2013 年 6 月
シトリックス・システムズ・ジャパン株式会社
Citrix Networking for AWS
ベスト・プラクティス・ガイド
2 - 目次 - 1 はじめに ... 7 1.1 本資料について ... 7 1.2 目的 ... 7 1.3 対象 ... 7 1.4 凡例 ... 7
2 Citrix Networking for AWS の基本的な考え方... 8
2.1 AWS で利用できる Citrix のネットワーキング製品 ... 8
2.1.1 NetScaler VPX... 8
2.1.2 CloudBridge VPX ... 8
2.1.3 Branch Repeater for CloudBridge ... 8
2.2 AWS での利用方式... 8
2.2.1 従量課金方式 ... 8
2.2.2 BYOL (Bring Your Own License)方式 ... 8
2.3 AWS で実現可能なソリューション ... 9
2.3.1 広域負荷分散 (GSLB) で拠点の冗長 ... 9
2.3.2 クラウド間の接続および通信の高速化 ... 9
2.3.3 クラウドのセキュリティを強化 ... 9
3 VPC (Virtual Private Cloud) ... 10
3.1 概要 ... 10
3.1.1 リージョンについて ... 10
3.1.2 AZ (Availability Zone)について ... 10
3
3.2 VPC の作成 ... 10
3.2.1 VPC の構成 ... 11
3.2.2 CIDR Block と Public Subnet について ... 11
3.2.3 Security Group について ... 11
3.2.4 Elastic IP (EIP)について ... 12
3.2.5 Route Tables について ... 13
3.2.6 Internet Gateway について ... 13
3.2.7 Network ACL について ... 13
3.2.8 Elastic Network Interface (ENI)について ... 13
3.2.9 サブネットについて ... 14 4 IAM アカウントの作成 ... 17 4.1 IAM アカウントとは ... 17 4.2 Citrix ネットワーキング製品の制御に必要なポリシー ... 17 5 インスタンスの起動 ... 18 5.1 インスタンスの起動方法 ... 18 5.1.1 AWS Marketplace で起動する方法 ... 18
5.1.2 Amazon EC2 API Tools で起動する方法 ... 18
5.2 インスタンスの種類 ... 18 5.3 インスタンスの利用形式 ... 18 5.3.1 従量課金方式 ... 18 5.3.2 BYOL 方式 ... 19 5.4 インスタンスのタイプ... 19 5.4.1 利用できるインスタンスタイプの一覧 ... 19 5.5 AWS Marketplace でインスタンスを作成する際の注意点 ... 19
4
5.6.1 Amazon EC2 API Tools の準備 ... 20
5.6.2 Amazon EC2 API Tools の CLI コマンドを実行 ... 20
6 ライセンスについて ... 21 6.1 ライセンスの取得 ... 21 6.2 ライセンスの種類 ... 21 6.3 評価版ライセンスについて ... 21 6.3.1 評価版ライセンスの仕様 ... 21 6.3.2 評価版ライセンス取得までの流れ ... 21 6.4 ライセンスのインストール ... 22 6.5 ライセンスの入替 ... 22 7 NetScaler の基本設定... 23 7.1 初期設定 ... 23 7.2 IP アドレス ... 23 7.2.1 IP アドレス設定時の注意点 ... 24 7.3 デフォルトルート ... 24 7.3.1 デフォルトルート設定時の注意点 ... 25
7.3.2 PBR (Policy Base Routing)の設定 ... 25
7.3.3 MBF (Mac Base Forwarding)の有効化 ... 26
7.4 NetScaler/CloudBridge for AWS の制限事項 ... 26
8 NetScaler で負荷分散... 27 8.1 負荷分散の概要 ... 27 8.2 負荷分散設定のコンポーネント ... 27 8.3 負荷分散の構成例 ... 27 8.3.1 同じリージョン、同じAZ のサーバを負荷分散 ... 27 8.3.2 同じリージョン、異なるAZ のサーバを負荷分散 ... 28
5 8.3.3 異なるリージョンのサーバを負荷分散 ... 28 8.3.4 オンプレミスDC のサーバを負荷分散 ... 29 9 NetScaler の冗長構成... 30 9.1 冗長構成の概要 ... 30 9.2 冗長構成例 ... 30 9.3 冗長構成のポイント ... 30 9.4 フェイルオーバーの条件 ... 30 9.5 フェイルオーバーの動作 ... 31 9.6 冗長構成の制限事項 ... 32 10 GSLB (広域負荷分散)で拠点冗長 ... 33 10.1 GSLB の概要 ... 33 10.2 GSLB で利用される技術 ... 33 10.3 GSLB の動作例 ... 33 10.4 GSLB の構成例 ... 33 10.4.1 AWS AZ 間の拠点冗長 ... 33 10.4.2 AWS リージョン間の拠点冗長 ... 34 10.4.3 AWS とオンプレミス DC 間の拠点冗長 ... 34 10.5 GSLB 設定のコンポーネント ... 35 11 クラウド/データセンター間の接続 ... 36 11.1 CloudBridge の概要 ... 36 11.2 CloudBridge で利用される技術 ... 36 11.3 CloudBridge の構成例 ... 36 11.3.1 AWS のリージョン間を接続 ... 36 11.3.2 AWS とオンプレミス DC 間を接続 ... 36 11.3.3 複数の拠点間を接続 ... 37
6 11.4 CloudBridge 設定のポイント ... 37 11.5 CloudBridge の制限事項 ... 37 12 クラウド/データセンター間の高速化 ... 38 12.1 Branch Repeater の概要 ... 38 12.2 Branch Repeater の製品ラインナップ ... 38 12.3 Branch Repeater で使用される技術 ... 38
12.4 Branch Repeater + NetScaler/CloudBridge の動作例 ... 38
12.5 Branch Repeater の構成例 ... 39 12.5.1 AWS のリージョン間の通信を高速化 ... 39 12.5.2 AWS とオンプレミス DC 間の通信を高速化 ... 39 12.5.3 AWS と複数のオンプレミス DC 間の通信を高速化 ... 40 12.6 Branch Repeater の設定ポイント ... 40 12.7 NetScaler の設定ポイント ... 40
12.8 Branch Repeater for CloudBridge の制限事項 ... 40
12.9 Branch Repeater 導入の効果(検証結果) ... 40
12.9.1 検証構成 ... 41
12.9.2 検証方法 ... 41
7 1 はじめに
1.1 本資料について
本資料は、Citrix Systems 社のネットワーキング製品を AWS に導入するための ベスト・プラクティス・ガイドです。ソリューション別に設計思想、推奨構成お よび制限事項等について記載しています。具体的な設定方法等は、別紙「Citrix Networking for AWS ステップ・バイ・ステップガイド」を参照してください。
なお、本資料は弊社の正式な技術サポート文書ではありません。そのため、この 文書の記述に関して、弊社技術部門が、皆様のご質問を直接お答えすることはで きません。あくまでも、皆様の構築作業の補助的な資料という位置づけのため、 このような対応とさせていただきます。ご了承の上、本資料をご覧になられるこ とを理解ください。 1.2 目的
本資料および別紙「Citrix Networking for AWS ステップ・バイ・ステップガイ ド」を活用することで、Citrix Systems 社のネットワーキング製品を利用した AWS 上のネットワークインフラの最適化を技術的に支援します。
1.3 対象
Citrix Systems 社のネットワーキング製品を利用して AWS 上のネットワークイ ンフラの最適化を検討されているお客様及びパートナー様を対象としています。 尚、クラウド及びロードバランサの基本的な知識を有することを想定しておりま す。
8 2 Citrix Networking for AWS の基本的な考え方
2.1 AWS で利用できる Citrix のネットワーキング製品 2.1.1 NetScaler VPX アプリケーションの配信を最適化するNetScaler の仮想アプライアンスで す。主に以下の機能を提供します。 ・L4/L7 負荷分散や GSLB(広域負荷分散)機能 ・SSL オフロード機能 ・HTTP 圧縮やコンテンツキャッシュの最適化機能 ・ハイブリッドクラウドを構築するCloudBridge 機能 ・SSL-VPN や WAF のセキュリティ強化機能 2.1.2 CloudBridge VPX クラウドやデータセンター間をシームレスかつセキュアに接続する CloudBridge の仮想アプライアンスです。主に以下の機能を提供します。 ・ハイブリッドクラウドを構築するCloudBridge 機能 ・L4/L7 負荷分散や GSLB(広域負荷分散)機能 ・SSL オフロード機能
2.1.3 Branch Repeater for CloudBridge
クラウドやデータセンター間の通信を高速化するBranch Repeater の仮想 アプライアンスです。主に以下の機能を提供します。 ・拠点間通信の高速化 ・QoS 2.2 AWS での利用方式 2.2.1 従量課金方式
Software および EC2 利用料を AWS へお支払いいただく方式です。簡単に 始められるメリットがありますが、国内で Citrix のサポートは受けられませ んのでご注意ください。サポートは米国Citrix の英語によるサポートです。
2.2.2 BYOL (Bring Your Own License)方式
9 料のみをAWS へお支払いいただく方式です。Software 利用料はかかりませ ん。また、国内でCitrix のサポートが受けられます。 2.3 AWS で実現可能なソリューション 2.3.1 広域負荷分散 (GSLB) で拠点の冗長 2.3.2 クラウド間の接続および通信の高速化 2.3.3 クラウドのセキュリティを強化
10 3 VPC (Virtual Private Cloud)
3.1 概要 VPC とは、AWS に構築できる仮想プライベートクラウドです。IP アドレスやル ーティング等を自由に設計することができます。Citrix のネットワーキング製品 は複数のIP アドレスを所有する必要があるため、VPC 上で構築する必要があり ます。EC2-Classic では構築出来ません。 3.1.1 リージョンについて 現在、AWS には世界中に 8 つのリージョンが存在しています。どのリージ ョンでVPC を作成するかを検討します。 3.1.2 AZ (Availability Zone)について リージョン内に存在するAWS の拠点です。現在、東京リージョンには複数 のAZ が存在しています。 3.1.3 VPC の範囲について ・VPC はリージョンを跨ぐことが出来ない。 ・VPC は複数の AZ に跨ぐことが出来る。 3.2 VPC の作成 以下のURL でも詳細をご確認頂けます。 http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/GettingStartedGuide/W izard.html
11 3.2.1 VPC の構成
一般的なロードバランサの用途であれば、「VPC with a Single Public Subnet Only」を選択します。
3.2.2 CIDR Block と Public Subnet について
CIDR Block は VPC 全体のネットワークアドレスのブロックを指定します。 後から変更することが出来ませんのでアドレス設計にご注意ください。 Public Subnet は、サブネットワークを指定します。CIDR Block のアドレ ス範囲内であれば、後から追加・修正することが可能です。
その後、このサブネットワークが所属するAZ (Availability Zone)も指定し ます。
3.2.3 Security Group について
Security Group では、インスタンスの Inbound と Outboud のアクセス制御 を行います。アクセス制御では、許可するトラフィックを明示的に指定しま す。デフォルトのセキュリティグループは、ローカルサブネット内の通信の み許可しています。 シトリックスのネットワーキング製品では、以下のSecurity Group を設定 することを推奨しています。尚、提供するサービスによっては追加の設定が 必要です。 ・NetScaler / CloudBridge (1) Inbound
Protocols Port Source 備考 SSH 22 0.0.0.0/0 HTTP 80 0.0.0.0/0 HTTPS 443 0.0.0.0/0 TCP 3008 - 3011 0.0.0.0/0 HA/GSLB の制御パケット用 TCP 4001 0.0.0.0/0 UDP 67 0.0.0.0/0 UDP 123 0.0.0.0/0 UDP 161 0.0.0.0/0 UDP 500 0.0.0.0/0 UDP 4500 0.0.0.0/0 UDP 3003 0.0.0.0/0 HA のハートビート用
12 (2) Outbound
Protocols Port Source 備考 ALL - 0.0.0.0/0
・Branch Repeater for CloudBridge (1) Inbound
Protocols Port Source 備考 ALL - 0.0.0.0/0
(2) Outbound
Protocols Port Source 備考 ALL - 0.0.0.0/0
3.2.4 Elastic IP (EIP)について
Elastic IP とは、インスタンスに紐付けることが可能なグローバル IP アド レスです。NetScaler / CloudBridge では以下の用途で、一般的に 2 つの Elastic IP が必要です。
(1) VIP (Virtual IP)
クライアントからのリクエストを受けるサービス提供用のIP アドレス です。一般的にはFQDN に紐付いたグローバル IP アドレスです。
(2) NSIP (NetScaler IP)
NetScaler の管理 IP アドレスです。インターネットから直接 NetScaler の管理コンソールへログインする場合に必要です。また、冗長構成での フェイルオーバー時には、AWS の API サーバとの通信で利用します。
※Elastic IP は、VPC/EC2 の管理コンソールで制御します。Citrix のネ ットワーキング製品側ではプライベートIP アドレスのみ設定します。 VPC/EC2 側で自動的にプライベート IP⇔グローバル IP の変換が行わ れます。 ※デフォルトでは1AWS アカウントにつき、5 つの EIP を作成できます。 追加で必要な場合は、AWS へ上限規制緩和を申請する必要があります。 ※Elastic IP の代替手段として、NAT インスタンスを利用することも可
13 能です。 3.2.5 Route Tables について Route Tables では VPC のルーティングを管理します。デフォルトでは以下 のルーティングテーブルが存在します。 Destination Target
CIDR Block で指定したアドレスレンジ Local
0.0.0.0/0 Internet Gateway
・VPC の異なる AZ 間のルーティングは VPC ルータがルーティングします。
3.2.6 Internet Gateway について
インターネットおよび他のリージョンやVPC と通信するためには、Internet Gateway を利用する必要があります。VPC 作成時に Internet Gateway が 自動的に作成され、デフォルトゲートウェイとして設定されます。 3.2.7 Network ACL について Network ACL はサブネットに適用されるアクセス制御です。明示的に許可 および拒否するルールを作成します。ステートレスのため、戻りのトラフィ ック用のルールも作成する必要があります。デフォルトでは、以下の Network ACL が設定されています。 (1) Inbound
Rule Port Protocol Source Allow/Deny 100 ALL ALL 0.0.0.0/0 Allow * ALL ALL 0.0.0.0/0 Deny
(2) Outbound
Rule Port Protocol Source Allow/Deny 100 ALL ALL 0.0.0.0/0 Allow * ALL ALL 0.0.0.0/0 Deny
3.2.8 Elastic Network Interface (ENI)について
Elastic Network Interface とは、インスタンスに紐付いた Network Interface です。あるインスタンスの ENI を別のインスタンスに紐付け ることも可能です。(デフォルトENI は変更不可)
14 Elastic Network Interface の構成要素は以下の通りです。
(1) Primary のプライベート IP アドレスが設定されている (2) 複数の Secondary のプライベート IP アドレスも設定できる (3) Elastic IP アドレスを紐付けられる (4) MAC アドレスを有する (5) 特定の Security Group に所属する (6) Description(説明)
(7) Source / Destination check flag がデフォルトで有効
インスタンスに紐付けられるENI の数および ENI 毎に設定可能なプラ イベートIP アドレスは、インスタンスタイプによって異なります。 ENI の追加・変更(付け替え)・削除は以下の手順で行う必要があります。 ① インスタンスの停止 ② ENI の追加・削除 ③ インスタンスの起動 ※あるAZ の ENI は、別の AZ に所属するインスタンスに付け替えるこ とは出来ません。 3.2.9 サブネットについて NetScaler/CloudBridge は 3 つのサブネットに分けて構成することを推奨し ています。全てのサブネットは同一のAZ に所属している必要があります。 (1) 3 つのサブネットで構成 ※推奨構成 ・管理用サブネット 管理用アクセスおよび冗長構成時の通信制御用セグメント。
15 ・クライアント側サブネット クライアントからのリクエストを受けるサービス提供用セグメント。 ・サーバ側サブネット バックエンドのサーバが存在するセグメント。 (2) 2 つのサブネットで構成 ・管理用サブネット 管理用アクセスおよび冗長構成時の通信制御用セグメント。 ・クライアント/サーバ側サブネット クライアント側とサーバ側を同一のサブネットで構成
16 (3) 1 つのサブネットで構成 ・管理用/クライアント/サーバ側サブネット 全てを同一サブネットで構成。冗長構成が組めない。 Branch Repeater では 1 つのサブネットのみ構成可能です。 (1) 1 つのサブネットで構成 NetScaler / CloudBridge のバックエンドに相当するサーバ側セグメン トで構成。管理アクセスも同セグメントで行う。
17 4 IAM アカウントの作成
4.1 IAM アカウントとは
AWS で Citrix ネットワーキング製品を利用するためには、IAM アカウントを作 成する必要があります。IAM アカウントとは、ポリシーによって特定のオペレ ーションが許可されているユーザおよびグループです。 4.2 Citrix ネットワーキング製品の制御に必要なポリシー ・ec2-AttachNetworkInterface ・ec2-DescribeInstances ・ec2-DescribeNetworkInterfaces ・ec2-DetachNetworkInterface
18 5 インスタンスの起動 5.1 インスタンスの起動方法 インスタンスは以下の方法で起動することが出来ます。 5.1.1 AWS Marketplace で起動する方法 AWS Marketplace でインスタンスを起動することが出来ます。ウィザード 形式で進められるため、インスタンス起動までのプロセスが非常にわかりや すいです。 しかし起動するインスタンスのENI の数は 2 つまでしか指定出来ません。 従って、3 つ以上の ENI が必要な NetScaler/CloudBridge は、インスタン ス起動後にENI を追加する必要があります。
5.1.2 Amazon EC2 API Tools で起動する方法
Amazon EC2 API Tools でインスタンスを起動することが出来ます。 Windows /Linux 端末に API Tools や各種キーをインストール後、CLI コマ ンドでインスタンスを起動します。初回は事前準備が必要ですが、次回以降 は非常に簡単にインスタンスを起動出来ます。 また、3 つ以上の ENI を指定してインスタンスを起動出来ます。 5.2 インスタンスの種類 AWS で利用出来る Citrix ネットワーキング製品のインスタンスは以下の通りで す。 ・NetScaler VPX ・CloudBridge VPX
・Branch Repeater for CloudBridge
最新の情報は以下のリンク先でご確認ください。
https://aws.amazon.com/Marketplace/seller-profile?id=fb9c6078-b60f-47f6-86 22-49d5e1d5aca7
5.3 インスタンスの利用形式
5.3.1 従量課金方式
19 for CloudBridge は従量課金方式では利用できません。
5.3.2 BYOL 方式
「Customer Licensed」の記載があるインスタンスです。Branch Repeater for CloudBridge は BYOL 方式のみご利用できます。
※従量課金またはBYOL で起動したインスタンスの利用方式を後から変更 することは出来ません。新しくインスタンスを起動し直す必要があります。
5.4 インスタンスのタイプ
5.4.1 利用できるインスタンスタイプの一覧
※2vCPU と 2GB RAM が必須です。
※Branch Repeater for CloudBridge は「M1.large」のみ対応しています。 ※インスタンス起動後、インスタンスタイプの変更は可能です。 5.5 AWS Marketplace でインスタンスを作成する際の注意点 ・作成できるENI の数は 2 つ以下です。(3 つ以上必要な場合は、インスタンス 作成後に追加します) ・Software / EC2 の料金体系を確認します。 ・インスタンスを起動するリージョンに注意します。
・Launch with EC2 Console のみ対応しています(1-Click Launch には対応し ていません)
・必ずEC2-VPC で起動します。EC2-Classic では起動できません。
20 詳細は以下のリンク先でもご確認頂けます。
http://support.citrix.com/proddocs/topic/netscaler-vpx-10/nsvpx-launch-aws-a mi-gui-cli-con.html
5.6.1 Amazon EC2 API Tools の準備
(1) Amazon EC2 API Tools のダウンロード
(2) X.509 証明書ファイルと X.509 秘密鍵のダウンロード (3) Windows/Linux 端末に Amazon EC2 API Tools 環境を設定
5.6.2 Amazon EC2 API Tools の CLI コマンドを実行 (例)
ec2-run-instances ami-bd2986d4 -n 1 -t m1.large -k abc_keyPair -a :0:subnet-15fa057e:"NSIP":10.20.15.21 -a :1:subnet-1547ba7e:"CLIENT-SIDE” 10.20.10.21::::10.20.10.22,10.20.10.23,10.20.10.24,10.20.10.25,10.20.10.26,10.2 0.10.27,10.20.10.28,10.20.10.29,10.20.10.30 -a :2:subnet-cc47baa7:"SERVER-SIDE":10.20.1.21::::10.20.1.22,10.20.1.23,10.2 0.1.24,10.20.1.25,10.20.1.26,10.20.1.27,10.20.1.28,10.20.1.29,10.20.1.30 コマンド/オプション パラメータ(例) インスタンスを起動するコマンド ec2-run-instances ami-bd2986d4 インスタンスを起動するコマンド -n 1 インスタンスの数 -t m1.large インスタンスタイプ
-k abc_keyPair Key pair ファイル
-a 0 作成するENI
subnet-15fa057e 所属するSubnet
"NSIP" ニックネーム
10.20.15.21 IP アドレス
21 6 ライセンスについて 6.1 ライセンスの取得 ライセンスはCitrix Systems 社の代理店よりご購入ください。 6.2 ライセンスの種類 製品 エディション 備考
CloudBridge VPX 10 - Branch Repeater VPX 10 付属 CloudBridge VPX 200 - Branch Repeater VPX 45 付属 NetScaler VPX 10 Standard
Enterprise
Platinum Branch Repeater VPX 10 付属 NetScaler VPX 200 Standard
Enterprise
Platinum Branch Repeater VPX 45 付属 NetScaler VPX 1000 Standard
Enterprise
Platinum Branch Repeater VPX 100 付属
6.3 評価版ライセンスについて
NetScaler の評価を目的とした評価版ライセンスもご利用頂けます。
6.3.1 評価版ライセンスの仕様
製品名 :NetScaler VPX 1000 Platinum Edition 有効期間:90 日間 6.3.2 評価版ライセンス取得までの流れ (1) My Account(旧 MyCitrix)の作成 http://support.citrix.com/article/CTX132531 (2) 下記に必要事項を入力 http://try.citrix.com/NSVPXDIY (3) My Account(旧 MyCitrix)にログイン
22 https://secureportal.citrix.com/MyCitrix/Login/home.aspx 「ツールボックスの選択」 「ライセンス管理」 「割り当て」 「製品が表示されない場合」 →ポップアップウインドウに入手したライセンスコードを入力 →ホストID を入力
※ホストID は以下の 53 ページ”Obtaining the Host ID”
http://support.citrix.com/article/ctx122426 6.4 ライセンスのインストール ライセンスはGUI または CLI からインストールできます。詳細は別紙「ステッ プ・バイ・ステップ ガイド」を参照してください。 6.5 ライセンスの入替 ライセンスを入れ替えることで、インスタンスの機能強化およびパフォーマンス を上げることが出来ます。ライセンスをインストール後、再起動することで新し いライセンスが適用されます。
23 7 NetScaler の基本設定 7.1 初期設定 ホスト名、パスワード、Time Zone 等の初期設定は別紙「ステップ・バイ・ステ ップ・ガイド」またはCitrix のオンラインマニュアルを参照してください。 http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html 7.2 IP アドレス 以下のIP アドレスを設定します。
(1) NSIP (NetScaler IP)
NetScaler の管理 IP アドレスです。管理アクセスやシステム制御用に利 用します。また、冗長構成でのフェイルオーバー時には、AWS の API サーバとの通信で利用します。
(2) VIP (Virtual IP)
クライアントからのリクエストを受けるサービス提供用のIP アドレス です。一般的にはFQDN に紐付いたグローバル IP アドレスです。
(3) SNIP (Subnet IP)
NetScaler/CloudBridge がバックエンドのサーバと通信する際に利用す る送信元IP アドレスです。複数のサブネットが存在する場合、サブネ ット毎にSNIP を設定します。AWS では、同一 AZ/VPC 上のインスタ ンスとの通信時に送信元IP アドレスとして利用されます。
(4) MIP (Mapped IP)
NetScaler/CloudBridge がバックエンドのサーバと通信する際に利用す る送信元IP アドレスです。AWS では、異なる AZ/VPC 上のインスタン スとの通信時に送信元IP アドレスとして利用されます。
24 7.2.1 IP アドレス設定時の注意点 ・第4 オクテットの x.x.x.1~.4 は AWS で予約済みのため使用できません。 ・EIP には関知しません。AWS の管理コンソールで制御する必要がありま す。(Citrix ネットワーキング製品にはプライベート IP のみ設定) 7.3 デフォルトルート デフォルトルートは管理用サブネットまたはクライアント側サブネットのVPC ルータを指定します。 推奨構成は管理用サブネットのルータをNext Hop とするデフォルトルートを作 成します。次項の注意点に対処するため、VIP 用通信に PBR を作成します。
25 7.3.1 デフォルトルート設定時の注意点 ・特定のサブネットに属するIP アドレスを送信元とする場合、そのサブネ ットに属するVPC ルータのみデフォルトルートとして使用可能。 例:NetScaler がクライアントへレスポンスを帰すときの送信元 IP はクラ イアント側サブネットに属するVIP となる。その場合、クライアント側サ ブネットのVPC ルータのみをデフォルトルートとして使用可能。 (管理用サブネットのVPC ルータをデフォルトルートとして使用出来ない) ・第4 オクテットが x.x.x.1 の IP アドレスは、各サブネットのデフォルトゲ ートウェイとなり得るAWS 側のルータです。
7.3.2 PBR (Policy Base Routing)の設定
ポリシーに基づいて強制的にルーティングを制御します。PBR はルーティ ングテーブルよりも優先されます。
① デフォルトルートがクライアント側サブネットの場合
26 7.3.3 MBF (Mac Base Forwarding)の有効化
NetScaler が入力トラフィックのインタフェースや MAC アドレスを記録す ることで、戻りのトラフィックも同じインタフェースから出力させることが できる機能です。
① デフォルトルートがクライアント側サブネットの場合
② デフォルトルートが管理用サブネットの場合
7.4 NetScaler/CloudBridge for AWS の制限事項 以下の機能は利用出来ません。
・L2 モード ・Tagged VLAN ・GARP
27 8 NetScaler で負荷分散 8.1 負荷分散の概要 NetScaler の中心的な機能が L4/L7 負荷分散機能です。 8.2 負荷分散設定のコンポーネント (1) Virtual Server 「VIP + ポート番号 + プロトコル」のエンティティです。負荷分散メソッ ドやパーシステンス、様々なポリシーを設定します。原則として、全てのク ライアントはVirtual Server にリクエストを送信します。 (2) Service 「サーバのIP アドレス + ポート番号 + プロトコル」のエンティティです。 ヘルスチェックやサーバ固有の設定をします。Service は Virtual Server に 紐付けます。
(3) Server
サーバのIP アドレスです。Server は Service に紐付いています。
8.3 負荷分散の構成例
28 ・最もシンプルな構成 ・遅延が非常に少ない ・AZ 内の通信はデータ転送料が不要 8.3.2 同じリージョン、異なる AZ のサーバを負荷分散 ・AZ 間は AWS の専用線で接続されているため遅延は少ない ・AZ 間の通信にはデータ転送料が発生 ・AZ 間の通信には MIP の設定が必要 8.3.3 異なるリージョンのサーバを負荷分散
29 ・リージョン間はインターネット接続となるため遅延が大きい ・リージョン間の通信にはデータ転送料が発生 ・リージョン間の通信にはMIP の設定が必要 ・非推奨構成(GSLB の利用を推奨) 8.3.4 オンプレミス DC のサーバを負荷分散 ・AWS とオンプレミスのロケーション次第では遅延が発生 ・ハイブリッドクラウドを実現
30 9 NetScaler の冗長構成
9.1 冗長構成の概要
NetScaler では Primary / Secondary の冗長構成を組むことが可能です。正常時 はPrimary がトラフィックを処理し、障害時にはフェイルオーバーしてセカン ダリへ切替わります。 9.2 冗長構成例 9.3 冗長構成のポイント ・デフォルトENI は管理セグメントに所属 ・Secondary は管理セグメントのみに接続 ・ハートビート送信やコンフィグ同期等は管理セグメントのみで行われる ・管理セグメントにはサービス用のトラフィックを流さないこと
・NSIP は外部の AWS API サーバとの接続性が必要 ・NetScaler に AccessKey/SecretKey が入っていること ・フェイルオーバーには約20~40 秒かかる
9.4 フェイルオーバーの条件
Primary / Secondary 間で相互にハートビートを Hello Interval の間隔で送信し 続けます。Secondary が Hold Timer 経過後もハートビートを受信しなくなった
31 ら、フェイルオーバーが開始されます。
・ハートビート
- Hello Interval : 200msec(デフォルト値) - Hold Timer : 3sec(デフォルト値)
※仮に元Primary が復旧しても、自動的なフェイルバックは発生しません。 手動で切戻す必要があります。
9.5 フェイルオーバーの動作
(1) 死活監視で Primary の異常を検知
(2) AWS API サーバへ ENI の移行を依頼
32 (4) フェイルオーバーの完了 9.6 冗長構成の制限事項 ・Primary/Secondary は同一の AZ 内に存在する必要あり ・2 つ以上のサブネットを構成する必要あり(1 つは管理用) ・冗長構成を設定する場合、Primary に 2 つ以上の ENI が必要 ・冗長構成を解除する場合、Secondary 側から行うこと
33 10 GSLB (広域負荷分散)で拠点冗長 10.1 GSLB の概要 NetScaler の GSLB 機能を使うことで、AWS のリージョンや AZ 間、およびオ ンプレミスのデータセンター間で拠点冗長を実現できます。また、DR 対策とし て活用することも可能です。 10.2 GSLB で利用される技術 GSLB は DNS ベースのソリューションです。クライアントが WEB アクセスす る前に、DNS の名前解決が行われます。NetScaler は最適な拠点の IP アドレス をクライアントに返すことでGSLB を実現しています。
GSLB では、各拠点の NetScaler が相互に MEP (Metric Exchange Protocol)を 使ってサイトの状況やパーシステンス情報等を共有しています。
10.3 GSLB の動作例
10.4 GSLB の構成例
34 10.4.2 AWS リージョン間の拠点冗長
35 10.5 GSLB 設定のコンポーネント
36 11 クラウド/データセンター間の接続
11.1 CloudBridge の概要
NetScaler の CloudBridge 機能または CloudBridge 仮想アプライアンスを使う ことで、AWS のリージョンや VPC 間、およびオンプレミスのデータセンター間 をシームレス且つセキュアに接続することが出来ます。
※NetScaler の CloudBridge 機能は、Platinum エディションで提供されます。
11.2 CloudBridge で利用される技術
GRE (Generic Routing Encapsulation)で拠点間を L2/L3 レベルでトンネリング して、IPsec で通信を暗号化します。
11.3 CloudBridge の構成例
11.3.1 AWS のリージョン間を接続
AWS の各リージョンに NetScaler または CloudBridge の VPX を導入。
37 AWS とオンプレミス DC に各々NetScaler または CloudBridge を導入。オ ンプレミス側は専用のハードウェアアプライアンス(MPX/SDX)でも可能。 11.3.3 複数の拠点間を接続 複数の拠点間を接続することも可能です。拠点毎にCloudBridge のトンネ ルを設定します。 11.4 CloudBridge 設定のポイント ・Source/Dest Check の設定を無効化 ・トンネルインタフェース用IP アドレスの設定 ・対向サブネット向けスタティックルートの追加 11.5 CloudBridge の制限事項 ・ AWS では L3 レベルのトンネリングのみ対応(AWS 側の L2 制約のため)
38 12 クラウド/データセンター間の高速化
12.1 Branch Repeater の概要
Branch Repeater を導入することで、AWS のリージョンや AZ 間、およびオン プレミスのデータセンター間の通信を高速化します。
12.2 Branch Repeater の製品ラインナップ
2013 年 5 月現在、Branch Repeater for CloudBridge として BYOL モデルのみ 提供しています。製品ラインナップは以下の3 種類となります。 ・Branch Repeater VPX 10 (10Mbps) ・Branch Repeater VPX 45 (45Mbps) ・Branch Repeater VPX 100 (100Mbps) 12.3 Branch Repeater で使用される技術 圧縮・キャッシュやプロトコル最適化等の技術を使用します。
39 12.5 Branch Repeater の構成例
AWS で Branch Repeater を導入する場合、必ず NetScaler または CloudBridge と併用する必要があります。
12.5.1 AWS のリージョン間の通信を高速化
40 12.5.3 AWS と複数のオンプレミス DC 間の通信を高速化 12.6 Branch Repeater の設定ポイント ・Source/Dest Check の設定を無効化 ・SNMP の設定 ・Tuning で以下の項目を確認
Virtual Inline: Return to Ethernet Sender TCP Maximum Segment Size (MSS): 1300
※対向のBranch Repeater と設定を合わせる必要があります。
12.7 NetScaler の設定ポイント
・Source/Dest Check の設定を無効化
・ANY / ANY の Virtual Server / Service を設定 ・MBF、USIP、L3 モードを有効化
・”Forward ICMP fragments”を有効化 ・”Prefer Direct Route”の無効化
・Dynamic Load Balancing wizard for Citrix Branch Repeater を利用すれば、 BR への通信リダイレクト設定やヘルスチェック等を最適化できます。
12.8 Branch Repeater for CloudBridge の制限事項
・NetScaler/CloudBridge と併用して導入する必要あり ・AMI のインスタンスタイプは M1.Large のみ
・Branch Repeater のインタフェースは 1 つのみ
・NetScaler/CloudBridge で複数の BR を登録することは不可 ・Branch Repeater Plug-in は未対応
41 12.9.1 検証構成 12.9.2 検証方法 AWS 東京リージョンの FTP クライアントが AWS シンガポールリージョン のFTP サーバから 100MB のファイルをダウンロード。AWS 東京リージョ ン~AWS シンガポールリージョン間の RTT は約 210 ミリ秒 12.9.3 検証結果 (1) Branch Repeater なしの場合 (2) Branch Repeater ありの場合
42 (2-1) クライアント側 Branch Repeater のステータス
(2-2) サーバ側 Branch Repeater のステータス
