设计决策：要求和限制

在 Azure 云中，Citrix ADC 虚拟和容器化设备减少了功能集。某些功能（如 VLAN 标记）不再需要，因为 Azure 在基础结构级别执行这些功能。了解限制和要求是规划迁移的关键。将 GSLB 和 Azure 用于 HSM 密钥保管库还有其他您应该注意的要求。

Azure 密钥库

Citrix ADC 与 Azure 密钥保管库集成，并将其私钥存储在密钥保管库中，从而增强了对密钥的安全保护。使用 Azure 密钥保管库可以简化密钥的存储和管理。Azure 密钥保管库为跨 Azure 和本地数据中心的所有企业 ADC 设备提供了一个中央密钥管理位置。

在规划阶段需要回答的一些问题可能包括以下内容：

ADC 应用程序如何与 Azure 密钥保管库集成，其局限性是什么？

• Citrix ADC 与 Azure 密钥保管库的集成需要使用 TLS 1.3 协议

• FIPS 140-2 2 级合规性要求 Azure 密钥保管库高级版定价层以及使用硬件安全模块 (HSM) 支持的密钥

• 每次 SSL 握手，ADC 都会访问密钥保管库

• 访问 Azure 密钥保管库需要 Azure 企业应用程序和服务主体

• Citrix ADC 使用 Azure 密钥保管库存在以下限制：

  • Azure 密钥保管库限制并发调用的数量，并且限制因请求类型和密钥类型而异
  • 不支持椭圆曲线加密 (ECC) 密钥
  • HDX Enlightened Data Transport (EDT) 和数据报传输层安全 (DTLS) 协议不能用于与 Azure 密钥保管库进行通信
  • 不支持群集和管理分区
  • 将 Azure 应用程序、Azure 密钥保管库和 HSM 证书密钥对添加到 Citrix ADC 设备后，无法在 Azure 中更新它们
  • 不支持 HSM 证书捆绑包
  • HSM 密钥无法绑定到 DTLS 虚拟服务器
  • SSL 服务或在线证书状态协议 (OCSP) 请求都不能使用使用 HSM 密钥创建的证书密钥对
  • 发生 HSM 密钥和证书不匹配时不会生成错误

GSLB

当企业将其工作负载转移到 Azure 云时，他们需要一种允许以安全方式进行 DNS 解析的混合模型。Azure DNS 私有区域服务是这一过渡的关键。借助私有 DNS 区域，企业可以创建混合模型，允许对本地服务器和基于 Azure 的服务器进行 DNS 解析。Azure 服务器可以通过 ExpressRoute 或 VPN 隧道连接到本地数据中心。Citrix ADC 提供了一种在全球范围内跨本地和 Azure 工作负载分配流量的无缝方式。全局服务器负载平衡 (GSLB) 功能提供了这种全球规模，并依赖于 Citrix ADC 控制台中的 ADNS 服务。

此 GSLB 功能支持业务目标，包括：从本地迁移到 Azure 云、基于 DNS 的故障转移和蓝绿环境测试。轮询和基于位置（静态邻近）的服务器路由方法均可用。GSLB 可用于任何服务或主机解析，包括 StoreFront。

在我的本地部署和 Azure 云混合部署中使用 Citrix ADC for GSLB 有哪些要求和限制？

• ADNS 服务是在 Citrix ADC 设备上运行的 DNS 服务器。ADNS 支持委派 DNS 命名空间，因此 Citrix ADC 是区域及其内所有主机的权威名称服务器

• 对 GSLB 私有 DNS 区域的支持是使用运行 ADNS 服务的 Azure 云中的 Citrix ADC 设备实现的

• 计划在虚拟网络和数据中心网络中使用 DNS 转发器

• 所有 DNS 查询都首先路由到本地 DNS 转发器，以提供最佳的用户体验

• GSLB 星展银行服务需要以下条件：

  • Citrix ADC 版本 12.0.57 或更高版本和Microsoft Azure 负载均衡器
  • Citrix ADC GSLB 服务组功能增强
  • GSLB 服务组实体：Citrix ADC 版本 12.057 或更高版本
  • DBS 功能组件必须绑定到 GSLB 服务组

在 Azure 上运行 Citrix ADC VPX 实例有哪些限制？

• Azure 和本地数据中心之间的安全隧道必须存在，通常是通过 ExpressRoute 或 VPN 连接

• 为 Citrix ADC 虚拟机分配静态内部 IP 地址，以避免虚拟机取消分配后 IP 地址更改导致的问题

Azure Citrix ADC 中没有哪些数据中心 Citrix ADC 功能？

• 如果公有 IP (PIP) 地址与 VPX 实例而不是 Azure 负载均衡器关联，则高可用性不起作用

• Azure 体系结构不支持以下 Citrix ADC 功能：
  • 群集，除非通过 Citrix ADM 自动缩放功能进行部署
  • IPv6
  • 免费 ARP (GARP)
  • L2 模式（桥接）；但是，具有 MAC 重写 (L2) 功能的透明虚拟服务器将适用于与 ADC 的 SNIP 位于同一子网的服务器
  • 已标记的 VLAN
  • 动态路由
  • 虚拟 MAC
  • USIP
  • 巨型帧
• 公有 IP 地址不支持动态打开端口映射的协议，例如被动 FTP 或 ALG

其他资源链接

Azure 密钥保管库服务限制

支持 Azure 密钥保管库

部署指南 Azure 上的 Citrix ADC VPX-GSLB

Azure 上的 Citrix ADC VPX 部署指南

配置 Citrix ADC VPX 独立实例

部署指南 Azure 上的 Citrix ADC VPX — 灾难恢复

在 Azure 的 NetScaler 上观察到 MAC 移动