In diesem Blogbeitrag geht um die Konfiguration eines Hochverfügbarkeit-Paars.
Grundsätzlich gibt es drei Möglichkeiten NetScaler hochverfügbar bereitzustellen. Diese Möglichkeit finden Sie in der Tabelle.
HA | Cluster | GSLB* | |
Active-Active | Nein | Ja | Ja |
Active-Passive | Ja | Nein | Ja |
OSI-Level | L2/L3 | L2/L3 | L7 (DNS) |
Cloud-fähig | Ja | Nein | Ja |
*GSLB hat zwar ganz andere Einsatzszenarien und sollte nicht wirklich in einem direkten Vergleich zu HA und Clustering stehen. Die Technologie kann analog zu HA und Clustering für eine unterbrechungsfreie Bereitstellung der Citrix Infrastruktur sorgen. Mehr zum Thema GSLB finden Sie in diesem Artikel: Citrix NetScaler Global Server Load Balancing Architektur
Weiter werden wir uns mit dem Thema HA beschäftigen, da dieses die gängigste HA-Methode ist.
HA verfolgt ein einziges Ziel, im Falle eines Ausfalls den weiteren Betrieb zu gewährleisten. Eine HA-Bereitstellung besteht immer aus zwei Knoten: primärer (aktiv) und sekundärer (passiv). Im Gegensatz z.B. zum Cluster, der aus 2 bis 32 aktiven Knoten bestehen kann. Der aktive Knoten beinhaltet alle konfigurierten IP-Adressen und akzeptiert alle aktiven Verbindungen an diese vIPs. Die Konfiguration wird immer auf dem primären Knoten vorgenommen und mit dem sekundären geteilt.
Der passive Knoten überwacht per Heartbeat Messages ständig den Zustand des primären Systems und hat nur eine einzige aktive IP (NSIP) (weitere IPs wie z.B. vIP, MIP werden zwischen den Knoten geshared). Die Standard-Intervalle zur Sendung Heartbeat Nachrichten liegen bei 200 Millisekunden. Dieser Wert lässt sich bei Bedarf anpassen (200 – 1000 ms). Der weitere konfigurierbare Wert ist das sogenannte Dead-Intervall. Es handelt sich dabei um das Zeitintervall, nachdem der Failover durchgeführt wird, wenn keine Antwort auf die Heartbeat Nachrichten mehr kommt (Standardwert 3 sec, konfigurierbar 3 – 60 sec).
Kommunikationsports
Die Kommunikation findet über die folgenden Ports statt.
- UDP 3003 – Heartbeat-Request sogenannter “Hallo Intervall”
- TCP 3008 (Secure), 3010 (Non-Secure) – Synchronization der Konfiguration, um die Konfiguration zu duplizieren. 3008 wird bei Default verwendet.
- TCP 3009 (Secure), 3011 (Non-Secure) – Command Propagation
Voraussetzungen
Bevor wir mit der Einrichtung der HA-Pair beginnen, verifizieren Sie noch folgende Einstellungen:
- gleiche Firmware Version (Build)
- Zeit muss korrekt eingestellt sein
- Identisches RPC Node Password
- Identisches nsroot Password
- Korrekte Lizenzierung (Edition)
- derselbe Type (Platform)
- Monitoring auf den nicht genutzten Interfaces muss deaktiviert werden
Nach der Einrichtung der HA-Pair werden alle Änderungen nur noch auf dem primären Knoten durchgeführt.
Einrichtung HA Pair
Bevor wir mit der Konfiguration HA-Pair auf der zukünftigen Primary Appliance starten, setzen wir der zweiten Appliance auf StaySecondary. So können wird vermeiden, dass der Secondary NetScaler die Konfiguration auf dem Primary überschreibt.
Es ist auch zu empfehlen, die unnötigen Netzwerk-Interface auf beiden Appliances zu deaktivieren.
1.1. Melden Sie sich auf der Management Konsole und navigieren Sie zu: System > High Availability > Nodes
1.2. Wählen Sie die Appliance aus und klicken Sie auf Edit
1.3. Klappen Sie das Dropdown-Menü High Availability Status auf und wählen Sie STAY SECONDARY (Remain in Listen Mode).
Bestätigen Sie die Konfiguration mit OK
1.4. Speichern Sie die Konfiguration
1.5. Alternative Konfiguration per CLI
set HA node -haStatus STAYSECONDARY
Unnötige Netzwerk-Interface deaktivieren:
show interface
diasable interface <interface_nummer>
2.1. Melden Sie sich auf dem ersten NetScaler und navigieren Sie zu: System > High Availability > Nodes.
Wählen Sie die Appliance aus und klicken Sie auf Add
2.2. Geben Sie die NSIP den Secondary NetScaler, sowie den Username und das Password ein. Sonstige Einstellungen werden nicht angepasst.
INC (Independent Network Configuration) Mode wird benötig, wenn die HA-Knoten sich in den zwei getrennten Netzwerksegmenten mit den unterschiedlichen Netzwerkkonfigurationen befinden.
Alternative Konfiguration per CLI
add ha node 1 192.168.1.230
2.3. Wie man sieht, sind beide Knote vorhanden, aber noch nicht HA-fähig, da auf der zweiten Appliance den Stay Secondary – Zustand erzwungen wird.
2.4. Wie melden uns wieder auf der zweiten Appliance und passen die Eigenschaften High Availability Status an. Wählen Sie ENABLED aus dem Dropdown-Menü aus.
Blaugefärbt ist die Standard-Konfiguration. Weitere Einstellungen erzwingen immer einen bestimmten Zustand:
- ENABLED – definiert einen normalen Betrieb ohne bestimmten Voreinstellungen / Einschränkungen
- STAYPRIMARY – zwing den Knoten im Primärzustand zu bleiben, wenn der fehlerfrei funktioniert.
- STAYSECONDARY - zwing den Knoten sekundär zu bleiben, unabhängig vom Status des primären Knotens.
- DISABLED – deaktiviert die HA Funktionalität
Alternative Konfiguration per CLI:
set ha node -hastatus ENABLED
Die getätigten Einstellungen können Sie auch mit dem folgenden Befehl verifizieren:
show ha node
So sieht die fertige Konfiguration auf dem ersten Knoten aus:
Fail-Safe Mode
Es ist sinnvoll den Fail-Safe Modus zu konfigurieren, da dieser dafür sorgt, dass einer von beiden Knoten immer primär beleibt, falls den Health Check untereinander nicht mehr möglich ist. Mehr zum Thema finden Sie hier.
Der Fail-Safe Modus muss auf jedem Knoten einzeln konfiguriert werden. Am schnellsten geht es mit dem Befehl: set ha node -failsafe ON
3.1. Wenn Sie Rollen der Knoten in HA-Gruppe ändern möchten, können Sie dies über die Option Force Failover erreichen.
Navigieren Sie zu: System > High Availability > Nodes und wählen Sie Option Force Failover aus.
Bestätigen Sie den Vorgang.
Schließen Sie die Meldung
Die Rollen wurden erfolgreich ausgetauscht:
Upgrade HA Pair
Wie Sie die Knoten eines HA-Pairs aktualisieren können, wurde detailliert in folgenden Blogbeitrag beschrieben: NetScaler ADC Firmware Upgrade
Nützliche Links
- CTX233402 - Troubleshooting NetScaler High Availability (HA) and Sync Cheat Sheet
- CTX116748 - How to Set Up a High Availability Pair on NetScaler