Binden von Richtlinien mit erweiterten Richtlinien

Nach dem Definieren einer Richtlinie geben Sie an, wann die Richtlinie aufgerufen werden soll, indem Sie die Richtlinie an einen Bindepunkt binden und eine Prioritätsstufe angeben. Sie können eine Richtlinie nur an einen Bindepunkt binden. Ein Bindepunkt kann global sein, d. h. er kann auf alle von Ihnen konfigurierten virtuellen Server angewendet werden. Oder ein Bindepunkt kann spezifisch für einen bestimmten virtuellen Server sein, der entweder ein Lastausgleich oder ein virtueller Inhaltsvermittlungsserver sein kann. Nicht alle Bindepunkte sind für alle Features verfügbar.

Die Reihenfolge, in der Policys ausgewertet werden, bestimmt die Reihenfolge, in der sie angewendet werden, und Features bewerten in der Regel die verschiedenen Richtlinienbanken in einer bestimmten Reihenfolge. Manchmal können sich jedoch andere Features auf die Reihenfolge der Auswertung auswirken. Innerhalb einer Richtlinienbank hängt die Reihenfolge der Auswertung von den Werten der Parameter ab, die in den Richtlinien konfiguriert sind. Die meisten Features gelten alle Aktionen, die mit Richtlinien verknüpft sind, deren Auswertung zu einer Übereinstimmung mit den zu verarbeitenden Daten führt. Die integrierte Caching-Funktion ist eine Ausnahme.

Feature-spezifische Unterschiede bei Richtlinienbindungen

Sie können Richtlinien an integrierte, globale Bindungspunkte (oder Banken), an virtuelle Server oder an Richtlinienbeschriftungen binden.

Die Citrix ADC Funktionen unterscheiden sich jedoch in Bezug auf die Arten von Bindungen, die verfügbar sind. In der folgenden Tabelle wird erläutert, wie Sie Richtlinienbindungen in verschiedenen Citrix ADC Features verwenden, die Richtlinien verwenden.

Featurename Virtuelle Server, die im Feature konfiguriert sind Im Feature konfigurierte Richtlinien Für die Richtlinien konfigurierte Bind-Punkte Verwendung von Richtlinien im Feature
DNS keine DNS-Richtlinien Global So bestimmen Sie, wie die DNS-Auflösung für Anforderungen ausgeführt wird.
Inhaltsumschaltung (Hinweis: Diese Funktion kann entweder klassische oder erweiterte Richtlinien unterstützen, aber nicht beide.) Content-Umschaltung (CS) Inhaltswechselrichtlinien Virtueller Server zur Content-Umleitung oder Cache-Umleitung; Richtlinienbezeichnung Um zu bestimmen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anforderung. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cache-Server.
Integriertes Caching keine Caching-Richtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Inhaltswechsel oder SSL-Offload virtueller Server So ermitteln Sie, ob HTTP-Antworten im integrierten Cache der Citrix ADC Appliance gespeichert und dort bereitgestellt werden können.
Responder keine Responder-Richtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Inhaltswechsel oder SSL-Offload virtueller Server Konfigurieren des Verhaltens der Responder-Funktion.
Neuschreiben keine Richtlinien umschreiben Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Inhaltswechsel oder SSL-Offload virtueller Server So identifizieren Sie HTTP-Daten, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung basierend auf der Adresse der eingehenden Anforderung an einen ausgewählten Server umzuleiten, oder um Serverinformationen in einer Antwort aus Sicherheitsgründen zu maskieren.
URL-Transformationsfunktion in der Funktion Umschreiben keine Transformationsrichtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung Identifizieren von URLs in HTTP-Transaktionen und Textdateien, um zu bewerten, ob eine URL geändert werden soll.
Citrix Gateway (nur clientlose VPN-Funktionen) VPN-Server Richtlinien für Clientlosen Zugriff VPN Global, VPN-Server Bestimmen Sie, wie Citrix Gateway Authentifizierungs-, Autorisierungs-, Überwachungs- und andere Funktionen ausführt, und definieren Sie Umschreibregeln für den allgemeinen Webzugriff mit Citrix Gateway.

Binden Sie Punkte und Reihenfolge der Auswertung

Damit eine Richtlinie wirksam wird, müssen Sie sicherstellen, dass die Richtlinie zu einem bestimmten Zeitpunkt während der Verarbeitung aufgerufen wird. Dazu ordnen Sie die Richtlinie einem Bindepunkt zu. Die Sammlung von Richtlinien, die an einen Bindepunkt gebunden ist, wird als Richtlinienbank bezeichnet.

Im Folgenden finden Sie die Bindungspunkte, die der Citrix ADC auswertet, die in der typischen Reihenfolge der Evaluierung innerhalb einer Richtlinienbank aufgeführt sind.

  1. Anforderungszeitüberschreibung. Wenn eine Anforderung ein Feature durchläuft, wertet Citrix ADC zunächst Richtlinien für die Anforderungszeitüberschreibung für das Feature aus.
  2. Virtueller Server zum Lastenausgleich bei Anforderung. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Richtlinien zur Anforderungszeitüberschreibung ausgewertet wurden, verarbeitet Citrix ADC Anforderungszeitrichtlinien für virtuelle Server mit Lastenausgleich.
  3. Anforderungszeit-Content Switching virtueller Server. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Anforderungszeitrichtlinien für virtuelle Server mit Lastenausgleich ausgewertet wurden, verarbeitet Citrix ADC Anforderungszeitrichtlinien für virtuelle Server zum Wechseln von Inhalten.
  4. Anforderungszeit-Standard. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Anforderungszeiten, virtuelle serverspezifische Richtlinien ausgewertet wurden, verarbeitet Citrix ADC erweiterte Richtlinien für die Anforderung.
  5. Überschreibung der Antwortzeit. Zur Reaktionszeit beginnt Citrix ADC mit Richtlinien, die an den Antwortzeitüberschreibungs-Bindpunkt gebunden sind.
  6. Reaktionszeit-Load Balancing virtueller Server. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Richtlinien zur Überschreibung von Antwortzeiten ausgewertet wurden, verarbeitet Citrix ADC die Antwortzeitrichtlinien für virtuelle Server mit Lastenausgleich.
  7. Response-time Content Switching virtueller Server. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Richtlinien für virtuelle Server mit Lastenausgleich ausgewertet wurden, verarbeitet Citrix ADC die Antwortzeitrichtlinien für virtuelle Server zum Wechseln von Inhalten.
  8. Standardeinstellung für Antwortzeit. Wenn die Richtlinienbewertung nicht abgeschlossen werden kann, nachdem alle Antwortzeiten, virtual-Server-spezifische Richtlinien ausgewertet wurden, verarbeitet Citrix ADC erweiterte Richtlinien für die Antwortzeit.

Policy-Evaluierung über Funktionen hinweg

Beachten Sie neben der Bewertung von Richtlinien innerhalb eines Features, wenn Sie Richtlinien an einen virtuellen Server mit Inhaltswechsel gebunden haben, dass diese Richtlinien vor anderen Richtlinien ausgewertet werden. Das Binden einer Richtlinie an einen Content Switching-vserver führt in Citrix ADC Versionen 9.0.x und höher zu einem anderen Ergebnis als in 8.x-Versionen. In Citrix ADC 9.0 und höheren Versionen erfolgt die Auswertung wie folgt:

  • Inhaltswechselrichtlinien werden vor anderen Richtlinien ausgewertet. Wenn eine Inhaltswechselrichtlinie auf TRUE ausgewertet wird, wird der Ziel-Load Balancing-vserver ausgewählt.
  • Wenn alle Inhaltswechselrichtlinien auf FALSE ausgewertet werden, ist der Standard-Load Balancing vserver unter dem Content Switching VIP ausgewählt.

Nachdem ein Ziel-Load Balancing vserver durch den Content-Switching-Prozess ausgewählt wurde, werden Richtlinien in der folgenden Reihenfolge ausgewertet:

  1. Richtlinien, die an den globalen Override-Bindepunkt gebunden sind.
  2. Richtlinien, die an den Standard-Load Balancing-vserver gebunden sind.
  3. Richtlinien, die an den Zielinhaltswechsel vserver gebunden sind.
  4. Richtlinien, die an den globalen Standardverbindungspunkt gebunden sind.

Um sicherzustellen, dass die Richtlinien in der vorgesehenen Reihenfolge ausgewertet werden, befolgen Sie die folgenden Richtlinien:

  • Stellen Sie sicher, dass der standardmäßige Lastenausgleich vserver nicht direkt von außen erreichbar ist. Beispielsweise kann die vserver-IP-Adresse 0.0.0.0 sein.
  • Um zu verhindern, dass interne Daten auf dem Standard-vserver für Lastenausgleich verfügbar sind, konfigurieren Sie eine Richtlinie, um mit dem Status 503 Dienst nicht verfügbar zu antworten, und binden Sie sie an den standardmäßigen Lastausgleichsserver.

Einträge in einer Policy Bank

Jeder Eintrag in einer Policy Bank hat mindestens eine Policy und eine Prioritätsstufe. Sie können auch Einträge konfigurieren, die die prioritätsbasierte Evaluierungsreihenfolge ändern, und Sie können Einträge konfigurieren, die externe Richtlinienbanken aufrufen.

In der folgenden Tabelle werden alle Einträge in einer Richtlinienbank zusammengefasst.

Richtlinienname Priorität Gehe zu Ausdruck Aufruftyp Policy Bank, die aufgerufen werden soll
Der Richtlinienname oder eine Dummy -Richtlinie namens NOPOLICY. Der NOPOLICY- Eintrag steuert den Evaluierungsablauf, ohne eine Regel zu verarbeiten. Eine ganze Zahl. Optional. Identifiziert die nächste Richtlinie in der Bank, die bewertet werden soll, oder beendet jede weitere Bewertung Optional. Gibt an, dass eine externe Policy Bank aufgerufen wird. Dieses Feld beschränkt die Auswahl auf eine globale Richtlinienbezeichnung oder einen virtuellen Server. Optional. Wird mit dem Aufruftyp verwendet. Dies ist die Bezeichnung für eine Richtlinienbank oder einen virtuellen Servernamen. Der Citrix ADC kehrt nach der Verarbeitung der externen Bank an die aktuelle Bank zurück.

Wenn die Richtlinie TRUE ergibt, speichert Citrix ADC die Aktion, die der Richtlinie zugeordnet ist. Wenn die Richtlinie auf FALSE ausgewertet wird, wertet der Citrix ADC die nächste Richtlinie aus. Wenn die Richtlinie weder TRUE noch FALSE ist, verwendet Citrix ADC die zugeordnete Aktion Undef (undefined).

Evaluierungsauftrag innerhalb einer Policy Bank

Innerhalb einer Policy Bank hängt die Evaluierungsreihenfolge von den folgenden Punkten ab:

  • Eine Priorität.

    Die minimalste Menge an Informationen zur Evaluierungsreihenfolge ist eine numerische Prioritätsstufe. Je niedriger die Zahl, desto höher die Priorität.

  • Ein Goto-Ausdruck.

    Wenn angegeben, gibt der Gehe zu -Ausdruck die nächste zu bewertende Richtlinie an, in der Regel innerhalb derselben Richtlinienbank. Goto Ausdrücke können nur in einer Bank vorwärts gehen. Um ein Looping zu verhindern, ist eine Richtlinienbankkonfiguration ungültig, wenn eine Goto-Anweisung in der Bank rückwärts zeigt.

  • Einberufung anderer Richtlinienbanken.

    Jeder Eintrag kann eine externe Richtlinienbank aufrufen. Citrix ADC stellt eine integrierte Entität namens NOPOLICY bereit, die über keine Regel verfügt. Sie können einen NOPOLICY-Eintrag in einer Richtlinienbank hinzufügen, wenn Sie eine andere Richtlinienbank aufrufen möchten, aber vor dem Aufruf keine anderen Regeln verarbeiten möchten. Sie können mehrere NOPOLICY Einträge in mehreren Richtlinienbanken haben.

Die Werte für einen Goto-Ausdruck lauten wie folgt:

  • NEXT.

    Dieses Schlüsselwort wählt die Richtlinie mit der nächsthöheren Prioritätsstufe in der aktuellen Richtlinienbank aus.

  • Eine ganze Zahl.

    Wenn Sie eine ganze Zahl angeben, muss sie mit der Prioritätsstufe einer anderen Richtlinie in der aktuellen Policy Bank übereinstimmen.

  • END.

    Dieses Schlüsselwort stoppt die Auswertung nach der Verarbeitung der aktuellen Richtlinie, und es werden keine zusätzlichen Richtlinien in dieser Bank verarbeitet.

  • Blank.

    Wenn der Goto-Ausdruck leer ist, entspricht er der Angabe von END.

  • Ein numerischer Ausdruck.

    Dies ist ein erweiterter Richtlinienausdruck, der in eine Prioritätsnummer für eine andere Richtlinie in der aktuellen Bank aufgelöst wird.

  • USE_INVOCATION_RESULT.

    Dieser Ausdruck kann nur verwendet werden, wenn Sie eine externe Richtlinienbank aufrufen. Wenn Sie diesen Ausdruck eingeben, führt Citrix ADC eine der folgenden Aktionen aus:

    • Wenn der endgültige Gehe in der aufgerufenen Richtlinienbank den Wert END aufweist oder leer ist, lautet das Aufrufergebnis END, und die Auswertung wird beendet.
    • Wenn der endgültige Goto-Ausdruck in der aufgerufenen Richtlinienbank etwas anderes als END ist, führt Citrix ADC einen NEXT aus.

In der folgenden Tabelle wird eine Richtlinienbank veranschaulicht, die Goto-Auszüge und Richtlinienbank-Aufrufe verwendet.

Richtlinienname Priorität Gehe zu Aufruf Policy Bank, die aufgerufen werden soll
ClientCertificatePolicy (Regel: Enthält die Anforderung ein Clientzertifikat?) 100 300 Ohne Ohne
SubnetPolicy (Regel: Ist der Client aus einem privaten Subnetz?) 200 NEXT Ohne Ohne
NOPOLICY 300 USE INVOCATION RESULT Vserver anfordern My_Request_VServer
NOPOLICY 350 USE INVOCATION RESULT Richtlinienbezeichnung My_Policy_Label
WorkingHoursPolicy (Regel: Ist es Arbeitszeit?) 400 END Ohne Ohne

Tabelle 3. Beispiel für eine Policy Bank, die Gotos und externe Bankaufrufe verwendet

So endet die Evaluierung der Richtlinie

Die Evaluierung einer Richtlinienbank endet, wenn Folgendes passiert:

  • Eine Richtlinie wird als TRUE ausgewertet und ihr Goto-Anweisungswert ist END.

    Es werden keine weiteren Richtlinien oder Richtlinienbanken in dieser Funktion ausgewertet.

  • Eine externe Richtlinienbank wird aufgerufen, ihre Auswertung gibt ein END zurück, und die Goto-Anweisung verwendet den Wert USE_INVOCATION_RESULT oder END.

    Die Evaluierung wird mit der nächsten Richtlinienbank für diese Funktion fortgesetzt. Wenn die aktuelle Bank beispielsweise die Anforderungszeit-Überschreibungsbank ist, wertet der Citrix ADC als nächstes Richtlinienbanken für die virtuellen Server aus.

  • Der Citrix ADC hat alle Richtlinienbanken in dieser Funktion durchlaufen, hat aber kein END festgestellt.

    Wenn dies der letzte Eintrag ist, der in dieser Richtlinienbank ausgewertet werden soll, fährt Citrix ADC mit dem nächsten Feature fort.

Wie Funktionen Aktionen nach der Richtlinienbewertung verwenden

Nach der Auswertung aller relevanten Richtlinien für einen bestimmten Datenpunkt (z. B. eine HTTP-Anforderung) speichert Citrix ADC alle Aktionen, die einer Richtlinie zugeordnet sind, die mit den Daten übereinstimmt.

Bei den meisten Features werden alle Aktionen aus übereinstimmenden Richtlinien auf ein Datenverkehrspaket angewendet, wenn es den Citrix ADC verlässt. Die integrierte Caching-Funktion wendet nur eine Aktion an: CACHE oder NOCACHE. Diese Aktion ist der Richtlinie mit dem niedrigsten Prioritätswert in der Policy Bank höchste Priorität zugeordnet (z. B. werden Richtlinien für die Anforderungszeitüberschreibung angewendet, bevor virtuelle serverspezifische Richtlinien angewendet werden).