Guía de implementación de Citrix ADC para la zona privada de Azure DNS
Introducción
Citrix ADC, anteriormente conocido como NetScaler, es un producto de primera clase en el espacio de los controladores de entrega de aplicaciones™ (ADC) con la capacidad probada de equilibrar la carga, administrar el tráfico global, la compresión y proteger las aplicaciones.
Azure DNS es un servicio en la infraestructura de Microsoft Azure para alojar dominios DNS y proporcionar resolución de nombres.
Azure DNS Private Zones es un servicio centrado en la resolución de nombres de dominio en una red privada. Con las zonas privadas, los clientes pueden usar sus propios nombres de dominio personalizados en lugar de los nombres proporcionados por Azure disponibles actualmente.
Descripción general de Azure DNS
El Sistema de Nombres de Dominio, o DNS, es responsable de traducir (o resolver) un nombre de servicio a su dirección IP. Azure DNS, un servicio de alojamiento para dominios DNS, proporciona resolución de nombres utilizando la infraestructura de Microsoft Azure. Además de admitir dominios DNS orientados a Internet, Azure DNS ahora también admite dominios DNS privados.
Azure DNS proporciona un servicio DNS fiable y seguro para administrar y resolver nombres de dominio en una red virtual sin necesidad de una solución DNS personalizada. Al usar zonas DNS privadas, puede usar sus propios nombres de dominio personalizados en lugar de los nombres proporcionados por Azure disponibles actualmente. El uso de nombres de dominio personalizados le ayuda a adaptar la arquitectura de su red virtual para satisfacer mejor las necesidades de su organización. Proporciona resolución de nombres para máquinas virtuales (VM) dentro de una red virtual y entre redes virtuales. Además, los clientes pueden configurar nombres de zona con una vista de horizonte dividido, lo que permite que una zona DNS privada y una pública compartan un nombre.
¿Por qué Citrix GSLB para la zona privada de Azure DNS?
En el mundo actual, las empresas quieren trasladar sus cargas de trabajo de las instalaciones locales a la nube de Azure. La transición a la nube les permite aprovechar el tiempo de comercialización, los gastos de capital/precio, la facilidad de implementación y la seguridad. El servicio de zona privada de Azure DNS ofrece una propuesta única para las empresas que están trasladando parte de sus cargas de trabajo a la nube de Azure. Estas empresas pueden crear su nombre DNS privado, que tenían durante años en implementaciones locales, cuando utilizan el servicio de zona privada. Con este modelo híbrido de servidores de aplicaciones de intranet en las instalaciones locales y en la nube de Azure conectados a través de túneles VPN seguros, el único desafío es cómo un usuario puede tener acceso sin problemas a estas aplicaciones de intranet. Citrix ADC resuelve este caso de uso único con su función de equilibrio de carga global, que enruta el tráfico de la aplicación a las cargas de trabajo/servidores distribuidos más óptimos, ya sea en las instalaciones locales o en la nube de Azure, y proporciona el estado de salud del servidor de aplicaciones.
Caso de uso
Los usuarios en la red local y en diferentes VNET de Azure deberían poder conectarse a los servidores más óptimos en una red interna para acceder al contenido requerido. Esto garantiza que la aplicación esté siempre disponible, el costo optimizado y la experiencia del usuario sea buena. La gestión de tráfico privado (PTM) de Azure es el requisito principal aquí. Azure PTM garantiza que las consultas DNS de los usuarios se resuelvan en una dirección IP privada adecuada del servidor de aplicaciones.
Solución del caso de uso
Citrix ADC incluye la función de equilibrio de carga de servidor global (GSLB), que puede ayudar a cumplir el requisito de PTM de Azure. GSLB actúa como un servidor DNS, que recibe las solicitudes DNS y las resuelve en una dirección IP adecuada para proporcionar:
- Conmutación por error basada en DNS sin interrupciones
- Migración por fases de las instalaciones a la nube
- Pruebas A/B de una nueva función
Entre los muchos métodos de equilibrio de carga admitidos, los siguientes pueden ser útiles en esta solución:
- Round Robin
-
Proximidad estática (selección de servidor basada en la ubicación): Se puede implementar de dos maneras
- GSLB basado en EDNS Client Subnet (ECS) en Citrix ADC
- Implementar un reenviador DNS para cada red virtual
Topología
- La implementación de GSLB de Citrix ADC para la zona DNS privada de Azure se muestra lógicamente en la Figura 1.
- Un usuario puede acceder a cualquier servidor de aplicaciones, ya sea en Azure o en las instalaciones, según el método de equilibrio de carga GSLB de Citrix ADC en una zona DNS privada de Azure.
- Todo el tráfico entre las instalaciones y la red virtual de Azure se realiza únicamente a través de un túnel VPN seguro.
- El tráfico de aplicaciones, el tráfico DNS y el tráfico de supervisión se muestran en la topología anterior.
- Según la redundancia requerida, Citrix ADC y el reenviador DNS se pueden implementar en las redes virtuales y los centros de datos. Para simplificar, aquí solo se muestra un Citrix ADC, pero recomendamos al menos un conjunto de Citrix ADC y reenviador DNS para la región de Azure.
- Todas las consultas DNS de los usuarios van primero al reenviador DNS que tiene reglas definidas para reenviar las consultas al servidor DNS apropiado.
Configuración de Citrix ADC para Zona DNS Privada de Azure
Productos y versiones probados
| Producto | Versión |
|---|---|
| Azure | Suscripción a la nube |
| Citrix ADC VPX | BYOL (Traiga su propia licencia) |
Nota: La implementación se ha probado y sigue siendo la misma con Citrix ADC versión 12.0 y posteriores.
Requisitos previos y notas de configuración
Los siguientes son los requisitos previos generales y la configuración probada para esta guía; compruébelos antes de configurar Citrix ADC:
- Cuenta del portal de Microsoft Azure con una suscripción válida
- Asegúrese de la conectividad (túnel VPN seguro) entre el entorno local y la nube de Azure. Para configurar un túnel VPN seguro en Azure, consulte Paso a paso: Configuración de una puerta de enlace VPN de sitio a sitio entre Azure y el entorno local
Descripción de la solución
Supongamos que el cliente desea alojar una aplicación en la zona DNS privada de Azure (rr.ptm.mysite.net) que se ejecuta en HTTPS y se implementa en Azure y en las instalaciones con acceso a la intranet basado en el método de equilibrio de carga GSLB round robin. Para lograr esta implementación habilitando GSLB para la zona DNS privada de Azure con Citrix ADC, se requieren dos partes: la configuración de Azure, el entorno local y el dispositivo Citrix ADC.
Parte 1: Configurar Azure, configuración local
Como se muestra en la topología, configure la red virtual de Azure (VNet A, VNet B en este caso) y la configuración local. Paso 1: Cree una zona DNS privada de Azure con el nombre de dominio (mysite.net) Paso 2: Cree dos redes virtuales (VNet A, VNet B) en un modelo Hub-Spoke en una región de Azure. Paso 3: Implemente App Server, DNS Forwarder, cliente Windows 10 Pro, Citrix ADC en VNet A Paso 4: Implemente App Server e implemente un DNS Forwarder si hay clientes en VNet B Paso 5: Implemente App Server, DNS Forwarder y cliente Windows 10 Pro en el entorno local
Zona DNS privada de Azure
Inicie sesión en Azure Portal y seleccione o cree un panel. Ahora haga clic en crear un recurso y buscar zona DNS para crear una (mysite.net en este caso) como se muestra en la siguiente imagen.
Redes virtuales de Azure (VNet A, VNet B) en modelo Hub-Spoke
Seleccione el mismo panel y haga clic en crear un recurso y buscar redes virtuales para crear dos redes virtuales, VNet A y VNet B, en la misma región y emparejarlas para formar un modelo Hub-Spoke como se muestra en la siguiente imagen. Consulte Implementar una topología de red de concentrador y radio en Azure para obtener información sobre cómo configurar una topología de concentrador y radio.
Emparejamiento de VNet A a VNet B
Para emparejar VNet A y VNet B, haga clic en emparejamientos en el menú de configuración de VNet A y empareje VNet B, habilite Permitir tráfico reenviado y Permitir tránsito de puerta de enlace como se muestra en la siguiente imagen.
Después de un emparejamiento exitoso, verá lo que se muestra en la siguiente imagen:
Emparejamiento de VNet B a VNet A
Para emparejar VNet B y VNet A, haga clic en peerings en el menú de configuración de VNet B y empareje VNet A, habilite «Allow forwarded traffic» y «Use remote gateways» como se muestra en la siguiente imagen.
Después de un emparejamiento exitoso, verá lo que se muestra en la siguiente imagen:
Implementar servidor de aplicaciones, reenviador DNS, cliente Windows 10 Pro, Citrix ADC en VNet A
Hablaremos brevemente sobre el servidor de aplicaciones, el reenviador DNS, el cliente Windows 10 Pro y Citrix ADC en VNet A. Seleccione el mismo panel, haga clic en «crear un recurso», busque las instancias respectivas y asigne una IP de la subred de VNet A.
Servidor de aplicaciones
El servidor de aplicaciones no es más que el servidor web (servidor HTTP) donde se implementa un servidor Ubuntu 16.04 como instancia en Azure o en una VM local y se ejecuta un comando CLI: sudo apt install apache2 para convertirlo en un servidor web.
Cliente Windows 10 Pro
Inicie la instancia de Windows 10 Pro como máquina cliente en VNet A y también en las instalaciones.
Citrix ADC
Citrix ADC complementa la zona privada de Azure DNS con comprobaciones de estado y análisis de Citrix MAS. Inicie un Citrix ADC desde Azure Marketplace según sus requisitos; aquí hemos utilizado Citrix ADC (BYOL) para esta implementación. Consulte la URL siguiente para obtener pasos detallados sobre cómo implementar Citrix ADC en Microsoft Azure. Después de la implementación, utilice la IP de Citrix ADC para configurar Citrix ADC GSLB. Consulte Implementar una instancia de NetScaler VPX en Microsoft Azure
Reenviador DNS
Se utiliza para reenviar las solicitudes de cliente de dominios alojados vinculados a Citrix ADC GSLB (IP ADNS). Inicie un servidor Ubuntu 16.04 como instancia de Linux (servidor Ubuntu 16.04) y consulte la URL siguiente sobre cómo configurarlo como reenviador DNS.
Nota: Para el método de equilibrio de carga GSLB Round Robin, un reenviador DNS para la región de Azure es suficiente, pero para la proximidad estática necesitamos un reenviador DNS por red virtual.
Después de implementar el reenviador, cambie la configuración del servidor DNS de la red virtual A de predeterminada a personalizada con la IP del reenviador DNS de la VNet A como se muestra en la siguiente imagen, y luego modifique el archivo named.conf.options en el reenviador DNS de la VNet A para agregar reglas de reenvío para el dominio (mysite.net) y el subdominio (ptm.mysite.net) a la IP ADNS de Citrix ADC GSLB. Ahora, reinicie el reenviador DNS para que se reflejen los cambios realizados en el archivo named.conf.options.
Configuración del reenviador DNS de la VNet A
zone "mysite.net" {
type forward;
forwarders { 168.63.129.16; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
}; > **Nota:** Para la dirección IP de la zona del dominio ("mysite.net"), utilice la IP DNS de su región de Azure. Para la dirección IP de la zona del subdominio ("ptm.mysite.net"), utilice todas las direcciones IP ADNS de sus instancias GSLB.
Implementar el servidor de aplicaciones y un reenviador DNS si hay clientes en la VNet B
Ahora, para la Red Virtual B, seleccione el mismo panel, haga clic en crear un recurso, luego busque las instancias respectivas y asigne una IP de la subred de la VNet B. Inicie el servidor de aplicaciones y el reenviador DNS si hay un equilibrio de carga GSLB de proximidad estática similar al de la VNet A.
Edite la configuración del reenviador DNS de la VNet B en named.conf.options como se muestra:
VNet B DNS Forwarder Settings:
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
Implementar el servidor de aplicaciones, el reenviador DNS y el cliente Windows 10 Pro en las instalaciones
Ahora, para las instalaciones locales, inicie las máquinas virtuales en hardware físico y configure el servidor de aplicaciones, el reenviador DNS y el cliente Windows 10 Pro de forma similar a la VNet A.
Edite la configuración del reenviador DNS local en named.conf.options como se muestra en el siguiente ejemplo.
Configuración del reenviador DNS local
zone "mysite.net" {
type forward;
forwarders { 10.8.0.6; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
Aquí, para mysite.net, hemos proporcionado la IP del reenviador DNS de la VNet A en lugar de la IP del servidor de zona DNS privada de Azure porque es una IP especial no accesible desde las instalaciones. Por lo tanto, este cambio es necesario en la configuración del reenviador DNS local.
Parte 2: Configurar el Citrix ADC
Como se muestra en la topología, implemente el Citrix ADC en la Red Virtual de Azure (VNet A en este caso) y acceda a él a través de la GUI de Citrix ADC.
Configuración de Citrix ADC GSLB
Paso 1: Crear servicio ADNS Paso 2: Crear sitios – locales y remotos Paso 3: Crear servicios para los servidores virtuales locales Paso 4: Crear servidores virtuales para los servicios GSLB
Agregar servicio ADNS
Inicie sesión en la GUI de Citrix ADC. En la pestaña Configuration, vaya a Traffic Management>Load Balancing > Services. Agregue un servicio. Se recomienda configurar el servicio ADNS tanto en TCP como en UDP, como se muestra aquí:
Agregar sitios GSLB
Agregue sitios locales y remotos entre los que se configurará GSLB. En la pestaña Configuration, vaya a Traffic Management > GSLB > GSLB Sites. Agregue un sitio como se muestra aquí y repita el mismo procedimiento para otros sitios.
Agregar servicios GSLB
Agregue servicios GSLB para los servidores virtuales locales y remotos que equilibran la carga de los servidores de aplicaciones. En la pestaña Configuration, vaya a Traffic Management>GSLB > GSLB Services. Agregue los servicios como se muestra en los siguientes ejemplos. Vincule el monitor HTTP para verificar el estado del servidor.
Después de crear el servicio, vaya a la pestaña de configuración avanzada dentro del servicio GSLB y agregue la pestaña Monitores para vincular el servicio GSLB con un monitor HTTP para activar el estado del servicio
Una vez que se vincula con el monitor HTTP, el estado de los servicios es ACTIVO, como se muestra aquí:
Añadir servidor virtual GSLB
Añada el servidor virtual GSLB a través del cual se puede acceder a los servicios GSLB alias de los servidores de aplicaciones. En la ficha Configuration (Configuración), vaya a Traffic Management>GSLB > GSLB Virtual Servers (Administración de tráfico > GSLB > Servidores virtuales GSLB). Agregue los servidores virtuales como se muestra en el siguiente ejemplo. Vincule los servicios GSLB y el nombre de dominio a él.
Después de crear el servidor virtual GSLB y seleccionar el método de equilibrio de carga adecuado (Round Robin en este caso), vincule los servicios GSLB y los dominios para completar el paso.
Vaya a la ficha advanced settings (configuración avanzada) dentro del servidor virtual y a la ficha add Domains (añadir dominios) para vincular un dominio.
Vaya a Advanced > Services (Avanzado > Servicios) y haga clic en la flecha para vincular un servicio GSLB y vincular los tres servicios (VNet A, VNet B, On-premises) al servidor virtual.
Después de vincular los servicios GSLB y el dominio al servidor virtual, aparece como se muestra aquí:
Compruebe si el servidor virtual GSLB está activo y al 100% de su estado. Cuando el monitor muestra que el servidor está activo y en buen estado, significa que los sitios están sincronizados y los servicios de back-end están disponibles.
Para probar la implementación, acceda a la URL del dominio rr.ptm.mysite.net desde una máquina cliente en la nube o desde una máquina cliente local. Por ejemplo, si accede desde una máquina cliente de Windows en la nube, verá que incluso se accede al servidor de aplicaciones local en una zona DNS privada sin necesidad de soluciones DNS de terceros o personalizadas.
Conclusión
Citrix ADC, la solución líder de entrega de aplicaciones, es la más adecuada para proporcionar capacidades de equilibrio de carga y GSLB para la zona privada de Azure DNS. Al suscribirse a la zona privada de Azure DNS, la empresa puede confiar en la potencia e inteligencia de Global Server Load Balancing (GSLB) de Citrix ADC para distribuir el tráfico de la intranet entre cargas de trabajo ubicadas en varias geografías y entre centros de datos, conectados a través de túneles VPN seguros. Esta colaboración garantiza a las empresas un acceso fluido a la parte de su carga de trabajo que desean mover a la nube pública de Azure.