ADC

Binden von Richtlinien mit erweiterten Richtlinien

Nach dem Definieren einer Richtlinie geben Sie an, wann die Richtlinie aktiviert werden soll, indem Sie die Richtlinie an einen Bindepunkt binden. Geben Sie dann eine Prioritätsstufe an.

Binden Sie eine Richtlinie an nur einen Bindepunkt. Ein Bindepunkt kann global sein. Der globale Bindepunkt gilt für die konfigurierten virtuellen Server. Oder ein Bindepunkt kann für einen bestimmten virtuellen Server spezifisch sein; entweder für einen Lastenausgleich oder einen virtuellen Content Switching-Server. Nicht alle Bindepunkte sind für alle Features verfügbar.

Die Reihenfolge, in der Richtlinien ausgewertet werden, bestimmt die Reihenfolge, in der die Richtlinien angewendet werden. Die Funktionen bewerten typischerweise verschiedene Richtlinienbanken in einer bestimmten Reihenfolge.

Manchmal können andere Funktionen die Reihenfolge der Bewertung innerhalb einer Richtlinienbank beeinflussen. Die Reihenfolge der Auswertung hängt von den Werten der in den Richtlinien konfigurierten Parameter ab. Die meisten Funktionen wenden Aktionen an, die mit Richtlinien verknüpft sind, deren Auswertung zu einer Übereinstimmung mit den Daten führt, die verarbeitet werden. Die integrierte Caching-Funktion ist eine Ausnahme.

Feature-spezifische Unterschiede bei Richtlinienbindungen

Sie können Richtlinien an integrierte, globale Bindungspunkte (oder Banken), an virtuelle Server oder an Richtlinienbeschriftungen binden.

Die Citrix ADC-Funktionen unterscheiden sich jedoch hinsichtlich der verfügbaren Bindungsarten. In der folgenden Tabelle wird erläutert, wie Sie Richtlinienbindungen in verschiedenen Citrix ADC Features verwenden, die Richtlinien verwenden.

Featurename Virtuelle Server, die im Feature konfiguriert sind Im Feature konfigurierte Richtlinien Für die Richtlinien konfigurierte Bind-Punkte Verwendung von Richtlinien im Feature
DNS keine DNS-Richtlinien Global Um zu bestimmen, wie die DNS-Auflösung für Anfragen durchgeführt wird.
Content Switching (Hinweis: Diese Funktion kann entweder klassische oder erweiterte Richtlinien unterstützen, aber nicht beide.) Content Switching (CS) Content Switching-Richtlinien Virtueller Content Switching- oder Cache-Umleitungserver; Richtlinienbezeichnung Um zu bestimmen, welcher Server oder welche Gruppe von Servern Antworten bereitstellt, basierend auf den Merkmalen einer eingehenden Anforderung. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver.
Integriertes Caching keine Caching-Richtlinien Virtuellen Server für globales Überschreiben, globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder SSL-Offload So ermitteln Sie, ob HTTP-Antworten im integrierten Cache der Citrix ADC Appliance gespeichert und dort bereitgestellt werden können.
Responder keine Responder-Richtlinien Virtuellen Server für globales Überschreiben, globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder SSL-Offload Konfigurieren des Verhaltens der Responder-Funktion.
Neuschreiben keine Richtlinien umschreiben Virtuellen Server für globales Überschreiben, globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder SSL-Offload So identifizieren Sie HTTP-Daten, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung an einen ausgewählten Server umzuleiten. Diese Änderung basiert auf der Adresse der eingehenden Anfrage. Oder um Serverinformationen aus Sicherheitsgründen in einer Antwort zu maskieren.
URL-Transformationsfunktion in der Funktion Umschreiben keine Transformationsrichtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung Um URLs in HTTP-Transaktionen und Textdateien zu identifizieren, um auszuwerten, ob eine URL geändert werden muss.
Citrix Gateway (nur clientlose VPN-Funktionen) VPN-Server Richtlinien für Clientlosen Zugriff VPN Global, VPN-Server So ermitteln Sie, wie das Citrix Gateway funktioniert: Authentifizierung, Autorisierung, Überwachung und andere Funktionen sowie zum Definieren von Rewrite-Regeln für den allgemeinen Webzugriff mit dem Citrix Gateway.

Binden Sie Punkte und Reihenfolge der Auswertung

Damit eine Richtlinie wirksam wird, müssen Sie bestätigen, dass die Richtlinie irgendwann während der Verarbeitung aktiviert ist. Dazu ordnen Sie die Richtlinie einem Bindepunkt zu. Die Sammlung von Richtlinien, die an einen Bindepunkt gebunden ist, wird als Richtlinienbank bezeichnet.

Im Folgenden finden Sie die Bindungspunkte, die der Citrix ADC auswertet, die in der typischen Reihenfolge der Evaluierung innerhalb einer Richtlinienbank aufgeführt sind.

  1. Überschreibung der Anforderungszeit. Wenn eine Anforderung ein Feature durchläuft, wertet Citrix ADC zunächst Richtlinien für die Anforderungszeitüberschreibung für das Feature aus.
  2. Virtueller Server zum Lastenausgleich bei Anforderung. Wenn die Richtlinienauswertung nach der Auswertung der Richtlinie zur Überschreibung der Anforderungszeit unvollständig ist, verarbeitet der Citrix ADC Anforderungszeitrichtlinien für den Lastenausgleich virtueller Server.
  3. Anforderungszeit für virtuellen Content Switching-Server. Wenn die Richtlinienauswertung nach den Anforderungszeitrichtlinien für die Auswertung virtueller Server mit Lastenausgleich unvollständig ist, verarbeitet der Citrix ADC Anforderungszeitrichtlinien für virtuelle Server mit Content Switching.
  4. Standardeinstellung für die Anforderungszeit. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Anforderungszeiten, virtuelle serverspezifische Richtlinien ausgewertet wurden, verarbeitet Citrix ADC erweiterte Richtlinien für die Anforderung.
  5. Überschreibung der Reaktionszeit. Zur Reaktionszeit beginnt Citrix ADC mit Richtlinien, die an den Antwortzeitüberschreibungs-Bindpunkt gebunden sind.
  6. Reaktionszeit-Load Balancing virtueller Server. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Richtlinien zur Überschreibung von Antwortzeiten ausgewertet wurden, verarbeitet Citrix ADC die Antwortzeitrichtlinien für virtuelle Server mit Lastenausgleich.
  7. Antwortzeit für virtuellen Content Switching-Server. Wenn eine Richtlinienauswertung nach der Richtlinienauswertung für virtuelle Server mit Lastenausgleich unvollständig ist, verarbeitet der Citrix ADC die Reaktionszeitrichtlinien für virtuelle Server mit Content Switching.
  8. Standardeinstellung für die Antwortzeit. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Antwortzeiten, virtual-Server-spezifische Richtlinien ausgewertet wurden, verarbeitet Citrix ADC erweiterte Richtlinien für die Antwortzeit.

Policy-Evaluierung über Funktionen hinweg

Wenn eine Richtlinie an einen virtuellen Content Switching-Server gebunden ist. Zusätzlich zur Richtlinienbewertung in einem Feature. Die Richtlinien werden vor anderen Richtlinien ausgewertet.

Das Binden einer Richtlinie an einen Content Switching-vserver führt in Citrix ADC Versionen 9.0.x und höher zu einem anderen Ergebnis als in 8.x-Versionen. In Citrix ADC 9.0 und höheren Versionen erfolgt die Auswertung wie folgt:

  • Content Switching-Richtlinien werden vor anderen Richtlinien ausgewertet. Wenn eine Content Switching-Richtlinie auf TRUE ausgewertet wird, wird der Ziel-Load Balancing-vserver ausgewählt.
  • Wenn alle Content Switching-Richtlinien auf FALSE ausgewertet werden, ist der Standard-Load Balancing vserver unter dem Content Switching VIP ausgewählt.

Nachdem ein Ziel-Load Balancing vserver durch den Content Switching-Prozess ausgewählt wurde, werden Richtlinien in der folgenden Reihenfolge ausgewertet:

  1. Richtlinien, die an den globalen Override-Bindepunkt gebunden sind.
  2. Richtlinien, die an den Standard-Load Balancing-vserver gebunden sind.
  3. Richtlinien, die an den Ziel-Content Switching-vserver gebunden sind.
  4. Richtlinien, die an den globalen Standardverbindungspunkt gebunden sind.

Um sicherzustellen, dass die Richtlinien in der vorgesehenen Reihenfolge ausgewertet werden, befolgen Sie die folgenden Richtlinien:

  • Stellen Sie sicher, dass der standardmäßige Lastenausgleich vserver nicht direkt von außen erreichbar ist. Beispielsweise kann die vserver-IP-Adresse 0.0.0.0 sein.
  • Um zu verhindern, dass interne Daten auf dem Standard-vserver für Lastenausgleich verfügbar sind, konfigurieren Sie eine Richtlinie, um mit dem Status 503 Dienst nicht verfügbar zu antworten, und binden Sie sie an den standardmäßigen Lastausgleichsserver.

Einträge in einer Richtlinienbank

Jeder Eintrag in einer Richtlinienbank hat mindestens eine Policy und eine Prioritätsstufe. Sie können auch Einträge konfigurieren, die die prioritätsbasierte Evaluierungsreihenfolge ändern, und Sie können Einträge konfigurieren, die externe Richtlinienbanken aufrufen.

In der folgenden Tabelle werden alle Einträge in einer Richtlinienbank zusammengefasst.

Richtlinienname Priorität Gehe zu Ausdruck Aufruftyp Richtlinienbank, die aufgerufen werden soll
Der Richtlinienname oder eine Dummy -Richtlinie namens NOPOLICY. Der Eintrag NOPOLICY steuert den Auswertungsablauf ohne Verarbeitung einer Regel. Eine ganze Zahl. Optional. Identifiziert die nächste Richtlinie in der Bank, die bewertet werden soll, oder beendet jede weitere Bewertung Optional. Gibt an, dass eine externe Richtlinienbank aufgerufen wird. Dieses Feld beschränkt die Auswahl auf eine globale Richtlinienbezeichnung oder einen virtuellen Server. Optional. Wird mit dem Aufruftyp verwendet. Dies ist die Bezeichnung für eine Richtlinienbank oder einen virtuellen Servernamen. Der Citrix ADC kehrt nach der Verarbeitung der externen Bank an die aktuelle Bank zurück.

Wenn die Richtlinie TRUE ergibt, speichert Citrix ADC die Aktion, die der Richtlinie zugeordnet ist. Wenn die Richtlinie auf FALSE ausgewertet wird, wertet der Citrix ADC die nächste Richtlinie aus. Wenn die Richtlinie weder TRUE noch FALSE ist, verwendet Citrix ADC die zugeordnete Aktion Undef (undefined).

Evaluierungsauftrag innerhalb einer Richtlinienbank

Innerhalb einer Richtlinienbank hängt die Evaluierungsreihenfolge von den folgenden Punkten ab:

  • Eine Priorität.

    Die minimalste Menge an Informationen zur Evaluierungsreihenfolge ist eine numerische Prioritätsstufe. Je niedriger die Zahl, desto höher die Priorität.

  • Ein Goto-Ausdruck.

    Wenn angegeben, gibt der Gehe zu -Ausdruck die nächste zu bewertende Richtlinie an, in der Regel innerhalb derselben Richtlinienbank. Goto Ausdrücke können nur in einer Bank vorwärts gehen. Um ein Looping zu verhindern, ist eine Richtlinienbankkonfiguration ungültig, wenn eine Goto-Anweisung in der Bank rückwärts zeigt.

  • Einberufung anderer Richtlinienbanken.

    Jeder Eintrag kann eine externe Richtlinienbank aufrufen. Citrix ADC stellt eine integrierte Entität namens NOPOLICY bereit, die über keine Regel verfügt. Sie können einen NOPOLICY-Eintrag in einer Richtlinienbank hinzufügen, wenn Sie eine andere Richtlinienbank aufrufen möchten, aber vor dem Aufruf keine anderen Regeln verarbeiten möchten. Sie können mehrere NOPOLICY Einträge in mehreren Richtlinienbanken haben.

Die Werte für einen Goto-Ausdruck lauten wie folgt:

  • ALS NÄCHSTES.

    Dieses Schlüsselwort wählt die Richtlinie mit der nächsthöheren Prioritätsstufe in der aktuellen Richtlinienbank aus. Die Richtlinien werden in Prioritätsreihenfolge von niedriger nummerierter Priorität bis hin zu höherer nummerierter Priorität ausgewertet.

  • Eine ganze Zahl.

    Wenn Sie eine ganze Zahl angeben, muss sie mit der Prioritätsstufe einer anderen Richtlinie in der aktuellen Richtlinienbank übereinstimmen.

  • ENDE.

    Dieses Schlüsselwort stoppt die Auswertung nach der Verarbeitung der aktuellen Richtlinie, und es werden keine zusätzlichen Richtlinien in dieser Bank verarbeitet.

  • Blank.

    Wenn der Goto-Ausdruck leer ist, entspricht er der Angabe von END.

  • Ein numerischer Ausdruck.

    Dies ist ein erweiterter Richtlinienausdruck, der in eine Prioritätsnummer für eine andere Richtlinie in der aktuellen Bank aufgelöst wird.

  • USE_INVOCATION_RESULT VERWENDET WIRD.

    Dieser Ausdruck kann nur verwendet werden, wenn Sie eine externe Richtlinienbank aufrufen. Wenn Sie diesen Ausdruck eingeben, führt Citrix ADC eine der folgenden Aktionen aus:

    • Wenn der endgültige Gehe in der aufgerufenen Richtlinienbank den Wert END aufweist oder leer ist, lautet das Aufrufergebnis END, und die Auswertung wird beendet.
    • Wenn der endgültige Goto-Ausdruck in der aufgerufenen Richtlinienbank etwas anderes als END ist, führt Citrix ADC einen NEXT aus.

In der folgenden Tabelle wird eine Richtlinienbank veranschaulicht, die Goto-Auszüge und Richtlinienbank-Aufrufe verwendet.

Richtlinienname Priorität Gehe zu Aufruf Richtlinienbank, die aufgerufen werden soll
ClientCertificatePolicy (Regel: Enthält die Anforderung ein Clientzertifikat?) 100 300 Ohne Ohne
SubnetPolicy (Regel: Ist der Client aus einem privaten Subnetz?) 200 NEXT Ohne Ohne
NOPOLICY 300 USE INVOCATION RESULT Vserver anfordern My_Request_VServer
NOPOLICY 350 USE INVOCATION RESULT Richtlinienbezeichnung My_Policy_Label
WorkingHoursPolicy (Regel: Ist es Arbeitszeit?) 400 END Ohne Ohne

Tabelle 3. Beispiel für eine Richtlinienbank, die Gotos und externe Bankaufrufe verwendet

So endet die Evaluierung der Richtlinie

Die Evaluierung einer Richtlinienbank endet, wenn Folgendes passiert:

  • Eine Richtlinie wird als TRUE ausgewertet und ihr Goto-Anweisungswert ist END.

    Es werden keine weiteren Richtlinien oder Richtlinienbanken in dieser Funktion ausgewertet.

  • Eine externe Richtlinienbank wird aufgerufen, ihre Auswertung gibt ein END zurück, und die Goto-Anweisung verwendet den Wert USE_INVOCATION_RESULT oder END.

    Die Evaluierung wird mit der nächsten Richtlinienbank für diese Funktion fortgesetzt. Wenn die aktuelle Bank beispielsweise die Anforderungszeit-Überschreibungsbank ist, wertet der Citrix ADC als nächstes Richtlinienbanken für die virtuellen Server aus.

  • Der Citrix ADC hat alle Richtlinienbanken in dieser Funktion durchlaufen, hat aber kein END festgestellt.

    Wenn dies der letzte Eintrag ist, der in dieser Richtlinienbank ausgewertet werden soll, fährt Citrix ADC mit dem nächsten Feature fort.

Wie Funktionen Aktionen nach der Richtlinienbewertung verwenden

Nach der Auswertung aller relevanten Richtlinien für einen bestimmten Datenpunkt (z. B. eine HTTP-Anforderung) speichert Citrix ADC alle Aktionen, die einer Richtlinie zugeordnet sind, die mit den Daten übereinstimmt.

Bei den meisten Features werden alle Aktionen aus übereinstimmenden Richtlinien auf ein Datenverkehrspaket angewendet, wenn es den Citrix ADC verlässt. Die integrierte Caching-Funktion wendet nur eine Aktion an: CACHE oder NOCACHE. Diese Aktion ist der Richtlinie mit dem niedrigsten Prioritätswert in der Richtlinienbank höchste Priorität zugeordnet (z. B. werden Richtlinien für die Anforderungszeitüberschreibung angewendet, bevor virtuelle serverspezifische Richtlinien angewendet werden).