL的健康检查，则启用此参数。

   • HTTP请求．(可选)当健康检查类型选择HTTP时，输入探测VIP地址的完整HTTP请求。

   • HTTP状态响应代码列表．(可选)当健康检查类型选择“HTTP”时，输入VIP健康时响应HTTP请求所需的HTTP状态码列表。

2. 配置父网站。

   • 提供要创建子站点(LB节点)的父站点(GLB节点)的详细信息。

     • 网站的名字．输入父站点的名称。

     • 网站的IP地址．输入父站点与其他站点交换指标时作为源IP地址的IP地址。假设每个站点的GLB节点上已经配置了该IP地址。

     • 站点公网IP地址．(可选)如果转换了母站点的IP地址，则输入用于交换指标的母站点的公网IP地址。

3. 配置儿童网站。

   • 提供子站点的详细信息。

     • 网站的名字．输入站点的名称。

     • 网站的IP地址．输入子站点的IP地址。这里，使用正在配置为子站点的Citrix ADC节点的私有IP地址或SNIP。

     • 站点公网IP地址．(可选)如果转换了子站点的IP地址，则输入用于交换度量值的子站点的公网IP地址。

4. 配置主GLB服务(可选)

   • 只有当LB虚拟服务器的IP地址不是公网IP地址时，才需要配置主GLB业务。通过配置本地GLB服务列表，用户可以在应用部署的站点配置本地GLB服务列表。

     • 服务IP．请输入该站点的负载均衡虚拟服务器的IP地址。

     • 服务公网IP地址．如果虚拟IP地址是私有的，且经过NAT转换的公网IP地址，则指定该公网IP地址。

     • 服务端口．输入站点上GLB服务的端口。

     • 网站的名字．输入GLB服务所在的站点名称。

5. 点击目标实例并在部署GLB配置的每个站点上选择配置为GLB实例的Citrix ADC实例。

6. 点击创建，在选中的LB节点上创建LB配置。用户亦可按排练检查将在目标实例中创建的对象。用户创建的StyleBook配置出现在configurations页面的配置列表中。用户可以使用Citrix ADM GUI检查、更新或删除该配置。

CloudFormation模板部署

Citrix ADC VPX可在AWS Marketplace以Amazon Machine Images (AMI)的形式获得。在使用CloudFormation模板在AWS中提供Citrix ADC VPX之前，AWS用户必须接受条款并订阅AWS Marketplace产品。市场上的每个版本的Citrix ADC VPX都需要这个步骤。

CloudFormation存储库中的每个模板都有描述模板用法和体系结构的并列文档。这些模板试图对推荐的Citrix ADC VPX部署体系结构进行编码，或向用户介绍Citrix ADC，或演示特定的功能、版本或选项。用户可以重用、修改或增强模板，以满足他们特定的生产和测试需求。大多数模板除了需要创建IAM角色的权限外，还需要完全的EC2权限。

CloudFormation模板包含特定于Citrix ADC VPX的特定版本(例如，12.0-56.20版本)和版本(例如，Citrix ADC VPX白金版- 10mbps)或Citrix ADC BYOL的AMI id。要使用带有CloudFormation模板的不同版本/版本的Citrix ADC VPX，用户需要编辑模板并替换AMI id。

最新的Citrix ADC aws - ami - id位于这里:Citrix ADC AWS CloudFormation Master．

钢管Three-NIC部署

该模板用于部署一个VPC, 2个可用分区对应3个子网(管理、客户端、服务器)。它部署了一个互联网网关，在公共子网上有一个默认路由。该模板还创建了一个跨可用分区的HA pair，有两个Citrix ADC实例:主节点上有3个ENIs，关联3个VPC子网(Management、Client、Server);从节点上有3个ENIs，关联3个VPC子网(Management、Client、Server)。这个CFT创建的所有资源名都以堆栈名的tagName作为前缀。

CloudFormation模板的输出包括:

• PrimaryCitrixADCManagementURL -主VPX管理GUI的HTTPS URL(使用自签名证书)

• PrimaryCitrixADCManagementURL2 -主VPX的管理GUI的HTTP URL

• PrimaryCitrixADCInstanceID -新创建的主VPX实例的实例Id

• PrimaryCitrixADCPublicVIP -与VIP关联的主VPX实例的弹性IP地址

• PrimaryCitrixADCPrivateNSIP -私有IP (NS IP)，用于主VPX的管理

• PrimaryCitrixADCPublicNSIP -用于管理主VPX的NSIP (Public IP)

• PrimaryCitrixADCPrivateVIP -与VIP关联的Primary VPX实例的私有IP地址

• PrimaryCitrixADCSNIP -与SNIP相关联的主VPX实例的私有IP地址

• SecondaryCitrixADCManagementURL -从VPX的管理GUI的HTTPS URL(使用自签名证书)

• SecondaryCitrixADCManagementURL2 -从VPX的管理GUI的HTTP URL

• SecondaryCitrixADCInstanceID -新创建的备用VPX实例的实例Id

• SecondaryCitrixADCPrivateNSIP -私有IP (NS IP)，用于管理备用VPX

• SecondaryCitrixADCPublicNSIP -用于管理从VPX的NSIP (Public IP)

• SecondaryCitrixADCPrivateVIP -与VIP关联的备VPX实例的私有IP地址

• SecondaryCitrixADCSNIP -与SNIP关联的备VPX实例的私有IP地址

• SecurityGroup - VPX所属的安全组id

当向CFT提供输入时，＊对于CFT中的任何参数，都意味着它是一个强制字段。例如,VPC ID *是必填项。

必须满足以下先决条件。CloudFormation模板需要有足够的权限来创建IAM角色，而不是普通的EC2完全权限。在使用本CloudFormation模板之前，此模板的用户还需要接受条款并订阅AWS Marketplace产品。

还应包括以下内容:

• 密钥对

• 3未分配的循环

• 主要管理

• 客户贵宾

• 二级管理

有关在AWS上配置Citrix ADC VPX实例的更多信息，用户可以访问:在AWS上配置Citrix ADC VPX实例．

有关如何使用样式本配置GLB的信息，请访问使用StyleBooks配置GLB

先决条件

在尝试在AWS中创建VPX实例之前，用户应确保具备以下条件:

• 用于在AWS VPC中启动Citrix ADC VPX AMI的AWS帐号。用户可以在www.aws.amazon.com上免费创建AWS账户。

• AWS IAM (Identity and Access Management)用户帐户，用于安全控制用户对AWS服务和资源的访问。有关如何创建IAM用户的详细信息，请参见主题:创建IAM用户(Console)．

无论是单机部署还是高可用部署，都必须配置IAM角色。IAM角色需要具有以下权限:

• ec2: DescribeInstances

• ec2: DescribeNetworkInterfaces

• ec2: DetachNetworkInterface

• ec2: AttachNetworkInterface

• ec2: StartInstances

• ec2: StopInstances

• ec2: RebootInstances

• ec2: DescribeAddresses

• ec2: AssociateAddress

• ec2: DisassociateAddress

• 自动定量:*

• sns: *

• sqs: *

• 我:SimulatePrincipalPolicy

• 我:GetRole

如果使用Citrix CloudFormation模板，IAM角色会自动创建。该模板不支持选择已创建的IAM角色。

注意:

当用户通过GUI登录VPX实例时，会提示为IAM角色配置所需的权限。如果已经配置了特权，请忽略提示。

• AWS CLI需要从终端程序中使用AWS管理控制台提供的所有功能。有关更多信息，请参见:什么是AWS命令行接口?．用户还需要通过AWS CLI将网络接口类型修改为SR-IOV。

GSLB先决条件

Citrix ADC GSLB服务组的先决条件包括一个功能良好的AWS / Microsoft Azure环境，具备配置安全组、Linux Web服务器、在AWS内配置Citrix ADC、弹性ip和弹性负载均衡器的知识和能力。

GSLB DBS服务集成需要Citrix ADC版本12.0.57用于AWS ELB和Microsoft Azure ALB负载均衡器实例。

限制和使用指南

在AWS上部署Citrix ADC VPX实例时，需要遵循以下限制和使用指南:

• 在开始新的部署之前，用户应该熟悉前面列出的AWS术语。

• 群集特性仅在Citrix ADM Auto Scale Groups提供时支持。

• 为了使高可用性的建立更加有效，可以将专用NAT设备关联到管理接口，或者将EIP (Elastic IP)关联到NSIP。有关NAT的更多信息，请参阅AWS文档:NAT实例．

• 数据流量和管理流量需要与不同子网的ENIs隔离。

• 只有NSIP地址必须出现在管理ENI上。

• 如果使用NAT实例实现安全，而不是为NSIP分配EIP，则需要对VPC级别路由进行相应的调整。有关修改VPC级别路由的说明，请参见AWS文档:场景2:有公网和私有子网的VPC．

• VPX实例可以从一种EC2实例类型移动到另一种(例如，从m3.large到一个m3.xlarge)．欲了解更多信息，请访问:限制和使用指南．

• 对于AWS上VPX的存储介质，Citrix推荐使用EBS，因为它是持久的，即使从实例中分离出来，数据也是可用的。

• 不支持对VPX动态添加ENIs。重新启动VPX实例以应用更新。Citrix建议用户停止独立或HA实例，附加新的ENI，然后重新启动实例。主ENI部署完成后，不能更改或附加到其他子网。当VPX停止时，可以根据需要分离和更改辅助ENIs。

• 用户可以为一个ENI分配多个IP地址。每个ENI的最大IP地址数量由EC2实例类型决定，请参见“每个网络接口每个实例类型的IP地址”一节:弹性网络接口．用户在分配给ENIs之前，必须先在AWS中分配IP地址。有关更多信息，请参见:弹性网络接口．

• Citrix建议用户避免在Citrix ADC VPX接口上使用enable和disable接口命令。

• Citrix ADC设置ha node \< node \_ID\> -haStatus STAYPRIMARY和设置ha node \< node \_ID\> -haStatus STAYSECONDARY缺省情况下，命令处于禁用状态。

• VPX不支持IPv6。

• 由于AWS的限制，以下特性不受支持:

  • ARP (GARP)

  • L2模式(桥接)。对于与SNIP相同子网的服务器，L2 (MAC重写)支持透明虚拟服务器。

  • VLAN标记

  • 动态路由

  • 虚拟MAC

• 为了使RNAT、routing和Transparent virtual server正常工作，请确保数据路径下所有ENIs的Source/Destination Check功能处于关闭状态。有关更多信息，请参见“更改源/目标签入”:弹性网络接口．

• 在AWS上部署Citrix ADC VPX时，在某些AWS区域，AWS基础设施可能无法解决AWS API调用。如果API调用是通过Citrix ADC VPX实例上的非管理接口发出的，就会发生这种情况。作为一种解决方案，将API调用限制为仅对管理接口进行。在VPX实例上创建nslan，并使用相应的命令将管理接口与nslan绑定。

• 例如:

  • set ns config - nslan \ -ifnum 1/1 -tagged NO

  • 保存配置

• 根据提示重启VPX实例。

• 有关配置nslan的更多信息，请参见:配置NSVLAN．

• 在AWS控制台中，在Monitoring选项卡下显示的VPX实例的vCPU使用率可能很高(高达100%)，即使实际使用率非常低。要查看实际的vCPU使用率，请导航到“查看所有CloudWatch指标”。有关更多信息，请参见:使用Amazon CloudWatch监视实例．另外，如果不考虑低延迟和性能，用户可以启用CPU Yield特性，在没有流量时允许包引擎空闲。有关CPU Yield特性的详细信息以及如何启用它，请访问:Citrix支持知识中心．

AWS-VPX支持矩阵

下表列出了支持的VPX模型和AWS区域、实例类型和服务。

支持AWS上的VPX模型

支持VPX模型:

• Citrix ADC VPX标准/企业/白金版- 200mbps

• Citrix ADC VPX标准版/企业版/白金版- 1000mbps

• Citrix ADC VPX标准版/企业版/白金版- 3gbps

• Citrix ADC VPX标准版/企业版/白金版- 5gbps

• Citrix ADC VPX Standard/Advanced/Premium - 10mbps

• Citrix ADC VPX Express - 20mbps

• Citrix ADC VPX -客户授权

支持AWS地区

支持AWS区域:

• 美国西部(俄勒冈)地区

• 美国西部(北加利福尼亚)地区

• 美国东部(俄亥俄州)地区

• 美国东部(北维吉尼亚)地区

• 亚太(首尔)地区

• 加拿大(中央)地区

• 亚太(新加坡)地区

• 亚太(悉尼)地区

• 亚太(东京)地区

• 亚太区(香港

• 加拿大(中央)地区

• 中国(北京)地区

• 中国(宁夏)地区

• 欧盟(法兰克福)地区

• 欧盟(爱尔兰)地区

• 欧盟(伦敦)地区

• 欧盟(巴黎)地区

• 南美洲(São保罗)地区

• AWS GovCloud(美国东部)区域

支持的AWS实例类型

支持的AWS实例类型:

• m3.large, m3.large, m3.2xlarge

• c4。大,c4。大，c4.2xlarge, c4.4xlarge, c4.8xlarge

• m4。大,m4。大型，m4.2xlarge, m4.4xlarge, m4.10xlarge

• m5。大,m5。Xlarge、m5.2xlarge、m5.4xlarge、m5.12xlarge、m5.24xlarge

• c5。大,c5。Xlarge、c5.2xlarge、c5.4xlarge、c5.9xlarge、c5.18xlarge、c5.24xlarge

• C5n。大,C5n。超大,C5n。2超大,C5n。4超大,C5n。9超大,C5n.18xlarge

AWS服务支持

支持AWS服务:

• # EC2

• #λ

• # S3

• # VPC

• # route53

• # ELB

• #监测

• # AWS自动定量

• #云的形成

• 简单排队服务(SQS)

• 简易通知服务(SNS)

• 身份与访问管理(IAM)

对于更高的带宽，Citrix推荐以下实例类型

实例类型	带宽	增强网络(SR-IOV)
M4.10x大	3 Gbps和5 Gbps	是的
C4.8x大	3 Gbps和5 Gbps	是的
C5.18xlarge / M5.18xlarge	25 Gbps	ENA
C5n.18xlarge	30 Gbps	ENA

要保持当前支持的VPX模型和AWS区域、实例类型和服务的更新，请访问:VPX-AWS支持矩阵．