- 目次 - 1 はじめに本資料について目的対象凡例 Citrix Networking for AWS の基本的な考え方 AWS で利用できる Citr

Citrix Networking for AWS ベストプラクティスガイド Ver1.1 2013 年 6 月シトリックスシステムズジャパン株式会社

- 目次 - 1 はじめに... 7 1.1 本資料について... 7 1.2 目的... 7 1.3 対象... 7 1.4 凡例... 7 2 Citrix Networking for AWS の基本的な考え方... 8 2.1 AWS で利用できる Citrix のネットワーキング製品... 8 2.1.1 NetScaler VPX... 8 2.1.2 CloudBridge VPX... 8 2.1.3 Branch Repeater for CloudBridge... 8 2.2 AWS での利用方式... 8 2.2.1 従量課金方式... 8 2.2.2 BYOL (Bring Your Own License) 方式... 8 2.3 AWS で実現可能なソリューション... 9 2.3.1 広域負荷分散 (GSLB) で拠点の冗長... 9 2.3.2 クラウド間の接続および通信の高速化... 9 2.3.3 クラウドのセキュリティを強化... 9 3 VPC (Virtual Private Cloud)... 10 3.1 概要... 10 3.1.1 リージョンについて... 10 3.1.2 AZ (Availability Zone)について... 10 3.1.3 VPC の範囲について... 10 2

3.2 VPC の作成... 10 3.2.1 VPC の構成... 11 3.2.2 CIDR Block と Public Subnet について... 11 3.2.3 Security Group について... 11 3.2.4 Elastic IP (EIP)について... 12 3.2.5 Route Tables について... 13 3.2.6 Internet Gateway について... 13 3.2.7 Network ACL について... 13 3.2.8 Elastic Network Interface (ENI)について... 13 3.2.9 サブネットについて... 14 4 IAM アカウントの作成... 17 4.1 IAM アカウントとは... 17 4.2 Citrix ネットワーキング製品の制御に必要なポリシー... 17 5 インスタンスの起動... 18 5.1 インスタンスの起動方法... 18 5.1.1 AWS Marketplace で起動する方法... 18 5.1.2 Amazon EC2 API Tools で起動する方法... 18 5.2 インスタンスの種類... 18 5.3 インスタンスの利用形式... 18 5.3.1 従量課金方式... 18 5.3.2 BYOL 方式... 19 5.4 インスタンスのタイプ... 19 5.4.1 利用できるインスタンスタイプの一覧... 19 5.5 AWS Marketplace でインスタンスを作成する際の注意点... 19 5.6 Amazon EC2 API Tools でインスタンスを起動するまでの流れ... 19 3

5.6.1 Amazon EC2 API Tools の準備... 20 5.6.2 Amazon EC2 API Tools の CLI コマンドを実行... 20 6 ライセンスについて... 21 6.1 ライセンスの取得... 21 6.2 ライセンスの種類... 21 6.3 評価版ライセンスについて... 21 6.3.1 評価版ライセンスの仕様... 21 6.3.2 評価版ライセンス取得までの流れ... 21 6.4 ライセンスのインストール... 22 6.5 ライセンスの入替... 22 7 NetScaler の基本設定... 23 7.1 初期設定... 23 7.2 IP アドレス... 23 7.2.1 IP アドレス設定時の注意点... 24 7.3 デフォルトルート... 24 7.3.1 デフォルトルート設定時の注意点... 25 7.3.2 PBR (Policy Base Routing)の設定... 25 7.3.3 MBF (Mac Base Forwarding)の有効化... 26 7.4 NetScaler/CloudBridge for AWS の制限事項... 26 8 NetScaler で負荷分散... 27 8.1 負荷分散の概要... 27 8.2 負荷分散設定のコンポーネント... 27 8.3 負荷分散の構成例... 27 8.3.1 同じリージョン同じ AZ のサーバを負荷分散... 27 8.3.2 同じリージョン異なる AZ のサーバを負荷分散... 28 4

8.3.3 異なるリージョンのサーバを負荷分散... 28 8.3.4 オンプレミス DC のサーバを負荷分散... 29 9 NetScaler の冗長構成... 30 9.1 冗長構成の概要... 30 9.2 冗長構成例... 30 9.3 冗長構成のポイント... 30 9.4 フェイルオーバーの条件... 30 9.5 フェイルオーバーの動作... 31 9.6 冗長構成の制限事項... 32 10 GSLB ( 広域負荷分散 )で拠点冗長... 33 10.1 GSLB の概要... 33 10.2 GSLB で利用される技術... 33 10.3 GSLB の動作例... 33 10.4 GSLB の構成例... 33 10.4.1 AWS AZ 間の拠点冗長... 33 10.4.2 AWS リージョン間の拠点冗長... 34 10.4.3 AWS とオンプレミス DC 間の拠点冗長... 34 10.5 GSLB 設定のコンポーネント... 35 11 クラウド/データセンター間の接続... 36 11.1 CloudBridge の概要... 36 11.2 CloudBridge で利用される技術... 36 11.3 CloudBridge の構成例... 36 11.3.1 AWS のリージョン間を接続... 36 11.3.2 AWS とオンプレミス DC 間を接続... 36 11.3.3 複数の拠点間を接続... 37 5

11.4 CloudBridge 設定のポイント... 37 11.5 CloudBridge の制限事項... 37 12 クラウド/データセンター間の高速化... 38 12.1 Branch Repeater の概要... 38 12.2 Branch Repeater の製品ラインナップ... 38 12.3 Branch Repeater で使用される技術... 38 12.4 Branch Repeater + NetScaler/CloudBridge の動作例... 38 12.5 Branch Repeater の構成例... 39 12.5.1 AWS のリージョン間の通信を高速化... 39 12.5.2 AWS とオンプレミス DC 間の通信を高速化... 39 12.5.3 AWS と複数のオンプレミス DC 間の通信を高速化... 40 12.6 Branch Repeater の設定ポイント... 40 12.7 NetScaler の設定ポイント... 40 12.8 Branch Repeater for CloudBridge の制限事項... 40 12.9 Branch Repeater 導入の効果 ( 検証結果 )... 40 12.9.1 検証構成... 41 12.9.2 検証方法... 41 12.9.3 検証結果... 41 6

1 はじめに 1.1 本資料について本資料は Citrix Systems 社のネットワーキング製品を AWS に導入するためのベストプラクティスガイドですソリューション別に設計思想推奨構成および制限事項等について記載しています具体的な設定方法等は別紙 Citrix Networking for AWS ステップバイステップガイドを参照してくださいなお本資料は弊社の正式な技術サポート文書ではありませんそのためこの文書の記述に関して弊社技術部門が皆様のご質問を直接お答えすることはできませんあくまでも皆様の構築作業の補助的な資料という位置づけのためこのような対応とさせていただきますご了承の上本資料をご覧になられることを理解ください 1.2 目的本資料および別紙 Citrix Networking for AWS ステップバイステップガイドを活用することで Citrix Systems 社のネットワーキング製品を利用した AWS 上のネットワークインフラの最適化を技術的に支援します 1.3 対象 Citrix Systems 社のネットワーキング製品を利用して AWS 上のネットワークインフラの最適化を検討されているお客様及びパートナー様を対象としています尚クラウド及びロードバランサの基本的な知識を有することを想定しております 1.4 凡例 7

2 Citrix Networking for AWS の基本的な考え方 2.1 AWS で利用できる Citrix のネットワーキング製品 2.1.1 NetScaler VPX アプリケーションの配信を最適化する NetScaler の仮想アプライアンスです主に以下の機能を提供します L4/L7 負荷分散や GSLB( 広域負荷分散 ) 機能 SSL オフロード機能 HTTP 圧縮やコンテンツキャッシュの最適化機能ハイブリッドクラウドを構築する CloudBridge 機能 SSL-VPN や WAF のセキュリティ強化機能 2.1.2 CloudBridge VPX クラウドやデータセンター間をシームレスかつセキュアに接続する CloudBridge の仮想アプライアンスです主に以下の機能を提供しますハイブリッドクラウドを構築する CloudBridge 機能 L4/L7 負荷分散や GSLB( 広域負荷分散 ) 機能 SSL オフロード機能 2.1.3 Branch Repeater for CloudBridge クラウドやデータセンター間の通信を高速化する Branch Repeater の仮想アプライアンスです主に以下の機能を提供します拠点間通信の高速化 QoS 2.2 AWS での利用方式 2.2.1 従量課金方式 Software および EC2 利用料を AWS へお支払いいただく方式です簡単に始められるメリットがありますが国内で Citrix のサポートは受けられませんのでご注意くださいサポートは米国 Citrix の英語によるサポートです 2.2.2 BYOL (Bring Your Own License) 方式 Citrix Systems 社の代理店からライセンスを購入していただき EC2 利用 8

料のみを AWS へお支払いいただく方式です Software 利用料はかかりませんまた国内で Citrix のサポートが受けられます 2.3 AWS で実現可能なソリューション 2.3.1 広域負荷分散 (GSLB) で拠点の冗長 2.3.2 クラウド間の接続および通信の高速化 2.3.3 クラウドのセキュリティを強化 9

3 VPC (Virtual Private Cloud) 3.1 概要 VPC とは AWS に構築できる仮想プライベートクラウドです IP アドレスやルーティング等を自由に設計することができます Citrix のネットワーキング製品は複数の IP アドレスを所有する必要があるため VPC 上で構築する必要があります EC2-Classic では構築出来ません 3.1.1 リージョンについて現在 AWS には世界中に 8 つのリージョンが存在していますどのリージョンで VPC を作成するかを検討します 3.1.2 AZ (Availability Zone)についてリージョン内に存在する AWS の拠点です現在東京リージョンには複数の AZ が存在しています 3.1.3 VPC の範囲について VPC はリージョンを跨ぐことが出来ない VPC は複数の AZ に跨ぐことが出来る 3.2 VPC の作成以下の URL でも詳細をご確認頂けます http://docs.aws.amazon.com/ja_jp/amazonvpc/latest/gettingstartedguide/w izard.html 10

3.2.1 VPC の構成一般的なロードバランサの用途であれば VPC with a Single Public Subnet Only を選択します 3.2.2 CIDR Block と Public Subnet について CIDR Block は VPC 全体のネットワークアドレスのブロックを指定します後から変更することが出来ませんのでアドレス設計にご注意ください Public Subnet はサブネットワークを指定します CIDR Block のアドレス範囲内であれば後から追加修正することが可能ですその後このサブネットワークが所属する AZ (Availability Zone)も指定します 3.2.3 Security Group について Security Group ではインスタンスの Inbound と Outboud のアクセス制御を行いますアクセス制御では許可するトラフィックを明示的に指定しますデフォルトのセキュリティグループはローカルサブネット内の通信のみ許可していますシトリックスのネットワーキング製品では以下の Security Group を設定することを推奨しています尚提供するサービスによっては追加の設定が必要です NetScaler / CloudBridge (1) Inbound Protocols Port Source 備考 SSH 22 0.0.0.0/0 HTTP 80 0.0.0.0/0 HTTPS 443 0.0.0.0/0 TCP 3008-3011 0.0.0.0/0 HA/GSLB の制御パケット用 TCP 4001 0.0.0.0/0 UDP 67 0.0.0.0/0 UDP 123 0.0.0.0/0 UDP 161 0.0.0.0/0 UDP 500 0.0.0.0/0 UDP 4500 0.0.0.0/0 UDP 3003 0.0.0.0/0 HA のハートビート用 11

(2) Outbound Protocols Port Source 備考 ALL - 0.0.0.0/0 Branch Repeater for CloudBridge (1) Inbound Protocols Port Source 備考 ALL - 0.0.0.0/0 (2) Outbound Protocols Port Source 備考 ALL - 0.0.0.0/0 3.2.4 Elastic IP (EIP)について Elastic IP とはインスタンスに紐付けることが可能なグローバル IP アドレスです NetScaler / CloudBridge では以下の用途で一般的に 2 つの Elastic IP が必要です (1) VIP (Virtual IP) クライアントからのリクエストを受けるサービス提供用の IP アドレスです一般的には FQDN に紐付いたグローバル IP アドレスです (2) NSIP (NetScaler IP) NetScaler の管理 IP アドレスですインターネットから直接 NetScaler の管理コンソールへログインする場合に必要ですまた冗長構成でのフェイルオーバー時には AWS の API サーバとの通信で利用します Elastic IP は VPC/EC2 の管理コンソールで制御します Citrix のネットワーキング製品側ではプライベート IP アドレスのみ設定します VPC/EC2 側で自動的にプライベート IP グローバル IP の変換が行われますデフォルトでは 1AWS アカウントにつき 5 つの EIP を作成できます追加で必要な場合は AWS へ上限規制緩和を申請する必要があります Elastic IP の代替手段として NAT インスタンスを利用することも可 12

能です 3.2.5 Route Tables について Route Tables では VPC のルーティングを管理しますデフォルトでは以下のルーティングテーブルが存在します Destination Target CIDR Block で指定したアドレスレンジ Local 0.0.0.0/0 Internet Gateway VPC の異なる AZ 間のルーティングは VPC ルータがルーティングします 3.2.6 Internet Gateway についてインターネットおよび他のリージョンや VPC と通信するためには Internet Gateway を利用する必要があります VPC 作成時に Internet Gateway が自動的に作成されデフォルトゲートウェイとして設定されます 3.2.7 Network ACL について Network ACL はサブネットに適用されるアクセス制御です明示的に許可および拒否するルールを作成しますステートレスのため戻りのトラフィック用のルールも作成する必要がありますデフォルトでは以下の Network ACL が設定されています (1) Inbound Rule Port Protocol Source Allow/Deny 100 ALL ALL 0.0.0.0/0 Allow * ALL ALL 0.0.0.0/0 Deny (2) Outbound Rule Port Protocol Source Allow/Deny 100 ALL ALL 0.0.0.0/0 Allow * ALL ALL 0.0.0.0/0 Deny 3.2.8 Elastic Network Interface (ENI)について Elastic Network Interface とはインスタンスに紐付いた Network Interface ですあるインスタンスの ENI を別のインスタンスに紐付けることも可能です (デフォルト ENI は変更不可 ) 13

Elastic Network Interface の構成要素は以下の通りです (1) Primary のプライベート IP アドレスが設定されている (2) 複数の Secondary のプライベート IP アドレスも設定できる (3) Elastic IP アドレスを紐付けられる (4) MAC アドレスを有する (5) 特定の Security Group に所属する (6) Description( 説明 ) (7) Source / Destination check flag がデフォルトで有効インスタンスに紐付けられる ENI の数および ENI 毎に設定可能なプライベート IP アドレスはインスタンスタイプによって異なります ENI の追加変更 ( 付け替え) 削除は以下の手順で行う必要があります 1 インスタンスの停止 2 ENI の追加削除 3 インスタンスの起動ある AZ の ENI は別の AZ に所属するインスタンスに付け替えることは出来ません 3.2.9 サブネットについて NetScaler/CloudBridge は 3 つのサブネットに分けて構成することを推奨しています全てのサブネットは同一の AZ に所属している必要があります (1) 3 つのサブネットで構成推奨構成管理用サブネット管理用アクセスおよび冗長構成時の通信制御用セグメント 14

クライアント側サブネットクライアントからのリクエストを受けるサービス提供用セグメントサーバ側サブネットバックエンドのサーバが存在するセグメント (2) 2 つのサブネットで構成管理用サブネット管理用アクセスおよび冗長構成時の通信制御用セグメントクライアント/サーバ側サブネットクライアント側とサーバ側を同一のサブネットで構成 15

(3) 1 つのサブネットで構成管理用 /クライアント/サーバ側サブネット全てを同一サブネットで構成冗長構成が組めない Branch Repeater では 1 つのサブネットのみ構成可能です (1) 1 つのサブネットで構成 NetScaler / CloudBridge のバックエンドに相当するサーバ側セグメントで構成管理アクセスも同セグメントで行う 16

4 IAM アカウントの作成 4.1 IAM アカウントとは AWS で Citrix ネットワーキング製品を利用するためには IAM アカウントを作成する必要があります IAM アカウントとはポリシーによって特定のオペレーションが許可されているユーザおよびグループです 4.2 Citrix ネットワーキング製品の制御に必要なポリシー ec2-attachnetworkinterface ec2-describeinstances ec2-describenetworkinterfaces ec2-detachnetworkinterface 17

5 インスタンスの起動 5.1 インスタンスの起動方法インスタンスは以下の方法で起動することが出来ます 5.1.1 AWS Marketplace で起動する方法 AWS Marketplace でインスタンスを起動することが出来ますウィザード形式で進められるためインスタンス起動までのプロセスが非常にわかりやすいですしかし起動するインスタンスの ENI の数は 2 つまでしか指定出来ません従って 3 つ以上の ENI が必要な NetScaler/CloudBridge はインスタンス起動後に ENI を追加する必要があります 5.1.2 Amazon EC2 API Tools で起動する方法 Amazon EC2 API Tools でインスタンスを起動することが出来ます Windows /Linux 端末に API Tools や各種キーをインストール後 CLI コマンドでインスタンスを起動します初回は事前準備が必要ですが次回以降は非常に簡単にインスタンスを起動出来ますまた 3 つ以上の ENI を指定してインスタンスを起動出来ます 5.2 インスタンスの種類 AWS で利用出来る Citrix ネットワーキング製品のインスタンスは以下の通りです NetScaler VPX CloudBridge VPX Branch Repeater for CloudBridge 最新の情報は以下のリンク先でご確認ください https://aws.amazon.com/marketplace/seller-profile?id=fb9c6078-b60f-47f6-86 22-49d5e1d5aca7 5.3 インスタンスの利用形式 5.3.1 従量課金方式 Customer Licensed の記載がないインスタンスです Branch Repeater 18

for CloudBridge は従量課金方式では利用できません 5.3.2 BYOL 方式 Customer Licensed の記載があるインスタンスです Branch Repeater for CloudBridge は BYOL 方式のみご利用できます従量課金または BYOL で起動したインスタンスの利用方式を後から変更することは出来ません新しくインスタンスを起動し直す必要があります 5.4 インスタンスのタイプ 5.4.1 利用できるインスタンスタイプの一覧 2vCPU と 2GB RAM が必須です Branch Repeater for CloudBridge は M1.large のみ対応していますインスタンス起動後インスタンスタイプの変更は可能です 5.5 AWS Marketplace でインスタンスを作成する際の注意点作成できる ENI の数は 2 つ以下です (3 つ以上必要な場合はインスタンス作成後に追加します) Software / EC2 の料金体系を確認しますインスタンスを起動するリージョンに注意します Launch with EC2 Console のみ対応しています(1-Click Launch には対応していません) 必ず EC2-VPC で起動します EC2-Classic では起動できません 5.6 Amazon EC2 API Tools でインスタンスを起動するまでの流れ 19

詳細は以下のリンク先でもご確認頂けます http://support.citrix.com/proddocs/topic/netscaler-vpx-10/nsvpx-launch-aws-a mi-gui-cli-con.html 5.6.1 Amazon EC2 API Tools の準備 (1) Amazon EC2 API Tools のダウンロード (2) X.509 証明書ファイルと X.509 秘密鍵のダウンロード (3) Windows/Linux 端末に Amazon EC2 API Tools 環境を設定 5.6.2 Amazon EC2 API Tools の CLI コマンドを実行 ( 例 ) ec2-run-instances ami-bd2986d4 -n 1 -t m1.large -k abc_keypair -a :0:subnet-15fa057e:"NSIP":10.20.15.21 -a :1:subnet-1547ba7e:"CLIENT-SIDE 10.20.10.21::::10.20.10.22,10.20.10.23,10.20.10.24,10.20.10.25,10.20.10.26,10.2 0.10.27,10.20.10.28,10.20.10.29,10.20.10.30 -a :2:subnet-cc47baa7:"SERVER-SIDE":10.20.1.21::::10.20.1.22,10.20.1.23,10.2 0.1.24,10.20.1.25,10.20.1.26,10.20.1.27,10.20.1.28,10.20.1.29,10.20.1.30 コマンド/オプションパラメータ( 例 ) インスタンスを起動するコマンド ec2-run-instances ami-bd2986d4 インスタンスを起動するコマンド -n 1 インスタンスの数 -t m1.large インスタンスタイプ -k abc_keypair Key pair ファイル -a 0 作成する ENI subnet-15fa057e "NSIP" 所属する Subnet ニックネーム 10.20.15.21 IP アドレス必要な ENI 分を同様に作成 20

6 ライセンスについて 6.1 ライセンスの取得ライセンスは Citrix Systems 社の代理店よりご購入ください 6.2 ライセンスの種類製品エディション備考 CloudBridge VPX 10 - Branch Repeater VPX 10 付属 CloudBridge VPX 200 - Branch Repeater VPX 45 付属 NetScaler VPX 10 Standard Enterprise Platinum Branch Repeater VPX 10 付属 NetScaler VPX 200 Standard Enterprise Platinum Branch Repeater VPX 45 付属 NetScaler VPX 1000 Standard Enterprise Platinum Branch Repeater VPX 100 付属 6.3 評価版ライセンスについて NetScaler の評価を目的とした評価版ライセンスもご利用頂けます 6.3.1 評価版ライセンスの仕様製品名 :NetScaler VPX 1000 Platinum Edition 有効期間 :90 日間 6.3.2 評価版ライセンス取得までの流れ (1) My Account( 旧 MyCitrix)の作成 http://support.citrix.com/article/ctx132531 (2) 下記に必要事項を入力 http://try.citrix.com/nsvpxdiy (3) My Account( 旧 MyCitrix)にログイン 21

https://secureportal.citrix.com/mycitrix/login/home.aspx ツールボックスの選択ライセンス管理割り当て製品が表示されない場合ポップアップウインドウに入手したライセンスコードを入力ホスト ID を入力ホスト ID は以下の 53 ページ Obtaining the Host ID http://support.citrix.com/article/ctx122426 6.4 ライセンスのインストールライセンスは GUI または CLI からインストールできます詳細は別紙ステップバイステップガイドを参照してください 6.5 ライセンスの入替ライセンスを入れ替えることでインスタンスの機能強化およびパフォーマンスを上げることが出来ますライセンスをインストール後再起動することで新しいライセンスが適用されます 22

7 NetScaler の基本設定 7.1 初期設定ホスト名パスワード Time Zone 等の初期設定は別紙ステップバイステップガイドまたは Citrix のオンラインマニュアルを参照してください http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html 7.2 IP アドレス以下の IP アドレスを設定します (1) NSIP (NetScaler IP) NetScaler の管理 IP アドレスです管理アクセスやシステム制御用に利用しますまた冗長構成でのフェイルオーバー時には AWS の API サーバとの通信で利用します (2) VIP (Virtual IP) クライアントからのリクエストを受けるサービス提供用の IP アドレスです一般的には FQDN に紐付いたグローバル IP アドレスです (3) SNIP (Subnet IP) NetScaler/CloudBridge がバックエンドのサーバと通信する際に利用する送信元 IP アドレスです複数のサブネットが存在する場合サブネット毎に SNIP を設定します AWS では同一 AZ/VPC 上のインスタンスとの通信時に送信元 IP アドレスとして利用されます (4) MIP (Mapped IP) NetScaler/CloudBridge がバックエンドのサーバと通信する際に利用する送信元 IP アドレスです AWS では異なる AZ/VPC 上のインスタンスとの通信時に送信元 IP アドレスとして利用されます 23

7.2.1 IP アドレス設定時の注意点第 4 オクテットの x.x.x.1~.4 は AWS で予約済みのため使用できません EIP には関知しません AWS の管理コンソールで制御する必要があります (Citrix ネットワーキング製品にはプライベート IP のみ設定 ) 7.3 デフォルトルートデフォルトルートは管理用サブネットまたはクライアント側サブネットの VPC ルータを指定します推奨構成は管理用サブネットのルータを Next Hop とするデフォルトルートを作成します次項の注意点に対処するため VIP 用通信に PBR を作成します 24

7.3.1 デフォルトルート設定時の注意点特定のサブネットに属する IP アドレスを送信元とする場合そのサブネットに属する VPC ルータのみデフォルトルートとして使用可能例 :NetScaler がクライアントへレスポンスを帰すときの送信元 IP はクライアント側サブネットに属する VIP となるその場合クライアント側サブネットの VPC ルータのみをデフォルトルートとして使用可能 ( 管理用サブネットの VPC ルータをデフォルトルートとして使用出来ない) 第 4 オクテットが x.x.x.1 の IP アドレスは各サブネットのデフォルトゲートウェイとなり得る AWS 側のルータです 7.3.2 PBR (Policy Base Routing)の設定ポリシーに基づいて強制的にルーティングを制御します PBR はルーティングテーブルよりも優先されます 1 デフォルトルートがクライアント側サブネットの場合 2 デフォルトルートが管理用サブネットの場合 25

7.3.3 MBF (Mac Base Forwarding)の有効化 NetScaler が入力トラフィックのインタフェースや MAC アドレスを記録することで戻りのトラフィックも同じインタフェースから出力させることができる機能です 1 デフォルトルートがクライアント側サブネットの場合 2 デフォルトルートが管理用サブネットの場合 7.4 NetScaler/CloudBridge for AWS の制限事項以下の機能は利用出来ません L2 モード Tagged VLAN GARP クラスタリング 26

8 NetScaler で負荷分散 8.1 負荷分散の概要 NetScaler の中心的な機能が L4/L7 負荷分散機能です 8.2 負荷分散設定のコンポーネント (1) Virtual Server VIP + ポート番号 + プロトコルのエンティティです負荷分散メソッドやパーシステンス様々なポリシーを設定します原則として全てのクライアントは Virtual Server にリクエストを送信します (2) Service サーバの IP アドレス + ポート番号 + プロトコルのエンティティですヘルスチェックやサーバ固有の設定をします Service は Virtual Server に紐付けます (3) Server サーバの IP アドレスです Server は Service に紐付いています 8.3 負荷分散の構成例 8.3.1 同じリージョン同じ AZ のサーバを負荷分散 27

最もシンプルな構成遅延が非常に少ない AZ 内の通信はデータ転送料が不要 8.3.2 同じリージョン異なる AZ のサーバを負荷分散 AZ 間は AWS の専用線で接続されているため遅延は少ない AZ 間の通信にはデータ転送料が発生 AZ 間の通信には MIP の設定が必要 8.3.3 異なるリージョンのサーバを負荷分散 28

リージョン間はインターネット接続となるため遅延が大きいリージョン間の通信にはデータ転送料が発生リージョン間の通信には MIP の設定が必要非推奨構成 (GSLB の利用を推奨 ) 8.3.4 オンプレミス DC のサーバを負荷分散 AWS とオンプレミスのロケーション次第では遅延が発生ハイブリッドクラウドを実現 29

9 NetScaler の冗長構成 9.1 冗長構成の概要 NetScaler では Primary / Secondary の冗長構成を組むことが可能です正常時は Primary がトラフィックを処理し障害時にはフェイルオーバーしてセカンダリへ切替わります 9.2 冗長構成例 9.3 冗長構成のポイントデフォルト ENI は管理セグメントに所属 Secondary は管理セグメントのみに接続ハートビート送信やコンフィグ同期等は管理セグメントのみで行われる管理セグメントにはサービス用のトラフィックを流さないこと NSIP は外部の AWS API サーバとの接続性が必要 NetScaler に AccessKey/SecretKey が入っていることフェイルオーバーには約 20~40 秒かかる 9.4 フェイルオーバーの条件 Primary / Secondary 間で相互にハートビートを Hello Interval の間隔で送信し続けます Secondary が Hold Timer 経過後もハートビートを受信しなくなった 30

らフェイルオーバーが開始されますハートビート - Hello Interval : 200msec(デフォルト値 ) - Hold Timer : 3sec(デフォルト値 ) 仮に元 Primary が復旧しても自動的なフェイルバックは発生しません手動で切戻す必要があります 9.5 フェイルオーバーの動作 (1) 死活監視で Primary の異常を検知 (2) AWS API サーバへ ENI の移行を依頼 (3) ENI の移行が行われるデフォルト ENI は変更なし 31

(4) フェイルオーバーの完了 9.6 冗長構成の制限事項 Primary/Secondary は同一の AZ 内に存在する必要あり 2 つ以上のサブネットを構成する必要あり(1 つは管理用 ) 冗長構成を設定する場合 Primary に 2 つ以上の ENI が必要冗長構成を解除する場合 Secondary 側から行うこと INC (Independent Network Configuration )モードは正常に動作しない 32

10 GSLB ( 広域負荷分散 )で拠点冗長 10.1 GSLB の概要 NetScaler の GSLB 機能を使うことで AWS のリージョンや AZ 間およびオンプレミスのデータセンター間で拠点冗長を実現できますまた DR 対策として活用することも可能です 10.2 GSLB で利用される技術 GSLB は DNS ベースのソリューションですクライアントが WEB アクセスする前に DNS の名前解決が行われます NetScaler は最適な拠点の IP アドレスをクライアントに返すことで GSLB を実現しています GSLB では各拠点の NetScaler が相互に MEP (Metric Exchange Protocol)を使ってサイトの状況やパーシステンス情報等を共有しています 10.3 GSLB の動作例 10.4 GSLB の構成例 10.4.1 AWS AZ 間の拠点冗長 33

10.4.2 AWS リージョン間の拠点冗長 10.4.3 AWS とオンプレミス DC 間の拠点冗長 34

10.5 GSLB 設定のコンポーネント 35

11 クラウド/データセンター間の接続 11.1 CloudBridge の概要 NetScaler の CloudBridge 機能または CloudBridge 仮想アプライアンスを使うことで AWS のリージョンや VPC 間およびオンプレミスのデータセンター間をシームレス且つセキュアに接続することが出来ます NetScaler の CloudBridge 機能は Platinum エディションで提供されます 11.2 CloudBridge で利用される技術 GRE (Generic Routing Encapsulation)で拠点間を L2/L3 レベルでトンネリングして IPsec で通信を暗号化します 11.3 CloudBridge の構成例 11.3.1 AWS のリージョン間を接続 AWS の各リージョンに NetScaler または CloudBridge の VPX を導入 11.3.2 AWS とオンプレミス DC 間を接続 36

AWS とオンプレミス DC に各々NetScaler または CloudBridge を導入オンプレミス側は専用のハードウェアアプライアンス(MPX/SDX)でも可能 11.3.3 複数の拠点間を接続複数の拠点間を接続することも可能です拠点毎に CloudBridge のトンネルを設定します 11.4 CloudBridge 設定のポイント Source/Dest Check の設定を無効化トンネルインタフェース用 IP アドレスの設定対向サブネット向けスタティックルートの追加 11.5 CloudBridge の制限事項 AWS では L3 レベルのトンネリングのみ対応 (AWS 側の L2 制約のため) 37

12 クラウド/データセンター間の高速化 12.1 Branch Repeater の概要 Branch Repeater を導入することで AWS のリージョンや AZ 間およびオンプレミスのデータセンター間の通信を高速化します 12.2 Branch Repeater の製品ラインナップ 2013 年 5 月現在 Branch Repeater for CloudBridge として BYOL モデルのみ提供しています製品ラインナップは以下の 3 種類となります Branch Repeater VPX 10 (10Mbps) Branch Repeater VPX 45 (45Mbps) Branch Repeater VPX 100 (100Mbps) 12.3 Branch Repeater で使用される技術圧縮キャッシュやプロトコル最適化等の技術を使用します 12.4 Branch Repeater + NetScaler/CloudBridge の動作例 38

12.5 Branch Repeater の構成例 AWS で Branch Repeater を導入する場合必ず NetScaler または CloudBridge と併用する必要があります 12.5.1 AWS のリージョン間の通信を高速化 12.5.2 AWS とオンプレミス DC 間の通信を高速化 39

12.5.3 AWS と複数のオンプレミス DC 間の通信を高速化 12.6 Branch Repeater の設定ポイント Source/Dest Check の設定を無効化 SNMP の設定 Tuning で以下の項目を確認 Virtual Inline: Return to Ethernet Sender TCP Maximum Segment Size (MSS): 1300 対向の Branch Repeater と設定を合わせる必要があります 12.7 NetScaler の設定ポイント Source/Dest Check の設定を無効化 ANY / ANY の Virtual Server / Service を設定 MBF USIP L3 モードを有効化 Forward ICMP fragments を有効化 Prefer Direct Route の無効化 Dynamic Load Balancing wizard for Citrix Branch Repeater を利用すれば BR への通信リダイレクト設定やヘルスチェック等を最適化できます 12.8 Branch Repeater for CloudBridge の制限事項 NetScaler/CloudBridge と併用して導入する必要あり AMI のインスタンスタイプは M1.Large のみ Branch Repeater のインタフェースは 1 つのみ NetScaler/CloudBridge で複数の BR を登録することは不可 Branch Repeater Plug-in は未対応 12.9 Branch Repeater 導入の効果 ( 検証結果 ) 40

12.9.1 検証構成 12.9.2 検証方法 AWS 東京リージョンの FTP クライアントが AWS シンガポールリージョンの FTP サーバから 100MB のファイルをダウンロード AWS 東京リージョン~AWS シンガポールリージョン間の RTT は約 210 ミリ秒 12.9.3 検証結果 (1) Branch Repeater なしの場合 (2) Branch Repeater ありの場合 41

(2-1) クライアント側 Branch Repeater のステータス (2-2) サーバ側 Branch Repeater のステータス以上 42

- 目 次 - 1 はじめに... 7 1.1 本 資 料 について... 7 1.2 目 的... 7 1.3 対 象... 7 1.4 凡 例... 7 2 Citrix Networking for AWS の 基 本 的 な 考 え 方... 8 2.1 AWS で 利 用 できる Citr

- 目次 - 1 はじめに... 7 1.1 本資料について... 7 1.2 目的... 7 1.3 対象... 7 1.4 凡例... 7 2 Citrix Networking for AWS の基本的な考え方... 8 2.1 AWS で利用できる Citr