Yusuke Takizawa

AWS環境でのNetScalerを考える

システムの耐障害性を検討する上でネットワーク機器の高可用性は必要不可欠です。このブログでは、AWS環境におけるNetScalerの冗長性を考えます。

始めにオンプレミス環境のNetScalerでは、2台のNetScalerでプライマリ/セカンダリの関係を確立するHigh Availability(以降HA)と、複数台のNetScalerをグルーピングしてトラフィックを捌くCluster、この2つの機能を使用することができます。シンプルにプライマリ/セカンダリで動くHAの方が馴染みあるかと思います。AWS環境においては、NetScalerのClusterがサポートされていません。また、HAも一部制約があり、オンプレミス環境同様に構成することができません。本稿では、AWS環境上でNetScalerの冗長構成を取るにはどのように構成したら良いか説明します。

NetScalerのHAは仮想IPアドレスをプライマリ/セカンダリで共有し、HAフェイルオーバーが発生した際にはGARPを使用することが一般的で、IPとMACアドレスのバインディングの更新を他のネットワークデバイスに通知します。

しかしながらここでまた制限があります。AWS環境ではGARPがサポートされていません。(AWS環境でNetScalerをご利用いただく際の制限はこちらです)

したがって、AWS環境でのNetScalerのHAの考え方はオンプレミス環境での動作の考え方/必要要件とは異なります。AWS環境の機能をうまく利用した別のARPテーブルの更新手段が必要です。

では、HAフェイルオーバー発生時にAWS環境でどのような処理が必要か下図をベースに説明していきます。
例としてAWS環境に構築されたCitrix Virtual Apps and Desktopsへの入り口として、NetScaler(Gateway)が動いています。オンプレミス環境のユーザーからのアクセスがTransit Gatewayを通過しAWSのVPCに到達、NetScaler#1がトラフィックを処理していて、HA切り替わりが発生する前の状態です。

Figure 1

次に、HAフェイルオーバーが発生します。

Figure 2

①NetScaler HAフェイルオーバーが発生

②NetScalerが以下のFQDNをDNSサーバーに名前解決

・ec2.ap-northeast-1.amazonaws.com(東京リージョンの場合)

・iam.amazonaws.com

③NetScalerに付与されたIAM権限をもってNetScalerがAWSコンソール(EC2、IAM)にアクセス

④NetScaler#1を指していた該当のルートをNetScalerが書き換える

Before: 宛先 Nexthop

The post AWS環境でのNetScalerを考える first appeared on Citrix Blogs.

Continue reading..

CitrixのPooled Licenseでハイブリットワークに対応可能な柔軟な運用を

Citrix ADCのライセンスは従来のパーペチュアルライセンスの他にPooled Licenseがあります。このPooled Licenseはライセンス(帯域)をプールさせて、使用したい Citrix ADCへの帯域割り当てを増減させる事ができます。どこにライセンスをプールさせるのかというと、Citrix Application Delivery Management (ADM)です。Citrix ADMにはクラウドサービス版(SaaS)とオンプレミス版があります。Citrix製品名の特徴として、Citrix ADM Serviceの様に製品名に”Service”が付く場合は基本的にCitrixが提供するクラウドサービスです。Citrix ADM Serviceの他にも、Citrix Gateway ServiceやWEM Serviceなどがあります。

Citrix ADMはHDX InsightやGateway Insight等の通信を分析する機能も有していますが、本ブログでは、Pooled License構成におけるライセンス管理の必要コンポーネントとしてCitrix ADMの紹介をさせていただきます。

ユースケースとして、例えばパブリッククラウドとデータセンターの両方に企業リソースを展開している環境で、その時々のユーザーのハイブリットワーク状況によってトラフィック流量が変化するなど、流動的な運用が必要な場合にPooled Licenseが有効です。なぜなら、帯域ライセンスをプールさせて必要なCitrix ADCに必要な場面でスペックを増減させることが可能になるからです。

弊社Docsより

https://docs.citrix.com/en-us/citrix-application-delivery-management-service/overview.html

Pooled License構成の各コンポーネントの大まかな動きを説明します。

Citrixから発行するPooled License自体はCitrix ADM Service上で有効にします。上図の様にパブリッククラウドやデータセンターなど、Citrix ADCが置かれた各リソースロケーションには仮想アプライアンスとしてCitrix ADM Agentを展開します。こちらも必須コンポーネントです。Citrix …

The post CitrixのPooled Licenseでハイブリットワークに対応可能な柔軟な運用を first appeared on Citrix Blogs.


  

Related Stories

Continue reading..

Citrix ADCとパブリッククラウドでリモートワークに柔軟性を

こんにちは、Citrixコンサルタントの滝澤です。

私自身リモートワークを開始して数年経過します。COVID-19の拡大によって自然と働き方がリモートに変化していった従業員です。リモートワークが比較的しやすい業種と自覚していますが、基本的にはオフィスに行きたい派!でした。リモートワークが浸透してきた昨今では、従業員が柔軟にワークプレイスの選択をできる環境を多くの業種の企業で取り入れるようになってきたように思います。

一言にリモートワークと言っても手法は様々ありますが、一定のネットワークセキュリティを確保しながら利用するリモートユーザーと企業ネットワークを快適に繋ぐこと、これが重要度の高い課題となってきます。本ブログは、例としてその企業ネットワークの入口となるCitrix ADCをAzureに配置し、社内のデジタルリソースへのセキュアなリモートアクセスを提供、そしてリモートユーザーの利用状況に合わせてCitrix ADCリソースを流動的に利用できる構成例のご紹介です。

Citrix ADCはロードバランサーの機能だけでなく様々な機能を提供しています。その一つであるCitrix Gateway(SSL-VPN機能)が、 HDX(ICA)通信のみSSL/TLSアクセスに変換するICA Proxyを提供します。ベースとなる通信イメージから見ていきます。

リモートユーザーはCitrix GatewayにSSL/TLS通信によってアクセスします。Citrix Gatewayはリモートユーザーの認証を行い、HDX(ICA)通信をプロキシします。リモートユーザーとCitrix Gatewayのやり取りはSSL/TLSを使用してセキュリティを確保します。

Citrix ADCは物理アプライアンスと仮想アプライアンスがあり、要件に応じて選択していただけます。今回の紹介はAzure環境での構成になりますので、Azureインスタンスでも提供可能な仮想アプライアンスである、Citrix ADC VPXが利用可能です。AzureインスタンスのVPXは、VPX10からVPX5000(2022年3月時点)が利用可能で、この数字がVPXのシステムスループットを表しています。例えば、VPX1000※であれば、1000Mbps相当のシステムスループットを有します。

※Citrix ADCは、Azure NICごとに500Mbpsに制限されています。

※VPX1000以上の場合はAzure上の高速ネットワークの有効化が必要です。

Citrix ADCの構成は、スタンドアロンとして独立したCitrix ADCを並べて導入するか、Citrix ADCの機能でプライマリ機、セカンダリ機の関係性を持ちサービス通信のIPアドレスを共有する高可用性ペアとして導入するか大きく分けられます。今回はスタンドアロンのCitrix ADCを並べて構成する方式を紹介します。

では、このVPXを使用した具体的な構成を見ていきましょう。

Citrix Gatewayは利用ICA接続数(リモートユーザー数)に伴って独立する形で並べます。N+1の考え方から必要スペックと台数を算出します。上図であれば3つのCitrix Gatewayがリモートユーザーからのアクセスを捌く状態です。それぞれのCitrix Gatewayにユーザートラフィックを分散させることと、ユーザーにとっての単一接続点として今回はAzureのサービスであるAzure Load BalancerをCitrix Gatewayの前段に配置します。このAzure LBの送信規則とパーシステンスによって振り分けるCitrix Gatewayを決定します。

振り分けられたCitrix Gatewayでユーザー認証を行います、Citrix …

The post Citrix ADCとパブリッククラウドでリモートワークに柔軟性を first appeared on Citrix Blogs.

Continue reading..

Citrix ADCのnFactor設定イメージ

こんにちは、Citrixコンサルタントの滝澤です。

様々な要素を認証シーケンスに取り込んで多要素認証を構成する、Citrix ADCのnFactor機能を紹介します。

複雑な設定を思い浮かべた方もいらっしゃるかもしれません。今回は、nFactorの設定概念をできるだけシンプルにわかりやすく説明します。このブログがnFactorを触る方のまずは初めのとっかかりのお役に立てれば幸いです。

nFactorを実現する各認証要素の定義をPolicy Labelと言います。このPolicy Labelをつなぎ合わせることで、要素と要素を連結させて多要素認証が成り立ちます。

Policy Labelが全体構成の中のどこに位置するか、Citrix ADCの設定定義も含めて下図で見ていきましょう。Citrix Virtual Apps and Desktops環境にユーザーがアクセスする場合のCitrix Gatewayを構成例としています。

ユーザーは、Gateway Virtual Serverに紐づくAAA Virtual Serverで認証がなされます。

最初はAAA Virtual Serverに紐づくAuthentication Policy及びActionで認証が行われ、その認証をパスすると、ネクストファクターであるPolicy Label N2に遷移し第二要素の認証が始まります、そして第三要素に続いていきます、この流れが冒頭に触れた要素と要素をつなぎ合わせて多要素認証が成り立つ仕組みです。

本ブログでは、nFactorの基本的な構成について説明しますので、どのようなPolicyやActionがあるのかという事は深くは触れませんが、一例としてLDAP認証を取り上げます。

例えば第一要素でLDAP Actionを使用してAD連携から認証を行います。ユーザーが入力する画面イメージは下図になります。このログイン画面上でのユーザーの入力項目の構成をLogin Schemaと言います。

ユーザーによって入力された情報を元に、Citrix ADCはLDAPサーバーに問い合わせを行います。

では、このLogin Schemaは設定上どのように定義されるのか、見ていきます。

Login Schemaは、ユーザーが情報を入力する枠です。ユーザーが情報を入力するタイミング毎に入力情報の内容に適したLogin Schemaを紐づけます。

サンプルとして下図を説明します、ユーザーはCitrix GatewayにアクセスするとAAA Virtual …

The post Citrix ADCのnFactor設定イメージ first appeared on Citrix Blogs.

Continue reading..

Go Que Newsroom

Categories