设计决策:部署架构和注意事项
设计 ADC 架构和规划部署是过渡的两个关键活动。为 ADC 部署选择正确的功能和最佳架构模型既耗时又具有挑战性。本部分提供有关 NetScaler ADC 特性和功能的指导,可帮助您选择最佳模型。
有哪些类型的部署可用,部署该类型的最佳做法是什么?
在部署到存在冗余或安全性高可用性要求的生产环境中时,请使用多 NIC 和多 IP 设计
- 在 Azure 市场中使用 Citrix 解决方案模板是推荐的部署方法
Citrix 建议使用 Az
ure 市场中的 “Citrix ADC” Citrix 解决方案模板部署多 NIC 架构选择此 Citrix 解决方案模板可以为你提供以下软件计划选项:-Citrix ADC VPX 自带许可-Citrix ADC VPX 自带许可证-Citrix ADC VPX C itrix 订阅 许可证-Citrix ADC HA(可用区)-SL-C itrix ADC HA(可用性设置)BYOL-Citrix ADC HA(可用性设置)-SL-Citrix ADC公顷(可用区)BYOL-Citrix ADC FIPS公顷(可用区)BYOL- C itrix ADC FIPS 独立版 BYOL-Citrix AD C FIPS HA(可用性设置)BYOL
- 与 NetScaler ADM 集成,用于 GSLB(流量管理)和许可
- 最适合以下用例
- 隔离数据和管理流量
- 改进 ADC 的规模和性能
- 应用程序需要超过 1 Gbps 的吞吐量
- Web 应用程序防火墙 (WAF) 部署
- 将单 NIC、多 IP 设计用于具有单个子网的生产环境或非生产环境(如测试)
- 使用单个 NIC 时,您有 3 种 IP 配置:
- ipconfig1 是管理层
- ipconfig2 是客户端流量
- ipconfig3 是后端服务器流量
- Ipconfig3 不应该有与之关联的公有 IP 地址
- 首先在 Azure 门户中为所有配置添加 IP 地址,然后再在 NetScaler ADC 中进行配置
- 为 ADC VPX 上的每个数据接口创建一个未标记的 VLAN,并绑定 NIC 的主要 IP。此过程有助于防止 Azure 中的 MAC 移动和接口更改意外影响您的 ADC。
- 使用单个 NIC 时,您有 3 种 IP 配置:
- 在独立模式下对 NetScaler ADC 使用单 NIC、单 IP。
- 所有功能、NSIP、SNIP 和 VIP 都绑定到单个 NetScaler ADC IP 地址
- 在置备 NetScaler ADC VPX VM 之前配置资源组、网络安全组和虚拟网络,以便在置备之前提供网络信息
- 仅在 Azure 和 Azure 堆栈中可用
- 使用可用性集部署高可用性时(推荐)
- ADC VPX 需要独立于高可用性的网络配置 (INC)
- Azure 负载均衡器必须配置为直接服务器返回 (DSR) 模式
- 使用可用区部署高可用性时
- 将 Azure 市场中的 “Citrix ADC” Citrix 解决方案模板与名称中包含 “(可用区)” 的软件计划一起使用
- 目前,并非所有 Azure 区域都支持可用区,因此在部署此解决方案模板之前请先检查您的区域
使用 Azure 加速联网有哪些好处?
加速联网并非在所有实例类型上都可用,必须先停止 VM,然后才能在 NIC 上启用加速联网
您必须从 NetScaler ADC VPX PV 接口执行所有配置更改。使用 ADCshow interface 命令确定哪个物理接口绑定到 PV
Citrix建议不要在NetScaler ADC VPX VF接口上执行任何操作。如果必须在 VF 接口上执行操作,Citrix 仅允许清除统计信息或启用、禁用和*重置接口操作。VLAN 绑定不可用。
有哪些方法可用于部署 NetScaler ADC?
通过 Azure 市场进行部署。NetScaler ADC VPX 虚拟设备在 Microsoft Azure 应用商店中作为映像提供。
使用 GitHub 上提供的 NetScaler ADC Azure Resource Manager (ARM) json 模板进行部署。
使用 NetScaler ADM 服务进行部署。
流量分布
借助基于 DNS 的自动扩缩功能,DNS 是决定流量路由位置的层。流量管理器使用 DNS 将客户端流量定向到 Citrix 应用程序交付和管理自动缩放组中可用的相应 NetScaler ADC 实例。Azure 流量管理器将 FQDN 解析为 NetScaler ADC 实例的 VIP 地址。
使用 Azure 负载均衡器 (ALB) 作为流量管理器,入站流量首先流向 ALB,然后由它决定流量的路由位置。ALB 管理客户端流量并将其分配到 NetScaler ADC VPX 群集。ALB 将客户端流量发送到 NetScaler ADC VPX 群集节点,这些节点在跨可用区域的 Citrix 应用程序交付和管理自动缩放组中可用。
使用这两个流量分配选项时,Citrix 应用程序交付和管理会在群集级别触发向外扩展或缩小操作。触发向外扩展时,会置备注册的虚拟机并将其添加到群集中。同样,当触发扩展时,节点也会从 NetScaler ADC VPX 群集中删除并取消置备。
如何使用全局服务器负载平衡 (GSLB) 在 Azure 上部署 NetScaler ADC VPX 并使用 Azure DNS 私有区域?
使用基于 DNS 的流量管理时,Citrix 应用程序交付和管理自动缩放组中的每个 NetScaler ADC 实例都需要一个公有 IP 地址。
对于基于 DNS 的自动扩展,应用程序交付和管理将等待指定的生存时间 (TTL) 周期。TTL 过期后,它会等待现有连接耗尽,然后再启动节点取消置备。
使用基于 ALB 的流量管理时,公有 IP 地址将分配给 Azure 负载均衡器。NetScaler ADC VPX 实例不需要公有 IP 地址。
NetScaler ADC 需要配置的 DNS 虚拟服务器或由 Azure 负载平衡器用于解析的域名服务器
对于混合 GLSB 配置(多云/数据中心)
- 必须在每个 NetScaler ADC 节点上配置 SNIP 地址或 GLB 站点 IP 地址,以便在节点之间交换指标
- 必须在 NetScaler ADC 节点上设置 ADNS 或 ADNS-TCP 服务才能处理 DNS 流量
- Azure 云安全组和防火墙必须允许端口 53 和 3009 上的流量
- 对 NetScaler ADC 以外的 GSLB 负载平衡解决方案的支持受到限制
- 使用多云 GLB 样本配置全局负载平衡
自动缩放指导
自动缩放组是一组 NetScaler ADC 实例,它们将应用程序作为单个实体进行负载平衡。ADC 自动缩放组中的实例数量基于配置的参数,例如 CPU 使用率。Azure 基础结构(ALB 或 Azure 流量管理器)将客户端流量发送到可用性集中的 Citrix 应用程序交付和管理自动缩放组。Citrix 应用程序交付和管理会在群集级别触发向外扩展或缩小操作。
将 NetScaler ADC 与 Azure 自动缩放集成有什么要求?
将 AutoScale 与 Azure 虚拟机规模集 (VMSS) 结合使用并启用了多 IP 部署以实现高可用性可以最大限度地降低成本。Citrix 建议使用 AutoScale 来减少监视跨 VNet 的服务器性能所需的配置和开销。
要实现自动缩放,需要在受影响的资源上具有贡献者角色的 Azure Active Directory (AAD) 应用程序和服务主体
通过自动扩展,将在每个可用区域的集群上创建 IP 集。之后,将向 Azure 流量管理器或 ALB 注册域和实例 IP 地址。删除应用程序后,域和实例 IP 地址将从 Azure 流量管理器或 ALB 取消注册。然后,IP 集被删除。
SD-WAN
借助 SD-WAN,NetScaler ADC 设备可以在企业数据中心和 Azure 云之间提供连接。Citrix SD-WAN 使 Azure 成为企业网络的无缝扩展。NetScaler ADC 对企业数据中心和 Azure 云之间的连接进行加密,以确保两者之间传输的所有数据都是安全的。为了保护通信安全,数据中心和 Azure 云之间的 Citrix SD-WAN 连接器隧道使用开放标准的互联网协议安全 (IPSec) 协议套件。
部署 Citrix SD-WAN 连接器通道有哪些限制?
NetScaler ADC 设备必须具有面向公众的 IPv4 地址(类型 SNIP)才能用作 SD-WAN 连接器隧道的隧道端点地址
NetScaler ADC 设备不应位于 NAT 设备后面
Citrix SD-WAN 连接器隧道仅支持 IKE1、AES 和 HMAC SHA1 进行 IPSec 设置
- Citrix SD-WAN 要求边缘防火墙将以下数据包传递到 ADC
- 端口 4500 或端口 500 上的任何 UDP 数据包
- 协议类型 50 的任何 ESP 数据包
不支持 IKE 重新生成密钥。您需要为安全关联生命周期设置一个较大的值,这样隧道就不会意外关闭。
- 在设置 SD-WAN 隧道之前配置 Azure,因为 Azure 安装程序会生成用于隧道配置的 IP 地址和 PSK。
NetScaler Application Delivery Management (ADM) 服务
Citrix Cloud 中的 NetScaler Application Delivery Management 服务 (ADM) 提供了一个集中位置来管理 NetScaler ADC 部署。这些部署包括以下版本的 Azure 云或本地版本:NetScaler ADC MPX、NetScaler ADC VPX、NetScaler ADC SDX、NetScaler ADC CPX、NetScaler Gateway 和Citrix Secure Web Gateway 设备。NetScaler ADM 是一种基于云的解决方案,可管理、监视整个应用程序交付基础架构并协助进行故障排除。NetScaler ADM 包含在易于浏览的基于云的控制台中部署、自动化和许可 NetScaler ADC 的所有必要功能。
NetScaler ADM 服务如何工作?
通过 Azure 市场进行部署。NetScaler ADC VPX 虚拟设备在 Microsoft Azure 应用商店中作为映像提供。
使用 GitHub 上提供的 NetScaler ADC Azure Resource Manager (ARM) json 模板部署
使用 NetScaler ADM 服务进行部署
样书
部署 ADC 最复杂的部分是将其配置为与身份验证系统和应用程序配合使用。Citrix 提供样书来帮助简化配置体验。样书提供了一种简化 NetScaler ADC 配置的复杂任务的方法。样书是一种预配置的模板,用户可以使用它来创建或管理 NetScaler ADC 配置。大多数常见应用程序和配置都有样书。例如,SSO Office 365 样书允许您通过 NetScaler ADC 实例为Microsoft Office 365 启用单点登录。
NetScaler ADM 样书应用程序模板是什么?如何使用它们?
我们建议使用样书进行初始配置(如果有)。适用于Microsoft 365、Skype、Exchange、SharePoint 和 ADFS 的样书已推出
- Microsoft SharePoint 样书需要以下内容:
- Sharepoint 2016 或更新版本
- NetScaler ADM v12.0 或更高版本
- NetScaler ADC v10.5 或更高版本
微软SharePoint样书支持NetScaler ADC的负载平衡,内容切换、响应程序、重写、压缩和集成缓存功能
对 SharePoint 样书使用 SSL 时,请验证样书的 SharePoint 高级设置部分中的重写配置参数是否已启用
- Citrix 建议您首先选择 “试运行” 以查看样书在目标 NetScaler ADC 实例上创建的配置对象;如果可接受,则继续执行实际配置。
使用 Azure 标记进行负载平衡
对于部署在 Azure 云上的 NetScaler ADC VPX 独立和高可用性实例,现在您可以创建与 Azure 标记关联的负载平衡服务组。VPX 实例使用相应的标记持续监视 Azure 虚拟机(后端服务器)和网络接口 (NIC)(或两者),并相应地更新服务组。VPX 实例创建使用标记平衡后端服务器负载的服务组。每当添加或删除具有相应标记的 VM 或 NIC 时,ADC 都会检测到更改并自动更新服务组。
如何配置负载平衡以使用 Azure 标记?
必须将标签分配给 VM 实例或 VM 的 NIC
使用 Azure CLI 传播标记时,辅助(备用)NetScaler ADC 必须在热重启后终止 rain_tags 进程。此行为可防止旧信息被无意中使用
ADC VPX 需要能够访问后端服务器的标记的 IP 地址。对于已标记的 VM,这是主 IP 地址;对于已标记的 NIC,这是网卡的 IP 地址。如果 VM 位于不同的 VNet 上,则必须启用 VNet 对等互连。
保存所有配置,以便它们在 VM 重启之间持续存在
其他资源链接
部署指南 Azure 上的 NetScaler ADC VPX — 灾难恢复
配置 Citrix ADC VPX 实例以使用 Azure 加速的网络连接
在 Microsoft Azure 上预配 NetScaler ADC VPX 实例
面向 Azure DNS 专用区域的 Citrix ADC 部署指南
部署指南 Azure 上的 Citrix ADC VPX-GSLB
部署指南 Azure 上的 Citrix ADC VPX-自动缩放