Citrix NetScaler HA - Funktionsweise und Konfiguration

In diesem Blogbeitrag geht um die Konfiguration eines Hochverfügbarkeit-Paars.

Grundsätzlich gibt es drei Möglichkeiten NetScaler hochverfügbar bereitzustellen. Diese Möglichkeit finden Sie in der Tabelle.

   HA   Cluster   GSLB* 
 Active-Active  Nein    Ja   Ja
 Active-Passive   Ja   Nein   Ja
 OSI-Level  L2/L3    L2/L3   L7 (DNS) 
 Cloud-fähig  Ja   Nein   Ja

 

*GSLB hat zwar ganz andere Einsatzszenarien und sollte nicht wirklich in einem direkten Vergleich zu HA und Clustering stehen. Die Technologie kann analog zu HA und Clustering für eine unterbrechungsfreie Bereitstellung der Citrix Infrastruktur sorgen.  Mehr zum Thema GSLB finden Sie in diesem Artikel: Citrix NetScaler Global Server Load Balancing Architektur


NS HA

Weiter werden wir uns mit dem Thema HA beschäftigen, da dieses die gängigste HA-Methode ist.

HA verfolgt ein einziges Ziel, im Falle eines Ausfalls den weiteren Betrieb zu gewährleisten. Eine HA-Bereitstellung besteht immer aus zwei Knoten: primärer (aktiv) und sekundärer (passiv). Im Gegensatz z.B. zum Cluster, der aus 2 bis 32 aktiven Knoten bestehen kann. Der aktive Knoten beinhaltet alle konfigurierten IP-Adressen und akzeptiert alle aktiven Verbindungen an diese vIPs. Die Konfiguration wird immer auf dem primären Knoten vorgenommen und mit dem sekundären geteilt.

Der passive Knoten überwacht per Heartbeat Messages ständig den Zustand des primären Systems und hat nur eine einzige aktive IP (NSIP) (weitere IPs wie z.B. vIP, MIP werden zwischen den Knoten geshared). Die Standard-Intervalle zur Sendung Heartbeat Nachrichten liegen bei 200 Millisekunden. Dieser Wert lässt sich bei Bedarf anpassen (200 – 1000 ms). Der weitere konfigurierbare Wert ist das sogenannte Dead-Intervall. Es handelt sich dabei um das Zeitintervall, nachdem der Failover durchgeführt wird, wenn keine Antwort auf die Heartbeat Nachrichten mehr kommt (Standardwert 3 sec, konfigurierbar 3 – 60 sec).

 

Kommunikationsports

Die Kommunikation findet über die folgenden Ports statt.

  • UDP 3003 – Heartbeat-Request sogenannter “Hallo Intervall”
  • TCP 3008 (Secure), 3010 (Non-Secure) – Synchronization der Konfiguration, um die Konfiguration zu duplizieren. 3008 wird bei Default verwendet.
  • TCP 3009 (Secure), 3011 (Non-Secure) – Command Propagation

 

Voraussetzungen

Bevor wir mit der Einrichtung der HA-Pair beginnen, verifizieren Sie noch folgende Einstellungen:

  • gleiche Firmware Version (Build)
  • Zeit muss korrekt eingestellt sein
  • Identisches RPC Node Password
  • Identisches nsroot Password
  • Korrekte Lizenzierung (Edition)
  • derselbe Type (Platform)
  • Monitoring auf den nicht genutzten Interfaces muss deaktiviert werden

Nach der Einrichtung der HA-Pair werden alle Änderungen nur noch auf dem primären Knoten durchgeführt.

 

Einrichtung HA Pair

Bevor wir mit der Konfiguration HA-Pair auf der zukünftigen Primary Appliance starten, setzen wir der zweiten Appliance auf StaySecondary. So können wird vermeiden, dass der Secondary NetScaler die Konfiguration auf dem Primary überschreibt.

Es ist auch zu empfehlen, die unnötigen Netzwerk-Interface auf beiden Appliances zu deaktivieren.

1.1. Melden Sie sich auf der Management Konsole und navigieren Sie zu: System > High Availability > Nodes

1.2. Wählen Sie die Appliance aus und klicken Sie auf Edit

001 Config NS HA Pair

1.3. Klappen Sie das Dropdown-Menü High Availability Status auf und wählen Sie STAY SECONDARY (Remain in Listen Mode)

002 Config NS HA Pair

Bestätigen Sie die Konfiguration mit OK

002 2 Config NS HA Pair OK Button

1.4. Speichern Sie die Konfiguration

1.5. Alternative Konfiguration per CLI

set HA node -haStatus STAYSECONDARY

Unnötige Netzwerk-Interface deaktivieren:

show interface

diasable interface <interface_nummer>

 

2.1. Melden Sie sich auf dem ersten NetScaler und navigieren Sie zu: System > High Availability > Nodes.

Wählen Sie die Appliance aus und klicken Sie auf Add

003 Config NS HA Pair

2.2. Geben Sie die NSIP den Secondary NetScaler, sowie den Username und das Password ein. Sonstige Einstellungen werden nicht angepasst.

INC (Independent Network Configuration) Mode wird benötig, wenn die HA-Knoten sich in den zwei getrennten Netzwerksegmenten mit den unterschiedlichen Netzwerkkonfigurationen befinden.

004 Config NS HA Pair

Alternative Konfiguration per CLI
add ha node 1 192.168.1.230

 

2.3. Wie man sieht, sind beide Knote vorhanden, aber noch nicht HA-fähig, da auf der zweiten Appliance den Stay Secondary – Zustand erzwungen wird.

005 Config NS HA Pair

2.4. Wie melden uns wieder auf der zweiten Appliance und passen die Eigenschaften High Availability Status an. Wählen Sie ENABLED aus dem Dropdown-Menü aus.

Blaugefärbt ist die Standard-Konfiguration. Weitere Einstellungen erzwingen immer einen bestimmten Zustand:

007 HA Status

  • ENABLED – definiert einen normalen Betrieb ohne bestimmten Voreinstellungen / Einschränkungen
  • STAYPRIMARY – zwing den Knoten im Primärzustand zu bleiben, wenn der fehlerfrei funktioniert.
  • STAYSECONDARY - zwing den Knoten sekundär zu bleiben, unabhängig vom Status des primären Knotens.
  • DISABLED – deaktiviert die HA Funktionalität

 

Alternative Konfiguration per CLI:
set ha node -hastatus ENABLED

Die getätigten Einstellungen können Sie auch mit dem folgenden Befehl verifizieren:
show ha node

So sieht die fertige Konfiguration auf dem ersten Knoten aus:

008 Wartung Secondy NS

Fail-Safe Mode

Es ist sinnvoll den Fail-Safe Modus zu konfigurieren, da dieser dafür sorgt, dass einer von beiden Knoten immer primär beleibt, falls den Health Check untereinander nicht mehr möglich ist. Mehr zum Thema finden Sie hier.

Der Fail-Safe Modus muss auf jedem Knoten einzeln konfiguriert werden. Am schnellsten geht es mit dem Befehl: set ha node -failsafe ON

 

3.1. Wenn Sie Rollen der Knoten in HA-Gruppe ändern möchten, können Sie dies über die Option Force Failover erreichen.

Navigieren Sie zu:  System > High Availability > Nodes und wählen Sie Option Force Failover aus.

009 Force Failover

Bestätigen Sie den Vorgang.

010 Wartung Secondy NS

Schließen Sie die Meldung

011 Wartung Secondy NS

Die Rollen wurden erfolgreich ausgetauscht:

012 Wartung Secondy NS

 

Upgrade HA Pair

Wie Sie die Knoten eines HA-Pairs aktualisieren können, wurde detailliert in folgenden Blogbeitrag beschrieben: NetScaler ADC Firmware Upgrade

Nützliche Links

 

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.