Guía de implementación de Citrix ADC VPX en AWS - Autoscale™

Colaboradores

Autor: Blake Schindler

Información general

Citrix ADC es una solución de entrega de aplicaciones y equilibrio de carga que proporciona una experiencia de usuario de alta calidad para aplicaciones web, tradicionales y nativas de la nube, independientemente de dónde estén alojadas. Está disponible en una amplia variedad de factores de forma y opciones de implementación sin limitar a los usuarios a una única configuración o nube. Las licencias de capacidad agrupada permiten el movimiento de capacidad entre implementaciones en la nube.

Como líder indiscutible en la entrega de servicios y aplicaciones, Citrix ADC se implementa en miles de redes en todo el mundo para optimizar, proteger y controlar la entrega de todos los servicios empresariales y en la nube. Implementado directamente delante de los servidores web y de bases de datos, Citrix ADC combina equilibrio de carga de alta velocidad y conmutación de contenido, compresión HTTP, almacenamiento en caché de contenido, aceleración SSL, visibilidad del flujo de aplicaciones y un potente firewall de aplicaciones en una plataforma integrada y fácil de usar. El cumplimiento de los SLA se simplifica enormemente con la supervisión de extremo a extremo que transforma los datos de red en inteligencia empresarial procesable. Citrix ADC permite definir y administrar políticas utilizando un motor de políticas declarativo simple sin necesidad de conocimientos de programación.

Citrix VPX

El producto Citrix ADC VPX es un dispositivo virtual que se puede alojar en una amplia variedad de plataformas de virtualización y en la nube:

• Citrix Hypervisor™

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Esta guía de implementación se centra en Citrix ADC VPX en Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) es una plataforma de computación en la nube completa y en evolución proporcionada por Amazon que incluye una combinación de ofertas de infraestructura como servicio (IaaS), plataforma como servicio (PaaS) y software empaquetado como servicio (SaaS). Los servicios de AWS pueden ofrecer herramientas como potencia de cómputo, almacenamiento de bases de datos y servicios de entrega de contenido.

AWS ofrece los siguientes servicios esenciales

• Servicios de cómputo de AWS

• Servicios de migración

• Almacenamiento

• Servicios de bases de datos

• Herramientas de administración

• Servicios de seguridad

• Análisis

• Redes

• Mensajería

• Herramientas para desarrolladores

• Servicios móviles

Terminología de AWS

A continuación se presenta una breve descripción de los términos clave utilizados en este documento con los que los usuarios deben estar familiarizados:

• Amazon Machine Image (AMI) - Una imagen de máquina que proporciona la información necesaria para iniciar una instancia, que es un servidor virtual en la nube.

• Auto Scaling - Un servicio web para iniciar o terminar instancias de Amazon EC2 automáticamente basado en políticas, programaciones y comprobaciones de estado definidas por el usuario.

• Grupo de Auto Scaling de AWS - Un grupo de auto scaling de AWS es una colección de instancias EC2 que comparten características similares y se tratan como una agrupación lógica para fines de escalado y gestión de instancias.

• Elastic Block Store - Proporciona volúmenes de almacenamiento en bloque persistentes para usar con instancias de Amazon EC2 en la nube de AWS.

• Elastic Compute Cloud (EC2) - Un servicio web que proporciona capacidad de cómputo segura y redimensionable en la nube. Está diseñado para facilitar la computación en la nube a escala web a los desarrolladores.

• Elastic Load Balancing (ELB) - Distribuye el tráfico de aplicaciones entrante entre varias instancias EC2, en varias zonas de disponibilidad. La distribución del tráfico aumenta la tolerancia a fallos de las aplicaciones de los usuarios.

• Elastic Network Interface (ENI) - Una interfaz de red virtual que los usuarios pueden adjuntar a una instancia en una Virtual Private Cloud (VPC).

• Dirección IP elástica (EIP) - Una dirección IPv4 estática y pública que los usuarios han asignado en Amazon EC2 o Amazon VPC y luego adjuntado a una instancia. Las direcciones IP elásticas están asociadas a las cuentas de usuario, no a una instancia específica. Son elásticas porque los usuarios pueden asignarlas, adjuntarlas, desadjuntarlas y liberarlas fácilmente a medida que cambian sus necesidades.

• Perfil de instancia de IAM - Una identidad proporcionada a las instancias de Citrix ADC aprovisionadas en un clúster en AWS. El perfil permite a las instancias acceder a los servicios de AWS cuando comienza a equilibrar la carga de las solicitudes del cliente.

• Identity and Access Management (IAM) - Una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS. Los usuarios pueden usar un rol de IAM para permitir que las aplicaciones que se ejecutan en una instancia EC2 accedan de forma segura a sus recursos de AWS. Se requiere un rol de IAM para implementar instancias VPX en una configuración de alta disponibilidad.

• Tipo de instancia - Amazon EC2 ofrece una amplia selección de tipos de instancia optimizados para adaptarse a diferentes casos de uso. Los tipos de instancia comprenden diversas combinaciones de CPU, memoria, almacenamiento y capacidad de red y brindan a los usuarios la flexibilidad de elegir la combinación adecuada de recursos para sus aplicaciones.

• Agente de escucha - Un agente de escucha es un proceso que comprueba las solicitudes de conexión, utilizando el protocolo y el puerto que configure. Las reglas que defina para un agente de escucha determinan cómo el equilibrador de carga enruta las solicitudes a los destinos en uno o más grupos de destino.

• NLB - Equilibrador de carga de red. NLB es un equilibrador de carga L4 disponible en el entorno de AWS.

• Route 53: Route 53 es el servicio web de sistema de nombres de dominio (DNS) en la nube de Amazon, altamente disponible y escalable.

• Grupos de seguridad: un conjunto con nombre de conexiones de red entrantes permitidas para una instancia.

• Subred: un segmento del rango de direcciones IP de una VPC al que se pueden adjuntar instancias EC2. Los usuarios pueden crear subredes para agrupar instancias según las necesidades operativas y de seguridad.

• Virtual Private Cloud (VPC): un servicio web para aprovisionar una sección lógicamente aislada de la nube de AWS donde los usuarios pueden lanzar recursos de AWS en una red virtual que ellos definen.

A continuación, se presenta una breve descripción de otros términos utilizados en este documento con los que le recomendamos que se familiarice:

• Grupos de Autoscale: un grupo de Autoscale es un grupo de instancias de Citrix ADC que equilibran la carga de las aplicaciones como una única entidad y activan el autoescalado cuando los parámetros de umbral superan los límites. Las instancias de Citrix ADC se escalan horizontalmente o se reducen dinámicamente en función de la configuración de los grupos de autoescalado.

Nota:

Un grupo de Citrix autoscale™ se denomina grupo de autoescalado en todo este documento, mientras que el grupo de autoescalado de AWS se denomina explícitamente grupo de autoescalado de AWS.

• Clústeres de Citrix ADC: un clúster de Citrix ADC es un grupo de instancias de Citrix ADC VPX y cada instancia se denomina nodo. El tráfico del cliente se distribuye entre los nodos para proporcionar alta disponibilidad, alto rendimiento y escalabilidad.

• CloudFormation: un servicio para escribir o cambiar plantillas que crean y eliminan recursos de AWS relacionados juntos como una unidad.

• Período de enfriamiento: después de un escalado horizontal, el período de enfriamiento es el tiempo durante el cual se debe detener la evaluación de las estadísticas. El período de enfriamiento garantiza el crecimiento orgánico de un grupo de autoescalado al permitir que el tráfico actual se estabilice y se promedie en el conjunto actual de instancias antes de que se tome la siguiente decisión de escalado. El valor predeterminado del período de enfriamiento es de 10 minutos y es configurable.

Nota:

El valor predeterminado se determina en función del tiempo necesario para que el sistema se estabilice después de un escalado horizontal (aproximadamente 4 minutos) más la configuración de Citrix ADC y el tiempo de anuncio de DNS.

• Tiempo de espera de vaciado de conexiones: durante el escalado horizontal, una vez que se selecciona una instancia para desaprovisionamiento, Citrix ADM elimina la instancia del procesamiento de nuevas conexiones al grupo de autoescalado y espera hasta que expire el período de tiempo de espera de vaciado de conexiones especificado antes de desaprovisionar. Este tiempo de espera permite que las conexiones existentes a esta instancia se vacíen antes de que se desaprovisione. Si las conexiones se vacían antes de que expire el tiempo de espera de vaciado de conexiones, Citrix ADM espera a que expire el período de tiempo de espera de vaciado de conexiones antes de iniciar una nueva evaluación.

Nota:

Si las conexiones no se agotan incluso después de que expire el tiempo de espera de agotamiento de la conexión, Citrix ADM elimina las instancias, lo que podría afectar a la aplicación. El valor predeterminado es de 5 minutos y es configurable.

• Par de claves: un conjunto de credenciales de seguridad con las que los usuarios demuestran su identidad electrónicamente. Un par de claves consta de una clave privada y una clave pública.

• Tabla de rutas: un conjunto de reglas de enrutamiento que controla el tráfico que sale de cualquier subred asociada a la tabla de rutas. Los usuarios pueden asociar varias subredes a una única tabla de rutas, pero una subred solo puede asociarse a una tabla de rutas a la vez.

• Servicio de almacenamiento simple (S3): almacenamiento para Internet. Está diseñado para facilitar la computación a escala web a los desarrolladores.

• Etiquetas: a cada grupo de escalado automático se le asigna una etiqueta que es un par clave-valor. Puede aplicar etiquetas a los recursos que le permiten organizar e identificar recursos fácilmente. Las etiquetas se aplican tanto a AWS como a Citrix ADM. Ejemplo: Clave= nombre, Valor = servidor web. Utilice un conjunto coherente de etiquetas para rastrear fácilmente los grupos de escalado automático que pueden pertenecer a varios grupos, como desarrollo, producción, pruebas.

• Parámetros de umbral: parámetros que se supervisan para activar el escalado horizontal o vertical. Los parámetros son el uso de CPU, el uso de memoria y el rendimiento. Puede seleccionar uno o más parámetros para la supervisión.

• Tiempo de vida (TTL): especifica el intervalo de tiempo durante el cual se puede almacenar en caché el registro de recursos DNS antes de que se deba consultar de nuevo la fuente de información. El valor TTL predeterminado es de 30 segundos y es configurable.

• Tiempo de observación: el tiempo durante el cual el umbral del parámetro de escala debe permanecer superado para que se produzca un escalado. Si el umbral se supera en todas las muestras recopiladas en este tiempo especificado, se produce un escalado. Si los parámetros de umbral permanecen en un valor superior al valor de umbral máximo durante esta duración, se activa un escalado horizontal. Si los parámetros de umbral operan a un valor inferior al valor de umbral mínimo, se activa un escalado vertical. El valor predeterminado es de 3 minutos y es configurable.

Casos de uso

En comparación con las soluciones alternativas que requieren que cada servicio se implemente como un dispositivo virtual independiente, Citrix ADC en AWS combina el equilibrio de carga L4, la gestión de tráfico L7, la descarga de servidores, la aceleración de aplicaciones, la seguridad de aplicaciones y otras capacidades esenciales de entrega de aplicaciones en una única instancia VPX, disponible cómodamente a través de AWS Marketplace. Además, todo se rige por un único marco de políticas y se gestiona con el mismo y potente conjunto de herramientas utilizadas para administrar las implementaciones de Citrix ADC locales. El resultado neto es que Citrix ADC en AWS permite varios casos de uso atractivos que no solo satisfacen las necesidades inmediatas de las empresas actuales, sino también la evolución continua de las infraestructuras informáticas heredadas a los centros de datos en la nube empresariales.

Expansión del centro de datos con escalado automático

Hay organizaciones que buscan expandir su presencia de Citrix en la nube pública y están pensando en utilizar servicios nativos de la nube pública. Un caso de uso común es que las empresas migren a la nube a su propio ritmo para que puedan centrarse en cargas de trabajo o aplicaciones con mayor ROI. Y al utilizar nuestra solución, que a menudo incluye el uso de dispositivos de capacidad agrupada para mantener las cargas de trabajo tanto en las instalaciones como en la nube al desacoplar el ancho de banda y las instancias, pueden avanzar y moverse a la nube que elijan a su propio ritmo.

Ahora la nube pública proporciona elasticidad, lo que también es un caso de uso significativo para los clientes que desean alojar aplicaciones bajo demanda sin preocuparse por el aprovisionamiento excesivo o insuficiente de recursos.

El alojamiento eficiente de aplicaciones en la nube implica una gestión de recursos fácil y rentable en función de la demanda de la aplicación. Por ejemplo, considere que una empresa tiene un portal web de comercio electrónico ejecutándose en AWS. Este portal a veces ofrece enormes descuentos durante los cuales hay un pico en el tráfico de la aplicación. Cuando el tráfico de la aplicación aumenta durante estas ofertas, las aplicaciones deben escalarse horizontalmente de forma dinámica y los recursos de red también podrían necesitar ser aumentados.

La función de escalado automático de Citrix ADM admite el aprovisionamiento y el escalado automático de instancias de Citrix ADC en AWS. La función de escalado automático de Citrix ADM supervisa constantemente los parámetros de umbral, como el uso de memoria, el uso de CPU y el rendimiento. Los usuarios pueden seleccionar uno de estos parámetros o más de uno para la supervisión. Estos valores de parámetro se comparan luego con los valores configurados por el usuario. Si los valores de los parámetros superan los límites, se activa el escalado horizontal o vertical según sea necesario.

La arquitectura de la función de autoescalado de Citrix ADM está diseñada de tal manera que los usuarios pueden configurar el número mínimo y máximo de instancias para cada uno de los grupos de autoescalado. Preestablecer estos números garantiza que cada aplicación esté siempre en funcionamiento y se ajuste a la demanda del cliente.

Ventajas del autoescalado

Alta disponibilidad de las aplicaciones. El autoescalado garantiza que su aplicación siempre tenga el número correcto de instancias de Citrix ADC VPX para manejar las demandas de tráfico. Esto es para asegurar que su aplicación esté en funcionamiento todo el tiempo, independientemente de las demandas de tráfico.

Decisiones de escalado inteligentes y configuración sin intervención. El autoescalado supervisa continuamente su aplicación y añade o elimina instancias de Citrix ADC dinámicamente según la demanda. Cuando la demanda aumenta, las instancias se añaden automáticamente. Cuando la demanda disminuye, las instancias se eliminan automáticamente. La adición y eliminación de instancias de Citrix ADC ocurre automáticamente, lo que la convierte en una configuración manual sin intervención.

Gestión automática de DNS. La función de autoescalado de Citrix ADM ofrece gestión automática de DNS. Siempre que se añaden nuevas instancias de Citrix ADC, los nombres de dominio se actualizan automáticamente.

Terminación elegante de la conexión. Durante una reducción de escala, las instancias de Citrix ADC se eliminan de forma elegante, evitando la pérdida de conexiones de cliente.

Mejor gestión de costes. El autoescalado aumenta o disminuye dinámicamente las instancias de Citrix ADC según sea necesario. Ejecutar solo las instancias necesarias permite a los usuarios optimizar los costes implicados. Los usuarios ahorran dinero al iniciar instancias solo cuando son necesarias y terminarlas cuando no lo son. Así, los usuarios pagan solo por los recursos que utilizan.

Observabilidad. La observabilidad es esencial para el personal de desarrollo de aplicaciones (dev-ops) o de TI para supervisar el estado de la aplicación. El panel de autoescalado de Citrix ADM permite a los usuarios visualizar los valores de los parámetros de umbral, las marcas de tiempo de activación del autoescalado, los eventos y las instancias que participan en el autoescalado.

Tipos de implementación

Implementación con tres NIC

• Implementaciones típicas

  • Implementaciones típicas

  • Impulsado por StyleBook

  • Con ADM

  • Con GSLB (Route53 con registro de dominio)

  • Licencias - Agrupadas/Marketplace

• Casos de uso

  • Las implementaciones de tres NIC se utilizan para lograr un aislamiento real del tráfico de datos y de administración.

  • Las implementaciones de tres NIC también mejoran la escalabilidad y el rendimiento del ADC.

  • Las implementaciones de tres NIC se utilizan en aplicaciones de red donde el rendimiento suele ser de 1 Gbps o superior y se recomienda una implementación de tres NIC.

Implementación de CFT

Los clientes implementarían utilizando plantillas de CloudFormation si están personalizando sus implementaciones o si están automatizando sus implementaciones.

Pasos de implementación

Implementación de tres NIC para la expansión del centro de datos con Autoscale

La instancia de Citrix ADC VPX está disponible como una Amazon Machine Image (AMI) en el marketplace de AWS, y se puede iniciar como una instancia de Elastic Compute Cloud (EC2) dentro de una VPC de AWS. El tipo de instancia EC2 mínimo permitido como AMI compatible en Citrix VPX es m4.large. La instancia AMI de Citrix ADC VPX requiere un mínimo de 2 CPU virtuales y 2 GB de memoria. Una instancia EC2 iniciada dentro de una VPC de AWS también puede proporcionar las múltiples interfaces, múltiples direcciones IP por interfaz y direcciones IP públicas y privadas necesarias para la configuración de VPX. Cada instancia VPX requiere al menos tres subredes IP:

• Una subred de administración

• Una subred orientada al cliente (VIP)

• Una subred orientada al back-end (SNIP)

Citrix recomienda tres interfaces de red para una instalación estándar de instancia VPX en AWS.

Actualmente, AWS pone la funcionalidad de múltiples IP a disposición solo de las instancias que se ejecutan dentro de una VPC de AWS. Una instancia VPX en una VPC se puede utilizar para equilibrar la carga de los servidores que se ejecutan en instancias EC2. Una Amazon VPC permite a los usuarios crear y controlar un entorno de red virtual, incluyendo su propio rango de direcciones IP, subredes, tablas de enrutamiento y puertas de enlace de red.

Nota:

De forma predeterminada, los usuarios pueden crear hasta 5 instancias de VPC por región de AWS para cada cuenta de AWS. Los usuarios pueden solicitar límites de VPC más altos enviando el formulario de solicitud de Amazon: Solicitud de Amazon VPC.

Requisitos de licencias

Las instancias de Citrix ADC que se crean para el grupo de escalado automático de Citrix utilizan licencias de Citrix ADC Advanced o Premium. La función de clúster de Citrix ADC se incluye en las licencias de ADC Advanced o Premium.

Los usuarios pueden elegir uno de los siguientes métodos para licenciar los Citrix ADC aprovisionados por Citrix ADM:

• Uso de licencias de ADC presentes en Citrix ADM: Configure la capacidad agrupada, las licencias VPX o las licencias de CPU virtuales al crear el grupo de escalado automático. Así, cuando se aprovisiona una nueva instancia para un grupo de escalado automático, el tipo de licencia ya configurado se aplica automáticamente a la instancia aprovisionada.

  • Capacidad agrupada: Asigna ancho de banda a cada instancia aprovisionada en el grupo de escalado automático. Asegúrese de que los usuarios tengan el ancho de banda necesario disponible en Citrix ADM para aprovisionar nuevas instancias. Para obtener más información, consulte: Configurar capacidad agrupada. Cada instancia de ADC en el grupo de escalado automático extrae una licencia de instancia y el ancho de banda especificado del grupo.

  • Licencias VPX: Aplica las licencias VPX a las instancias recién aprovisionadas. Asegúrese de que los usuarios tengan el número necesario de licencias VPX disponibles en Citrix ADM para aprovisionar nuevas instancias. Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de Citrix ADM. Para obtener más información, consulte: Licencias de entrada y salida de Citrix ADC VPX.

  • Licencias de CPU virtuales: Aplica licencias de CPU virtuales a las instancias recién aprovisionadas. Esta licencia especifica el número de CPU a las que tiene derecho una instancia de Citrix ADC VPX. Asegúrese de que los usuarios tengan el número necesario de CPU virtuales en Citrix ADM para aprovisionar nuevas instancias. Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de CPU virtual de Citrix ADM. Para obtener más información, consulte: Licencias de CPU virtual de Citrix ADC.

Cuando las instancias aprovisionadas se destruyen o desaprovisionan, las licencias aplicadas se devuelven automáticamente a Citrix ADM.

Para supervisar las licencias consumidas, vaya a la página Redes > Licencias.

• Uso de licencias de suscripción de AWS: Configure las licencias de Citrix ADC disponibles en el mercado de AWS al crear el grupo de escalado automático. Así, cuando se aprovisiona una nueva instancia para el grupo de escalado automático, la licencia se obtiene de AWS Marketplace.

Implementación de instancias de Citrix ADC VPX en AWS

Cuando los clientes trasladan sus aplicaciones a la nube, los componentes que forman parte de su aplicación aumentan, se distribuyen más y necesitan gestionarse dinámicamente.

Con las instancias de Citrix ADC VPX en AWS, los usuarios pueden extender sin problemas su pila de red L4-L7 a AWS. Con Citrix ADC VPX, AWS se convierte en una extensión natural de su infraestructura de TI local. Los clientes pueden usar Citrix ADC VPX en AWS para combinar la elasticidad y flexibilidad de la nube, con las mismas características de optimización, seguridad y control que soportan los sitios web y aplicaciones más exigentes del mundo.

Con Citrix Application Delivery Management (ADM) supervisando sus instancias de Citrix ADC, los usuarios obtienen visibilidad sobre el estado, el rendimiento y la seguridad de sus aplicaciones. Pueden automatizar la configuración, la implementación y la gestión de su infraestructura de entrega de aplicaciones en entornos híbridos multinube.

Diagrama de arquitectura

La siguiente imagen proporciona una descripción general de cómo Citrix ADM se conecta con AWS para aprovisionar instancias de Citrix ADC VPX en AWS.

Tareas de configuración

Realice las siguientes tareas en AWS antes de aprovisionar instancias de Citrix ADC VPX en Citrix ADM:

• Crear subredes

• Crear grupos de seguridad

• Crear un rol de IAM y definir una política

Realice las siguientes tareas en Citrix ADM para aprovisionar las instancias en AWS:

• Crear sitio

• Aprovisionar instancia de Citrix ADC VPX en AWS

Para crear subredes

Cree tres subredes en una VPC. Las tres subredes necesarias para aprovisionar instancias de Citrix ADC VPX en una VPC son: administración, cliente y servidor. Especifique un bloque CIDR IPv4 del rango definido en la VPC para cada una de las subredes. Especifique la zona de disponibilidad en la que residirá la subred. Cree las tres subredes en la misma zona de disponibilidad.

La siguiente imagen ilustra las tres subredes creadas en la región del cliente y su conectividad con el sistema cliente.

Para obtener más información sobre VPC y subredes, consulte: VPC y subredes.

Para crear grupos de seguridad

Cree un grupo de seguridad para controlar el tráfico entrante y saliente en la instancia de Citrix ADC VPX. Un grupo de seguridad actúa como un firewall virtual para una instancia de usuario. Cree grupos de seguridad a nivel de instancia, y no a nivel de subred. Es posible asignar cada instancia en una subred de la VPC del usuario a un conjunto diferente de grupos de seguridad. Agregue reglas para cada grupo de seguridad para controlar el tráfico entrante que pasa a través de la subred del cliente a las instancias. Los usuarios también pueden agregar un conjunto separado de reglas que controlan el tráfico saliente que pasa a través de la subred del servidor a los servidores de aplicaciones. Aunque los usuarios pueden usar el grupo de seguridad predeterminado para sus instancias, es posible que deseen crear sus propios grupos. Cree tres grupos de seguridad, uno para cada subred. Cree reglas tanto para el tráfico entrante como para el saliente que los usuarios deseen controlar. Los usuarios pueden agregar tantas reglas como deseen.

Para obtener más información sobre los grupos de seguridad, consulte: Grupos de seguridad para su VPC.

Para crear un rol de IAM y definir una política

Cree un rol de IAM para que los clientes puedan establecer una relación de confianza entre sus usuarios y la cuenta de AWS de confianza de Citrix, y cree una política con permisos de Citrix.

• En AWS, haga clic en Servicios. En el panel de navegación izquierdo, seleccione IAM > Roles > Crear rol.

• Los usuarios están conectando su cuenta de AWS con la cuenta de AWS en Citrix ADM. Por lo tanto, seleccione Otra cuenta de AWS para permitir que Citrix ADM realice acciones en la cuenta de AWS.

• Introduzca el ID de cuenta de AWS de Citrix ADM de 12 dígitos. El ID de Citrix es 835822366011. Los usuarios también pueden encontrar el ID de Citrix en Citrix ADM cuando crean el perfil de acceso a la nube.

• Habilite Requerir ID externo para conectarse a una cuenta de terceros. Los usuarios pueden aumentar la seguridad de sus roles al requerir un identificador externo opcional. Escriba un ID que pueda ser una combinación de cualquier carácter.

• Haga clic en Permisos.

• En la página Adjuntar políticas de permisos, haga clic en Crear política.

La lista de permisos de Citrix se proporciona en el siguiente cuadro:

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

• Copie y pegue la lista de permisos en la pestaña JSON y haga clic en Revisar política.

• En la página Revisar política, escriba un nombre para la política, introduzca una descripción y haga clic en Crear política.

Para crear un sitio en Citrix ADM

Cree un sitio en Citrix ADM y añada los detalles de la VPC asociada al rol de AWS.

1. En Citrix ADM, vaya a Redes > Sitios.

2. Haga clic en Agregar.

3. Seleccione el tipo de servicio como AWS y habilite Usar VPC existente como sitio.

4. Seleccione el perfil de acceso a la nube.

5. Si el perfil de acceso a la nube no existe en el campo, haga clic en Agregar para crear un perfil.

   1. En la página Crear perfil de acceso a la nube, escriba el nombre del perfil con el que los usuarios desean acceder a AWS.

   2. Escriba el ARN asociado al rol que los usuarios han creado en AWS.

   3. Escriba el ID externo que los usuarios proporcionaron al crear un rol de Identity and Access Management (IAM) en AWS. Consulte el paso 4 en la tarea «Para crear un rol de IAM y definir una política». Asegúrese de que el nombre del rol de IAM que especificó en AWS comience por «Citrix-ADM-» y que aparezca correctamente en el ARN del rol.

Los detalles de la VPC, como la región, el ID de VPC, el nombre y el bloque CIDR, asociados al rol de IAM del usuario en AWS se importan en Citrix ADM.

1. Escriba un nombre para el sitio.

2. Haga clic en Crear.

Para aprovisionar Citrix ADC VPX en AWS

Utilice el sitio que los usuarios crearon anteriormente para aprovisionar las instancias de Citrix ADC VPX en AWS. Proporcione los detalles del agente de servicio de Citrix ADM para aprovisionar las instancias que están vinculadas a ese agente.

1. En Citrix ADM, vaya a Redes > Instancias > Citrix ADC.

2. En la ficha VPX, haga clic en Aprovisionar.

Esta opción muestra la página Aprovisionar Citrix ADC VPX en la nube.

1. Seleccione Amazon Web Services (AWS) y haga clic en Siguiente.

2. En Parámetros básicos, seleccione el Tipo de instancia de la lista.

   • Independiente: Esta opción aprovisiona una instancia de Citrix ADC VPX independiente en AWS.

   • HA: Esta opción aprovisiona las instancias de Citrix ADC VPX de alta disponibilidad en AWS.

   Para aprovisionar las instancias de Citrix ADC VPX en la misma zona, seleccione la opción Zona única en Tipo de zona.

   Para aprovisionar las instancias de Citrix ADC VPX en varias zonas, seleccione la opción Multizona en Tipo de zona. En la ficha Parámetros de la nube, asegúrese de especificar los detalles de red para cada zona creada en AWS.

   

   • Especifique el nombre de la instancia de Citrix ADC VPX.

   • En Sitio, seleccione el sitio que creó anteriormente.

   • En Agente, seleccione el agente que se crea para administrar su instancia de Citrix ADC VPX.

   • En Perfil de acceso a la nube, seleccione el perfil de acceso a la nube creado durante la creación del sitio.

   • En Perfil de dispositivo, seleccione el perfil para proporcionar autenticación.

   Citrix ADM utiliza el perfil de dispositivo cuando necesita iniciar sesión en la instancia de Citrix ADC VPX.

   • Haga clic en Siguiente.

3. En Parámetros de la nube,

   • Seleccione el rol de IAM de Citrix creado en AWS. Un rol de IAM es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS.

   • En el campo Producto, seleccione la versión del producto Citrix ADC que los usuarios desean aprovisionar.

   • Seleccione el tipo de instancia EC2 de la lista Tipo de instancia.

   • Seleccione la versión de Citrix ADC que los usuarios desean aprovisionar. Seleccione las versiones principal y secundaria de Citrix ADC.

   • En Grupos de seguridad, seleccione los grupos de seguridad de administración, cliente y servidor que los usuarios crearon en su red virtual.

   • En IPs en subred de servidor por nodo, seleccione el número de direcciones IP en la subred del servidor por nodo para el grupo de seguridad.

   • En Subredes, seleccione las subredes de administración, cliente y servidor para cada zona que se crean en AWS. Los usuarios también pueden seleccionar la región de la lista Zona de disponibilidad.

4. Haga clic en Finalizar.

La instancia de Citrix ADC VPX ya está aprovisionada en AWS.

Nota: Actualmente, Citrix ADM no admite el desaprovisionamiento de instancias de Citrix ADC de AWS.

Para ver el Citrix ADC VPX aprovisionado en AWS

1. Desde la página de inicio de AWS, vaya a Servicios y haga clic en EC2.

2. En la página Recursos, haga clic en Running Instances.

3. Los usuarios pueden ver el Citrix ADC VPX aprovisionado en AWS.

El nombre de la instancia de Citrix ADC VPX es el mismo nombre que los usuarios proporcionaron al aprovisionar la instancia en Citrix ADM.

Para ver el Citrix ADC VPX aprovisionado en Citrix ADM

1. En Citrix ADM, vaya a Redes > Instancias > Citrix ADC.

2. Seleccione la ficha Citrix ADC VPX.

3. La instancia de Citrix ADC VPX aprovisionada en AWS aparece aquí.

Escalado automático de Citrix ADC en AWS mediante Citrix ADM

Arquitectura de escalado automático

El siguiente diagrama ilustra la arquitectura de la función de escalado automático con DNS como distribuidor de tráfico.

El siguiente diagrama ilustra la arquitectura de la función de autoescalado con NLB como distribuidor de tráfico.

Citrix Application Delivery Management (ADM)

Citrix Application Delivery Management es una solución basada en web para gestionar todas las implementaciones de Citrix ADC que se implementan en las instalaciones o en la nube. Puede utilizar esta solución en la nube para gestionar, supervisar y solucionar problemas de toda la infraestructura global de entrega de aplicaciones desde una consola única, unificada y centralizada basada en la nube. Citrix Application Delivery Management (ADM) proporciona todas las capacidades necesarias para configurar, implementar y gestionar rápidamente la entrega de aplicaciones en las implementaciones de Citrix ADC y con análisis completos de la salud, el rendimiento y la seguridad de las aplicaciones.

Los grupos de autoescalado se crean en Citrix ADM y las instancias de Citrix ADC VPX se aprovisionan desde Citrix ADM. La aplicación se implementa a continuación mediante StyleBooks en Citrix ADM.

Distribuidores de tráfico (NLB o DNS/Route53)

NLB o DNS/Route53 se utiliza para distribuir el tráfico entre todos los nodos de un grupo de autoescalado. Consulte los modos de distribución de tráfico de autoescalado para obtener más información.

Citrix ADM se comunica con el distribuidor de tráfico para actualizar el dominio de la aplicación y las direcciones IP de los servidores virtuales de equilibrio de carga que actúan como front-end de la aplicación.

Grupo de autoescalado de Citrix ADM

Un grupo de autoescalado es un grupo de instancias de Citrix ADC que equilibra la carga de las aplicaciones como una única entidad y activa el autoescalado en función de los valores de los parámetros de umbral configurados.

Clústeres de Citrix ADC

Un clúster de Citrix ADC es un grupo de instancias de Citrix ADC VPX y cada instancia se denomina nodo. El tráfico del cliente se distribuye entre los nodos para proporcionar alta disponibilidad, alto rendimiento y escalabilidad.

Nota:

Las decisiones de autoescalado se toman a nivel de clúster y no a nivel de nodo.

• Los clústeres independientes se alojan en diferentes zonas de disponibilidad y, por lo tanto, la compatibilidad con algunas de las funciones de estado compartido es limitada.

• Las sesiones de persistencia, como la persistencia de IP de origen y otras, excepto la persistencia basada en cookies, no se pueden compartir entre clústeres. Sin embargo, todas las características sin estado, como los métodos de equilibrio de carga, funcionan como se espera en las múltiples zonas de disponibilidad.

Grupos de escalado automático de AWS

Un grupo de escalado automático de AWS es una colección de instancias EC2 que comparten características similares y se tratan como una agrupación lógica para fines de escalado y administración de instancias.

Zonas de disponibilidad de AWS

Una zona de disponibilidad de AWS es una ubicación aislada dentro de una región. Cada región se compone de varias zonas de disponibilidad. Cada zona de disponibilidad pertenece a una única región.

Modos de distribución de tráfico

A medida que los usuarios trasladan la implementación de sus aplicaciones a la nube, el escalado automático se convierte en parte de la infraestructura. A medida que las aplicaciones escalan horizontalmente (scale-out) o verticalmente (scale-in) mediante el escalado automático, estos cambios deben propagarse al cliente. Esta propagación se logra mediante el escalado automático basado en DNS o en NLB.

Casos de uso de distribución de tráfico

Escalado automático basado en NLB

En el modo de implementación basado en NLB, el nivel de distribución a los nodos del clúster es el balanceador de carga de red de AWS.

En el escalado automático basado en NLB, solo se ofrece una dirección IP estática por zona de disponibilidad. Esta es la dirección IP pública que se añade a route53 y las direcciones IP de back-end pueden ser privadas. Con esta dirección IP pública, cualquier nueva instancia de Citrix ADC aprovisionada durante el escalado automático funciona utilizando direcciones IP privadas y no requiere direcciones IP públicas adicionales.

Utilice el escalado automático basado en NLB para gestionar el tráfico TCP. Utilice el escalado automático basado en DNS para gestionar el tráfico UDP.

Escalado automático basado en DNS

En el escalado automático basado en DNS, DNS actúa como la capa de distribución para los nodos del clúster de Citrix ADC. Los cambios de escalado se propagan al cliente actualizando el nombre de dominio correspondiente a la aplicación. Actualmente, el proveedor de DNS es AWS Route53.

Nota:

En el escalado automático basado en DNS, cada instancia de Citrix ADC requiere una dirección IP pública. Importante:

El escalado automático es compatible con todas las funciones de Citrix ADC, excepto las siguientes funciones que requieren una configuración spotted en los nodos del clúster:

• Servidores virtuales GSLB

• Citrix Gateway y sus funciones

• Funciones de Telco

Para obtener más información sobre la configuración spotted, consulte Configuraciones Striped, Partially Striped y Spotted.

Cómo funciona el escalado automático

El siguiente diagrama de flujo ilustra el flujo de trabajo del escalado automático.

Citrix ADM recopila estadísticas (uso de CPU, uso de memoria, rendimiento) de los clústeres aprovisionados con escalado automático en un intervalo de un minuto.

Las estadísticas se evalúan con respecto a los umbrales de configuración. Dependiendo de si las estadísticas superan el umbral máximo o si operan por debajo del umbral mínimo, se activa el escalado horizontal o el escalado vertical, respectivamente.

• Si se activa un escalado horizontal:

  • Se aprovisionan nuevos nodos.

  • Los nodos se adjuntan al clúster y la configuración se sincroniza desde el clúster al nuevo nodo.

  • Los nodos se registran en Citrix ADM.

  • Las nuevas direcciones IP de los nodos se actualizan en DNS/NLB.

Cuando se implementa la aplicación, se crea un IPset en los clústeres de cada zona de disponibilidad y el dominio y las direcciones IP de la instancia se registran en DNS/NLB.

• Si se activa una reducción de escala:

  • Se eliminan las direcciones IP de los nodos identificados para su eliminación.

  • Los nodos se desvinculan del clúster, se desaprovisionan y luego se anulan del registro de Citrix ADM.

Cuando se elimina la aplicación, el dominio y las direcciones IP de la instancia se anulan del registro de DNS/NLB y se elimina el IPset.

Ejemplo

Considere que los usuarios han creado un grupo de escalado automático llamado asg_arn en una única zona de disponibilidad con la siguiente configuración.

• Parámetro de umbral – Uso de memoria

• Límite mínimo: 40

• Límite máximo: 85

• Tiempo de observación – 3 minutos

• Período de enfriamiento – 10 minutos

• Tiempo de espera de vaciado de conexión – 10 minutos

• Tiempo de espera de TTL – 60 segundos

Una vez creado el grupo de autoescalado, se recopilan estadísticas del grupo de autoescalado. La política de autoescalado también evalúa si hay algún evento de autoescalado en curso y, si hay un autoescalado en curso, espera a que ese evento se complete antes de recopilar las estadísticas.

Secuencia de eventos

• T1 y T2: El uso de memoria supera el límite máximo del umbral.

• T3 - El uso de memoria está por debajo de los límites máximos del umbral.

• T6, T5, T4: El uso de memoria ha superado el límite máximo del umbral consecutivamente durante tres duraciones de tiempo de observación.

  • Se activa un escalado horizontal.

  • Se produce el aprovisionamiento de nodos.

  • El período de enfriamiento está en vigor.

• T7 – T16: Se omite la evaluación de autoescalado para esta zona de disponibilidad desde T7 hasta T16, ya que el período de enfriamiento está en vigor.

• T18, T19, T20 - El uso de memoria ha superado el límite mínimo del umbral consecutivamente durante tres duraciones de tiempo de observación.

  • Se activa un escalado de reducción.

  • El tiempo de espera de vaciado de conexiones está en vigor.

  • Las direcciones IP se liberan del DNS/NLB.

• T21 – T30: La evaluación de Autoscale se omite para esta zona de disponibilidad desde T21 hasta T30, ya que el tiempo de espera de vaciado de conexiones está en vigor.

• T31

  • Para el autoescalado basado en DNS, el TTL está en vigor.

  • Para el autoescalado basado en NLB, se produce el desaprovisionamiento de las instancias.

• T32

  • Para el autoescalado basado en NLB, comienza la evaluación de las estadísticas.

  • Para el autoescalado basado en DNS, se produce el desaprovisionamiento de las instancias.

• T33: Para el autoescalado basado en DNS, comienza la evaluación de las estadísticas.

Configuración de Autoscale

Para iniciar el autoescalado de instancias de Citrix ADC VPX en AWS, los usuarios deben completar los siguientes pasos:

• Complete todos los requisitos previos en AWS enumerados en la sección Requisitos previos de AWS de esta guía.

• Complete todos los requisitos previos enumerados en Citrix ADM en la sección Requisitos previos de Citrix ADM de esta guía.

• Crear grupos de escalado automático:

  • Inicializar la configuración de escalado automático.

  • Configurar los parámetros de escalado automático.

  • Retirar licencias.

  • Configurar los parámetros de la nube.

• Implementar la aplicación.

Las siguientes secciones ayudan a los usuarios a realizar todas las tareas necesarias en AWS antes de que creen grupos de escalado automático en Citrix ADM. Las tareas que los usuarios deben completar son las siguientes:

• Suscribirse a la instancia de Citrix ADC VPX requerida en AWS.

• Crear la VPC requerida o seleccionar una VPC existente.

• Definir las subredes y los grupos de seguridad correspondientes.

• Crear dos roles de IAM, uno para Citrix ADM y otro para la instancia de Citrix ADC VPX.

Sugerencia:

Los usuarios pueden usar plantillas de AWS CloudFormation para automatizar el paso de requisitos previos de AWS para el escalado automático de Citrix ADC visitando: citrix-adc-aws-cloudformation/templates.

Para obtener más información sobre cómo crear VPC, subredes y grupos de seguridad, consulte: Documentación de AWS.

Suscribirse a la licencia de Citrix ADC VPX en AWS

• Vaya a: AWS Marketplace.

• Inicie sesión con sus credenciales.

• Busque la edición Citrix ADC VPX Customer Licensed, Premium o Advanced.

• Suscríbase a las licencias Citrix ADC VPX Customer Licensed, Premium Edition o Citrix ADC VPX Advanced Edition.

Nota:

Si los usuarios eligen la edición Customer Licensed, el grupo de escalado automático extrae las licencias de Citrix ADM mientras aprovisiona las instancias de Citrix ADC.

Crear subredes

Cree tres subredes en la VPC del usuario: una para las conexiones de administración, otra para las de cliente y otra para las de servidor. Especifique un bloque CIDR IPv4 del rango definido en la VPC del usuario para cada una de las subredes. Especifique la zona de disponibilidad en la que los usuarios desean que resida la subred. Cree las tres subredes en cada una de las zonas de disponibilidad donde haya servidores.

• Administración. Subred existente en la Virtual Private Cloud (VPC) del usuario dedicada a la administración. Citrix ADC debe ponerse en contacto con los servicios de AWS y requiere acceso a Internet. Configure una puerta de enlace NAT y agregue una entrada de tabla de rutas para permitir el acceso a Internet desde esta subred.

• Cliente. Subred existente en la Virtual Private Cloud (VPC) del usuario dedicada al lado del cliente. Normalmente, Citrix ADC recibe el tráfico del cliente para la aplicación a través de una subred pública desde Internet. Asocie la subred del cliente con una tabla de rutas que tenga una ruta a una puerta de enlace de Internet. Esto permite que Citrix ADC reciba el tráfico de la aplicación desde Internet.

• Servidor. Una subred de servidor donde se aprovisionan los servidores de aplicaciones. Todos los servidores de aplicaciones de usuario están presentes en esta subred y reciben el tráfico de la aplicación desde Citrix ADC a través de esta subred.

Crear grupos de seguridad

• Administración. Grupo de seguridad existente en su cuenta dedicado a la administración de Citrix ADC VPX. Se deben permitir las reglas de entrada en los siguientes puertos TCP y UDP.

  • TCP: 80, 22, 443, 3008–3011, 4001

  • UDP: 67, 123, 161, 500, 3003, 4500, 7000

  Asegúrese de que el grupo de seguridad permita que el agente de Citrix ADM acceda al VPX.

• Cliente. Grupo de seguridad existente en la cuenta de usuario dedicada a la comunicación del lado del cliente de las instancias de Citrix ADC VPX. Normalmente, las reglas de entrada se permiten en los puertos TCP 80, 22 y 443.

• Servidor. Grupo de seguridad existente en la cuenta de usuario dedicada a la comunicación del lado del servidor de Citrix ADC VPX.

Crear roles de IAM

Además de crear un rol de IAM y definir una política, los usuarios también deben crear un perfil de instancia en AWS. Los roles de IAM permiten a Citrix ADM aprovisionar instancias de Citrix ADC, crear o eliminar entradas de Route53.

Si bien los roles definen “¿qué puedo hacer?”, no definen “¿quién soy?”. AWS EC2 utiliza un perfil de instancia como contenedor para un rol de IAM. Un perfil de instancia es un contenedor para un rol de IAM que los usuarios pueden usar para pasar información de rol a una instancia de EC2 cuando la instancia se inicia.

Cuando los usuarios crean un rol de IAM mediante la consola, la consola crea un perfil de instancia automáticamente y le asigna el mismo nombre que el rol al que corresponde. Los roles proporcionan un mecanismo para definir una colección de permisos. Un usuario de IAM representa a una persona y un perfil de instancia representa las instancias de EC2. Si un usuario tiene el rol “A” y una instancia tiene un perfil de instancia asociado a “A”, estos dos principales pueden acceder a los mismos recursos de la misma manera.

Nota:

Asegúrese de que los nombres de los roles comiencen con “Citrix-ADM-“ y el nombre del perfil de instancia comience con “Citrix-ADC-.”

Para crear un rol de IAM

Cree un rol de IAM para poder establecer una relación de confianza entre sus usuarios y la cuenta de AWS de confianza de Citrix y crear una política con permisos de Citrix.

• En AWS, haga clic en Servicios. En el panel de navegación izquierdo, seleccione IAM > Roles > Crear rol.

• Los usuarios están conectando la cuenta de AWS del usuario con la cuenta de AWS en Citrix ADM. Por lo tanto, seleccione Otra cuenta de AWS para permitir que Citrix ADM realice acciones en la cuenta de AWS del usuario.

• Introduzca el ID de cuenta de AWS de Citrix ADM de 12 dígitos. El ID de Citrix es 835822366011. Los usuarios también pueden encontrar el ID de Citrix en Citrix ADM cuando crean el perfil de acceso a la nube.

• Haga clic en Permisos.

• En la página Adjuntar políticas de permisos, haga clic en Crear política.

• Los usuarios pueden crear y editar una política en el editor visual o utilizando JSON.

La lista de permisos de Citrix para Citrix ADM se proporciona en el siguiente cuadro:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "ec2:DescribeInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:CreateKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:ReportInstanceStatus",
            "ec2:DescribeVolumeStatus",
            "ec2:StartInstances",
            "ec2:DescribeVolumes",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:CreateTags",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:DeleteNetworkInterface",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:AssignPrivateIpAddresses",
            "ec2:DescribeVolumeAttribute",
            "ec2:DescribeInstanceCreditSpecifications",
            "ec2:CreateNetworkInterface",
            "ec2:DescribeImageAttribute",
            "ec2:AssociateAddress",
            "ec2:DescribeSubnets",
            "ec2:DeleteKeyPair",
            "ec2:DisassociateAddress",
            "ec2:DescribeAddresses",
            "ec2:DeleteTags",
            "ec2:RunScheduledInstances",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:GetConsoleOutput",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:ModifyInstanceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:ReleaseAddress",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeIamInstanceProfileAssociations",
            "ec2:DescribeTags",
            "ec2:AllocateAddress",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:AttachNetworkInterface",
            "ec2:AssociateIamInstanceProfile",
            "ec2:DescribeAccountAttributes",
            "ec2:DescribeInternetGateways"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor0"
    },
    {
        "Action": [
            "iam:GetRole",
            "iam:PassRole",
            "iam:CreateServiceLinkedRole"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor1"
    },
    {
        "Action": [
            "route53:CreateHostedZone",
            "route53:CreateHealthCheck",
            "route53:GetHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:ChangeTagsForResource",
            "route53:DeleteHostedZone",
            "route53:DeleteHealthCheck",
            "route53:ListHostedZonesByName",
            "route53:GetHealthCheckCount"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor2"
    },
    {
        "Action": [
            "iam:ListInstanceProfiles",
            "iam:ListAttachedRolePolicies",
            "iam:SimulatePrincipalPolicy",
            "iam:SimulatePrincipalPolicy"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor3"
    },
    {
        "Action": [
            "ec2:ReleaseAddress",
            "elasticloadbalancing:DeleteLoadBalancer",
            "ec2:DescribeAddresses",
            "elasticloadbalancing:CreateListener",
            "elasticloadbalancing:CreateLoadBalancer",
            "elasticloadbalancing:RegisterTargets",
            "elasticloadbalancing:CreateTargetGroup",
            "elasticloadbalancing:DeregisterTargets",
            "ec2:DescribeSubnets",
            "elasticloadbalancing:DeleteTargetGroup",
            "elasticloadbalancing:ModifyTargetGroupAttributes",
            "ec2:AllocateAddress"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor4"
    }
  ]
}
<!--NeedCopy-->

• Copie y pegue la lista de permisos en la pestaña JSON y haga clic en Revisar política.

• En la página Revisar política, escriba un nombre para la política, introduzca una descripción y haga clic en Crear política.

Nota:

Asegúrese de que el nombre comience por “Citrix-ADM-.”

• En la página Crear rol, introduzca el nombre del rol.

Nota:

Asegúrese de que el nombre del rol comience por “Citrix-ADM-.”

• Haga clic en Crear rol.

Del mismo modo, cree un perfil para las instancias de Citrix ADC proporcionando un nombre diferente que comience por Citrix-ADC-. Adjunte una política con los permisos proporcionados por Citrix para que AWS acceda a las instancias de Citrix ADC.

Asegúrese de que los usuarios seleccionen Servicio de AWS > EC2 y, a continuación, hagan clic en Permisos para crear un perfil de instancia. Agregue la lista de permisos proporcionados por Citrix.

La lista de permisos de Citrix para las instancias de Citrix ADC se proporciona en el siguiente cuadro:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:SimulatePrincipalPolicy",
        "autoscaling:*",
        "sns:*",
        "sqs:*",
        "cloudwatch:*",
        "ec2:AssignPrivateIpAddresses",
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DetachNetworkInterface",
        "ec2:AttachNetworkInterface",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*"
    }
  ]
}
<!--NeedCopy-->

Registrar el dominio DNS

Los usuarios también deben asegurarse de haber registrado el dominio DNS para alojar sus aplicaciones.

Evalúe el número de IP elásticas (EIP) necesarias en la red del usuario.

El número de EIP necesarias varía según si los usuarios están implementando el autoescalado basado en DNS o el autoescalado basado en NLB. Para aumentar el número de EIP, cree un caso con AWS.

• Para el autoescalado basado en DNS, el número de EIP necesarias por zona de disponibilidad es igual al número de aplicaciones multiplicado por el número máximo de instancias VPX que los usuarios desean configurar en los grupos de autoescalado.

• Para el autoescalado basado en NLB, el número de EIP necesarias es igual al número de aplicaciones multiplicado por el número de zonas de disponibilidad en las que se están implementando las aplicaciones.

Evaluar los requisitos de límite de instancias

Al evaluar los límites de instancias, asegúrese de que los usuarios también consideren los requisitos de espacio para las instancias de Citrix ADC.

Crear grupos de autoescalado

Inicializar la configuración de autoescalado

• En Citrix ADM, vaya a Redes > Grupos de autoescalado.

• Haga clic en Agregar para crear grupos de autoescalado. Aparece la página Crear grupo de autoescalado.

• Introduzca los siguientes detalles.

  • Nombre. Escriba un nombre para el grupo de escalado automático.

  • Sitio. Seleccione el sitio que los usuarios han creado para aprovisionar las instancias de Citrix ADC VPX en AWS.

  • Agente. Seleccione el agente de Citrix ADM que administra las instancias aprovisionadas.

  • Perfil de acceso a la nube. Seleccione el perfil de acceso a la nube.

  Nota:

  Si el perfil de acceso a la nube no existe en el campo, haga clic en Agregar para crear un perfil.

  • Escriba el ARN asociado al rol que ha creado en AWS.

  • Escriba el ID externo que los usuarios proporcionaron al crear un rol de Identity and Access Management (IAM) en AWS. Dependiendo del perfil de acceso a la nube que seleccionen los usuarios, se rellenarán las zonas de disponibilidad.

  • Perfil de dispositivo. Seleccione el perfil de dispositivo de la lista. Citrix ADM utilizará el perfil de dispositivo siempre que deba iniciar sesión en la instancia.

  • Modo de distribución de tráfico. La opción Equilibrio de carga mediante NLB se selecciona como modo de distribución de tráfico predeterminado. Si las aplicaciones utilizan tráfico UDP, seleccione DNS mediante AWS route53.

Nota:

Una vez configurada la configuración de escalado automático, no se pueden agregar nuevas zonas de disponibilidad ni eliminar las existentes.

• Habilitar grupo de escalado automático. Habilite o deshabilite el estado de los grupos ASG. Esta opción está habilitada de forma predeterminada. Si esta opción está deshabilitada, el escalado automático no se activa.

• Zonas de disponibilidad. Seleccione las zonas en las que desea crear los grupos de escalado automático. Dependiendo del perfil de acceso a la nube que haya seleccionado, se rellenarán las zonas de disponibilidad específicas de ese perfil.

• Etiquetas. Escriba el par clave-valor para las etiquetas del grupo de escalado automático. Una etiqueta consta de un par clave-valor que distingue entre mayúsculas y minúsculas. Estas etiquetas le permiten organizar e identificar fácilmente los grupos de escalado automático. Las etiquetas se aplican tanto a AWS como a Citrix ADM.

• Haga clic en Siguiente.

Configuración de los parámetros de autoescalado

• En la ficha Parámetros de autoescalado, introduzca los siguientes detalles.

• Seleccione uno o más de los siguientes parámetros de umbral cuyos valores deben supervisarse para activar un aumento o una reducción de escala.

  • Habilitar umbral de uso de CPU: Supervise las métricas en función del uso de CPU.

  • Habilitar umbral de uso de memoria: Supervise las métricas en función del uso de memoria.

  • Habilitar umbral de rendimiento: Supervise las métricas en función del rendimiento.

Nota:

1. El límite de umbral mínimo predeterminado es 30 y el límite de umbral máximo es 70. Sin embargo, los usuarios pueden modificar los límites.
2. El límite de umbral mínimo debe ser igual o inferior a la mitad del límite de umbral máximo.
3. Se pueden seleccionar varios parámetros de umbral para la supervisión. En tales casos, se activa una reducción de escala si al menos uno de los parámetros de umbral está por encima del umbral máximo. Sin embargo, una reducción de escala solo se activa si todos los parámetros de umbral funcionan por debajo de sus umbrales normales.

• Instancias mínimas. Seleccione el número mínimo de instancias que deben aprovisionarse para este grupo de autoescalado.

• De forma predeterminada, el número mínimo de instancias es igual al número de zonas seleccionadas. Los usuarios pueden incrementar las instancias mínimas en múltiplos del número de zonas.

• Por ejemplo, si el número de zonas de disponibilidad es 4, las instancias mínimas son 4 por defecto. Los usuarios pueden aumentar las instancias mínimas en 8, 12, 16.

• Instancias máximas. Seleccione el número máximo de instancias que deben aprovisionarse para este grupo de escalado automático.

• El número máximo de instancias debe ser mayor o igual que el valor de instancias mínimas. El número máximo de instancias que se pueden configurar es igual al número de zonas de disponibilidad multiplicado por 32.

• Número máximo de instancias = número de zonas de disponibilidad * 32.

• Tiempo de espera de vaciado de conexión (minutos). Seleccione el período de tiempo de espera de vaciado de conexión. Durante la reducción de escala, una vez que se selecciona una instancia para desaprovisionamiento, Citrix ADM elimina la instancia del procesamiento de nuevas conexiones al grupo de escalado automático y espera hasta que expire el tiempo especificado antes de desaprovisionar. Esto permite que las conexiones existentes a esta instancia se vacíen antes de que se desaprovisione.

• Período de recuperación (minutos). Seleccione el período de recuperación. Durante el escalado horizontal, el período de recuperación es el tiempo durante el cual la evaluación de las estadísticas debe detenerse después de que se produzca un escalado horizontal. Esto garantiza un crecimiento orgánico de las instancias de un grupo de escalado automático al permitir que el tráfico actual se estabilice y se promedie en el conjunto actual de instancias antes de que se tome la siguiente decisión de escalado.

• Tiempo de vida de DNS (segundos). Seleccione la cantidad de tiempo (en segundos) que un paquete está configurado para existir dentro de una red antes de ser descartado por un enrutador. Este parámetro es aplicable solo cuando el modo de distribución de tráfico es DNS usando AWS route53.

• Tiempo de observación (minutos). Seleccione la duración del tiempo de observación. El tiempo durante el cual el umbral del parámetro de escala debe permanecer superado para que se produzca un escalado. Si el umbral se supera en todas las muestras recopiladas en este tiempo especificado, entonces se produce un escalado.

• Haga clic en Siguiente.

Configurar licencias para el aprovisionamiento de instancias de Citrix ADC

Seleccione uno de los siguientes modos para licenciar las instancias de Citrix ADC que forman parte de su grupo de escalado automático:

• Uso de Citrix ADM: Al aprovisionar instancias de Citrix ADC, el grupo de escalado automático obtiene las licencias de Citrix ADM.

• Uso de AWS Cloud: La opción Asignar desde la nube utiliza las licencias de productos Citrix disponibles en el mercado de AWS. Al aprovisionar instancias de Citrix ADC, el grupo de escalado automático utiliza las licencias del mercado.

  • Si los usuarios eligen usar licencias del mercado de AWS, especifique el producto o la licencia en la pestaña Parámetros de la nube.

  • Para más información, consulte: Requisitos de licencia.

Usar licencias de Citrix ADM

• En la pestaña Licencia, seleccione Asignar desde ADM.

• En Tipo de licencia, seleccione una de las siguientes opciones de la lista:

  • Licencias de ancho de banda: Los usuarios pueden seleccionar una de las siguientes opciones de la lista Tipos de licencia de ancho de banda:

  • Capacidad agrupada: Especifique la capacidad que se asignará a cada nueva instancia en el grupo de escalado automático.

  Del grupo común, cada instancia de ADC en el grupo de escalado automático extrae una licencia de instancia y solo el ancho de banda especificado.

  • Licencias VPX: Cuando se aprovisiona una instancia de Citrix ADC VPX, la instancia extrae la licencia de Citrix ADM.

  • Licencias de CPU virtuales: La instancia de Citrix ADC VPX aprovisionada extrae licencias en función del número de CPU activas que se ejecutan en el grupo de escalado automático.

Nota: Cuando las instancias aprovisionadas se eliminan o destruyen, las licencias aplicadas vuelven al grupo de licencias de Citrix ADM. Estas licencias se pueden reutilizar para aprovisionar nuevas instancias durante el siguiente escalado automático.

• En Edición de licencia, seleccione la edición de licencia. El grupo de escalado automático utiliza la edición especificada para aprovisionar instancias.

• Haga clic en Siguiente.

Configurar parámetros de la nube

• En la pestaña Parámetros de la nube, introduzca los siguientes detalles.

  • Rol de IAM: Seleccione el rol de IAM que los usuarios han creado en AWS. Un rol de IAM es una identidad de AWS con políticas de permisos que determinan lo que la identidad puede y no puede hacer en AWS.

  • Producto: Seleccione la versión del producto Citrix ADC que los usuarios desean aprovisionar.

  • Versión: Seleccione la versión de lanzamiento del producto Citrix ADC y el número de compilación. Las versiones de lanzamiento y los números de compilación se rellenan automáticamente en función del producto que los usuarios hayan seleccionado.

  • ID de AMI de AWS: Introduzca el ID de AMI específico de la región que los usuarios han seleccionado.

  • Tipo de instancia: Seleccione el tipo de instancia EC2.

Nota:

El tipo de instancia recomendado para el producto seleccionado se rellena automáticamente, de forma predeterminada.

• Grupos de seguridad: Los grupos de seguridad controlan el tráfico de entrada y salida en la instancia de Citrix ADC VPX. Los usuarios crean reglas tanto para el tráfico entrante como saliente que desean controlar. Seleccione los valores adecuados para las siguientes subredes.

• Grupo en la cuenta de usuario dedicado a la administración de instancias de Citrix ADC VPX. Se deben permitir las reglas de entrada en los siguientes puertos TCP y UDP.

TCP: 80, 22, 443, 3008–3011, 4001 UDP: 67, 123, 161, 500, 3003, 4500, 7000

Asegúrese de que el grupo de seguridad permite al agente de Citrix ADM acceder al VPX.

• Cliente. Grupo de seguridad existente en la cuenta de usuario dedicado a la comunicación del lado del cliente de las instancias de Citrix ADC VPX. Normalmente, se permiten las reglas de entrada en los puertos TCP 80, 22 y 443.

• Servidor. Grupo de seguridad existente en la cuenta de usuario dedicado a la comunicación del lado del servidor de Citrix ADC VPX.

• IP en la subred del servidor por nodo: Seleccione el número de direcciones IP en la subred del servidor por nodo para el grupo de seguridad.

• Zona: El número de zonas que se rellenan es igual al número de zonas de disponibilidad que los usuarios han seleccionado. Para cada zona, seleccione los valores adecuados para las siguientes subredes.

• Administración. Subred existente en la Virtual Private Cloud (VPC) del usuario dedicada a la administración. Citrix ADC necesita ponerse en contacto con los servicios de AWS y requiere acceso a Internet. Configure una puerta de enlace NAT y añada una entrada en la tabla de rutas para permitir el acceso a Internet desde esta subred.

• Cliente. Subred existente en la Virtual Private Cloud (VPC) del usuario dedicada al lado del cliente. Normalmente, Citrix ADC recibe el tráfico del cliente para la aplicación a través de una subred pública desde Internet. Asocie la subred del cliente con una tabla de rutas que tenga una ruta a una puerta de enlace de Internet. Esto permitirá a Citrix ADC recibir tráfico de aplicaciones desde Internet.

• Servidor. Los servidores de aplicaciones se aprovisionan en una subred de servidor. Todos los servidores de aplicaciones de usuario estarán presentes en esta subred y recibirán tráfico de aplicaciones de Citrix ADC a través de esta subred.

• Haga clic en Finalizar.

Aparece una ventana de progreso con el estado de creación del grupo de escalado automático. La creación y el aprovisionamiento de los grupos de escalado automático pueden tardar varios minutos.

Configurar la aplicación mediante Stylebooks

• En Citrix ADM, vaya a Redes > Grupos de escalado automático.

• Seleccione el grupo de escalado automático que crearon los usuarios y haga clic en Configurar.

• La página Elegir StyleBook muestra todos los StyleBooks disponibles para que el cliente los utilice para implementar configuraciones en los clústeres de escalado automático.

  • Seleccione el StyleBook apropiado. Por ejemplo, los usuarios pueden usar el StyleBook de equilibrio de carga HTTP/SSL. Los usuarios también pueden importar nuevos StyleBooks.

  • Haga clic en el StyleBook para crear la configuración requerida. El StyleBook se abre como una página de interfaz de usuario en la que los usuarios pueden introducir los valores de todos los parámetros definidos en este StyleBook.

  • Introduzca los valores de todos los parámetros.

  • Si los usuarios están creando servidores back-end en AWS, seleccione Configuración del servidor back-end. A continuación, seleccione AWS EC2 Autoscaling > Cloud e introduzca los valores para todos los parámetros.

  

  • Puede que se requieran algunas configuraciones opcionales dependiendo del StyleBook que los usuarios hayan elegido. Por ejemplo, los usuarios podrían tener que crear monitores, proporcionar configuraciones de certificados SSL, etc.

  • Haga clic en Crear para implementar la configuración en el clúster de Citrix ADC.

  • El FQDN de la aplicación o del servidor virtual no se puede modificar una vez configurado e implementado.

El FQDN de la aplicación se resuelve a la dirección IP mediante DNS. Dado que este registro DNS podría estar almacenado en caché en varios servidores de nombres, cambiar el FQDN podría provocar que el tráfico se enrutara a un agujero negro (blackholed).

• El uso compartido de sesiones SSL funciona como se espera dentro de una zona de disponibilidad, pero entre zonas de disponibilidad, requiere reautenticación.

Las sesiones SSL se sincronizan dentro del clúster. Como el grupo de autoescalado que abarca varias zonas de disponibilidad tiene clústeres separados en cada zona, las sesiones SSL no pueden sincronizarse entre zonas.

• Los límites compartidos, como el cliente máximo y el desbordamiento (spill-over), se establecen estáticamente en función del número de zonas de disponibilidad. Este límite debe establecerse después de calcularlo manualmente. Límite = “Límite requerido” dividido por “número de zonas”.

Los límites compartidos se distribuyen automáticamente entre los nodos dentro de un clúster. Como el grupo de autoescalado que abarca varias zonas de disponibilidad tiene clústeres separados en cada zona, estos límites deben calcularse manualmente.

Actualizar clústeres de Citrix ADC

Los usuarios deben actualizar manualmente los nodos del clúster. Los usuarios primero actualizan la imagen de los nodos existentes y luego actualizan la AMI desde Citrix ADM.

Importante:

Asegúrese de lo siguiente durante una actualización:

1. No se activa ninguna reducción (scale-in) o ampliación (scale-out).
2. No se deben realizar cambios de configuración en el clúster del grupo de escalado automático.
3. Los usuarios deben mantener una copia de seguridad del archivo ns.conf de la versión anterior. En caso de que una actualización falle, los usuarios pueden volver a la versión anterior.

Realice los siguientes pasos para actualizar los nodos del clúster de Citrix ADC.

• Deshabilite el grupo de escalado automático en el portal MAS ASG.

• Seleccione uno de los clústeres dentro de los grupos de escalado automático para la actualización.

• Siga los pasos documentados en el tema: Actualización o degradación del clúster de Citrix ADC.

Nota:

1. Actualice un nodo del clúster.
2. Supervise el tráfico de la aplicación en busca de fallos.
3. Si los usuarios encuentran algún problema o fallo, degrade el nodo que se actualizó anteriormente. De lo contrario, continúe con la actualización de todos los nodos.

• Continúe actualizando los nodos en todos los clústeres del grupo de escalado automático.

Nota:

Si la actualización de algún clúster falla, degrade todos los clústeres del grupo de escalado automático a la versión anterior. Siga los pasos documentados en el tema Actualización o degradación del clúster de Citrix ADC.

• Después de una actualización exitosa de todos los clústeres, actualice la AMI en el portal MAS ASG. La AMI debe ser de la misma versión que la imagen utilizada para la actualización.

• Edite el grupo de escalado automático e introduzca la AMI que corresponda a la versión actualizada.

• Habilitar el grupo de autoescalado en el portal de ADM.

Modificar la configuración de grupos de autoescalado

• Los usuarios pueden modificar una configuración de grupo de autoescalado o eliminar un grupo de autoescalado. Los usuarios solo pueden modificar los siguientes parámetros del grupo de autoescalado.

  • Modo de distribución de tráfico.

  • Límites máximos y mínimos de los parámetros de umbral.

  • Valores mínimos y máximos de instancia.

  • Valor del período de vaciado de conexiones.

  • Valor del período de recuperación.

  • Valor de tiempo de vida – Si el modo de distribución de tráfico es DNS.

  • Valor de duración de la supervisión.

• Los usuarios también pueden eliminar los grupos de autoescalado después de su creación.

Cuando los usuarios eliminan un grupo de autoescalado, todos los dominios y direcciones IP se anulan del registro de DNS/NLB y los nodos del clúster se desaprovisionan.

Implementación de plantillas de CloudFormation

Citrix ADC VPX está disponible como Amazon Machine Images (AMI) en el AWS Marketplace.

Antes de usar una plantilla de CloudFormation para aprovisionar un Citrix ADC VPX en AWS, el usuario de AWS debe aceptar los términos y suscribirse al producto de AWS Marketplace. Cada edición de Citrix ADC VPX en el Marketplace requiere este paso.

Cada plantilla del repositorio de CloudFormation tiene documentación colocalizada que describe el uso y la arquitectura de la plantilla. Las plantillas intentan codificar la arquitectura de implementación recomendada de Citrix ADC VPX, o introducir al usuario a Citrix ADC, o demostrar una característica, edición u opción particular. Los usuarios pueden reutilizar, modificar o mejorar las plantillas para adaptarlas a sus necesidades de producción y pruebas. La mayoría de las plantillas requieren permisos completos de EC2, además de permisos para crear roles de IAM.

Las plantillas de CloudFormation contienen ID de AMI que son específicos de una versión particular de Citrix ADC VPX (por ejemplo, la versión 12.0–56.20) y edición (por ejemplo, Citrix ADC VPX Platinum Edition - 10 Mbps) O Citrix ADC BYOL. Para usar una versión/edición diferente de Citrix ADC VPX con una plantilla de CloudFormation, el usuario debe editar la plantilla y reemplazar los ID de AMI.

Los últimos ID de AMI de AWS de Citrix ADC están disponibles en las plantillas de Citrix ADC CloudFormation en GitHub citrix-adc-aws-cloudformation/templates.

Implementación CFT de tres NIC

Esta plantilla implementa una VPC, con 3 subredes (Administración, cliente, servidor) para 2 zonas de disponibilidad. Implementa una puerta de enlace de Internet, con una ruta predeterminada en las subredes públicas. Esta plantilla también crea un par de alta disponibilidad (HA) entre zonas de disponibilidad con dos instancias de Citrix ADC: 3 ENI asociadas a 3 subredes de VPC (Administración, Cliente, Servidor) en la principal y 3 ENI asociadas a 3 subredes de VPC (Administración, Cliente, Servidor) en la secundaria. Todos los nombres de recursos creados por esta CFT tienen como prefijo un tagName del nombre de la pila.

La salida de la plantilla de CloudFormation incluye:

• PrimaryCitrixADCManagementURL - URL HTTPS a la GUI de administración del VPX principal (usa un certificado autofirmado).

• PrimaryCitrixADCManagementURL2 - URL HTTP a la GUI de administración del VPX principal.

• PrimaryCitrixADCInstanceID - ID de instancia de la instancia VPX principal recién creada.

• PrimaryCitrixADCPublicVIP - Dirección IP elástica de la instancia VPX principal asociada con el VIP.

• PrimaryCitrixADCPrivateNSIP - IP privada (IP NS) utilizada para la administración del VPX principal.

• PrimaryCitrixADCPublicNSIP - IP pública (IP NS) utilizada para la administración del VPX principal.

• PrimaryCitrixADCPrivateVIP - Dirección IP privada de la instancia VPX principal asociada con el VIP.

• PrimaryCitrixADCSNIP - Dirección IP privada de la instancia VPX principal asociada con el SNIP.

• SecondaryCitrixADCManagementURL - URL HTTPS a la GUI de administración del VPX secundario (usa un certificado autofirmado).

• SecondaryCitrixADCManagementURL2 - URL HTTP a la GUI de administración del VPX secundario.

• SecondaryCitrixADCInstanceID - ID de instancia de la instancia VPX secundaria recién creada.

• SecondaryCitrixADCPrivateNSIP - IP privada (IP NS) utilizada para la administración del VPX secundario.

• SecondaryCitrixADCPublicNSIP - IP pública (IP NS) utilizada para la administración del VPX secundario.

• SecondaryCitrixADCPrivateVIP - Dirección IP privada de la instancia VPX secundaria asociada con el VIP.

• SecondaryCitrixADCSNIP - Dirección IP privada de la instancia VPX secundaria asociada con el SNIP.

• SecurityGroup - ID del grupo de seguridad al que pertenece el VPX.

Al proporcionar entrada al CFT, el * contra cualquier parámetro en el CFT implica que es un campo obligatorio. Por ejemplo, VPC ID* es un campo obligatorio.

Se deben cumplir los siguientes requisitos previos. La plantilla de CloudFormation requiere permisos suficientes para crear roles de IAM, más allá de los privilegios completos normales de EC2. El usuario de esta plantilla también debe aceptar los términos y suscribirse al producto de AWS Marketplace antes de usar esta plantilla de CloudFormation.

También debe estar presente lo siguiente:

• Par de claves

• 3 EIP no asignadas

  • Administración principal

  • VIP de cliente

  • Administración secundaria

Para obtener más información sobre el aprovisionamiento de instancias de Citrix ADC VPX en AWS, los usuarios pueden visitar Aprovisionamiento de instancias de Citrix ADC VPX en AWS.

Para obtener más información sobre el autoescalado de Citrix ADC en AWS mediante Citrix ADM, visite: Autoescalado de Citrix ADC en AWS mediante Citrix ADM.

Para obtener información sobre cómo agregar el servicio de autoescalado de AWS a una instancia de Citrix ADC VPX, visite: Agregar servicio de autoescalado de back-end de AWS.

Requisitos previos de AWS

Antes de intentar crear una instancia VPX en AWS, los usuarios deben asegurarse de tener lo siguiente:

• Una cuenta de AWS para iniciar una AMI de Citrix ADC VPX en una nube privada virtual (VPC) de Amazon Web Services (AWS). Los usuarios pueden crear una cuenta de AWS de forma gratuita en Amazon Web Services: AWS.

• Se ha agregado el agente de servicio de Citrix ADM en AWS.

• Se ha creado una VPC y se han seleccionado las zonas de disponibilidad.

• Para obtener más información sobre cómo crear una cuenta y otras tareas, consulte: Documentación de AWS.

• Para obtener más información sobre cómo instalar el agente de servicio de Citrix ADM en AWS, consulte: Instalar el agente de Citrix ADM en AWS.

• Una cuenta de usuario de AWS Identity and Access Management (IAM) para controlar de forma segura el acceso de los usuarios a los servicios y recursos de AWS. Para obtener más información sobre cómo crear una cuenta de usuario de IAM, consulte el tema: Creación de usuarios de IAM (consola).

• Se ha creado un adminuser de IAM con todos los permisos administrativos.

Un rol de IAM es obligatorio tanto para implementaciones independientes como de alta disponibilidad. El rol de IAM debe tener los siguientes privilegios:

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• autoescalado:*

• sns:todos

• sqs:todos

• iam:SimulatePrincipalPolicy

• iam:GetRole

Si se utiliza la plantilla de Citrix CloudFormation, la función de IAM se crea automáticamente. La plantilla no permite seleccionar una función de IAM ya creada.

Nota:

Cuando los usuarios inician sesión en la instancia VPX a través de la GUI, aparece un mensaje para configurar los privilegios necesarios para el rol de IAM. Ignore el mensaje si los privilegios ya se han configurado.

Se requiere la CLI de AWS para usar todas las funcionalidades proporcionadas por la Consola de administración de AWS desde el programa de terminal. Para obtener más información, consulte: ¿Qué es la interfaz de línea de comandos de AWS?. Los usuarios también necesitan la CLI de AWS para cambiar el tipo de interfaz de red a SR-IOV.

Requisitos previos de ADM

Los usuarios deben asegurarse de haber completado todos los requisitos previos en Citrix ADM para usar la función de escalado automático.

Crear un sitio

Cree un sitio en Citrix ADM y añada los detalles de la VPC asociada con el rol de AWS del usuario.

• En Citrix ADM, vaya a Redes > Sitios.

• Haga clic en Agregar.

• Seleccione el tipo de servicio como AWS y habilite Usar VPC existente como sitio.

• Seleccione el perfil de acceso a la nube.

• Si el perfil de acceso a la nube no existe en el campo, haga clic en Agregar para crear un perfil.

  • En la página Crear perfil de acceso a la nube, escriba el nombre del perfil con el que los usuarios quieren acceder a AWS.

  • Escriba el ARN asociado con el rol que los usuarios han creado en AWS.

  • Copie el ID externo autogenerado para actualizar el rol de IAM.

• Haga clic en Crear.

• De nuevo, haga clic en Crear para crear el sitio.

• Actualice el rol de IAM en AWS utilizando el ID externo autogenerado:

*  Log in to the user AWS account and navigate to the role that users want to update.

*  In the Trust relationships tab, click Edit trust relationship and append the following condition within the Statement block:

  "Condition": {
  "StringEquals": {
    "sts:ExternalId": \<External-ID>\
  }
}
<!--NeedCopy-->

Habilitar el ID externo para un rol de IAM en AWS permite a los usuarios conectarse a una cuenta de terceros. El ID externo aumenta la seguridad del rol de usuario.

Los detalles de la VPC, como la región, el ID de VPC, el nombre y el bloque CIDR, asociados con el rol de IAM del usuario en AWS se importan en Citrix ADM.

Aprovisionar el agente de Citrix ADM en AWS

El agente de servicio de Citrix ADM funciona como intermediario entre Citrix ADM y las instancias detectadas en el centro de datos o en la nube.

• Vaya a Redes > Agentes.

• Haga clic en Aprovisionar.

• Seleccione AWS y haga clic en Siguiente.

• En la ficha Parámetros de la nube, especifique lo siguiente:

  • Nombre: especifique el nombre del agente de Citrix ADM.

  • Sitio: seleccione el sitio que los usuarios han creado para aprovisionar un agente y las instancias de ADC VPX.

  • Perfil de acceso a la nube: seleccione el perfil de acceso a la nube de la lista.

  • Zona de disponibilidad - Seleccione las zonas en las que los usuarios desean crear los grupos de autoescalado. Dependiendo del perfil de acceso a la nube que hayan seleccionado los usuarios, se rellenarán las zonas de disponibilidad específicas de ese perfil.

  • Grupo de seguridad - Los grupos de seguridad controlan el tráfico de entrada y salida en el agente de Citrix ADC. Los usuarios crean reglas tanto para el tráfico entrante como para el saliente que desean controlar.

  • Subred - Seleccione la subred de administración donde los usuarios desean aprovisionar un agente.

  • Etiquetas - Escriba el par clave-valor para las etiquetas del grupo de autoescalado. Una etiqueta consta de un par clave-valor que distingue entre mayúsculas y minúsculas. Estas etiquetas permiten a los usuarios organizar e identificar fácilmente los grupos de autoescalado. Las etiquetas se aplican tanto a AWS como a Citrix ADM.

• Haga clic en Finalizar.

Alternativamente, los usuarios pueden instalar el agente de Citrix ADM desde el marketplace de AWS. Para obtener más información, consulte: Instalar el agente de Citrix ADM en AWS.

Limitaciones y directrices de uso

Las siguientes limitaciones y directrices de uso se aplican al implementar una instancia de Citrix ADC VPX en AWS:

• Los usuarios deben leer la terminología de AWS mencionada anteriormente en este artículo antes de iniciar una nueva implementación.

• La función de clúster solo se admite cuando se aprovisiona con grupos de autoescalado de Citrix ADM.

• Para que la configuración de alta disponibilidad funcione eficazmente, asocie un dispositivo NAT dedicado a la interfaz de administración o asocie una IP elástica (EIP) a NSIP. Para obtener más información sobre NAT, en la documentación de AWS, consulte: Instancias NAT.

• El tráfico de datos y el tráfico de administración deben segregarse con ENI que pertenezcan a diferentes subredes.

• Solo la dirección NSIP debe estar presente en la ENI de administración.

• Si se utiliza una instancia NAT para la seguridad en lugar de asignar una EIP a la NSIP, se requieren cambios de enrutamiento apropiados a nivel de VPC. Para obtener instrucciones sobre cómo realizar cambios de enrutamiento a nivel de VPC, en la documentación de AWS, consulte: Escenario 2: VPC con subredes públicas y privadas.

• Una instancia VPX se puede mover de un tipo de instancia EC2 a otro (por ejemplo, de m3.large a un m3.xlarge). Para obtener más información, visite: Limitaciones y directrices de uso.

• Para los medios de almacenamiento de VPX en AWS, Citrix recomienda EBS, ya que es duradero y los datos están disponibles incluso después de desvincularlos de la instancia.

• No se admite la adición dinámica de ENI a VPX. Reinicie la instancia VPX para aplicar la actualización. Citrix recomienda a los usuarios detener la instancia independiente o HA, adjuntar la nueva ENI y, a continuación, reiniciar la instancia. La ENI principal no se puede cambiar ni adjuntar a una subred diferente una vez implementada. Las ENI secundarias se pueden desvincular y cambiar según sea necesario mientras el VPX está detenido.

• Los usuarios pueden asignar varias direcciones IP a una ENI. El número máximo de direcciones IP por ENI viene determinado por el tipo de instancia EC2; consulte la sección «Direcciones IP por interfaz de red por tipo de instancia» en: Interfaces de red elásticas. Los usuarios deben asignar las direcciones IP en AWS antes de asignarlas a las ENI. Para obtener más información, consulte: Interfaces de red elásticas.

• Citrix recomienda a los usuarios evitar el uso de los comandos de habilitación y deshabilitación de interfaz en las interfaces de Citrix ADC VPX.

• Los comandos de Citrix ADC set ha node <NODE_ID> -haStatus STAYPRIMARY y set ha node <NODE_ID> -haStatus STAYSECONDARY están deshabilitados de forma predeterminada.

• IPv6 no es compatible con VPX.

• Debido a las limitaciones de AWS, estas funciones no son compatibles:

  • ARP gratuito (GARP).

  • Modo L2 (puente). Los vServers transparentes son compatibles con L2 (reescritura de MAC) para servidores en la misma subred que el SNIP.

  • VLAN etiquetada.

  • Enrutamiento dinámico.

  • MAC virtual.

• Para que RNAT, el enrutamiento y los vServers transparentes funcionen, asegúrese de que la comprobación de origen/destino esté deshabilitada para todas las ENI en la ruta de datos. Para obtener más información, consulte «Cambio de la comprobación de origen/destino» en: Interfaces de red elásticas.

• En una implementación de Citrix ADC VPX en AWS, en algunas regiones de AWS, la infraestructura de AWS podría no ser capaz de resolver las llamadas a la API de AWS. Esto ocurre si las llamadas a la API se emiten a través de una interfaz que no es de administración en la instancia de Citrix ADC VPX. Como solución alternativa, restrinja las llamadas a la API solo a la interfaz de administración. Para ello, cree una NSVLAN en la instancia VPX y vincule la interfaz de administración a la NSVLAN mediante el comando apropiado.

• Por ejemplo:

  • establecer configuración ns -nsvlan <id de vlan>\ -ifnum 1/1 -tagged NO

  • guardar configuración

• Reinicie la instancia VPX en el símbolo del sistema.

• Para obtener más información sobre la configuración de nsvlan, consulte Configuring NSVLAN.

• En la consola de AWS, el uso de vCPU que se muestra para una instancia VPX en la pestaña Supervisión puede ser alto (hasta el 100 por ciento), incluso cuando el uso real es mucho menor. Para ver el uso real de vCPU, vaya a Ver todas las métricas de CloudWatch. Para obtener más información, consulte: Monitor your Instances using Amazon CloudWatch. Alternativamente, si la baja latencia y el rendimiento no son una preocupación, los usuarios pueden habilitar la función CPU Yield, que permite que los motores de paquetes permanezcan inactivos cuando no hay tráfico. Para obtener más detalles sobre la función CPU Yield y cómo habilitarla, visite: Citrix Support Knowledge Center.

Matriz de soporte de AWS-VPX

Las siguientes secciones enumeran el modelo VPX compatible y las regiones de AWS, los tipos de instancia y los servicios.

Modelos VPX compatibles en AWS

• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 200 Mbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 1000 Mbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 3 Gbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 5 Gbps
• Citrix ADC VPX Standard/Advanced/Premium - 10 Mbps
• Citrix ADC VPX Express - 20 Mbps
• Citrix ADC VPX - Con licencia de cliente

Regiones de AWS compatibles

• Región Oeste de EE. UU. (Oregón)
• Región Oeste de EE. UU. (N. California) * Región Este de EE. UU. (Ohio)|
• Región Este de EE. UU. (N. Virginia)
• Región Asia Pacífico (Seúl)
• Región Canadá (Central)
• Región Asia Pacífico (Singapur)
• Región Asia Pacífico (Sídney)
• Región Asia Pacífico (Tokio)
• Región Asia Pacífico (Hong Kong)
• Región Canadá (Central)
• Región China (Pekín)
• Región China (Ningxia)
• Región UE (Fráncfort)
• Región de la UE (Irlanda)
• Región de la UE (Londres)
• Región de la UE (París)
• Región de Sudamérica (São Paulo)
• Región AWS GovCloud (EE. UU. Este)

Tipos de instancias de AWS compatibles

• m3.large, m3.large, m3.2xlarge
• c4.large, c4.large, c4.2xlarge, c4.4xlarge, c4.8xlarge
• m4.large, m4.large, m4.2xlarge, m4.4xlarge, m4.10xlarge
• m5.large, m5.xlarge, m5.2xlarge, m5.4xlarge, m5.12xlarge, m5.24xlarge
• c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge, c5.24xlarge
• C5n.large, C5n.xlarge, C5n.2xlarge, C5n.4xlarge, C5n.9xlarge, C5n.18xlarge

Servicios de AWS compatibles

• #EC2
• #Lambda
• #S3
• #VPC
• #route53
• #ELB
• #Cloudwatch
• #AWS AutoScaling
• Formación de la nube
• Servicio de cola simple (SQS)
• Servicio de notificación simple (SNS)
• Administración de identidades y accesos (IAM)

Para un mayor ancho de banda, Citrix recomienda los siguientes tipos de instancia

Para mantenerse actualizado sobre los modelos VPX y las regiones de AWS, los tipos de instancia y los servicios compatibles actualmente, visite la matriz de compatibilidad VPX-AWS