Guide de déploiement Citrix ADC VPX sur AWS - Autoscale™

Contributeurs

Auteur : Blake Schindler

Présentation

Citrix ADC est une solution de livraison d’applications et d’équilibrage de charge qui offre une expérience utilisateur de haute qualité pour les applications web, traditionnelles et natives du cloud, quel que soit leur hébergement. Il est disponible dans une grande variété de facteurs de forme et d’options de déploiement sans enfermer les utilisateurs dans une configuration ou un cloud unique. La licence de capacité mutualisée permet le déplacement de la capacité entre les déploiements cloud.

En tant que leader incontesté de la livraison de services et d’applications, Citrix ADC est déployé dans des milliers de réseaux à travers le monde pour optimiser, sécuriser et contrôler la livraison de tous les services d’entreprise et cloud. Déployé directement devant les serveurs web et de bases de données, Citrix ADC combine l’équilibrage de charge et la commutation de contenu haute vitesse, la compression HTTP, la mise en cache de contenu, l’accélération SSL, la visibilité du flux d’applications et un puissant pare-feu d’applications dans une plateforme intégrée et facile à utiliser. Le respect des SLA est grandement simplifié grâce à une surveillance de bout en bout qui transforme les données réseau en informations commerciales exploitables. Citrix ADC permet de définir et de gérer des politiques à l’aide d’un moteur de politique déclaratif simple, sans nécessiter d’expertise en programmation.

Citrix VPX

Le produit Citrix ADC VPX est une appliance virtuelle qui peut être hébergée sur une grande variété de plateformes de virtualisation et de cloud :

• Citrix Hypervisor™

• VMware ESX

• Microsoft Hyper-V

• Linux KVM

• Amazon Web Services

• Microsoft Azure

• Google Cloud Platform

Ce guide de déploiement se concentre sur Citrix ADC VPX sur Amazon Web Services.

Amazon Web Services

Amazon Web Services (AWS) est une plateforme de cloud computing complète et évolutive fournie par Amazon qui comprend un mélange d’offres d’infrastructure en tant que service (IaaS), de plateforme en tant que service (PaaS) et de logiciels packagés en tant que service (SaaS). Les services AWS peuvent offrir des outils tels que la puissance de calcul, le stockage de bases de données et les services de livraison de contenu.

AWS offre les services essentiels suivants

• Services de calcul AWS

• Services de migration

• Stockage

• Services de base de données

• Outils de gestion

• Services de sécurité

• Analyse

• Mise en réseau

• Messagerie

• Outils de développement

• Services mobiles

Terminologie AWS

Voici une brève description des termes clés utilisés dans ce document que les utilisateurs doivent connaître :

• Amazon Machine Image (AMI) - Une image machine, qui fournit les informations nécessaires au lancement d’une instance, qui est un serveur virtuel dans le cloud.

• Auto Scaling - Un service web pour lancer ou arrêter automatiquement des instances Amazon EC2 en fonction de politiques, de plannings et de contrôles de santé définis par l’utilisateur.

• Groupe Auto Scaling AWS - Un groupe Auto Scaling AWS est une collection d’instances EC2 qui partagent des caractéristiques similaires et sont traités comme un regroupement logique aux fins de la mise à l’échelle et de la gestion des instances.

• Elastic Block Store - Fournit des volumes de stockage par blocs persistants à utiliser avec les instances Amazon EC2 dans le cloud AWS.

• Elastic Compute Cloud (EC2) - Un service web qui fournit une capacité de calcul sécurisée et redimensionnable dans le cloud. Il est conçu pour faciliter le calcul en nuage à l’échelle du web pour les développeurs.

• Elastic Load Balancing (ELB) - Distribue le trafic d’application entrant sur plusieurs instances EC2, dans plusieurs zones de disponibilité. La distribution du trafic augmente la tolérance aux pannes des applications utilisateur.

• Elastic Network Interface (ENI) - Une interface réseau virtuelle que les utilisateurs peuvent attacher à une instance dans un Virtual Private Cloud (VPC).

• Adresse IP élastique (EIP) - Une adresse IPv4 statique et publique que les utilisateurs ont allouée dans Amazon EC2 ou Amazon VPC puis attachée à une instance. Les adresses IP élastiques sont associées aux comptes utilisateur, et non à une instance spécifique. Elles sont élastiques car les utilisateurs peuvent facilement les allouer, les attacher, les détacher et les libérer en fonction de l’évolution de leurs besoins.

• Profil d’instance IAM - Une identité fournie aux instances Citrix ADC provisionnées dans un cluster AWS. Le profil permet aux instances d’accéder aux services AWS lorsqu’il commence à équilibrer la charge des requêtes client.

• Identity and Access Management (IAM) - Une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Les utilisateurs peuvent utiliser un rôle IAM pour permettre aux applications s’exécutant sur une instance EC2 d’accéder en toute sécurité à leurs ressources AWS. Un rôle IAM est requis pour le déploiement d’instances VPX dans une configuration haute disponibilité.

• Type d’instance - Amazon EC2 propose une large sélection de types d’instances optimisés pour s’adapter à différents cas d’utilisation. Les types d’instances comprennent diverses combinaisons de CPU, de mémoire, de stockage et de capacité réseau et offrent aux utilisateurs la flexibilité de choisir la combinaison de ressources appropriée pour leurs applications.

• Écouteur - Un écouteur est un processus qui vérifie les requêtes de connexion, en utilisant le protocole et le port que vous configurez. Les règles que vous définissez pour un écouteur déterminent comment l’équilibreur de charge achemine les requêtes vers les cibles dans un ou plusieurs groupes cibles.

• NLB - Équilibreur de charge réseau. NLB est un équilibreur de charge L4 disponible dans l’environnement AWS.

• Route 53 - Route 53 est le service web de système de noms de domaine (DNS) basé sur le cloud, hautement disponible et évolutif d’Amazon.

• Groupes de sécurité - Un ensemble nommé de connexions réseau entrantes autorisées pour une instance.

• Sous-réseau - Un segment de la plage d’adresses IP d’un VPC auquel les instances EC2 peuvent être attachées. Les utilisateurs peuvent créer des sous-réseaux pour regrouper les instances en fonction des besoins de sécurité et opérationnels.

• Virtual Private Cloud (VPC) - Un service web pour provisionner une section logiquement isolée du cloud AWS où les utilisateurs peuvent lancer des ressources AWS dans un réseau virtuel qu’ils définissent.

Voici une brève description d’autres termes utilisés dans ce document que nous vous recommandons de connaître :

• Groupes Autoscale - Un groupe Autoscale est un groupe d’instances Citrix ADC qui équilibrent la charge des applications en tant qu’entité unique et déclenchent l’autoscaling lorsque les paramètres de seuil dépassent les limites. Les instances Citrix ADC s’adaptent dynamiquement (scale-out ou scale-in) en fonction de la configuration des groupes Autoscale.

Remarque :

Un groupe autoscale™ Citrix est appelé groupe autoscale dans tout ce document, tandis que le groupe autoscale AWS est explicitement appelé groupe autoscale AWS.

• Clusters Citrix ADC - Un cluster Citrix ADC est un groupe d’instances Citrix ADC VPX et chaque instance est appelée un nœud. Le trafic client est distribué entre les nœuds pour offrir une haute disponibilité, un débit élevé et une évolutivité.

• CloudFormation - Un service pour écrire ou modifier des modèles qui créent et suppriment des ressources AWS associées ensemble comme une seule unité.

• Période de temporisation (Cooldown period) - Après un scale-out, la période de temporisation est le temps pendant lequel l’évaluation des statistiques doit être arrêtée. La période de temporisation assure une croissance organique d’un groupe autoscale en permettant au trafic actuel de se stabiliser et de se moyenner sur l’ensemble actuel d’instances avant que la prochaine décision de mise à l’échelle ne soit prise. La valeur par défaut de la période de temporisation est de 10 minutes et est configurable.

Remarque :

La valeur par défaut est déterminée en fonction du temps nécessaire au système pour se stabiliser après un scale-out (environ 4 minutes), plus la configuration Citrix ADC et le temps de publication DNS.

• Délai d’expiration de la vidange des connexions (Drain Connection Timeout) - Lors d’un scale-in, une fois qu’une instance est sélectionnée pour le déprovisionnement, Citrix ADM supprime l’instance du traitement des nouvelles connexions vers le groupe autoscale et attend que la période de délai d’expiration de la vidange des connexions spécifiée expire avant le déprovisionnement. Ce délai permet de vider les connexions existantes vers cette instance avant qu’elle ne soit déprovisionnée. Si les connexions sont vidées avant l’expiration du délai d’expiration de la vidange des connexions, Citrix ADM attend tout de même que cette période expire avant de commencer une nouvelle évaluation.

Remarque :

Si les connexions ne sont pas vidées même après l’expiration du délai de vidange des connexions, le Citrix ADM supprime les instances, ce qui pourrait avoir un impact sur l’application. La valeur par défaut est de 5 minutes et est configurable.

• Paire de clés - Un ensemble d’informations d’identification de sécurité avec lesquelles les utilisateurs prouvent leur identité électroniquement. Une paire de clés se compose d’une clé privée et d’une clé publique.

• Table de routage - Un ensemble de règles de routage qui contrôle le trafic quittant tout sous-réseau associé à la table de routage. Les utilisateurs peuvent associer plusieurs sous-réseaux à une seule table de routage, mais un sous-réseau ne peut être associé qu’à une seule table de routage à la fois.

• Simple Storage Service (S3) - Stockage pour Internet. Il est conçu pour faciliter l’informatique à l’échelle du web pour les développeurs.

• Balises - Chaque groupe de mise à l’échelle automatique se voit attribuer une balise qui est une paire clé-valeur. Vous pouvez appliquer des balises aux ressources qui vous permettent d’organiser et d’identifier facilement les ressources. Les balises sont appliquées à la fois à AWS et à Citrix ADM. Exemple : Clé = nom, Valeur = serveur web. Utilisez un ensemble cohérent de balises pour suivre facilement les groupes de mise à l’échelle automatique qui peuvent appartenir à divers groupes tels que le développement, la production, les tests.

• Paramètres de seuil - Paramètres surveillés pour déclencher une mise à l’échelle ou une réduction. Les paramètres sont l’utilisation du CPU, l’utilisation de la mémoire et le débit. Vous pouvez sélectionner un ou plusieurs paramètres pour la surveillance.

• Durée de vie (TTL) - Spécifie l’intervalle de temps pendant lequel l’enregistrement de ressource DNS peut être mis en cache avant que la source de l’information ne doive être consultée à nouveau. La valeur TTL par défaut est de 30 secondes et est configurable.

• Temps de surveillance - Le temps pendant lequel le seuil du paramètre de mise à l’échelle doit rester dépassé pour qu’une mise à l’échelle se produise. Si le seuil est dépassé sur tous les échantillons collectés pendant ce temps spécifié, une mise à l’échelle se produit. Si les paramètres de seuil restent à une valeur supérieure à la valeur de seuil maximale pendant toute cette durée, une mise à l’échelle est déclenchée. Si les paramètres de seuil fonctionnent à une valeur inférieure à la valeur de seuil minimale, une réduction est déclenchée. La valeur par défaut est de 3 minutes et est configurable.

Cas d’utilisation

Comparé aux solutions alternatives qui exigent que chaque service soit déployé comme une appliance virtuelle distincte, Citrix ADC sur AWS combine l’équilibrage de charge L4, la gestion du trafic L7, le déchargement de serveur, l’accélération d’application, la sécurité d’application et d’autres capacités essentielles de livraison d’applications dans une seule instance VPX, commodément disponible via l’AWS Marketplace. De plus, tout est régi par un cadre de politiques unique et géré avec le même ensemble d’outils puissants utilisés pour administrer les déploiements Citrix ADC sur site. Le résultat net est que Citrix ADC sur AWS permet plusieurs cas d’utilisation convaincants qui non seulement répondent aux besoins immédiats des entreprises d’aujourd’hui, mais aussi à l’évolution continue des infrastructures informatiques héritées vers les centres de données cloud d’entreprise.

Extension du centre de données avec Autoscale

Certaines organisations cherchent à étendre leur empreinte Citrix dans le cloud public, et elles envisagent d’utiliser les services natifs du cloud public. Un cas d’utilisation courant est celui des entreprises qui migrent vers le cloud à leur propre rythme afin de pouvoir se concentrer sur des charges de travail ou des applications à ROI plus élevé. Et en utilisant notre solution, qui inclut souvent l’utilisation de dispositifs de capacité mutualisée pour maintenir les charges de travail à la fois sur site et dans le cloud en découplant la bande passante et les instances, elles peuvent passer au cloud de leur choix à leur propre rythme.

Maintenant, le cloud public offre une élasticité, ce qui est également un cas d’utilisation important pour les clients qui souhaitent héberger des applications à la demande sans se soucier du sur-approvisionnement ou du sous-approvisionnement des ressources.

L’hébergement efficace d’applications dans un cloud implique une gestion facile et rentable des ressources en fonction de la demande de l’application. Par exemple, considérons qu’une entreprise possède un portail web de commerce électronique fonctionnant sur AWS. Ce portail offre parfois d’énormes réductions, ce qui entraîne un pic de trafic d’application. Lorsque le trafic d’application augmente pendant ces offres, les applications doivent être mises à l’échelle dynamiquement et les ressources réseau peuvent également devoir être augmentées.

La fonction de mise à l’échelle automatique de Citrix ADM prend en charge le provisionnement et la mise à l’échelle automatique des instances Citrix ADC dans AWS. La fonction de mise à l’échelle automatique de Citrix ADM surveille constamment les paramètres de seuil tels que l’utilisation de la mémoire, l’utilisation du CPU et le débit. Les utilisateurs peuvent sélectionner un ou plusieurs de ces paramètres pour la surveillance. Ces valeurs de paramètres sont ensuite comparées aux valeurs configurées par l’utilisateur. Si les valeurs des paramètres dépassent les limites, une mise à l’échelle ou une réduction est déclenchée selon les besoins.

L’architecture de la fonctionnalité d’autoscaling de Citrix ADM est conçue de telle sorte que les utilisateurs peuvent configurer le nombre minimum et maximum d’instances pour chacun des groupes d’autoscaling. La pré-configuration de ces nombres garantit que chaque application est toujours opérationnelle et s’aligne sur la demande du client.

Avantages de l’autoscaling

Haute disponibilité des applications. L’autoscaling garantit que votre application dispose toujours du nombre approprié d’instances Citrix ADC VPX pour gérer les demandes de trafic. Cela permet de s’assurer que votre application est opérationnelle en permanence, quelles que soient les demandes de trafic.

Décisions de mise à l’échelle intelligentes et configuration sans intervention. L’autoscaling surveille en permanence votre application et ajoute ou supprime dynamiquement des instances Citrix ADC en fonction de la demande. Lorsque la demande augmente, les instances sont automatiquement ajoutées. Lorsque la demande diminue, les instances sont automatiquement supprimées. L’ajout et la suppression d’instances Citrix ADC se produisent automatiquement, ce qui en fait une configuration manuelle sans intervention.

Gestion automatique du DNS. La fonctionnalité d’autoscaling de Citrix ADM offre une gestion automatique du DNS. Chaque fois que de nouvelles instances Citrix ADC sont ajoutées, les noms de domaine sont mis à jour automatiquement.

Arrêt gracieux des connexions. Lors d’une réduction d’échelle, les instances Citrix ADC sont supprimées en douceur, évitant ainsi la perte de connexions client.

Meilleure gestion des coûts. L’autoscaling augmente ou diminue dynamiquement les instances Citrix ADC selon les besoins. L’exécution uniquement des instances nécessaires permet aux utilisateurs d’optimiser les coûts impliqués. Les utilisateurs économisent de l’argent en lançant des instances uniquement lorsqu’elles sont nécessaires et en les arrêtant lorsqu’elles ne le sont plus. Ainsi, les utilisateurs ne paient que pour les ressources qu’ils utilisent.

Observabilité. L’observabilité est essentielle pour le personnel DevOps ou informatique afin de surveiller la santé de l’application. Le tableau de bord d’autoscaling de Citrix ADM permet aux utilisateurs de visualiser les valeurs des paramètres de seuil, les horodatages de déclenchement de l’autoscaling, les événements et les instances participant à l’autoscaling.

Types de déploiement

Déploiement à trois cartes réseau

• Déploiements typiques

  • Déploiements typiques

  • Piloté par StyleBook

  • Avec ADM

  • Avec GSLB (Route53 avec enregistrement de domaine)

  • Licences - Mutualisées/Marketplace

• Cas d’utilisation

  • Les déploiements à trois cartes réseau sont utilisés pour obtenir une isolation réelle du trafic de données et de gestion.

  • Les déploiements à trois cartes réseau améliorent également l’évolutivité et les performances de l’ADC.

  • Les déploiements à trois cartes réseau sont utilisés dans les applications réseau où le débit est généralement de 1 Gbit/s ou plus, et un déploiement à trois cartes réseau est recommandé.

Déploiement CFT

Les clients déploieraient à l’aide de modèles CloudFormation s’ils personnalisent leurs déploiements ou s’ils automatisent leurs déploiements.

Étapes de déploiement

Déploiement à trois cartes réseau pour l’extension de centre de données avec Autoscale

L’instance Citrix ADC VPX est disponible en tant qu’Amazon Machine Image (AMI) sur la marketplace AWS, et elle peut être lancée en tant qu’instance Elastic Compute Cloud (EC2) au sein d’un VPC AWS. Le type d’instance EC2 minimal autorisé en tant qu’AMI prise en charge sur Citrix VPX est m4.large. L’instance AMI Citrix ADC VPX nécessite un minimum de 2 processeurs virtuels et 2 Go de mémoire. Une instance EC2 lancée au sein d’un VPC AWS peut également fournir les multiples interfaces, les multiples adresses IP par interface, et les adresses IP publiques et privées nécessaires à la configuration VPX. Chaque instance VPX nécessite au moins trois sous-réseaux IP :

• Un sous-réseau de gestion

• Un sous-réseau côté client (VIP)

• Un sous-réseau côté back-end (SNIP)

Citrix recommande trois interfaces réseau pour une installation standard d’instance VPX sur AWS.

AWS ne rend actuellement la fonctionnalité multi-IP disponible que pour les instances exécutées au sein d’un VPC AWS. Une instance VPX dans un VPC peut être utilisée pour équilibrer la charge des serveurs exécutés dans des instances EC2. Un Amazon VPC permet aux utilisateurs de créer et de contrôler un environnement de réseau virtuel, y compris leur propre plage d’adresses IP, sous-réseaux, tables de routage et passerelles réseau.

Remarque :

Par défaut, les utilisateurs peuvent créer jusqu’à 5 instances VPC par région AWS pour chaque compte AWS. Les utilisateurs peuvent demander des limites VPC plus élevées en soumettant le formulaire de demande d’Amazon : Demande VPC Amazon.

Exigences en matière de licences

Les instances Citrix ADC créées pour le groupe de mise à l’échelle automatique Citrix utilisent des licences Citrix ADC Advanced ou Premium ADC. La fonctionnalité de clustering Citrix ADC est incluse dans les licences Advanced ou Premium ADC.

Les utilisateurs peuvent choisir l’une des méthodes suivantes pour attribuer des licences aux Citrix ADC provisionnés par Citrix ADM :

• Utilisation des licences ADC présentes dans Citrix ADM : Configurez la capacité groupée, les licences VPX ou les licences de CPU virtuel lors de la création du groupe de mise à l’échelle automatique. Ainsi, lorsqu’une nouvelle instance est provisionnée pour un groupe de mise à l’échelle automatique, le type de licence déjà configuré est automatiquement appliqué à l’instance provisionnée.

  • Capacité groupée : Alloue de la bande passante à chaque instance provisionnée dans le groupe de mise à l’échelle automatique. Assurez-vous que les utilisateurs disposent de la bande passante nécessaire dans Citrix ADM pour provisionner de nouvelles instances. Pour plus d’informations, consultez : Configurer la capacité groupée. Chaque instance ADC du groupe de mise à l’échelle automatique extrait une licence d’instance et la bande passante spécifiée du pool.

  • Licences VPX : Applique les licences VPX aux instances nouvellement provisionnées. Assurez-vous que les utilisateurs disposent du nombre nécessaire de licences VPX dans Citrix ADM pour provisionner de nouvelles instances. Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence de Citrix ADM. Pour plus d’informations, consultez : Licences d’enregistrement et de retrait Citrix ADC VPX.

  • Licences de CPU virtuel : Applique les licences de CPU virtuel aux instances nouvellement provisionnées. Cette licence spécifie le nombre de CPU auxquels une instance Citrix ADC VPX a droit. Assurez-vous que les utilisateurs disposent du nombre nécessaire de CPU virtuels dans Citrix ADM pour provisionner de nouvelles instances. Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence de CPU virtuel de Citrix ADM. Pour plus d’informations, consultez : Licences de CPU virtuel Citrix ADC.

Lorsque les instances provisionnées sont détruites ou déprovisionnées, les licences appliquées sont automatiquement renvoyées à Citrix ADM.

Pour surveiller les licences consommées, accédez à la page Réseaux > Licences.

• Utilisation des licences d’abonnement AWS : Configurez les licences Citrix ADC disponibles sur la place de marché AWS lors de la création du groupe de mise à l’échelle automatique. Ainsi, lorsqu’une nouvelle instance est provisionnée pour le groupe de mise à l’échelle automatique, la licence est obtenue auprès d’AWS Marketplace.

Déploiement d’instances Citrix ADC VPX sur AWS

Lorsque les clients déplacent leurs applications vers le cloud, les composants qui font partie de leur application augmentent, deviennent plus distribués et doivent être gérés dynamiquement.

Avec les instances Citrix ADC VPX sur AWS, les utilisateurs peuvent étendre de manière transparente leur pile réseau L4-L7 à AWS. Avec Citrix ADC VPX, AWS devient une extension naturelle de leur infrastructure informatique sur site. Les clients peuvent utiliser Citrix ADC VPX sur AWS pour combiner l’élasticité et la flexibilité du cloud, avec les mêmes fonctionnalités d’optimisation, de sécurité et de contrôle qui prennent en charge les sites web et les applications les plus exigeants au monde.

Avec Citrix Application Delivery Management (ADM) surveillant leurs instances Citrix ADC, les utilisateurs obtiennent une visibilité sur la santé, les performances et la sécurité de leurs applications. Ils peuvent automatiser la configuration, le déploiement et la gestion de leur infrastructure de livraison d’applications dans des environnements multi-cloud hybrides.

Diagramme d’architecture

L’image suivante donne un aperçu de la façon dont Citrix ADM se connecte à AWS pour provisionner des instances Citrix ADC VPX dans AWS.

Tâches de configuration

Effectuez les tâches suivantes sur AWS avant de provisionner les instances Citrix ADC VPX dans Citrix ADM :

• Créer des sous-réseaux

• Créer des groupes de sécurité

• Créer un rôle IAM et définir une politique

Effectuez les tâches suivantes sur Citrix ADM pour provisionner les instances sur AWS :

• Créer un site

• Provisionner une instance Citrix ADC VPX sur AWS

Pour créer des sous-réseaux

Créez trois sous-réseaux dans un VPC. Les trois sous-réseaux nécessaires pour provisionner les instances Citrix ADC VPX dans un VPC sont : gestion, client et serveur. Spécifiez un bloc CIDR IPv4 à partir de la plage définie dans le VPC pour chacun des sous-réseaux. Spécifiez la zone de disponibilité dans laquelle le sous-réseau doit résider. Créez les trois sous-réseaux dans la même zone de disponibilité.

L’image suivante illustre les trois sous-réseaux créés dans la région du client et leur connectivité au système client.

Pour plus d’informations sur les VPC et les sous-réseaux, consultez : VPCs et sous-réseaux.

Pour créer des groupes de sécurité

Créez un groupe de sécurité pour contrôler le trafic entrant et sortant dans l’instance Citrix ADC VPX. Un groupe de sécurité agit comme un pare-feu virtuel pour une instance utilisateur. Créez des groupes de sécurité au niveau de l’instance, et non au niveau du sous-réseau. Il est possible d’attribuer à chaque instance d’un sous-réseau du VPC utilisateur un ensemble différent de groupes de sécurité. Ajoutez des règles pour chaque groupe de sécurité afin de contrôler le trafic entrant qui passe par le sous-réseau client vers les instances. Les utilisateurs peuvent également ajouter un ensemble distinct de règles qui contrôlent le trafic sortant qui passe par le sous-réseau du serveur vers les serveurs d’applications. Bien que les utilisateurs puissent utiliser le groupe de sécurité par défaut pour leurs instances, ils peuvent vouloir créer leurs propres groupes. Créez trois groupes de sécurité, un pour chaque sous-réseau. Créez des règles pour le trafic entrant et sortant que les utilisateurs souhaitent contrôler. Les utilisateurs peuvent ajouter autant de règles qu’ils le souhaitent.

Pour plus d’informations sur les groupes de sécurité, consultez : Groupes de sécurité pour votre VPC.

Pour créer un rôle IAM et définir une politique

Créez un rôle IAM afin que les clients puissent établir une relation de confiance entre leurs utilisateurs et le compte AWS de confiance de Citrix et créer une politique avec les autorisations Citrix.

• Dans AWS, cliquez sur Services. Dans le volet de navigation de gauche, sélectionnez IAM > Rôles > Créer un rôle.

• Les utilisateurs connectent leur compte AWS au compte AWS dans Citrix ADM. Sélectionnez donc Un autre compte AWS pour permettre à Citrix ADM d’effectuer des actions dans le compte AWS.

• Saisissez l’ID de compte AWS Citrix ADM à 12 chiffres. L’ID Citrix est 835822366011. Les utilisateurs peuvent également trouver l’ID Citrix dans Citrix ADM lors de la création du profil d’accès au cloud.

• Activez Exiger un ID externe pour vous connecter à un compte tiers. Les utilisateurs peuvent renforcer la sécurité de leurs rôles en exigeant un identifiant externe facultatif. Saisissez un ID qui peut être une combinaison de n’importe quels caractères.

• Cliquez sur Autorisations.

• Dans la page Attacher des politiques d’autorisations, cliquez sur Créer une politique.

La liste des autorisations de Citrix est fournie dans la boîte suivante :

{
"Version": "2012-10-17",
"Statement":
[
    {
         "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstances",
            "ec2:DescribeImageAttribute",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:DescribeSubnets",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:DescribeTags",
            "ec2:DescribeVolumeStatus",
            "ec2:DescribeVolumes",
            "ec2:DescribeVolumeAttribute",
            "ec2:CreateTags",
            "ec2:DeleteTags",
            "ec2:CreateKeyPair",
            "ec2:DeleteKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:RunScheduledInstances",
            "ec2:ReportInstanceStatus",
            "ec2:StartInstances",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:ModifyInstanceAttribute",
            "ec2:AssignPrivateIpAddresses",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:CreateNetworkInterface",
            "ec2:AttachNetworkInterface",
            "ec2:DetachNetworkInterface",
            "ec2:DeleteNetworkInterface",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:AssociateAddress",
            "ec2:AllocateAddress",
            "ec2:ReleaseAddress",
            "ec2:DisassociateAddress",
            "ec2:GetConsoleOutput"
        ],
            "Resource": "*"
    }
]
}
<!--NeedCopy-->

• Copiez et collez la liste des autorisations dans l’onglet JSON et cliquez sur Vérifier la politique.

• Dans la page Vérifier la politique, saisissez un nom pour la politique, entrez une description et cliquez sur Créer la politique.

Pour créer un site dans Citrix ADM

Créez un site dans Citrix ADM et ajoutez les détails du VPC associé au rôle AWS.

1. Dans Citrix ADM, accédez à Réseaux > Sites.

2. Cliquez sur Ajouter.

3. Sélectionnez le type de service comme AWS et activez Utiliser un VPC existant comme site.

4. Sélectionnez le profil d’accès au cloud.

5. Si le profil d’accès au cloud n’existe pas dans le champ, cliquez sur Ajouter pour créer un profil.

   1. Dans la page Créer un profil d’accès au cloud, saisissez le nom du profil avec lequel les utilisateurs souhaitent accéder à AWS.

   2. Saisissez l’ARN associé au rôle que les utilisateurs ont créé dans AWS.

   3. Saisissez l’ID externe que les utilisateurs ont fourni lors de la création d’un rôle IAM (Identity and Access Management) dans AWS. Voir l’étape 4 dans la tâche « Pour créer un rôle IAM et définir une politique ». Assurez-vous que le nom du rôle IAM que vous avez spécifié dans AWS commence par « Citrix-ADM- » et qu’il apparaît correctement dans l’ARN du rôle.

Les détails du VPC, tels que la région, l’ID du VPC, le nom et le bloc CIDR, associés au rôle IAM de l’utilisateur dans AWS sont importés dans Citrix ADM.

1. Saisissez un nom pour le site.

2. Cliquez sur Créer.

Pour provisionner Citrix ADC VPX sur AWS

Utilisez le site que les utilisateurs ont créé précédemment pour provisionner les instances Citrix ADC VPX sur AWS. Fournissez les détails de l’agent de service Citrix ADM pour provisionner les instances liées à cet agent.

1. Dans Citrix ADM, accédez à Réseaux > Instances > Citrix ADC.

2. Dans l’onglet VPX, cliquez sur Provisionner.

Cette option affiche la page Provisionner Citrix ADC VPX sur le cloud.

1. Sélectionnez Amazon Web Services (AWS) et cliquez sur Suivant.

2. Dans Paramètres de base, sélectionnez le Type d’instance dans la liste.

   • Autonome : Cette option provisionne une instance Citrix ADC VPX autonome sur AWS.

   • HA : Cette option provisionne les instances Citrix ADC VPX à haute disponibilité sur AWS.

   Pour provisionner les instances Citrix ADC VPX dans la même zone, sélectionnez l’option Zone unique sous Type de zone.

   Pour provisionner les instances Citrix ADC VPX sur plusieurs zones, sélectionnez l’option Multi-zone sous Type de zone. Dans l’onglet Paramètres du cloud, assurez-vous de spécifier les détails du réseau pour chaque zone créée sur AWS.

   

   • Spécifiez le nom de votre instance Citrix ADC VPX.

   • Dans Site, sélectionnez le site que vous avez créé précédemment.

   • Dans Agent, sélectionnez l’agent créé pour gérer votre instance Citrix ADC VPX.

   • Dans Profil d’accès au cloud, sélectionnez le profil d’accès au cloud créé lors de la création du site.

   • Dans Profil de périphérique, sélectionnez le profil pour fournir l’authentification.

   Citrix ADM utilise le profil de périphérique lorsqu’il doit se connecter à l’instance Citrix ADC VPX.

   • Cliquez sur Suivant.

3. Dans Paramètres du cloud,

   • Sélectionnez le rôle IAM Citrix créé dans AWS. Un rôle IAM est une identité AWS avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS.

   • Dans le champ Produit, sélectionnez la version du produit Citrix ADC que les utilisateurs souhaitent provisionner.

   • Sélectionnez le type d’instance EC2 dans la liste Type d’instance.

   • Sélectionnez la Version de Citrix ADC que les utilisateurs souhaitent provisionner. Sélectionnez les versions Majeure et Mineure de Citrix ADC.

   • Dans Groupes de sécurité, sélectionnez les groupes de sécurité Gestion, Client et Serveur que les utilisateurs ont créés dans leur réseau virtuel.

   • Dans Adresses IP dans le sous-réseau du serveur par nœud, sélectionnez le nombre d’adresses IP dans le sous-réseau du serveur par nœud pour le groupe de sécurité.

   • Dans Sous-réseaux, sélectionnez les sous-réseaux Gestion, Client et Serveur pour chaque zone créés dans AWS. Les utilisateurs peuvent également sélectionner la région dans la liste Zone de disponibilité.

4. Cliquez sur Terminer.

L’instance Citrix ADC VPX est maintenant provisionnée sur AWS.

Remarque : Actuellement, Citrix ADM ne prend pas en charge le déprovisionnement des instances Citrix ADC depuis AWS.

Pour afficher le Citrix ADC VPX provisionné dans AWS

1. Depuis la page d’accueil AWS, accédez à Services et cliquez sur EC2.

2. Sur la page Resources, cliquez sur Running Instances.

3. Les utilisateurs peuvent afficher le Citrix ADC VPX provisionné dans AWS.

Le nom de l’instance Citrix ADC VPX est le même que celui fourni par les utilisateurs lors du provisionnement de l’instance dans Citrix ADM.

Pour afficher le Citrix ADC VPX provisionné dans Citrix ADM

1. Dans Citrix ADM, accédez à Networks > Instances > Citrix ADC.

2. Sélectionnez l’onglet Citrix ADC VPX.

3. L’instance Citrix ADC VPX provisionnée dans AWS est listée ici.

Mise à l’échelle automatique de Citrix ADC dans AWS à l’aide de Citrix ADM

Architecture de la mise à l’échelle automatique

Le diagramme suivant illustre l’architecture de la fonctionnalité de mise à l’échelle automatique avec DNS comme distributeur de trafic.

Le diagramme suivant illustre l’architecture de la fonctionnalité de mise à l’échelle automatique avec NLB comme distributeur de trafic.

Citrix Application Delivery Management (ADM)

Citrix Application Delivery Management est une solution basée sur le Web pour gérer tous les déploiements Citrix ADC qui sont déployés sur site ou dans le cloud. Vous pouvez utiliser cette solution cloud pour gérer, surveiller et dépanner l’ensemble de l’infrastructure globale de livraison d’applications à partir d’une console unique, unifiée et centralisée basée sur le cloud. Citrix Application Delivery Management (ADM) offre toutes les capacités nécessaires pour configurer, déployer et gérer rapidement la livraison d’applications dans les déploiements Citrix ADC, avec des analyses riches sur la santé, les performances et la sécurité des applications.

Les groupes de mise à l’échelle automatique sont créés dans Citrix ADM et les instances Citrix ADC VPX sont provisionnées à partir de Citrix ADM. L’application est ensuite déployée via des StyleBooks dans Citrix ADM.

Distributeurs de trafic (NLB ou DNS/Route53)

NLB ou DNS/Route53 est utilisé pour distribuer le trafic entre tous les nœuds d’un groupe de mise à l’échelle automatique. Voir Modes de distribution de trafic de mise à l’échelle automatique pour plus d’informations.

Le Citrix ADM communique avec le distributeur de trafic pour mettre à jour le domaine d’application et les adresses IP des serveurs virtuels d’équilibrage de charge qui se trouvent en frontal de l’application.

Groupe de mise à l’échelle automatique Citrix ADM

Un groupe de mise à l’échelle automatique est un groupe d’instances Citrix ADC qui équilibre la charge des applications en tant qu’entité unique et déclenche la mise à l’échelle automatique en fonction des valeurs de paramètres de seuil configurées.

Clusters Citrix ADC

Un cluster Citrix ADC est un groupe d’instances Citrix ADC VPX et chaque instance est appelée un nœud. Le trafic client est distribué entre les nœuds pour offrir une haute disponibilité, un débit élevé et une évolutivité.

Remarque :

Les décisions de mise à l’échelle automatique sont prises au niveau du cluster et non au niveau du nœud.

• Les clusters indépendants sont hébergés dans différentes zones de disponibilité et, par conséquent, la prise en charge de certaines fonctionnalités d’état partagé est limitée.

• Les sessions de persistance, telles que la persistance basée sur l’adresse IP source et d’autres, à l’exception de la persistance basée sur les cookies, ne peuvent pas être partagées entre les clusters. Cependant, toutes les fonctionnalités sans état, comme les méthodes d’équilibrage de charge, fonctionnent comme prévu sur les multiples zones de disponibilité.

Groupes de mise à l’échelle automatique AWS

Un groupe de mise à l’échelle automatique AWS est une collection d’instances EC2 qui partagent des caractéristiques similaires et sont traitées comme un regroupement logique aux fins de la mise à l’échelle et de la gestion des instances.

Zones de disponibilité AWS

Une zone de disponibilité AWS est un emplacement isolé au sein d’une région. Chaque région est composée de plusieurs zones de disponibilité. Chaque zone de disponibilité appartient à une seule région.

Modes de distribution du trafic

À mesure que les utilisateurs déplacent le déploiement de leurs applications vers le cloud, la mise à l’échelle automatique fait partie de l’infrastructure. Lorsque les applications augmentent ou diminuent leur échelle à l’aide de la mise à l’échelle automatique, ces modifications doivent être propagées au client. Cette propagation est réalisée à l’aide de la mise à l’échelle automatique basée sur DNS ou NLB.

Cas d’utilisation de la distribution du trafic

Mise à l’échelle automatique basée sur NLB

En mode de déploiement basé sur NLB, le niveau de distribution vers les nœuds du cluster est l’équilibreur de charge réseau AWS.

Dans la mise à l’échelle automatique basée sur NLB, une seule adresse IP statique est proposée par zone de disponibilité. Il s’agit de l’adresse IP publique qui est ajoutée à route53 et les adresses IP du backend peuvent être privées. Avec cette adresse IP publique, toute nouvelle instance Citrix ADC provisionnée pendant la mise à l’échelle automatique fonctionne à l’aide d’adresses IP privées et ne nécessite pas d’adresses IP publiques supplémentaires.

Utilisez la mise à l’échelle automatique basée sur NLB pour gérer le trafic TCP. Utilisez la mise à l’échelle automatique basée sur DNS pour gérer le trafic UDP.

Mise à l’échelle automatique basée sur DNS

Dans la mise à l’échelle automatique basée sur DNS, le DNS agit comme couche de distribution vers les nœuds du cluster Citrix ADC. Les modifications de mise à l’échelle sont propagées au client en mettant à jour le nom de domaine correspondant à l’application. Actuellement, le fournisseur DNS est AWS Route53.

Remarque :

Dans la mise à l’échelle automatique basée sur DNS, chaque instance Citrix ADC nécessite une adresse IP publique. Important :

La mise à l’échelle automatique prend en charge toutes les fonctionnalités de Citrix ADC, à l’exception des fonctionnalités suivantes qui nécessitent une configuration spotted sur les nœuds du cluster :

• Serveurs virtuels GSLB

• Citrix Gateway et ses fonctionnalités

• Fonctionnalités Telco

Pour plus d’informations sur la configuration spotted, consultez Configurations Striped, Partially Striped et Spotted.

Fonctionnement de la mise à l’échelle automatique

L’organigramme suivant illustre le flux de travail de la mise à l’échelle automatique.

Le Citrix ADM collecte des statistiques (utilisation du CPU, utilisation de la mémoire, débit) des clusters provisionnés pour la mise à l’échelle automatique à un intervalle d’une minute.

Les statistiques sont évaluées par rapport aux seuils de configuration. Selon que les statistiques dépassent le seuil maximal ou fonctionnent en dessous du seuil minimal, une mise à l’échelle horizontale (scale-out) ou une mise à l’échelle verticale (scale-in) est déclenchée respectivement.

• Si une mise à l’échelle horizontale est déclenchée :

  • De nouveaux nœuds sont provisionnés.

  • Les nœuds sont attachés au cluster et la configuration est synchronisée du cluster vers le nouveau nœud.

  • Les nœuds sont enregistrés auprès de Citrix ADM.

  • Les adresses IP des nouveaux nœuds sont mises à jour dans DNS/NLB.

Lorsque l’application est déployée, un IPset est créé sur les clusters dans chaque zone de disponibilité et le domaine et les adresses IP des instances sont enregistrés auprès de DNS/NLB.

• Si un scale-in est déclenché :

  • Les adresses IP des nœuds identifiés pour suppression sont supprimées.

  • Les nœuds sont détachés du cluster, déprovisionnés, puis désenregistrés de Citrix ADM.

Lorsque l’application est supprimée, le domaine et les adresses IP des instances sont désenregistrés de DNS/NLB et l’IPset est supprimé.

Exemple

Considérons que les utilisateurs ont créé un groupe de mise à l’échelle automatique nommé asg_arn dans une seule zone de disponibilité avec la configuration suivante.

• Paramètre de seuil – Utilisation de la mémoire

• Limite minimale : 40

• Limite maximale : 85

• Temps de surveillance – 3 minutes

• Période de temporisation – 10 minutes

• Délai d’expiration de la vidange des connexions – 10 minutes

• Délai d’expiration TTL – 60 secondes

Une fois le groupe de mise à l’échelle automatique créé, des statistiques sont collectées à partir de celui-ci. La politique de mise à l’échelle automatique évalue également si un événement de mise à l’échelle automatique est en cours et, si c’est le cas, elle attend que cet événement se termine avant de collecter les statistiques.

Séquence des événements

• T1 et T2 : L’utilisation de la mémoire dépasse la limite de seuil maximale.

• T3 - L’utilisation de la mémoire est inférieure aux limites de seuil maximales.

• T6, T5, T4 : L’utilisation de la mémoire a dépassé la limite de seuil maximale consécutivement pendant trois durées de surveillance.

  • Une mise à l’échelle horizontale est déclenchée.

  • Le provisionnement des nœuds a lieu.

  • La période de temporisation est en vigueur.

• T7 – T16 : L’évaluation de la mise à l’échelle automatique est ignorée pour cette zone de disponibilité de T7 à T16 car la période de temporisation est en vigueur.

• T18, T19, T20 - L’utilisation de la mémoire a dépassé la limite de seuil minimale consécutivement pendant trois durées de surveillance.

  • Une réduction d’échelle est déclenchée.

  • Le délai d’expiration de la connexion de vidange est en vigueur.

  • Les adresses IP sont libérées du DNS/NLB.

• T21 – T30 : L’évaluation de l’autoscaling est ignorée pour cette zone de disponibilité de T21 à T30, car le délai d’expiration de la connexion de vidange est en vigueur.

• T31

  • Pour l’autoscaling basé sur DNS, le TTL est en vigueur.

  • Pour l’autoscaling basé sur NLB, le déprovisionnement des instances a lieu.

• T32

  • Pour l’autoscaling basé sur NLB, l’évaluation des statistiques commence.

  • Pour l’autoscaling basé sur DNS, le déprovisionnement des instances a lieu.

• T33 : Pour l’autoscaling basé sur DNS, l’évaluation des statistiques commence.

Configuration de l’autoscaling

Pour démarrer l’autoscaling des instances Citrix ADC VPX dans AWS, les utilisateurs doivent suivre les étapes suivantes :

• Remplissez toutes les conditions préalables sur AWS répertoriées dans la section Prérequis AWS de ce guide.

• Remplissez toutes les conditions préalables répertoriées sur Citrix ADM dans la section Prérequis Citrix ADM de ce guide.

• Créer des groupes de mise à l’échelle automatique :

  • Initialiser la configuration de mise à l’échelle automatique.

  • Configurer les paramètres de mise à l’échelle automatique.

  • Extraire les licences.

  • Configurer les paramètres cloud.

• Déployer l’application.

Les sections suivantes aident les utilisateurs à effectuer toutes les tâches nécessaires dans AWS avant qu’ils ne créent des groupes de mise à l’échelle automatique dans Citrix ADM. Les tâches que les utilisateurs doivent accomplir sont les suivantes :

• S’abonner à l’instance Citrix ADC VPX requise sur AWS.

• Créer le VPC requis ou sélectionner un VPC existant.

• Définir les sous-réseaux et les groupes de sécurité correspondants.

• Créer deux rôles IAM, un pour Citrix ADM et un pour l’instance Citrix ADC VPX.

Conseil :

Les utilisateurs peuvent utiliser les modèles AWS CloudFormation pour automatiser l’étape des prérequis AWS pour la mise à l’échelle automatique de Citrix ADC en visitant : citrix-adc-aws-cloudformation/templates.

Pour plus d’informations sur la création de VPC, de sous-réseaux et de groupes de sécurité, consultez : Documentation AWS.

S’abonner à la licence Citrix ADC VPX dans AWS

• Accéder à : AWS Marketplace.

• Connectez-vous avec vos identifiants.

• Recherchez l’édition Citrix ADC VPX Customer Licensed, Premium ou Advanced.

• Abonnez-vous aux licences Citrix ADC VPX Customer Licensed, Premium Edition ou Citrix ADC VPX Advanced Edition.

Remarque :

Si les utilisateurs choisissent l’édition Customer Licensed, le groupe de mise à l’échelle automatique extrait les licences de Citrix ADM lors du provisionnement des instances Citrix ADC.

Créer des sous-réseaux

Créez trois sous-réseaux dans le VPC de l’utilisateur - un pour les connexions de gestion, un pour les connexions client et un pour les connexions serveur. Spécifiez un bloc CIDR IPv4 à partir de la plage définie dans le VPC de l’utilisateur pour chacun des sous-réseaux. Spécifiez la zone de disponibilité dans laquelle les utilisateurs souhaitent que le sous-réseau réside. Créez les trois sous-réseaux dans chacune des zones de disponibilité où des serveurs sont présents.

• Gestion. Sous-réseau existant dans le Virtual Private Cloud (VPC) de l’utilisateur, dédié à la gestion. Citrix ADC doit contacter les services AWS et nécessite un accès Internet. Configurez une passerelle NAT et ajoutez une entrée de table de routage pour autoriser l’accès Internet depuis ce sous-réseau.

• Client. Sous-réseau existant dans le Virtual Private Cloud (VPC) de l’utilisateur, dédié au côté client. Généralement, Citrix ADC reçoit le trafic client pour l’application via un sous-réseau public depuis Internet. Associez le sous-réseau client à une table de routage qui a une route vers une passerelle Internet. Cela permet à Citrix ADC de recevoir le trafic d’application depuis Internet.

• Serveur. Un sous-réseau serveur où les serveurs d’applications sont provisionnés. Tous les serveurs d’applications utilisateur sont présents dans ce sous-réseau et reçoivent le trafic d’application de Citrix ADC via ce sous-réseau.

Créer des groupes de sécurité

• Gestion. Groupe de sécurité existant dans votre compte, dédié à la gestion de Citrix ADC VPX. Les règles entrantes doivent être autorisées sur les ports TCP et UDP suivants.

  • TCP : 80, 22, 443, 3008–3011, 4001

  • UDP : 67, 123, 161, 500, 3003, 4500, 7000

  Assurez-vous que le groupe de sécurité permet à l’agent Citrix ADM d’accéder au VPX.

• Client. Groupe de sécurité existant dans le compte utilisateur dédié à la communication côté client des instances Citrix ADC VPX. Généralement, les règles entrantes sont autorisées sur les ports TCP 80, 22 et 443.

• Serveur. Groupe de sécurité existant dans le compte utilisateur dédié à la communication côté serveur de Citrix ADC VPX.

Créer des rôles IAM

En plus de créer un rôle IAM et de définir une politique, les utilisateurs doivent également créer un profil d’instance dans AWS. Les rôles IAM permettent à Citrix ADM de provisionner des instances Citrix ADC, de créer ou de supprimer des entrées Route53.

Alors que les rôles définissent « que puis-je faire ? », ils ne définissent pas « qui suis-je ? ». AWS EC2 utilise un profil d’instance comme conteneur pour un rôle IAM. Un profil d’instance est un conteneur pour un rôle IAM que les utilisateurs peuvent utiliser pour transmettre des informations de rôle à une instance EC2 lorsque l’instance démarre.

Lorsque les utilisateurs créent un rôle IAM à l’aide de la console, la console crée automatiquement un profil d’instance et lui donne le même nom que le rôle auquel il correspond. Les rôles fournissent un mécanisme pour définir une collection d’autorisations. Un utilisateur IAM représente une personne et un profil d’instance représente les instances EC2. Si un utilisateur a le rôle « A » et qu’une instance a un profil d’instance attaché à « A », ces deux principaux peuvent accéder aux mêmes ressources de la même manière.

Remarque :

Assurez-vous que les noms de rôle commencent par « Citrix-ADM- » et que le nom du profil d’instance commence par « Citrix-ADC- ».

Pour créer un rôle IAM

Créez un rôle IAM afin d’établir une relation de confiance entre vos utilisateurs et le compte AWS approuvé par Citrix, et de créer une politique avec les autorisations Citrix.

• Dans AWS, cliquez sur Services. Dans le volet de navigation de gauche, sélectionnez IAM > Rôles > Créer un rôle.

• Les utilisateurs connectent le compte AWS utilisateur au compte AWS dans Citrix ADM. Par conséquent, sélectionnez Autre compte AWS pour permettre à Citrix ADM d’effectuer des actions dans le compte AWS utilisateur.

• Saisissez l’ID de compte AWS Citrix ADM à 12 chiffres. L’ID Citrix est 835822366011. Les utilisateurs peuvent également trouver l’ID Citrix dans Citrix ADM lorsqu’ils créent le profil d’accès au cloud.

• Cliquez sur Autorisations.

• Dans la page Attacher des politiques d’autorisations, cliquez sur Créer une politique.

• Les utilisateurs peuvent créer et modifier une politique dans l’éditeur visuel ou en utilisant JSON.

La liste des autorisations de Citrix pour Citrix ADM est fournie dans la boîte suivante :

{
"Version": "2012-10-17",
"Statement": [
    {
        "Action": [
            "ec2:DescribeInstances",
            "ec2:UnmonitorInstances",
            "ec2:MonitorInstances",
            "ec2:CreateKeyPair",
            "ec2:ResetInstanceAttribute",
            "ec2:ReportInstanceStatus",
            "ec2:DescribeVolumeStatus",
            "ec2:StartInstances",
            "ec2:DescribeVolumes",
            "ec2:UnassignPrivateIpAddresses",
            "ec2:DescribeKeyPairs",
            "ec2:CreateTags",
            "ec2:ResetNetworkInterfaceAttribute",
            "ec2:ModifyNetworkInterfaceAttribute",
            "ec2:DeleteNetworkInterface",
            "ec2:RunInstances",
            "ec2:StopInstances",
            "ec2:AssignPrivateIpAddresses",
            "ec2:DescribeVolumeAttribute",
            "ec2:DescribeInstanceCreditSpecifications",
            "ec2:CreateNetworkInterface",
            "ec2:DescribeImageAttribute",
            "ec2:AssociateAddress",
            "ec2:DescribeSubnets",
            "ec2:DeleteKeyPair",
            "ec2:DisassociateAddress",
            "ec2:DescribeAddresses",
            "ec2:DeleteTags",
            "ec2:RunScheduledInstances",
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeRegions",
            "ec2:DescribeDhcpOptions",
            "ec2:GetConsoleOutput",
            "ec2:DescribeNetworkInterfaces",
            "ec2:DescribeAvailabilityZones",
            "ec2:DescribeNetworkInterfaceAttribute",
            "ec2:ModifyInstanceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:ReleaseAddress",
            "ec2:RebootInstances",
            "ec2:TerminateInstances",
            "ec2:DetachNetworkInterface",
            "ec2:DescribeIamInstanceProfileAssociations",
            "ec2:DescribeTags",
            "ec2:AllocateAddress",
            "ec2:DescribeSecurityGroups",
            "ec2:DescribeHosts",
            "ec2:DescribeImages",
            "ec2:DescribeVpcs",
            "ec2:AttachNetworkInterface",
            "ec2:AssociateIamInstanceProfile",
            "ec2:DescribeAccountAttributes",
            "ec2:DescribeInternetGateways"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor0"
    },
    {
        "Action": [
            "iam:GetRole",
            "iam:PassRole",
            "iam:CreateServiceLinkedRole"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor1"
    },
    {
        "Action": [
            "route53:CreateHostedZone",
            "route53:CreateHealthCheck",
            "route53:GetHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:ChangeTagsForResource",
            "route53:DeleteHostedZone",
            "route53:DeleteHealthCheck",
            "route53:ListHostedZonesByName",
            "route53:GetHealthCheckCount"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor2"
    },
    {
        "Action": [
            "iam:ListInstanceProfiles",
            "iam:ListAttachedRolePolicies",
            "iam:SimulatePrincipalPolicy",
            "iam:SimulatePrincipalPolicy"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor3"
    },
    {
        "Action": [
            "ec2:ReleaseAddress",
            "elasticloadbalancing:DeleteLoadBalancer",
            "ec2:DescribeAddresses",
            "elasticloadbalancing:CreateListener",
            "elasticloadbalancing:CreateLoadBalancer",
            "elasticloadbalancing:RegisterTargets",
            "elasticloadbalancing:CreateTargetGroup",
            "elasticloadbalancing:DeregisterTargets",
            "ec2:DescribeSubnets",
            "elasticloadbalancing:DeleteTargetGroup",
            "elasticloadbalancing:ModifyTargetGroupAttributes",
            "ec2:AllocateAddress"
        ],
        "Resource": "*",
        "Effect": "Allow",
        "Sid": "VisualEditor4"
    }
  ]
}
<!--NeedCopy-->

• Copiez et collez la liste des autorisations dans l’onglet JSON et cliquez sur Vérifier la politique.

• Dans la page Vérifier la politique, saisissez un nom pour la politique, entrez une description, et cliquez sur Créer une politique.

Remarque :

Assurez-vous que le nom commence par « Citrix-ADM- ».

• Dans la page Créer un rôle, saisissez le nom du rôle.

Remarque :

Assurez-vous que le nom du rôle commence par « Citrix-ADM- ».

• Cliquez sur Créer un rôle.

De même, créez un profil pour les instances Citrix ADC en fournissant un nom différent commençant par Citrix-ADC-. Attachez une politique avec les autorisations fournies par Citrix pour qu’AWS puisse accéder aux instances Citrix ADC.

Assurez-vous que les utilisateurs sélectionnent AWS service > EC2, puis cliquez sur Autorisations pour créer un profil d’instance. Ajoutez la liste des autorisations fournies par Citrix.

La liste des autorisations de Citrix pour les instances Citrix ADC est fournie dans la boîte suivante :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "VisualEditor0",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:SimulatePrincipalPolicy",
        "autoscaling:*",
        "sns:*",
        "sqs:*",
        "cloudwatch:*",
        "ec2:AssignPrivateIpAddresses",
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DetachNetworkInterface",
        "ec2:AttachNetworkInterface",
        "ec2:StartInstances",
        "ec2:StopInstances"
      ],
      "Resource": "*"
    }
  ]
}
<!--NeedCopy-->

Enregistrer le domaine DNS

Les utilisateurs doivent également s’assurer qu’ils ont enregistré le domaine DNS pour héberger leurs applications.

Évaluez le nombre d’adresses IP élastiques (EIP) requises dans le réseau utilisateur.

Le nombre d’EIP requis varie selon que les utilisateurs déploient l’autoscaling basé sur DNS ou l’autoscaling basé sur NLB. Pour augmenter le nombre d’EIP, créez un cas auprès d’AWS.

• Pour l’autoscaling basé sur DNS, le nombre d’EIP requis par zone de disponibilité est égal au nombre d’applications multiplié par le nombre maximal d’instances VPX que les utilisateurs souhaitent configurer dans les groupes d’autoscaling.

• Pour l’autoscaling basé sur NLB, le nombre d’EIP requis est égal au nombre d’applications multiplié par le nombre de zones de disponibilité dans lesquelles les applications sont déployées.

Évaluer les exigences de limite d’instances

Lors de l’évaluation des limites d’instances, assurez-vous que les utilisateurs prennent également en compte les exigences d’espace pour les instances Citrix ADC.

Créer des groupes d’autoscaling

Initialiser la configuration d’autoscaling

• Dans Citrix ADM, accédez à Réseaux > Groupes d’autoscaling.

• Cliquez sur Ajouter pour créer des groupes d’autoscaling. La page Créer un groupe d’autoscaling s’affiche.

• Saisissez les détails suivants.

  • Nom. Saisissez un nom pour le groupe de mise à l’échelle automatique.

  • Site. Sélectionnez le site que les utilisateurs ont créé pour provisionner les instances Citrix ADC VPX sur AWS.

  • Agent. Sélectionnez l’agent Citrix ADM qui gère les instances provisionnées.

  • Profil d’accès au cloud. Sélectionnez le profil d’accès au cloud.

  Remarque :

  Si le profil d’accès au cloud n’existe pas dans le champ, cliquez sur Ajouter pour créer un profil.

  • Saisissez l’ARN associé au rôle que vous avez créé dans AWS.

  • Saisissez l’ID externe que les utilisateurs ont fourni lors de la création d’un rôle IAM (Identity and Access Management) dans AWS. Selon le profil d’accès au cloud sélectionné par les utilisateurs, les zones de disponibilité sont renseignées.

  • Profil de périphérique. Sélectionnez le profil de périphérique dans la liste. Le profil de périphérique sera utilisé par Citrix ADM chaque fois qu’il devra se connecter à l’instance.

  • Mode de distribution du trafic. L’option Équilibrage de charge à l’aide de NLB est sélectionnée comme mode de distribution du trafic par défaut. Si les applications utilisent le trafic UDP, sélectionnez DNS à l’aide d’AWS route53.

Remarque :

Une fois la configuration de mise à l’échelle automatique configurée, de nouvelles zones de disponibilité ne peuvent pas être ajoutées et les zones de disponibilité existantes ne peuvent pas être supprimées.

• Activer le groupe de mise à l’échelle automatique. Activez ou désactivez l’état des groupes ASG. Cette option est activée par défaut. Si cette option est désactivée, la mise à l’échelle automatique n’est pas déclenchée.

• Zones de disponibilité. Sélectionnez les zones dans lesquelles vous souhaitez créer les groupes de mise à l’échelle automatique. Selon le profil d’accès au cloud que vous avez sélectionné, les zones de disponibilité spécifiques à ce profil sont renseignées.

• Balises. Saisissez la paire clé-valeur pour les balises du groupe de mise à l’échelle automatique. Une balise se compose d’une paire clé-valeur sensible à la casse. Ces balises vous permettent d’organiser et d’identifier facilement les groupes de mise à l’échelle automatique. Les balises sont appliquées à la fois à AWS et à Citrix ADM.

• Cliquez sur Suivant.

Configuration des paramètres Autoscale

• Dans l’onglet Paramètres Autoscale, saisissez les détails suivants.

• Sélectionnez un ou plusieurs des paramètres de seuil suivants dont les valeurs doivent être surveillées pour déclencher une augmentation d’échelle ou une réduction d’échelle.

  • Activer le seuil d’utilisation du CPU : Surveillez les métriques basées sur l’utilisation du CPU.

  • Activer le seuil d’utilisation de la mémoire : Surveillez les métriques basées sur l’utilisation de la mémoire.

  • Activer le seuil de débit : Surveillez les métriques basées sur le débit.

Remarque :

1. La limite de seuil minimale par défaut est de 30 et la limite de seuil maximale est de 70. Cependant, les utilisateurs peuvent modifier les limites.
2. La limite de seuil minimale doit être égale ou inférieure à la moitié de la limite de seuil maximale.
3. Plusieurs paramètres de seuil peuvent être sélectionnés pour la surveillance. Dans de tels cas, une réduction d’échelle est déclenchée si au moins un des paramètres de seuil est supérieur au seuil maximal. Cependant, une réduction d’échelle n’est déclenchée que si tous les paramètres de seuil fonctionnent en dessous de leurs seuils normaux.

• Instances minimales. Sélectionnez le nombre minimal d’instances qui doivent être provisionnées pour ce groupe Autoscale.

• Par défaut, le nombre minimal d’instances est égal au nombre de zones sélectionnées. Les utilisateurs peuvent augmenter le nombre minimal d’instances par multiples du nombre de zones.

• Par exemple, si le nombre de zones de disponibilité est de 4, le nombre minimal d’instances est de 4 par défaut. Les utilisateurs peuvent augmenter le nombre minimal d’instances de 8, 12, 16.

• Instances maximales. Sélectionnez le nombre maximal d’instances à provisionner pour ce groupe de mise à l’échelle automatique.

• Le nombre maximal d’instances doit être supérieur ou égal à la valeur minimale d’instances. Le nombre maximal d’instances pouvant être configurées est égal au nombre de zones de disponibilité multiplié par 32.

• Nombre maximal d’instances = nombre de zones de disponibilité * 32.

• Délai d’expiration de la vidange des connexions (minutes). Sélectionnez la période de délai d’expiration de la vidange des connexions. Lors de la réduction d’échelle, une fois qu’une instance est sélectionnée pour le déprovisionnement, Citrix ADM supprime l’instance du traitement des nouvelles connexions vers le groupe de mise à l’échelle automatique et attend que le temps spécifié expire avant le déprovisionnement. Cela permet de vider les connexions existantes vers cette instance avant qu’elle ne soit déprovisionnée.

• Période de temporisation (minutes). Sélectionnez la période de temporisation. Lors de la mise à l’échelle, la période de temporisation est le temps pendant lequel l’évaluation des statistiques doit être arrêtée après une mise à l’échelle. Cela garantit une croissance organique des instances d’un groupe de mise à l’échelle automatique en permettant au trafic actuel de se stabiliser et de se moyenner sur l’ensemble d’instances actuel avant que la prochaine décision de mise à l’échelle ne soit prise.

• Durée de vie DNS (secondes). Sélectionnez la durée (en secondes) pendant laquelle un paquet est défini pour exister dans un réseau avant d’être écarté par un routeur. Ce paramètre est applicable uniquement lorsque le mode de distribution du trafic est DNS utilisant AWS route53.

• Temps de surveillance (minutes). Sélectionnez la durée du temps de surveillance. C’est le temps pendant lequel le seuil du paramètre d’échelle doit rester dépassé pour qu’une mise à l’échelle se produise. Si le seuil est dépassé sur tous les échantillons collectés pendant ce temps spécifié, alors une mise à l’échelle se produit.

• Cliquez sur Suivant.

Configurer les licences pour le provisionnement des instances Citrix ADC

Sélectionnez l’un des modes suivants pour attribuer des licences aux instances Citrix ADC qui font partie de votre groupe de mise à l’échelle automatique :

• Utilisation de Citrix ADM : Lors du provisionnement des instances Citrix ADC, le groupe de mise à l’échelle automatique extrait les licences de Citrix ADM.

• Utilisation d’AWS Cloud : L’option Allouer depuis le Cloud utilise les licences de produits Citrix disponibles sur la place de marché AWS. Lors du provisionnement des instances Citrix ADC, le groupe de mise à l’échelle automatique utilise les licences de la place de marché.

  • Si les utilisateurs choisissent d’utiliser des licences de la place de marché AWS, spécifiez le produit ou la licence dans l’onglet Paramètres du Cloud.

  • Pour plus d’informations, voir : Exigences en matière de licences.

Utiliser les licences de Citrix ADM

• Dans l’onglet Licence, sélectionnez Allouer depuis ADM.

• Dans Type de licence, sélectionnez l’une des options suivantes dans la liste :

  • Licences de bande passante : Les utilisateurs peuvent sélectionner l’une des options suivantes dans la liste Types de licences de bande passante :

  • Capacité mutualisée : Spécifiez la capacité à allouer pour chaque nouvelle instance dans le groupe de mise à l’échelle automatique.

  À partir du pool commun, chaque instance ADC du groupe de mise à l’échelle automatique extrait une licence d’instance et uniquement la bande passante spécifiée.

  • Licences VPX : Lorsqu’une instance Citrix ADC VPX est provisionnée, l’instance extrait la licence de Citrix ADM.

  • Licences de CPU virtuelles : L’instance Citrix ADC VPX provisionnée extrait les licences en fonction du nombre de CPU actifs exécutés dans le groupe de mise à l’échelle automatique.

Remarque : Lorsque les instances provisionnées sont supprimées ou détruites, les licences appliquées retournent au pool de licences Citrix ADM. Ces licences peuvent être réutilisées pour provisionner de nouvelles instances lors de votre prochaine mise à l’échelle automatique.

• Dans Édition de la licence, sélectionnez l’édition de la licence. Le groupe de mise à l’échelle automatique utilise l’édition spécifiée pour provisionner les instances.

• Cliquez sur Suivant.

Configurer les paramètres cloud

• Dans l’onglet Paramètres cloud, saisissez les détails suivants.

  • Rôle IAM : Sélectionnez le rôle IAM que les utilisateurs ont créé dans AWS. Un rôle IAM est une identité AWS dotée de politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS.

  • Produit : Sélectionnez la version du produit Citrix ADC que les utilisateurs souhaitent provisionner.

  • Version : Sélectionnez la version de publication et le numéro de build du produit Citrix ADC. Les versions de publication et les numéros de build sont automatiquement renseignés en fonction du produit sélectionné par les utilisateurs.

  • ID AMI AWS : Saisissez l’ID AMI spécifique à la région sélectionnée par les utilisateurs.

  • Type d’instance : Sélectionnez le type d’instance EC2.

Remarque :

Le type d’instance recommandé pour le produit sélectionné est automatiquement renseigné par défaut.

• Groupes de sécurité : Les groupes de sécurité contrôlent le trafic entrant et sortant dans l’instance Citrix ADC VPX. Les utilisateurs créent des règles pour le trafic entrant et sortant qu’ils souhaitent contrôler. Sélectionnez les valeurs appropriées pour les sous-réseaux suivants.

• Groupe dans le compte utilisateur dédié à la gestion des instances Citrix ADC VPX. Les règles entrantes doivent être autorisées sur les ports TCP et UDP suivants.

TCP: 80, 22, 443, 3008–3011, 4001 UDP: 67, 123, 161, 500, 3003, 4500, 7000

Assurez-vous que le groupe de sécurité permet à l’agent Citrix ADM d’accéder au VPX.

• Client. Groupe de sécurité existant dans le compte utilisateur dédié à la communication côté client des instances Citrix ADC VPX. Généralement, les règles entrantes sont autorisées sur les ports TCP 80, 22 et 443.

• Serveur. Groupe de sécurité existant dans le compte utilisateur dédié à la communication côté serveur de Citrix ADC VPX.

• Adresses IP dans le sous-réseau du serveur par nœud : Sélectionnez le nombre d’adresses IP dans le sous-réseau du serveur par nœud pour le groupe de sécurité.

• Zone : Le nombre de zones renseignées est égal au nombre de zones de disponibilité que les utilisateurs ont sélectionnées. Pour chaque zone, sélectionnez les valeurs appropriées pour les sous-réseaux suivants.

• Gestion. Sous-réseau existant dans le Virtual Private Cloud (VPC) de l’utilisateur dédié à la gestion. Citrix ADC doit contacter les services AWS et nécessite un accès à Internet. Configurez une passerelle NAT et ajoutez une entrée de table de routage pour autoriser l’accès à Internet depuis ce sous-réseau.

• Client. Sous-réseau existant dans le Virtual Private Cloud (VPC) de l’utilisateur dédié au côté client. Généralement, Citrix ADC reçoit le trafic client pour l’application via un sous-réseau public depuis Internet. Associez le sous-réseau client à une table de routage qui a une route vers une passerelle Internet. Cela permettra à Citrix ADC de recevoir le trafic d’application depuis Internet.

• Serveur. Les serveurs d’applications sont provisionnés dans un sous-réseau de serveurs. Tous les serveurs d’applications utilisateur seront présents dans ce sous-réseau et recevront le trafic d’application de Citrix ADC via ce sous-réseau.

• Cliquez sur Terminer.

Une fenêtre de progression affichant l’état de la création du groupe de mise à l’échelle automatique apparaît. La création et le provisionnement des groupes de mise à l’échelle automatique peuvent prendre plusieurs minutes.

Configurer l’application à l’aide de Stylebooks

• Dans Citrix ADM, accédez à Networks > Autoscale Groups.

• Sélectionnez le groupe de mise à l’échelle automatique que les utilisateurs ont créé et cliquez sur Configurer.

• La page Choisir un StyleBook affiche tous les StyleBooks disponibles pour que les clients puissent déployer des configurations dans les clusters de mise à l’échelle automatique.

  • Sélectionnez le StyleBook approprié. Par exemple, les utilisateurs peuvent utiliser le StyleBook d’équilibrage de charge HTTP/SSL. Les utilisateurs peuvent également importer de nouveaux StyleBooks.

  • Cliquez sur le StyleBook pour créer la configuration requise. Le StyleBook s’ouvre sous la forme d’une page d’interface utilisateur sur laquelle les utilisateurs peuvent saisir les valeurs de tous les paramètres définis dans ce StyleBook.

  • Saisissez les valeurs de tous les paramètres.

  • Si les utilisateurs créent des serveurs back-end dans AWS, sélectionnez Backend Server Configuration. Sélectionnez ensuite AWS EC2 Autoscaling > Cloud et saisissez les valeurs de tous les paramètres.

  

  • Quelques configurations facultatives peuvent être requises en fonction du StyleBook choisi par les utilisateurs. Par exemple, les utilisateurs peuvent avoir à créer des moniteurs, à fournir des paramètres de certificat SSL, et ainsi de suite.

  • Cliquez sur Create pour déployer la configuration sur le cluster Citrix ADC.

  • Le FQDN de l’application ou du serveur virtuel ne peut pas être modifié après sa configuration et son déploiement.

Le FQDN de l’application est résolu en adresse IP à l’aide du DNS. Étant donné que cet enregistrement DNS peut être mis en cache sur divers serveurs de noms, la modification du FQDN peut entraîner la perte du trafic.

• Le partage de sessions SSL fonctionne comme prévu au sein d’une zone de disponibilité, mais entre les zones de disponibilité, il nécessite une réauthentification.

Les sessions SSL sont synchronisées au sein du cluster. Étant donné que le groupe de mise à l’échelle automatique s’étendant sur plusieurs zones de disponibilité possède des clusters distincts dans chaque zone, les sessions SSL ne peuvent pas être synchronisées entre les zones.

• Les limites partagées, telles que le nombre maximal de clients et le débordement (spill-over), sont définies statiquement en fonction du nombre de zones de disponibilité. Cette limite doit être définie après un calcul manuel. Limite = « Limite requise » divisée par « nombre de zones ».

Les limites partagées sont distribuées automatiquement entre les nœuds au sein d’un cluster. Étant donné que le groupe de mise à l’échelle automatique s’étendant sur plusieurs zones de disponibilité possède des clusters distincts dans chaque zone, ces limites doivent être calculées manuellement.

Mettre à niveau les clusters Citrix ADC

Les utilisateurs doivent mettre à niveau manuellement les nœuds du cluster. Les utilisateurs mettent d’abord à niveau l’image des nœuds existants, puis mettent à jour l’AMI à partir de Citrix ADM.

Important :

Assurez-vous des points suivants lors d’une mise à niveau :

1. Aucun scale-in ou scale-out n’est déclenché.
2. Aucune modification de configuration ne doit être effectuée sur le cluster dans le groupe de mise à l’échelle automatique.
3. Les utilisateurs conservent une sauvegarde du fichier ns.conf de la version précédente. En cas d’échec d’une mise à niveau, les utilisateurs peuvent revenir à la version précédente.

Effectuez les étapes suivantes pour mettre à niveau les nœuds du cluster Citrix ADC.

• Désactivez le groupe de mise à l’échelle automatique sur le portail MAS ASG.

• Sélectionnez l’un des clusters au sein des groupes de mise à l’échelle automatique pour la mise à niveau.

• Suivez les étapes documentées dans la rubrique : Mise à niveau ou rétrogradation du cluster Citrix ADC.

Remarque :

1. Mettez à niveau un nœud du cluster.
2. Surveillez le trafic de l’application pour détecter toute défaillance.
3. Si les utilisateurs rencontrent des problèmes ou des défaillances, rétrogradez le nœud qui a été précédemment mis à niveau. Sinon, continuez la mise à niveau de tous les nœuds.

• Continuez à mettre à niveau les nœuds dans tous les clusters du groupe de mise à l’échelle automatique.

Remarque :

Si la mise à niveau d’un cluster échoue, rétrogradez tous les clusters du groupe de mise à l’échelle automatique vers la version précédente. Suivez les étapes documentées dans la rubrique Mise à niveau ou rétrogradation du cluster Citrix ADC.

• Après la mise à niveau réussie de tous les clusters, mettez à jour l’AMI sur le portail MAS ASG. L’AMI doit être de la même version que l’image utilisée pour la mise à niveau.

• Modifiez le groupe de mise à l’échelle automatique et saisissez l’AMI qui correspond à la version mise à niveau.

• Activez le groupe de mise à l’échelle automatique sur le portail ADM.

Modifier la configuration des groupes de mise à l’échelle automatique

• Les utilisateurs peuvent modifier la configuration d’un groupe de mise à l’échelle automatique ou supprimer un groupe de mise à l’échelle automatique. Les utilisateurs peuvent modifier uniquement les paramètres de groupe de mise à l’échelle automatique suivants.

  • Mode de distribution du trafic.

  • Limites maximale et minimale des paramètres de seuil.

  • Valeurs minimale et maximale des instances.

  • Valeur de la période de drainage des connexions.

  • Valeur de la période de temporisation.

  • Valeur de durée de vie (TTL) – Si le mode de distribution du trafic est DNS.

  • Valeur de la durée de surveillance.

• Les utilisateurs peuvent également supprimer les groupes de mise à l’échelle automatique après leur création.

Lorsque les utilisateurs suppriment un groupe de mise à l’échelle automatique, tous les domaines et adresses IP sont désenregistrés de DNS/NLB et les nœuds du cluster sont déprovisionnés.

Déploiement de modèle CloudFormation

Citrix ADC VPX est disponible sous forme d’Amazon Machine Images (AMI) sur la AWS Marketplace.

Avant d’utiliser un modèle CloudFormation pour provisionner un Citrix ADC VPX dans AWS, l’utilisateur AWS doit accepter les conditions et s’abonner au produit AWS Marketplace. Chaque édition du Citrix ADC VPX sur la Marketplace nécessite cette étape.

Chaque modèle du référentiel CloudFormation dispose d’une documentation colocalisée décrivant l’utilisation et l’architecture du modèle. Les modèles tentent de codifier l’architecture de déploiement recommandée du Citrix ADC VPX, ou de présenter le Citrix ADC à l’utilisateur, ou de démontrer une fonctionnalité, une édition ou une option particulière. Les utilisateurs peuvent réutiliser, modifier ou améliorer les modèles pour répondre à leurs besoins de production et de test. La plupart des modèles nécessitent des autorisations EC2 complètes en plus des autorisations de créer des rôles IAM.

Les modèles CloudFormation contiennent des ID AMI spécifiques à une version particulière du Citrix ADC VPX (par exemple, version 12.0–56.20) et à une édition (par exemple, Citrix ADC VPX Platinum Edition - 10 Mbps) OU Citrix ADC BYOL. Pour utiliser une version / édition différente du Citrix ADC VPX avec un modèle CloudFormation, l’utilisateur doit modifier le modèle et remplacer les ID AMI.

Les derniers ID AMI AWS de Citrix ADC sont disponibles à partir des modèles CloudFormation de Citrix ADC sur GitHub citrix-adc-aws-cloudformation/templates.

Déploiement CFT à trois cartes réseau

Ce modèle déploie un VPC, avec 3 sous-réseaux (gestion, client, serveur) pour 2 zones de disponibilité. Il déploie une passerelle Internet, avec une route par défaut sur les sous-réseaux publics. Ce modèle crée également une paire HA (haute disponibilité) à travers les zones de disponibilité avec deux instances de Citrix ADC : 3 ENI associées à 3 sous-réseaux VPC (gestion, client, serveur) sur le primaire et 3 ENI associées à 3 sous-réseaux VPC (gestion, client, serveur) sur le secondaire. Tous les noms de ressources créés par ce CFT sont préfixés par un tagName du nom de la pile.

La sortie du modèle CloudFormation comprend :

• PrimaryCitrixADCManagementURL - URL HTTPS vers l’interface graphique de gestion du VPX principal (utilise un certificat auto-signé).

• PrimaryCitrixADCManagementURL2 - URL HTTP vers l’interface graphique de gestion du VPX principal.

• PrimaryCitrixADCInstanceID - ID d’instance de l’instance VPX principale nouvellement créée.

• PrimaryCitrixADCPublicVIP - Adresse IP élastique de l’instance VPX principale associée au VIP.

• PrimaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX principal.

• PrimaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX principal.

• PrimaryCitrixADCPrivateVIP - Adresse IP privée de l’instance VPX principale associée au VIP.

• PrimaryCitrixADCSNIP - Adresse IP privée de l’instance VPX principale associée au SNIP.

• SecondaryCitrixADCManagementURL - URL HTTPS vers l’interface graphique de gestion du VPX secondaire (utilise un certificat auto-signé).

• SecondaryCitrixADCManagementURL2 - URL HTTP vers l’interface graphique de gestion du VPX secondaire.

• SecondaryCitrixADCInstanceID - ID d’instance de l’instance VPX secondaire nouvellement créée.

• SecondaryCitrixADCPrivateNSIP - IP privée (IP NS) utilisée pour la gestion du VPX secondaire.

• SecondaryCitrixADCPublicNSIP - IP publique (IP NS) utilisée pour la gestion du VPX secondaire.

• SecondaryCitrixADCPrivateVIP - Adresse IP privée de l’instance VPX secondaire associée au VIP.

• SecondaryCitrixADCSNIP - Adresse IP privée de l’instance VPX secondaire associée au SNIP.

• SecurityGroup - ID du groupe de sécurité auquel appartient le VPX.

Lors de la saisie de données dans le CFT, le * en regard de tout paramètre dans le CFT implique qu’il s’agit d’un champ obligatoire. Par exemple, VPC ID* est un champ obligatoire.

Les prérequis suivants doivent être remplis. Le modèle CloudFormation nécessite des autorisations suffisantes pour créer des rôles IAM, au-delà des privilèges complets EC2 normaux. L’utilisateur de ce modèle doit également accepter les conditions et s’abonner au produit AWS Marketplace avant d’utiliser ce modèle CloudFormation.

Les éléments suivants doivent également être présents :

• Paire de clés

• 3 EIP non allouées

  • Gestion principale

  • VIP client

  • Gestion secondaire

Pour plus d’informations sur le provisionnement des instances Citrix ADC VPX sur AWS, les utilisateurs peuvent consulter Provisioning Citrix ADC VPX Instances on AWS.

Pour plus d’informations sur la mise à l’échelle automatique de Citrix ADC dans AWS à l’aide de Citrix ADM, consultez : Autoscaling of Citrix ADC in AWS using Citrix ADM.

Pour plus d’informations sur l’ajout du service de mise à l’échelle automatique AWS à une instance Citrix ADC VPX, consultez : Add Back-end AWS Autoscaling Service.

Prérequis AWS

Avant de tenter de créer une instance VPX dans AWS, les utilisateurs doivent s’assurer de disposer des éléments suivants :

• Un compte AWS pour lancer une AMI Citrix ADC VPX dans un cloud privé virtuel (VPC) Amazon Web Services (AWS). Les utilisateurs peuvent créer un compte AWS gratuitement sur Amazon Web Services : AWS.

• L’agent de service Citrix ADM a été ajouté dans AWS.

• Un VPC a été créé et des zones de disponibilité ont été sélectionnées.

• Pour plus d’informations sur la création d’un compte et d’autres tâches, consultez : AWS Documentation.

• Pour plus d’informations sur l’installation de l’agent de service Citrix ADM sur AWS, consultez : Install Citrix ADM Agent on AWS.

• Un compte utilisateur AWS Identity and Access Management (IAM) pour contrôler en toute sécurité l’accès aux services et ressources AWS pour les utilisateurs. Pour plus d’informations sur la création d’un compte utilisateur IAM, consultez la rubrique : Creating IAM Users (Console).

• Un adminuser IAM avec toutes les autorisations administratives a été créé.

Un rôle IAM est obligatoire pour les déploiements autonomes et à haute disponibilité. Le rôle IAM doit disposer des privilèges suivants :

• ec2:DescribeInstances

• ec2:DescribeNetworkInterfaces

• ec2:DetachNetworkInterface

• ec2:AttachNetworkInterface

• ec2:StartInstances

• ec2:StopInstances

• ec2:RebootInstances

• ec2:DescribeAddresses

• ec2:AssociateAddress

• ec2:DisassociateAddress

• mise à l’échelle automatique:*

• service de notification simple:*

• service de file d’attente simple:*

• iam:SimulatePrincipalPolicy

• iam:GetRole

Si le modèle Citrix CloudFormation est utilisé, le rôle IAM est créé automatiquement. Le modèle ne permet pas de sélectionner un rôle IAM déjà créé.

Remarque :

Lorsque les utilisateurs se connectent à l’instance VPX via l’interface graphique, une invite de configuration des privilèges requis pour le rôle IAM apparaît. Ignorez l’invite si les privilèges ont déjà été configurés.

L’AWS CLI est nécessaire pour utiliser toutes les fonctionnalités fournies par la console de gestion AWS à partir du programme de terminal. Pour plus d’informations, consultez : Qu’est-ce que l’interface de ligne de commande AWS ?. Les utilisateurs ont également besoin de l’AWS CLI pour modifier le type d’interface réseau en SR-IOV.

Prérequis ADM

Les utilisateurs doivent s’assurer qu’ils ont rempli tous les prérequis sur le Citrix ADM pour utiliser la fonctionnalité d’autoscaling.

Créer un site

Créez un site dans Citrix ADM et ajoutez les détails du VPC associé au rôle AWS de l’utilisateur.

• Dans Citrix ADM, accédez à Réseaux > Sites.

• Cliquez sur Ajouter.

• Sélectionnez le type de service comme AWS et activez Utiliser le VPC existant comme site.

• Sélectionnez le profil d’accès au cloud.

• Si le profil d’accès au cloud n’existe pas dans le champ, cliquez sur Ajouter pour créer un profil.

  • Dans la page Créer un profil d’accès au cloud, saisissez le nom du profil avec lequel les utilisateurs souhaitent accéder à AWS.

  • Saisissez l’ARN associé au rôle que les utilisateurs ont créé dans AWS.

  • Copiez l’ID externe auto-généré pour mettre à jour le rôle IAM.

• Cliquez sur Créer.

• De nouveau, cliquez sur Créer pour créer le site.

• Mettez à jour le rôle IAM dans AWS à l’aide de l’ID externe auto-généré :

*  Log in to the user AWS account and navigate to the role that users want to update.

*  In the Trust relationships tab, click Edit trust relationship and append the following condition within the Statement block:

  "Condition": {
  "StringEquals": {
    "sts:ExternalId": \<External-ID>\
  }
}
<!--NeedCopy-->

L’activation de l’ID externe pour un rôle IAM dans AWS permet aux utilisateurs de se connecter à un compte tiers. L’ID externe renforce la sécurité du rôle utilisateur.

Les détails du VPC, tels que la région, l’ID du VPC, le nom et le bloc CIDR, associés au rôle IAM de l’utilisateur dans AWS sont importés dans Citrix ADM.

Provisionnement de l’agent Citrix ADM sur AWS

L’agent de service Citrix ADM fonctionne comme un intermédiaire entre Citrix ADM et les instances découvertes dans le centre de données ou sur le cloud.

• Accédez à Réseaux > Agents.

• Cliquez sur Provisionner.

• Sélectionnez AWS et cliquez sur Suivant.

• Dans l’onglet Paramètres du cloud, spécifiez les éléments suivants :

  • Nom - spécifiez le nom de l’agent Citrix ADM.

  • Site - sélectionnez le site que les utilisateurs ont créé pour provisionner un agent et des instances ADC VPX.

  • Profil d’accès au cloud - sélectionnez le profil d’accès au cloud dans la liste.

  • Zone de disponibilité - Sélectionnez les zones dans lesquelles les utilisateurs souhaitent créer les groupes de mise à l’échelle automatique. Selon le profil d’accès au cloud que les utilisateurs ont sélectionné, les zones de disponibilité spécifiques à ce profil sont renseignées.

  • Groupe de sécurité - Les groupes de sécurité contrôlent le trafic entrant et sortant dans l’agent Citrix ADC. Les utilisateurs créent des règles pour le trafic entrant et sortant qu’ils souhaitent contrôler.

  • Sous-réseau - Sélectionnez le sous-réseau de gestion où les utilisateurs souhaitent provisionner un agent.

  • Balises - Saisissez la paire clé-valeur pour les balises du groupe de mise à l’échelle automatique. Une balise se compose d’une paire clé-valeur sensible à la casse. Ces balises permettent aux utilisateurs d’organiser et d’identifier facilement les groupes de mise à l’échelle automatique. Les balises sont appliquées à la fois à AWS et à Citrix ADM.

• Cliquez sur Terminer.

Alternativement, les utilisateurs peuvent installer l’agent Citrix ADM depuis la place de marché AWS. Pour plus d’informations, consultez : Installer l’agent Citrix ADM sur AWS.

Limitations et directives d’utilisation

Les limitations et directives d’utilisation suivantes s’appliquent lors du déploiement d’une instance Citrix ADC VPX sur AWS :

• Les utilisateurs doivent lire la terminologie AWS énumérée précédemment dans cet article avant de commencer un nouveau déploiement.

• La fonctionnalité de clustering n’est prise en charge que lorsqu’elle est provisionnée avec les groupes de mise à l’échelle automatique de Citrix ADM.

• Pour que la configuration de haute disponibilité fonctionne efficacement, associez un périphérique NAT dédié à l’interface de gestion ou associez une adresse IP élastique (EIP) au NSIP. Pour plus d’informations sur NAT, dans la documentation AWS, consultez : Instances NAT.

• Le trafic de données et le trafic de gestion doivent être séparés avec des ENI appartenant à des sous-réseaux différents.

• Seule l’adresse NSIP doit être présente sur l’ENI de gestion.

• Si une instance NAT est utilisée pour la sécurité au lieu d’attribuer une EIP au NSIP, des modifications de routage appropriées au niveau du VPC sont nécessaires. Pour obtenir des instructions sur la modification du routage au niveau du VPC, dans la documentation AWS, consultez : Scénario 2 : VPC avec sous-réseaux publics et privés.

• Une instance VPX peut être déplacée d’un type d’instance EC2 à un autre (par exemple, de m3.large à un m3.xlarge). Pour plus d’informations, consultez : Limitations et directives d’utilisation.

• Pour les supports de stockage pour VPX sur AWS, Citrix recommande EBS, car il est durable et les données sont disponibles même après avoir été détachées de l’instance.

• L’ajout dynamique d’ENI à VPX n’est pas pris en charge. Redémarrez l’instance VPX pour appliquer la mise à jour. Citrix recommande aux utilisateurs d’arrêter l’instance autonome ou HA, d’attacher la nouvelle ENI, puis de redémarrer l’instance. L’ENI principale ne peut pas être modifiée ou attachée à un sous-réseau différent une fois déployée. Les ENI secondaires peuvent être détachées et modifiées au besoin pendant que le VPX est arrêté.

• Les utilisateurs peuvent attribuer plusieurs adresses IP à une ENI. Le nombre maximal d’adresses IP par ENI est déterminé par le type d’instance EC2, voir la section « Adresses IP par interface réseau par type d’instance » dans : Interfaces réseau élastiques. Les utilisateurs doivent allouer les adresses IP dans AWS avant de les attribuer aux ENI. Pour plus d’informations, voir : Interfaces réseau élastiques.

• Citrix recommande aux utilisateurs d’éviter d’utiliser les commandes d’activation et de désactivation d’interface sur les interfaces Citrix ADC VPX.

• Les commandes Citrix ADC set ha node <NODE_ID> -haStatus STAYPRIMARY et set ha node <NODE_ID> -haStatus STAYSECONDARY sont désactivées par défaut.

• IPv6 n’est pas pris en charge pour VPX.

• En raison des limitations d’AWS, ces fonctionnalités ne sont pas prises en charge :

  • ARP gratuit (GARP).

  • Mode L2 (pontage). Les vServers transparents sont pris en charge avec L2 (réécriture MAC) pour les serveurs situés dans le même sous-réseau que le SNIP.

  • VLAN étiqueté.

  • Routage dynamique.

  • MAC virtuel.

• Pour que RNAT, le routage et les vServers transparents fonctionnent, assurez-vous que la vérification source/destination est désactivée pour toutes les ENI dans le chemin de données. Pour plus d’informations, voir « Modification de la vérification source/destination » dans : Interfaces réseau élastiques.

• Dans un déploiement Citrix ADC VPX sur AWS, dans certaines régions AWS, l’infrastructure AWS pourrait ne pas être en mesure de résoudre les appels d’API AWS. Cela se produit si les appels d’API sont émis via une interface non-gestion sur l’instance Citrix ADC VPX. Pour contourner ce problème, limitez les appels d’API à l’interface de gestion uniquement. Pour ce faire, créez un NSVLAN sur l’instance VPX et liez l’interface de gestion au NSVLAN en utilisant la commande appropriée.

• Par exemple :

  • Définir la configuration ns -nsvlan <vlan id>\ -ifnum 1/1 -tagged NO

  • sauver config

• Redémarrez l’instance VPX à l’invite.

• Pour plus d’informations sur la configuration de nsvlan, consultez Configuration de NSVLAN.

• Dans la console AWS, l’utilisation du vCPU affichée pour une instance VPX sous l’onglet Surveillance peut être élevée (jusqu’à 100 pour cent), même lorsque l’utilisation réelle est bien inférieure. Pour voir l’utilisation réelle du vCPU, accédez à Afficher toutes les métriques CloudWatch. Pour plus d’informations, consultez : Surveiller vos instances à l’aide d’Amazon CloudWatch. Alternativement, si une faible latence et des performances ne sont pas une préoccupation, les utilisateurs peuvent activer la fonction CPU Yield permettant aux moteurs de paquets de rester inactifs lorsqu’il n’y a pas de trafic. Pour plus de détails sur la fonction CPU Yield et comment l’activer, visitez : Centre de connaissances du support Citrix.

Matrice de support AWS-VPX

Les sections suivantes répertorient le modèle VPX pris en charge ainsi que les régions AWS, les types d’instances et les services.

Modèles VPX pris en charge sur AWS

• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 200 Mbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 1000 Mbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 3 Gbps
• Citrix ADC VPX Standard/Enterprise/Platinum Edition - 5 Gbps
• Citrix ADC VPX Standard/Advanced/Premium - 10 Mbps
• Citrix ADC VPX Express - 20 Mbps
• Citrix ADC VPX - Sous licence client

Régions AWS prises en charge

• Région USA Ouest (Oregon)
• Région USA Ouest (Californie du Nord) * Région USA Est (Ohio)|
• Région USA Est (Virginie du Nord)
• Région Asie-Pacifique (Séoul)
• Région Canada (Centre)
• Région Asie-Pacifique (Singapour)
• Région Asie-Pacifique (Sydney)
• Région Asie-Pacifique (Tokyo)
• Région Asie-Pacifique (Hong Kong)
• Région Canada (Centre)
• Région Chine (Pékin)
• Région Chine (Ningxia)
• Région UE (Francfort)
• Région UE (Irlande)
• Région UE (Londres)
• Région UE (Paris)
• Région Amérique du Sud (São Paulo)
• Région AWS GovCloud (US-Est)

Types d’instances AWS pris en charge

• m3.large, m3.large, m3.2xlarge
• c4.large, c4.large, c4.2xlarge, c4.4xlarge, c4.8xlarge
• m4.large, m4.large, m4.2xlarge, m4.4xlarge, m4.10xlarge
• m5.large, m5.xlarge, m5.2xlarge, m5.4xlarge, m5.12xlarge, m5.24xlarge
• c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge, c5.24xlarge
• C5n.large, C5n.xlarge, C5n.2xlarge, C5n.4xlarge, C5n.9xlarge, C5n.18xlarge

Services AWS pris en charge

• #EC2
• #Lambda
• #S3
• #VPC
• #route53
• #ELB
• #Cloudwatch
• #AWS AutoScaling
• #Formation de nuage
• Service de file d’attente simple (SQS)
• Service de notification simple (SNS)
• Gestion des identités et des accès (IAM)

Pour une bande passante plus élevée, Citrix recommande les types d’instances suivants

Pour vous tenir informé des modèles VPX et des régions AWS, des types d’instances et des services actuellement pris en charge, consultez la matrice de support VPX-AWS