Citrix Tech Zone

Ver PDF

Decisión de diseño: arquitectura de implementación y consideraciones

August 28, 2023

Author: Loay Shbeilat, Paul Wilson

Diseñar la arquitectura ADC y planificar la implementación son las dos actividades clave para la transición. Seleccionar las funciones correctas y el mejor modelo de arquitectura para sus implementaciones de ADC puede llevar mucho tiempo y ser un desafío. Esta sección proporciona orientación sobre las características y funciones de NetScaler ADC para ayudarlo a elegir el mejor modelo.

¿Qué tipos de implementaciones están disponibles y cuáles son las prácticas recomendadas para implementar ese tipo?

Utilice el diseño de múltiples NIC y IP cuando realice implementaciones en producción donde existan requisitos de alta disponibilidad de redundancia o seguridad
- El uso de plantillas de soluciones de Citrix en Azure Marketplace es el método de implementación recomendado
- Citrix recomienda implementar la arquitectura multi-NIC mediante la plantilla de solución Citrix “NetScaler ADC” de Azure Marketplace
  La elección de esta plantilla de solución Citrix le ofrece las siguientes opciones de planes de software:
  - NetScaler ADC VPX Bring Your Own License
  - Licencia de suscripción de NetScaler ADC VPX
  - NetScaler ADC HA (zona de disponibilidad) - SL
  - BYOL de NetScaler ADC HA (conjunto de disponibilidad)
  - NetScaler ADC HA (conjunto de disponibilidad) - SL
  - BYOL de NetScaler ADC HA (zona de disponibilidad)
  - BYOL de NetScaler ADC FIPS HA (zona de disponibilidad)
  - BYOL independiente de NetScaler ADC FIPS - BYOL de HA FIPS de NetScaler ADC (conjunto de disponibilidad)
- Se integra con NetScaler ADM para GSLB (administración de tráfico) y licencias
- Ideal para los siguientes casos de uso
  - Aislamiento del tráfico de datos y administración
  - Mejora de la escala y el rendimiento del ADC
  - Cuando las aplicaciones requieren más de 1 Gbps de rendimiento
  - Implementaciones de Web Application Firewall (WAF)
Utilice el diseño de NIC única y IP múltiple para entornos de producción con una sola subred o para entornos que no son de producción, como pruebas
- Con una sola NIC, tiene 3 configuraciones IP:
  - ipconfig1 es administración
  - ipconfig2 es tráfico del lado del cliente
  - ipconfig3 es tráfico de servidor back-end
- Ipconfig3 no debe tener una dirección IP pública asociada
- Agregue direcciones IP para todas las configuraciones en el portal de Azure antes de configurarlas en NetScaler ADC
- Cree una VLAN sin etiqueta para cada interfaz de datos en ADC VPX y vincule la IP principal de la NIC. Este procedimiento ayuda a evitar que los movimientos de MAC y los cambios de interfaz en Azure afecten inesperadamente a su ADC.
Utilice NIC única, IP única para un NetScaler ADC en modo independiente.
- Todas las funciones, NSIP, SNIP y VIP están vinculadas a una sola dirección IP de NetScaler ADC
- 配置el grupo de recurso项目de segu洛降ridad de red y la red virtual antes de aprovisionar la máquina virtual NetScaler ADC VPX para que la información de la red esté disponible antes del aprovisionamiento
- Solo disponible en Azure y en Azure stack
Al implementar la alta disponibilidad mediante conjuntos de disponibilidad (recomendado)
- El ADC VPX necesita una configuración de red (INC) independiente de HA
- El Azure Load Balancer debe configurarse en modo Direct Server Return (DSR)
Al implementar la alta disponibilidad mediante zonas de disponibilidad
- Utilice la plantilla de solución Citrix “NetScaler ADC” en Azure Marketplace con un plan de software en el que se incluya “(Zona de disponibilidad)” en el nombre
- Actualmente, no todas las regiones de Azure admiten zonas de disponibilidad, por lo que debe comprobar su región antes de implementar esta plantilla de solución

¿Cuáles son los beneficios de usar las redes aceleradas de Azure?

Las redes aceleradas no están disponibles en todos los tipos de instancias y las máquinas virtuales deben detenerse antes de habilitar las redes aceleradas en una NIC.
Debe realizar todos los cambios de configuración desde la interfaz PV de NetScaler ADC VPX. Utilice el comando ADCshow interfacepara determinar qué interfaz física está enlazada a PV.
Citrix recomienda no realizar ninguna operación en la interfaz VF de NetScaler ADC VPX. Si debe realizar operaciones en la interfaz VF, Citrix solo permiteborrar las estadísticasohabilitar,inhabilitary*restablecer las operaciones de interfaz. El enlace de VLAN no está disponible.

¿Qué métodos hay disponibles para implementar NetScaler ADC?

Implemente en Azure Marketplace. El dispositivo virtual NetScaler ADC VPX está disponible como imagen en Microsoft Azure Marketplace.
Implemente con la plantilla json de Azure Resource Manager (ARM) de NetScaler ADC disponible en GitHub.
Implemente mediante el servicio NetScaler ADM.

Distribución del tráfico

Con el escalado automático basado en DNS, DNS es la capa que decide dónde se enruta el tráfico. El administrador de tráfico usa DNS para dirigir el tráfico del cliente a la instancia de NetScaler ADC adecuada que está disponible en el grupo de escalado automático de administración y entrega de aplicaciones de Citrix. El administrador de tráfico de Azure resuelve el FQDN en la dirección VIP de la instancia de NetScaler ADC.

Con Azure Load-Balancer (ALB) como administrador de tráfico, el tráfico entrante va primero al ALB y decide dónde se enruta el tráfico. ALB administra el tráfico del cliente y lo distribuye a clústeres NetScaler ADC VPX. ALB envía el tráfico del cliente a los nodos del clúster de NetScaler ADC VPX que están disponibles en el grupo de escalado automático de administración y entrega de aplicaciones de Citrix en todas las zonas de disponibilidad.

Con ambas opciones de distribución de tráfico, Citrix Application Delivery and Management desencadena la acción de escalamiento horizontal o vertical a nivel de clúster. Cuando se activa un escalamiento horizontal, las máquinas virtuales registradas se aprovisionan y agregan al clúster. Del mismo modo, cuando se activa una escalación, los nodos se eliminan y se desaprovisionan de los clústeres NetScaler ADC VPX.

¿Cómo se implementa NetScaler ADC VPX en Azure con Global Server Load Balancing (GSLB) y se usan las zonas privadas DNS de Azure?

Cuando se usa la administración de tráfico basada en DNS, cada instancia de NetScaler ADC del grupo de escalabilidad automática de administración y entrega de aplicaciones de Citrix requiere una dirección IP pública.
Para el escalado automático basado en DNS, la entrega y administración de aplicaciones espera el período de tiempo de vida (TTL) especificado. Una vez que caduca el TTL, espera a que se agoten las conexiones existentes antes de iniciar el desaprovisionamiento de nodos.
Al usar la administración de tráfico basada en ALB, la dirección IP pública se asigna a Azure Load Balancer. Las instancias de NetScaler ADC VPX no requieren una dirección IP pública.
NetScaler ADC requiere un servidor virtual DNS o un servidor de nombres configurado, que el balanceador de carga de Azure utiliza para la resolución.
Para una configuración GLSB híbrida (multinube o centro de datos)
- Se debe configurar una dirección SNIP o una dirección IP de sitio GLB en cada nodo de NetScaler ADC para el intercambio de métricas entre los nodos
- El servicio ADNS o ADNS-TCP debe configurarse en los nodos NetScaler ADC para procesar el tráfico DNS.
- Los grupos de seguridad en la nube y los firewalls de Azure deben permitir el tráfico en los puertos 53 y 3009
- La compatibilidad con soluciones de equilibrio de carga GSLB que no sean NetScaler ADC es limitada
- Utilice StyleBook de GLB multinube para configurar el equilibrio de carga global

Guía de escalabilidad automática

联合国grupo de escalabilidad自动化es Un grupo de instancias de NetScaler ADC que equilibran la carga de las aplicaciones como una sola entidad. El número de instancias en el grupo de escalabilidad automática de ADC se basa en los parámetros configurados, como el uso de la CPU. La infraestructura de Azure (ALB o Azure traffic manager) envía el tráfico del cliente a un grupo de escalado automático de administración y entrega de aplicaciones de Citrix en el conjunto de disponibilidad. Citrix Application Delivery and Management desencadena la acción de escalamiento horizontal o vertical en el nivel del clúster.

¿Cuáles son los requisitos para integrar NetScaler ADC con Azure Autoscale?

El uso de escalabilidad automática con conjuntos de escala de máquinas virtuales (VMSS) de Azure con implementaciones de IP múltiples habilitadas para una alta disponibilidad minimiza los costes. Citrix recomienda usar Autoscale para reducir la cantidad de configuración y sobrecarga necesarias para supervisar el rendimiento del servidor en las VNet.
Se necesita una aplicación de Azure Active Directory (AAD) y una entidad de servicio con función de colaborador en los recursos afectados para implementar la escalabilidad automática
Con el escalado automático, se crea un conjunto de IP en los clústeres de cada zona de disponibilidad. Después de lo cual, las direcciones IP del dominio y la instancia se registran en el administrador de tráfico de Azure o ALB. Cuando se quita la aplicación, las direcciones IP de dominio y instancia se anulan del registro del administrador de tráfico de Azure o ALB. A continuación, se elimina el conjunto de IP.

SD-WAN

Con SD-WAN, el dispositivo NetScaler ADC puede proporcionar conectividad entre los centros de datos empresariales y la nube de Azure. Citrix SD-WAN convierte a Azure en una extensión perfecta de la red empresarial. NetScaler ADC cifra la conexión entre el centro de datos empresarial y la nube de Azure para que todos los datos transferidos entre los dos estén seguros. Para proteger las comunicaciones, un túnel de conector Citrix SD-WAN entre un centro de datos y la nube de Azure utiliza el conjunto de protocolos de seguridad de protocolo de Internet (IPSec) de estándar abierto.

¿Cuáles son las limitaciones para implementar un túnel de conector Citrix SD-WAN?

El dispositivo NetScaler ADC debe tener una dirección IPv4 pública (tipo SNIP) para usarla como dirección de punto final de túnel para el túnel del conector SD-WAN
El dispositivo NetScaler ADC no debe estar detrás de un dispositivo NAT
El túnel de conectores Citrix SD-WAN solo admite IKE1, AES y HMAC SHA1 para la configuración de IPSec
Citrix SD-WAN requiere que el firewall perimetral pase los siguientes paquetes al ADC
- Cualquier paquete UDP en el puerto 4500 o el puerto 500
- Cualquier paquete ESP del tipo de protocolo 50
No se admite la reintroducción de claves IKE. Debe establecer un valor grande para la duración de la asociación de seguridad para que el túnel no se caiga inesperadamente.
Configure Azure antes de configurar el túnel SD-WAN porque la configuración de Azure genera la dirección IP y PSK que se utilizan para la configuración del túnel.

Servicio NetScaler Application Delivery Management (ADM)

El servicio NetScaler Application Delivery Management Service (ADM) de Citrix Cloud proporciona una ubicación centralizada para administrar las implementaciones de NetScaler ADC. Estas implementaciones incluyen versiones en la nube o locales de Azure de los siguientes dispositivos: dispositivos NetScaler ADC MPX, NetScaler ADC VPX, NetScaler ADC SDX, NetScaler ADC CPX, NetScaler Gateway y Citrix Secure Web Gateway. NetScaler ADM es una solución basada en la nube que administra, supervisa y ayuda a solucionar problemas de toda la infraestructura de entrega de aplicaciones. NetScaler ADM incluye todas las capacidades necesarias para implementar, automatizar y licenciar NetScaler ADC en una consola basada en la nube fácil de navegar.

¿Cómo funciona el servicio NetScaler ADM?

Implemente en Azure Marketplace. El dispositivo virtual NetScaler ADC VPX está disponible como imagen en Microsoft Azure Marketplace.
Implementación con la plantilla json de Azure Resource Manager (ARM) de NetScaler ADC disponible en GitHub
Implementación mediante el servicio NetScaler ADM

StyleBooks

La parte más compleja de la implementación de un ADC es configurarlo para que funcione con el sistema de autenticación y las aplicaciones. Citrix ofrece StyleBooks para facilitar la experiencia de configuración. Los StyleBooks ofrecen una forma de simplificar la compleja tarea de las configuraciones de NetScaler ADC. Un StyleBook es una plantilla preconfigurada que los usuarios pueden usar para crear o administrar configuraciones de NetScaler ADC. Los StyleBooks existen para la mayoría de las aplicaciones y configuraciones comunes. Por ejemplo, The SSO Office 365 StyleBook le permite habilitar el SSO para Microsoft Office 365 a través de instancias de NetScaler ADC.

¿Qué son las plantillas de aplicaciones de NetScaler ADM StyleBook y cómo las uso?

Recomendamos usar StyleBooks para las configuraciones iniciales si hay alguna disponible. Están disponibles StyleBooks para Microsoft 365, Skype, Exchange, SharePoint y ADFS
Microsoft SharePoint StyleBook requiere lo siguiente:
- SharePoint 2016 o posterior
- NetScaler ADM v12.0 o posterior
- NetScaler ADC v10.5 o posterior
Microsoft SharePoint StyleBook admite las funciones de equilibrio de carga, cambio de contenido, respuesta, reescritura, compresión y almacenamiento en caché integrado de NetScaler ADC
Al usar SSL con SharePoint StyleBook, compruebe que el parámetro de configuración Rewrite esté habilitado en la sección Configuración avanzada de SharePoint del StyleBook
Citrix recomienda que primero seleccione Ejecución en seco para ver los objetos de configuración que el StyleBook crea en las instancias de NetScaler ADC de destino. Si es aceptable, continúe y ejecute la configuración real.

Equilibrio de carga con Azure Tag

Para las instancias independientes y de alta disponibilidad de NetScaler ADC VPX implementadas en Azure Cloud, ahora puede crear grupos de servicios de equilibrio de carga asociados a una etiqueta de Azure. La instancia VPX supervisa constantemente las máquinas virtuales de Azure (servidores back-end) y las interfaces de red (NIC), o ambas, con la etiqueta respectiva y actualiza el grupo de servicios en consecuencia. La instancia VPX crea el grupo de servicios que equilibra la carga de los servidores back-end mediante etiquetas. Siempre que se agrega o elimina una VM o NIC con la etiqueta adecuada, el ADC detecta el cambio y actualiza el grupo de servicios automáticamente.

¿Cómo configuro el equilibrio de carga para usar etiquetas de Azure?

Las etiquetas deben asignarse a la instancia de VM o a la NIC de la VM
Al usar la CLI de Azure para propagar etiquetas, el NetScaler ADC secundario (en espera) debe terminar el proceso rain_tags después de un reinicio en caliente. Este comportamiento evita que la información antigua se utilice de forma inadvertida.
El ADC VPX necesita poder alcanzar la dirección IP etiquetada para el servidor back-end. Para una VM etiquetada, esta es la dirección IP principal; para una NIC etiquetada, es la dirección IP de la NIC. Si la máquina virtual está en una VNet diferente, debe habilitarse la interconexión de VNet.
Guarde todas las configuraciones para que persistan entre los reinicios de la VM

Enlaces a otros recursos

Guía de implementación de NetScaler ADC VPX en Azure

Guía de implementación de NetScaler ADC VPX en Azure: recuperación ante desastres

Guía de PoC: Autenticación federada de Active Directory de Microsoft Azure para Citrix Virtual Apps and Desktops con NetScaler ADC

Configurar una instancia de NetScaler ADC VPX para usar redes aceleradas de Azure

Aprovisionamiento de instancias NetScaler ADC VPX en Microsoft Azure

Guía de implementación de NetScaler ADC para Azure DNS Private Zones

Guía de implementación de NetScaler ADC VPX en Azure - GSLB

Arquitectura de escalabilidad automática para Microsoft Azure

Configuración de Azure Autoscale

Guía de implementación de NetScaler ADC VPX en Azure: escalabilidad automática

Configuración de un túnel de CloudBridge Connector entre un centro de datos y la nube de Azure

Configurar Office 365

StyleBook de Microsoft SharePoint

StyleBook del SSO de Office 365

Configuraciones de StyleBooks para NetScaler ADC

Uso de StyleBooks para Configurar GLB

Etiquetas de Azure para la implementación de NetScaler ADC VPX

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Decisión de diseño: arquitectura de implementación y consideraciones

August 28, 2023

Author: Loay Shbeilat, Paul Wilson

August 28, 2023

Author: Loay Shbeilat, Paul Wilson

En este artículo

¿Le ha resultado útil?