Guide de déploiement de Citrix ADC pour la zone privée Azure DNS
Introduction
Citrix ADC, anciennement connu sous le nom de NetScaler, est un produit de classe mondiale dans le domaine des contrôleurs de livraison d’applications™ (ADC) avec la capacité avérée d’équilibrer la charge, de gérer le trafic global, la compression et de sécuriser les applications.
Azure DNS est un service de l’infrastructure Microsoft Azure pour l’hébergement de domaines DNS et la résolution de noms.
Azure DNS Private Zones est un service axé sur la résolution de noms de domaine dans un réseau privé. Avec les zones privées, les clients peuvent utiliser leurs propres noms de domaine personnalisés plutôt que les noms fournis par Azure disponibles aujourd’hui.
Présentation d’Azure DNS
Le système de noms de domaine, ou DNS, est responsable de la traduction (ou résolution) d’un nom de service en son adresse IP. En tant que service d’hébergement pour les domaines DNS, Azure DNS assure la résolution de noms en utilisant l’infrastructure Microsoft Azure. En plus de prendre en charge les domaines DNS accessibles via Internet, Azure DNS prend désormais également en charge les domaines DNS privés.
Azure DNS fournit un service DNS fiable et sécurisé pour gérer et résoudre les noms de domaine dans un réseau virtuel sans nécessiter de solution DNS personnalisée. En utilisant des zones DNS privées, vous pouvez utiliser vos propres noms de domaine personnalisés plutôt que les noms fournis par Azure disponibles aujourd’hui. L’utilisation de noms de domaine personnalisés vous aide à adapter l’architecture de votre réseau virtuel aux besoins de votre organisation. Il assure la résolution de noms pour les machines virtuelles (VM) au sein d’un réseau virtuel et entre les réseaux virtuels. De plus, les clients peuvent configurer des noms de zones avec une vue split-horizon, ce qui permet à une zone DNS privée et publique de partager un nom.
Pourquoi Citrix GSLB pour la zone privée Azure DNS ?
Dans le monde d’aujourd’hui, les entreprises souhaitent migrer leurs charges de travail de l’environnement sur site vers le cloud Azure. La transition vers le cloud leur permet de tirer parti du délai de commercialisation, des dépenses en capital/prix, de la facilité de déploiement et de la sécurité. Le service Azure DNS Private Zone offre une proposition unique aux entreprises qui migrent une partie de leurs charges de travail vers le cloud Azure. Ces entreprises peuvent créer leur nom DNS privé, qu’elles utilisaient depuis des années dans des déploiements sur site, lorsqu’elles utilisent le service de zone privée. Avec ce modèle hybride où les serveurs d’applications intranet sont sur site et dans le cloud Azure connectés via des tunnels VPN sécurisés, le défi est de savoir comment un utilisateur peut avoir un accès transparent à ces applications intranet. Citrix ADC résout ce cas d’utilisation unique grâce à sa fonction d’équilibrage de charge global, qui achemine le trafic applicatif vers les charges de travail/serveurs distribués les plus optimaux, que ce soit sur site ou dans le cloud Azure, et fournit l’état de santé des serveurs d’applications.
Cas d’utilisation
Les utilisateurs du réseau sur site et des différents VNET Azure doivent pouvoir se connecter aux serveurs les plus optimaux d’un réseau interne pour accéder au contenu requis. Cela garantit que l’application est toujours disponible, que les coûts sont optimisés et que l’expérience utilisateur est bonne. La gestion du trafic privé Azure (PTM) est l’exigence principale ici. Azure PTM garantit que les requêtes DNS des utilisateurs sont résolues en une adresse IP privée appropriée du serveur d’applications.
Solution du cas d’utilisation
Citrix ADC inclut la fonctionnalité d’équilibrage de charge global des serveurs (GSLB), qui peut aider à répondre à l’exigence Azure PTM. GSLB agit comme un serveur DNS, qui reçoit les requêtes DNS et les résout en une adresse IP appropriée pour fournir :
- Basculement transparent basé sur DNS
- Migration progressive du local vers le cloud
- Test A/B d’une nouvelle fonctionnalité
Parmi les nombreuses méthodes d’équilibrage de charge prises en charge, les méthodes suivantes peuvent être utiles dans cette solution :
- Round Robin
-
Proximité statique (sélection de serveur basée sur l’emplacement) : Elle peut être déployée de deux manières
- GSLB basé sur EDNS Client Subnet (ECS) sur Citrix ADC
- Déployer un redirecteur DNS pour chaque réseau virtuel
Topologie
- Le déploiement GSLB de Citrix ADC pour la zone DNS privée Azure se présente logiquement comme indiqué à la Figure 1.
- Un utilisateur peut accéder à n’importe quel serveur d’applications, que ce soit sur Azure ou sur site, en fonction de la méthode d’équilibrage de charge GSLB de Citrix ADC dans une zone DNS privée Azure
- Tout le trafic entre le réseau sur site et le réseau virtuel Azure passe uniquement par un tunnel VPN sécurisé
- Le trafic d’application, le trafic DNS et le trafic de surveillance sont présentés dans la topologie précédente.
- Selon la redondance requise, Citrix ADC et le redirecteur DNS peuvent être déployés dans les réseaux virtuels et les centres de données. Par souci de simplicité, un seul Citrix ADC est présenté ici, mais nous recommandons au moins un ensemble de Citrix ADC et de redirecteur DNS par région Azure.
- Toutes les requêtes DNS des utilisateurs sont d’abord acheminées vers le redirecteur DNS qui contient des règles définies pour transférer les requêtes vers le serveur DNS approprié.
Configuration de Citrix ADC pour la zone privée Azure DNS
Produits et versions testés
| Produit | Version |
|---|---|
| Azure | Abonnement Cloud |
| Citrix ADC VPX | BYOL (apportez votre propre licence) |
Remarque : Le déploiement est testé et reste identique avec Citrix ADC version 12.0 et supérieure.
Prérequis et notes de configuration
Voici les prérequis généraux et la configuration testée pour ce guide. Veuillez vérifier avant de configurer Citrix ADC :
- Compte de portail Microsoft Azure avec un abonnement valide
- Assurez la connectivité (tunnel VPN sécurisé) entre le réseau sur site et le cloud Azure. Pour configurer un tunnel VPN sécurisé dans Azure, consultez Étape par étape : Configuration d’une passerelle VPN de site à site entre Azure et les locaux
Description de la solution
Supposons que le client souhaite héberger une application de zone privée Azure DNS (rr.ptm.mysite.net) qui s’exécute sur HTTPS et est déployée sur Azure et sur site avec un accès intranet basé sur la méthode d’équilibrage de charge GSLB en tourniquet. Pour réaliser ce déploiement en activant GSLB pour la zone DNS privée Azure avec Citrix ADC, il faut deux parties : la configuration d’Azure, des locaux et de l’appliance Citrix ADC.
Partie 1 : Configurer Azure, configuration sur site
Comme indiqué dans la topologie, configurez le réseau virtuel Azure (VNet A, VNet B dans ce cas) et la configuration sur site. Étape 1 : Créez une zone DNS privée Azure avec le nom de domaine (mysite.net) Étape 2 : Créez deux réseaux virtuels (VNet A, VNet B) dans un modèle Hub and Spoke dans une région Azure Étape 3 : Déployez le serveur d’applications, le redirecteur DNS, le client Windows 10 Pro, Citrix ADC dans VNet A Étape 4 : Déployez le serveur d’applications et déployez un redirecteur DNS si des clients se trouvent dans VNet B Étape 5 : Déployez le serveur d’applications, le redirecteur DNS et le client Windows 10 Pro sur site
Zone DNS privée Azure
Connectez-vous au portail Azure et sélectionnez ou créez un tableau de bord. Cliquez ensuite sur créer une ressource et recherchez une zone DNS pour en créer une (mysite.net dans ce cas), comme illustré dans l’image suivante.
Réseaux virtuels Azure (VNet A, VNet B) dans le modèle Hub and Spoke
Sélectionnez le même tableau de bord et cliquez sur créer une ressource et recherchez des réseaux virtuels pour créer deux réseaux virtuels, à savoir VNet A et VNet B, dans la même région et les appairer pour former un modèle Hub and Spoke, comme illustré dans l’image suivante. Consultez Implémenter une topologie de réseau hub-spoke dans Azure pour plus d’informations sur la configuration d’une topologie hub-spoke.
Appairage de VNet A à VNet B
Pour appairer VNet A et VNet B, cliquez sur Appairages dans le menu des paramètres de VNet A et appairez VNet B, activez Autoriser le trafic transféré et Autoriser le transit de passerelle, comme illustré dans l’image suivante.
Après un appairage réussi, vous verrez ce qui suit, comme illustré dans l’image suivante :
Appairage de VNet B à VNet A
Pour appairer le VNet B et le VNet A, cliquez sur peerings dans le menu des paramètres du VNet B et appairez le VNet A, activez Autoriser le trafic transféré et Utiliser les passerelles distantes, comme indiqué dans l’image suivante.
Après un appairage réussi, vous verrez ce qui suit, comme indiqué dans l’image suivante :
Déployer un serveur d’applications, un redirecteur DNS, un client Windows 10 Pro, Citrix ADC dans le VNet A
Nous allons discuter brièvement du serveur d’applications, du redirecteur DNS, du client Windows 10 Pro et de Citrix ADC sur le VNet A. Sélectionnez le même tableau de bord, cliquez sur créer une ressource, recherchez les instances respectives et attribuez une adresse IP à partir du sous-réseau du VNet A.
Serveur d’applications
Un serveur d’applications n’est rien d’autre qu’un serveur web (serveur HTTP) où un serveur Ubuntu 16.04 est déployé en tant qu’instance sur Azure ou sur une machine virtuelle locale et exécute une commande CLI : sudo apt install apache2 pour en faire un serveur web.
Client Windows 10 Pro
Lancez une instance Windows 10 Pro en tant que machine cliente sur le VNet A et également sur site.
Citrix ADC
Citrix ADC complète la zone privée Azure DNA par des contrôles de santé et des analyses de Citrix MAS. Lancez un Citrix ADC depuis Azure Marketplace en fonction de vos besoins ; ici, nous avons utilisé Citrix ADC (BYOL) pour ce déploiement. Veuillez consulter l’URL ci-dessous pour les étapes détaillées sur la façon de déployer Citrix ADC sur Microsoft Azure. Après le déploiement, utilisez l’adresse IP de Citrix ADC pour configurer Citrix ADC GSLB. Voir Déployer une instance NetScaler VPX sur Microsoft Azure
Redirecteur DNS
Il est utilisé pour transférer les requêtes client des domaines hébergés liés à Citrix ADC GSLB (ADNS IP). Lancez un serveur Ubuntu 16.04 en tant qu’instance Linux (serveur Ubuntu 16.04) et consultez l’URL ci-dessous pour savoir comment le configurer en tant que redirecteur DNS.
Remarque : Pour la méthode d’équilibrage de charge GSLB Round Robin, un redirecteur DNS par région Azure est suffisant, mais pour la proximité statique, nous avons besoin d’un redirecteur DNS par réseau virtuel.
Après avoir déployé le serveur de transfert, modifiez les paramètres du serveur DNS du réseau virtuel A, en passant de la valeur par défaut à une valeur personnalisée avec l’adresse IP du serveur de transfert DNS du réseau virtuel A, comme illustré dans l’image suivante. Modifiez ensuite le fichier named.conf.options dans le serveur de transfert DNS du réseau virtuel A pour ajouter des règles de transfert pour le domaine (mysite.net) et le sous-domaine (ptm.mysite.net) vers l’adresse IP ADNS de Citrix ADC GSLB. Redémarrez maintenant le serveur de transfert DNS pour appliquer les modifications apportées au fichier named.conf.options.
Paramètres du serveur de transfert DNS du réseau virtuel A
zone "mysite.net" {
type forward;
forwarders { 168.63.129.16; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
}; > **Remarque :** Pour l'adresse IP de la zone de domaine (« mysite.net »), utilisez l'adresse IP DNS de votre région Azure. Pour l'adresse IP de la zone de sous-domaine (« ptm.mysite.net »), utilisez toutes les adresses IP ADNS de vos instances GSLB.
Déployer le serveur d’applications et un serveur de transfert DNS si des clients se trouvent dans le réseau virtuel B
Pour le réseau virtuel B, sélectionnez le même tableau de bord, cliquez sur créer une ressource, puis recherchez les instances respectives et attribuez une adresse IP à partir du sous-réseau du réseau virtuel B. Lancez le serveur d’applications et le serveur de transfert DNS s’il existe un équilibrage de charge GSLB de proximité statique similaire au réseau virtuel A.
Modifiez les paramètres du serveur de transfert DNS du réseau virtuel B dans named.conf.options comme suit :
VNet B DNS Forwarder Settings:
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
Déployer le serveur d’applications, le serveur de transfert DNS et le client Windows 10 Pro sur site
Pour le site sur site, lancez les machines virtuelles sur matériel nu et mettez en place le serveur d’applications, le serveur de transfert DNS et le client Windows 10 Pro, de manière similaire au réseau virtuel A.
Modifiez les paramètres du serveur de transfert DNS sur site dans le named.conf.options comme illustré dans l’exemple suivant.
Paramètres du serveur de transfert DNS sur site
zone "mysite.net" {
type forward;
forwarders { 10.8.0.6; };
};
zone "ptm.mysite.net" {
type forward;
forwarders { 10.8.0.5; };
};
Ici, pour mysite.net, nous avons donné l’adresse IP du serveur de transfert DNS du réseau virtuel A au lieu de l’adresse IP du serveur de zone DNS privé Azure, car il s’agit d’une adresse IP spéciale non accessible depuis le site sur site. Par conséquent, cette modification est nécessaire dans le paramètre du serveur de transfert DNS sur site.
Partie 2 : Configurer le Citrix ADC
Comme indiqué dans la topologie, déployez le Citrix ADC sur le réseau virtuel Azure (réseau virtuel A dans ce cas) et accédez-y via l’interface graphique de Citrix ADC.
Configuration de Citrix ADC GSLB
Étape 1 : Créer un service ADNS Étape 2 : Créer des sites – locaux et distants Étape 3 : Créer des services pour les serveurs virtuels locaux Étape 4 : Créer des serveurs virtuels pour les services GSLB
Ajouter un service ADNS
Connectez-vous à l’interface graphique de Citrix ADC. Sous l’onglet Configuration, accédez à Traffic Management>Load Balancing > Services. Ajoutez un service. Il est recommandé de configurer le service ADNS en TCP et UDP, comme illustré ici :
Ajouter des sites GSLB
Ajoutez des sites locaux et distants entre lesquels le GSLB sera configuré. Sous l’onglet Configuration, accédez à Traffic Management > GSLB > GSLB Sites. Ajoutez un site comme indiqué ici et répétez la même procédure pour les autres sites.
Ajouter des services GSLB
Ajoutez des services GSLB pour les serveurs virtuels locaux et distants qui équilibrent la charge des serveurs d’applications. Sous l’onglet Configuration, accédez à Traffic Management>GSLB > GSLB Services. Ajoutez les services comme indiqué dans les exemples suivants. Liez un moniteur HTTP pour vérifier l’état du serveur.
Après avoir créé le service, accédez à l’onglet des paramètres avancés du service GSLB et ajoutez l’onglet Moniteurs pour lier le service GSLB à un moniteur HTTP afin d’activer l’état du service
Une fois que vous êtes lié au moniteur HTTP, l’état des services est ACTIF comme indiqué ici :
Ajouter un serveur virtuel GSLB
Ajoutez un serveur virtuel GSLB par lequel les services GSLB alias des serveurs d’applications sont accessibles. Sous l’onglet Configuration, accédez à Gestion du trafic > GSLB > Serveurs virtuels GSLB. Ajoutez les serveurs virtuels comme indiqué dans l’exemple suivant. Liez-y les services GSLB et le nom de domaine.
Après avoir créé le serveur virtuel GSLB et sélectionné la méthode d’équilibrage de charge appropriée (Round Robin dans ce cas), liez les services GSLB et les domaines pour terminer l’étape.
Accédez à l’onglet Paramètres avancés du serveur virtuel et à l’onglet Ajouter des domaines pour lier un domaine.
Accédez à Avancé > Services et cliquez sur la flèche pour lier un service GSLB et liez les trois services (VNet A, VNet B, Sur site) au serveur virtuel.
Après avoir lié les services GSLB et le domaine au serveur virtuel, il apparaît comme indiqué ici :
Vérifiez si le serveur virtuel GSLB est opérationnel et 100 % sain. Lorsque le moniteur indique que le serveur est opérationnel et sain, cela signifie que les sites sont synchronisés et que les services back-end sont disponibles.
Pour tester le déploiement, accédez maintenant à l’URL de domaine rr.ptm.mysite.net depuis une machine cliente Cloud ou une machine cliente sur site. Par exemple, si vous y accédez depuis une machine cliente Windows Cloud, vous constaterez que même le serveur d’applications sur site est accessible dans une zone DNS privée sans avoir besoin de solutions DNS tierces ou personnalisées.
Conclusion
Citrix ADC, la solution de livraison d’applications leader, est la mieux adaptée pour fournir des capacités d’équilibrage de charge et de GSLB pour la zone privée Azure DNS. En s’abonnant à la zone privée Azure DNS, l’entreprise peut compter sur la puissance et l’intelligence du Global Server Load Balancing (GSLB) de Citrix ADC pour distribuer le trafic intranet entre les charges de travail situées dans plusieurs zones géographiques et entre les centres de données, connectés via des tunnels VPN sécurisés. Cette collaboration garantit aux entreprises un accès transparent à la partie de leur charge de travail qu’elles souhaitent déplacer vers le cloud public Azure.