Citrix ADC für Azure DNS Private Zone Bereitstellungshandbuch
Einleitung
Citrix ADC, früher bekannt als NetScaler, ist ein erstklassiges Produkt im Bereich der Application Delivery Controller™ (ADC) mit der bewährten Fähigkeit, Lasten auszugleichen, globalen Datenverkehr zu verwalten, Komprimierung durchzuführen und Anwendungen zu sichern.
Azure DNS ist ein Dienst in der Microsoft Azure-Infrastruktur zum Hosten von DNS-Domänen und zur Bereitstellung der Namensauflösung.
Azure DNS Private Zones ist ein Dienst, der sich auf die Auflösung von Domänennamen in einem privaten Netzwerk konzentriert. Mit Private Zones können Kunden ihre eigenen benutzerdefinierten Domänennamen verwenden, anstatt der heute verfügbaren, von Azure bereitgestellten Namen.
Übersicht über Azure DNS
Das Domain Name System, oder DNS, ist für die Übersetzung (oder Auflösung) eines Dienstnamens in seine IP-Adresse verantwortlich. Als Hosting-Dienst für DNS-Domänen bietet Azure DNS die Namensauflösung durch die Nutzung der Microsoft Azure-Infrastruktur. Neben der Unterstützung von internetorientierten DNS-Domänen unterstützt Azure DNS jetzt auch private DNS-Domänen.
Azure DNS bietet einen zuverlässigen, sicheren DNS-Dienst zum Verwalten und Auflösen von Domänennamen in einem virtuellen Netzwerk, ohne eine benutzerdefinierte DNS-Lösung zu benötigen. Durch die Verwendung privater DNS-Zonen können Sie Ihre eigenen benutzerdefinierten Domänennamen verwenden, anstatt der heute verfügbaren, von Azure bereitgestellten Namen. Die Verwendung benutzerdefinierter Domänennamen hilft Ihnen, Ihre Architektur des virtuellen Netzwerks optimal an die Anforderungen Ihrer Organisation anzupassen. Es bietet Namensauflösung für virtuelle Maschinen (VMs) innerhalb eines virtuellen Netzwerks und zwischen virtuellen Netzwerken. Außerdem können Kunden Zonennamen mit einer Split-Horizon-Ansicht konfigurieren, die es einer privaten und einer öffentlichen DNS-Zone ermöglicht, einen Namen zu teilen.
Warum Citrix GSLB für Azure DNS Private Zone?
In der heutigen Welt möchten Unternehmen ihre Workloads von lokalen Umgebungen in die Azure Cloud verlagern. Der Übergang zur Cloud ermöglicht es ihnen, Markteinführungszeit, Investitionskosten/Preis, einfache Bereitstellung und Sicherheit zu nutzen. Der Azure DNS Private Zone-Dienst bietet ein einzigartiges Angebot für Unternehmen, die einen Teil ihrer Workloads in die Azure Cloud verlagern. Diese Unternehmen können ihren privaten DNS-Namen, den sie seit Jahren in lokalen Bereitstellungen hatten, erstellen, wenn sie den Private Zone-Dienst nutzen. Mit diesem Hybridmodell, bei dem Intranet-Anwendungsserver lokal und in der Azure Cloud über sichere VPN-Tunnel verbunden sind, besteht die Herausforderung darin, wie ein Benutzer nahtlosen Zugriff auf diese Intranet-Anwendungen erhalten kann. Citrix ADC löst diesen einzigartigen Anwendungsfall mit seiner globalen Lastverteilungsfunktion, die den Anwendungsverkehr zu den optimalsten verteilten Workloads/Servern entweder lokal oder in der Azure Cloud leitet und den Status der Anwendungsserver-Integrität bereitstellt.
Anwendungsfall
Benutzer im lokalen Netzwerk und in verschiedenen Azure VNETs sollten sich mit den optimalsten Servern in einem internen Netzwerk verbinden können, um auf die benötigten Inhalte zuzugreifen. Dies stellt sicher, dass die Anwendung immer verfügbar ist, die Kosten optimiert sind und die Benutzererfahrung gut ist. Azure Private Traffic Management (PTM) ist hier die primäre Anforderung. Azure PTM stellt sicher, dass die DNS-Abfragen der Benutzer zu einer geeigneten privaten IP-Adresse des Anwendungsservers aufgelöst werden.
Lösung des Anwendungsfalls
Citrix ADC beinhaltet die Global Server Load Balancing (GSLB)-Funktion, die dazu beitragen kann, die Azure PTM-Anforderung zu erfüllen. GSLB fungiert als DNS-Server, der die DNS-Anfragen empfängt und die DNS-Anfrage in eine geeignete IP-Adresse auflöst, um Folgendes bereitzustellen:
- Nahtloses DNS-basiertes Failover
- Phasenweise Migration von On-Premises in die Cloud
- A/B-Tests für eine neue Funktion
Unter den vielen unterstützten Lastverteilungsmethoden können die folgenden Methoden in dieser Lösung nützlich sein:
- Round Robin
-
Statische Nähe (standortbasierte Serverauswahl): Sie kann auf zwei Arten bereitgestellt werden
- EDNS Client Subnet (ECS) basierte GSLB auf Citrix ADC
- Bereitstellen eines DNS-Forwarders für jedes virtuelle Netzwerk
Topologie
- Die Citrix ADC GSLB-Bereitstellung für die private Azure DNS-Zone sieht logisch wie in Abbildung 1 dargestellt aus.
- Ein Benutzer kann auf jeden Anwendungsserver entweder in Azure oder On-Prem zugreifen, basierend auf der Citrix ADC GSLB-Lastverteilungsmethode in einer privaten Azure DNS-Zone.
- Der gesamte Datenverkehr zwischen On-Prem und dem virtuellen Azure-Netzwerk erfolgt ausschließlich über einen sicheren VPN-Tunnel.
- Anwendungsverkehr, DNS-Verkehr und Überwachungsverkehr sind in der vorstehenden Topologie dargestellt.
- Je nach erforderlicher Redundanz können Citrix ADC und DNS-Forwarder in den virtuellen Netzwerken und Rechenzentren bereitgestellt werden. Der Einfachheit halber wird hier nur ein Citrix ADC gezeigt, wir empfehlen jedoch mindestens einen Satz Citrix ADC und DNS-Forwarder pro Azure-Region.
- Alle DNS-Abfragen der Benutzer gehen zuerst an den DNS-Forwarder, der Regeln für die Weiterleitung der Abfragen an den entsprechenden DNS-Server definiert hat.
Konfigurieren von Citrix ADC für Azure DNS Private Zone
Getestete Produkte und Versionen
| Produkt | Version |
|---|---|
| Azure | Cloud-Abonnement |
| Citrix ADC VPX | BYOL (Eigene Lizenz mitbringen) |
Hinweis: Die Bereitstellung wurde getestet und bleibt mit Citrix ADC Version 12.0 und höher gleich.
Voraussetzungen und Konfigurationshinweise
Im Folgenden sind die allgemeinen Voraussetzungen und Konfigurationen aufgeführt, die für diesen Leitfaden getestet wurden. Bitte überprüfen Sie diese, bevor Sie Citrix ADC konfigurieren:
- Microsoft Azure-Portal-Konto mit einem gültigen Abonnement
- Stellen Sie die Konnektivität (sicherer VPN-Tunnel) zwischen On-Premises und der Azure-Cloud sicher. Informationen zum Einrichten eines sicheren VPN-Tunnels in Azure finden Sie unter Schritt-für-Schritt: Konfigurieren eines Site-to-Site-VPN-Gateways zwischen Azure und On-Premises
Lösungsbeschreibung
Angenommen, ein Kunde möchte eine Anwendung in der privaten Azure DNS-Zone (rr.ptm.mysite.net) hosten, die über HTTPS läuft und über Azure und On-Premises mit Intranetzugriff basierend auf der Round-Robin-GSLB-Lastverteilungsmethode bereitgestellt wird. Um diese Bereitstellung durch Aktivierung von GSLB für die private Azure DNS-Zone mit Citrix ADC zu erreichen, sind zwei Teile erforderlich – die Konfiguration von Azure, On-Premises und der Citrix ADC Appliance.
Teil 1: Azure- und lokale Einrichtung konfigurieren
Wie in der Topologie gezeigt, richten Sie das Azure Virtual Network (in diesem Fall VNet A, VNet B) und die lokale Einrichtung ein. Schritt 1: Erstellen Sie eine private Azure DNS-Zone mit dem Domänennamen (mysite.net) Schritt 2: Erstellen Sie zwei virtuelle Netzwerke (VNet A, VNet B) im Hub-and-Spoke-Modell in einer Azure-Region. Schritt 3: Stellen Sie den App-Server, den DNS-Forwarder, den Windows 10 Pro-Client und Citrix ADC in VNet A bereit. Schritt 4: Stellen Sie den App-Server bereit und stellen Sie einen DNS-Forwarder bereit, falls Clients in VNet B vorhanden sind. Schritt 5: Stellen Sie den App-Server, den DNS-Forwarder und den Windows 10 Pro-Client lokal bereit.
Private Azure DNS-Zone
Melden Sie sich beim Azure-Portal an und wählen oder erstellen Sie ein Dashboard. Klicken Sie nun auf Ressource erstellen und nach DNS-Zone suchen, um eine zu erstellen (in diesem Fall mysite.net), wie in der folgenden Abbildung gezeigt.
Azure Virtual Networks (VNet A, VNet B) im Hub-and-Spoke-Modell
Wählen Sie dasselbe Dashboard aus und klicken Sie auf Ressource erstellen und nach virtuellen Netzwerken suchen, um zwei virtuelle Netzwerke, nämlich VNet A und VNet B, in derselben Region zu erstellen und diese zu peeren, um ein Hub-and-Spoke-Modell zu bilden, wie in der folgenden Abbildung gezeigt. Weitere Informationen zum Einrichten einer Hub-and-Spoke-Topologie finden Sie unter Implementieren einer Hub-Spoke-Netzwerktopologie in Azure.
VNet A zu VNet B Peering
Um VNet A und VNet B zu peeren, klicken Sie im Einstellungsmenü von VNet A auf Peerings und peeren Sie VNet B. Aktivieren Sie „Weitergeleiteten Datenverkehr zulassen“ und „Gateway-Transit zulassen“, wie in der folgenden Abbildung gezeigt.
Nach erfolgreichem Peering sehen Sie Folgendes, wie in der folgenden Abbildung gezeigt:
VNet B zu VNet A Peering
Um VNet B und VNet A zu peeren, klicken Sie im Einstellungsmenü von VNet B auf Peerings und peeren Sie VNet A. Aktivieren Sie „Weitergeleiteten Datenverkehr zulassen“ und „Remote-Gateways verwenden“, wie in der folgenden Abbildung gezeigt.
Nach erfolgreichem Peering sehen Sie Folgendes, wie in der folgenden Abbildung gezeigt:
Bereitstellen von App-Server, DNS-Forwarder, Windows 10 Pro-Client, Citrix ADC in VNet A
Wir besprechen kurz den App-Server, den DNS-Forwarder, den Windows 10 Pro-Client und Citrix ADC auf VNet A. Wählen Sie dasselbe Dashboard aus, klicken Sie auf „Ressource erstellen“, suchen Sie nach den entsprechenden Instanzen und weisen Sie eine IP-Adresse aus dem VNet A-Subnetz zu.
App-Server
Ein App-Server ist nichts anderes als der Webserver (HTTP-Server), auf dem ein Ubuntu-Server 16.04 als Instanz auf Azure oder einer lokalen VM bereitgestellt wird und ein CLI-Befehl ausgeführt wird: sudo apt install apache2, um ihn zu einem Webserver zu machen.
Windows 10 Pro-Client
Starten Sie eine Windows 10 Pro-Instanz als Client-Maschine auf VNet A und auch lokal.
Citrix ADC
Citrix ADC ergänzt die private Azure DNS-Zone durch Integritätsprüfungen und Analysen von Citrix MAS. Starten Sie einen Citrix ADC aus dem Azure Marketplace basierend auf Ihren Anforderungen; hier haben wir Citrix ADC (BYOL) für diese Bereitstellung verwendet. Bitte beachten Sie die unten stehende URL für detaillierte Schritte zur Bereitstellung von Citrix ADC auf Microsoft Azure. Verwenden Sie nach der Bereitstellung die Citrix ADC IP, um Citrix ADC GSLB zu konfigurieren. Siehe Bereitstellen einer NetScaler VPX-Instanz in Microsoft Azure
DNS-Forwarder
Er wird verwendet, um Client-Anfragen von gehosteten Domänen, die an Citrix ADC GSLB (ADNS IP) gebunden sind, weiterzuleiten. Starten Sie einen Ubuntu-Server 16.04 als Linux-Instanz (Ubuntu-Server 16.04) und beachten Sie die unten stehende URL, wie Sie ihn als DNS-Forwarder einrichten.
Hinweis: Für die Round-Robin-GSLB-Lastverteilungsmethode ist ein DNS-Forwarder pro Azure-Region ausreichend, aber für statische Proximity benötigen wir einen DNS-Forwarder pro virtuellem Netzwerk.
Nach der Bereitstellung des Forwarders ändern Sie die DNS-Server-Einstellungen des virtuellen Netzwerks A von Standard auf Benutzerdefiniert mit der DNS-Forwarder-IP von VNet A, wie in der folgenden Abbildung gezeigt, und ändern Sie dann die Datei named.conf.options im DNS-Forwarder von VNet A, um Weiterleitungsregeln für die Domäne (mysite.net) und Subdomäne (ptm.mysite.net) zur ADNS-IP von Citrix ADC GSLB hinzuzufügen. Starten Sie nun den DNS-Forwarder neu, um die in der Datei named.conf.options vorgenommenen Änderungen zu übernehmen.
DNS-Forwarder-Einstellungen von VNet A
zone "mysite.net" {
type forward;
forwarders { 168.63.129.16; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
}; > **Hinweis:** Verwenden Sie für die Zonen-IP-Adresse der Domäne („mysite.net“) die DNS-IP Ihrer Azure-Region. Verwenden Sie für die Zonen-IP-Adresse der Subdomäne („ptm.mysite.net“) alle ADNS-IP-Adressen Ihrer GSLB-Instanzen.
App-Server bereitstellen und einen DNS-Forwarder bereitstellen, wenn sich Clients in VNet B befinden
Nun für das virtuelle Netzwerk B wählen Sie dasselbe Dashboard aus, klicken Sie auf Ressource erstellen, suchen Sie dann nach den entsprechenden Instanzen und weisen Sie eine IP aus dem VNet B-Subnetz zu. Starten Sie den App-Server und den DNS-Forwarder, wenn es ein statisches Proximity-GSLB-Lastenausgleich gibt, ähnlich wie bei VNet A.
Bearbeiten Sie die DNS-Forwarder-Einstellungen von VNet B in named.conf.options wie gezeigt:
VNet B DNS Forwarder Settings:
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
App-Server, DNS-Forwarder und Windows 10 Pro-Client lokal bereitstellen
Nun für die lokale Umgebung starten Sie die VMs auf Bare Metal und stellen Sie App-Server, DNS-Forwarder und Windows 10 Pro-Client ähnlich wie bei VNet A bereit.
Bearbeiten Sie die lokalen DNS-Forwarder-Einstellungen in der named.conf.options wie im folgenden Beispiel gezeigt.
Lokale DNS-Forwarder-Einstellungen
zone "mysite.net" {
type forward;
forwarders { 10.8.0.6; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
Hier für mysite.net haben wir die DNS-Forwarder-IP von VNet A anstelle der Azure Private DNS-Zonenserver-IP angegeben, da es sich um eine spezielle IP handelt, die von lokalen Umgebungen nicht erreichbar ist. Daher ist diese Änderung in den DNS-Forwarder-Einstellungen der lokalen Umgebung erforderlich.
Teil 2: Konfigurieren des Citrix ADC
Wie in der Topologie gezeigt, stellen Sie den Citrix ADC im virtuellen Azure-Netzwerk (in diesem Fall VNet A) bereit und greifen Sie über die Citrix ADC GUI darauf zu.
Konfigurieren von Citrix ADC GSLB
Schritt 1: ADNS-Dienst erstellen Schritt 2: Sites erstellen – lokal und remote Schritt 3: Dienste für die lokalen virtuellen Server erstellen Schritt 4: Virtuelle Server für die GSLB-Dienste erstellen
ADNS-Dienst hinzufügen
Melden Sie sich bei der Citrix ADC GUI an. Navigieren Sie auf der Registerkarte Configuration zu Traffic Management > Load Balancing > Services. Fügen Sie einen Dienst hinzu. Es wird empfohlen, den ADNS-Dienst sowohl in TCP als auch in UDP zu konfigurieren, wie hier gezeigt:
GSLB-Sites hinzufügen
Fügen Sie lokale und Remote-Sites hinzu, zwischen denen GSLB konfiguriert werden soll. Navigieren Sie auf der Registerkarte Configuration zu Traffic Management > GSLB > GSLB Sites. Fügen Sie eine Site wie hier gezeigt hinzu und wiederholen Sie den Vorgang für andere Sites.
GSLB-Dienste hinzufügen
Fügen Sie GSLB-Dienste für die lokalen und Remote-virtuellen Server hinzu, die die App-Server per Lastenausgleich verteilen. Navigieren Sie auf der Registerkarte Configuration zu Traffic Management > GSLB > GSLB Services. Fügen Sie die Dienste wie in den folgenden Beispielen gezeigt hinzu. Binden Sie den HTTP-Monitor, um den Serverstatus zu überprüfen.
Nachdem Sie den Dienst erstellt haben, gehen Sie zur Registerkarte „Erweiterte Einstellungen“ innerhalb des GSLB-Dienstes und fügen Sie die Registerkarte „Monitore“ hinzu, um den GSLB-Dienst mit einem HTTP-Monitor zu verbinden, um den Status des Dienstes anzuzeigen.
Sobald Sie den HTTP-Monitor gebunden haben, ist der Status der Dienste UP, wie hier gezeigt:
GSLB Virtual Server hinzufügen
Fügen Sie einen GSLB Virtual Server hinzu, über den die Alias-GSLB-Dienste der App-Server zugänglich sind. Wechseln Sie auf der Registerkarte Konfiguration zu Traffic Management > GSLB > GSLB Virtual Servers. Fügen Sie die virtuellen Server wie im folgenden Beispiel gezeigt hinzu. Binden Sie GSLB-Dienste und den Domänennamen daran.
Nachdem Sie den GSLB Virtual Server erstellt und die entsprechende Lastverteilungsmethode (in diesem Fall Round Robin) ausgewählt haben, binden Sie GSLB-Dienste und Domänen, um den Schritt abzuschließen.
Gehen Sie zur Registerkarte Erweiterte Einstellungen innerhalb des virtuellen Servers und zur Registerkarte Domänen hinzufügen, um eine Domäne zu binden.
Gehen Sie zu Erweitert > Dienste und klicken Sie auf den Pfeil, um einen GSLB-Dienst zu binden und alle drei Dienste (VNet A, VNet B, On-Premises) an den virtuellen Server zu binden.
Nachdem GSLB-Dienste und Domäne an den virtuellen Server gebunden wurden, sieht es wie hier gezeigt aus:
Überprüfen Sie, ob der GSLB Virtual Server aktiv und zu 100 % fehlerfrei ist. Wenn der Monitor anzeigt, dass der Server aktiv und fehlerfrei ist, bedeutet dies, dass die Sites synchronisiert sind und die Backend-Dienste verfügbar sind.
Um die Bereitstellung zu testen, greifen Sie jetzt auf die Domänen-URL rr.ptm.mysite.net entweder von einem Cloud-Client-Computer oder einem lokalen Client-Computer zu. Wenn Sie beispielsweise von einem Cloud-Windows-Client-Computer darauf zugreifen, sehen Sie, dass selbst der lokale App-Server in einer privaten DNS-Zone ohne die Notwendigkeit von Drittanbieter- oder benutzerdefinierten DNS-Lösungen zugänglich ist.
Fazit
Citrix ADC, die führende Lösung für die Anwendungsbereitstellung, ist am besten geeignet, um Lastverteilungs- und GSLB-Funktionen für Azure DNS Private Zone bereitzustellen. Durch das Abonnieren von Azure DNS Private Zone kann das Unternehmen auf die Leistungsfähigkeit und Intelligenz von Citrix ADC Global Server Load Balancing (GSLB) vertrauen, um den Intranet-Verkehr über Workloads zu verteilen, die sich in mehreren geografischen Regionen und über Rechenzentren hinweg befinden und über sichere VPN-Tunnel verbunden sind. Diese Zusammenarbeit garantiert Unternehmen einen nahtlosen Zugriff auf den Teil ihrer Workload, den sie in die Azure Public Cloud verschieben möchten.