Citrix ADC

Binden von Richtlinien mit erweiterten Richtlinien

Nach dem Definieren einer Richtlinie geben Sie an, wann die Richtlinie aktiviert werden soll, indem Sie die Richtlinie an einen Bindepunkt binden. Geben Sie dann eine Prioritätsstufe an.

Binden Sie eine Richtlinie an nur einen Bindepunkt. Ein Bindepunkt kann global sein. Der globale Bindepunkt gilt für die konfigurierten virtuellen Server. Oder ein Bindepunkt kann für einen bestimmten virtuellen Server spezifisch sein; entweder für einen Lastenausgleich oder einen virtuellen Content Switching-Server. Nicht alle Bindepunkte sind für alle Features verfügbar.

Die Reihenfolge, in der Richtlinien ausgewertet werden, bestimmt die Reihenfolge, in der die Richtlinien angewendet werden. Die Funktionen bewerten typischerweise verschiedene Richtlinienbanken in einer bestimmten Reihenfolge.

Manchmal können andere Funktionen die Reihenfolge der Bewertung innerhalb einer Richtlinienbank beeinflussen. Die Reihenfolge der Auswertung hängt von den Werten der in den Richtlinien konfigurierten Parameter ab. Die meisten Funktionen wenden Aktionen an, die mit Richtlinien verknüpft sind, deren Auswertung zu einer Übereinstimmung mit den Daten führt, die verarbeitet werden. Die integrierte Caching-Funktion ist eine Ausnahme.

Funktionsspezifische Unterschiede bei Richtlinienbindungen

Sie können Richtlinien an integrierte, globale Bindungspunkte (oder Banken), an virtuelle Server oder an Richtlinienbeschriftungen binden.

Die Citrix ADC-Funktionen unterscheiden sich jedoch hinsichtlich der verfügbaren Bindungsarten. In der folgenden Tabelle wird erläutert, wie Sie Richtlinienbindungen in verschiedenen Citrix ADC Features verwenden, die Richtlinien verwenden.

Feature-Name Im Feature konfigurierte virtuelle Server Im Feature konfigurierte Richtlinien Bind-Punkte, die für die Richtlinien konfiguriert sind Verwendung von Richtlinien im Feature
DNS keine DNS-Richtlinien Global Um zu bestimmen, wie eine DNS-Auflösung für Anfragen durchgeführt wird.
Content Switching (Hinweis: Diese Funktion kann erweiterte Richtlinien unterstützen, aber nicht beides.) Content Switching (CS) Content Switching-Richtlinien Virtueller Content Switching- oder Cache-Umleitungserver; Richtlinienbezeichnung Um festzustellen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anfrage. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver.
Integriertes Caching keine Caching-Richtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server Um festzustellen, ob HTTP-Antworten im integrierten Cache der Citrix ADC-Appliance gespeichert und von diesem bereitgestellt werden können.
Responder keine Richtlinien für Responder Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server Um das Verhalten der Responder-Funktion zu konfigurieren.
Rewrite keine Rewriterichtlinien Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server Um HTTP-Daten zu identifizieren, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung an einen ausgewählten Server umzuleiten. Diese Änderung basiert auf der Adresse der eingehenden Anfrage. Oder um Serverinformationen aus Sicherheitsgründen in einer Antwort zu maskieren.
URL-Transformationsfunktion in der Funktion Rewrite keine Richtlinien zur Transformation Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung Um URLs in HTTP-Transaktionen und Textdateien zu identifizieren, um auszuwerten, ob eine URL geändert werden muss.
Citrix Gateway (nur clientlose VPN-Funktionen) VPN-Server Richtlinien für den clientlosen Zugriff VPN Global, VPN-Server So ermitteln Sie, wie das Citrix Gateway funktioniert: Authentifizierung, Autorisierung, Überwachung und andere Funktionen sowie zum Definieren von Rewrite-Regeln für den allgemeinen Webzugriff mit dem Citrix Gateway.

Binden Sie Punkte und Reihenfolge der Auswertung

Damit eine Richtlinie wirksam wird, müssen Sie bestätigen, dass die Richtlinie irgendwann während der Verarbeitung aktiviert ist. Dazu ordnen Sie die Richtlinie einem Bindepunkt zu. Die Sammlung von Richtlinien, die an einen Bindepunkt gebunden sind, wird als Richtlinienbank bezeichnet.

Im Folgenden sind die Bindepunkte aufgeführt, die der Citrix ADC auswertet und in der typischen Reihenfolge der Bewertung innerhalb einer Richtlinienbank aufgeführt sind

  1. Überschreibung der Anforderungszeit. Wenn eine Anforderung durch ein Feature fließt, wertet der Citrix ADC zunächst Richtlinien zur Überschreibung von Anforderungszeiten für das Feature aus.
  2. Virtueller Server zum Lastenausgleich bei Anforderung. Wenn die Richtlinienauswertung nach der Auswertung der Richtlinie zur Überschreibung der Anforderungszeit unvollständig ist, verarbeitet der Citrix ADC Anforderungszeitrichtlinien für den Lastenausgleich virtueller Server.
  3. Anforderungszeit für virtuellen Content Switching-Server. Wenn die Richtlinienauswertung nach den Anforderungszeitrichtlinien für die Auswertung virtueller Server mit Lastenausgleich unvollständig ist, verarbeitet der Citrix ADC Anforderungszeitrichtlinien für virtuelle Server mit Content Switching.
  4. Standardeinstellung für die Anforderungszeit. Wenn die Richtlinienauswertung nach allen Anforderungszeiten nicht abgeschlossen werden kann, wurden virtuelle serverspezifische Richtlinien ausgewertet, verarbeitet der Citrix ADC erweiterte Anforderungszeitrichtlinien.
  5. Überschreibung der Reaktionszeit. Zur Reaktionszeit beginnt der Citrix ADC mit Richtlinien, die an den Bindepunkt zur Überschreibung der Antwortzeit gebunden sind.
  6. Virtueller Load Balancing-Server zur Reaktionszeit. Wenn die Richtlinienauswertung nicht abgeschlossen werden kann, nachdem alle Richtlinien zur Überschreibung der Reaktionszeit ausgewertet wurden, verarbeitet der Citrix ADC die Reaktionszeitrichtlinien für den Lastenausgleich virtueller Server.
  7. Antwortzeit für virtuellen Content Switching-Server. Wenn eine Richtlinienauswertung nach der Richtlinienauswertung für virtuelle Server mit Lastenausgleich unvollständig ist, verarbeitet der Citrix ADC die Reaktionszeitrichtlinien für virtuelle Server mit Content Switching.
  8. Standardeinstellung für die Antwortzeit. Wenn die Richtlinienauswertung nach allen Reaktionszeiten nicht abgeschlossen werden kann, wurden Richtlinien spezifisch für virtueller Server ausgewertet, verarbeitet Citrix ADC erweiterte Richtlinien in der Reaktionszeit.

Richtlinien-Evaluierung über Funktionen hinweg

Wenn eine Richtlinie an einen virtuellen Content Switching-Server gebunden ist. Zusätzlich zur Richtlinienbewertung in einem Feature. Die Richtlinien werden vor anderen Richtlinien ausgewertet.

Das Binden einer Richtlinie an einen Content Switching-vserver führt in Citrix ADC Versionen 9.0.x und höher zu einem anderen Ergebnis als in 8.x-Versionen. In Citrix ADC 9.0 und höheren Versionen erfolgt die Auswertung wie folgt:

  • Content Switching-Richtlinien werden vor anderen Richtlinien ausgewertet. Wenn eine Content Switching-Richtlinie auf TRUE ausgewertet wird, wird der Ziel-Lastausgleich-vserver ausgewählt.
  • Wenn alle Content Switching-Richtlinien auf FALSE ausgewertet werden, wird der standardmäßige Lastausgleichsserver unter dem Content Switching VIP ausgewählt.

Nachdem ein Ziel-Lastausgleich-vserver vom Content Switching-Prozess ausgewählt wurde, werden Richtlinien in der folgenden Reihenfolge ausgewertet:

  1. Richtlinien, die an den globalen Override-Bindepunkt gebunden sind.
  2. Richtlinien, die an den standardmäßigen Lastausgleichsserver gebunden sind.
  3. Richtlinien, die an den Ziel-Content Switching-vserver gebunden sind.
  4. Richtlinien, die an den globalen Standardbindepunkt gebunden sind.

Befolgen Sie diese Richtlinien, um sicherzustellen, dass die Richtlinien in der beabsichtigten Reihenfolge bewertet werden:

  • Stellen Sie sicher, dass der standardmäßige Lastausgleichs-vserver von außen nicht direkt erreichbar ist. Beispielsweise kann die vserver-IP-Adresse 0.0.0.0 sein.
  • Um zu verhindern, dass interne Daten auf dem standardmäßigen Lastausgleichsserver verfügbar gemacht werden, konfigurieren Sie eine Richtlinie so, dass sie mit dem Status “503 Dienst nicht verfügbar” antwortet, und binden Sie sie an den standardmäßigen Lastausgleichsserver.

Einträge in einer Richtlinienbank

Jeder Eintrag in einer Richtlinienbank hat mindestens eine Policy und eine Prioritätsstufe. Sie können auch Einträge konfigurieren, die die prioritätsbasierte Bewertungsreihenfolge ändern, und Sie können Einträge konfigurieren, die externe Richtlinienbanken aufrufen.

Die folgende Tabelle fasst jeden Eintrag in einer Richtlinienbank zusammen.

Name der Richtlinie Priorität Gehe zu Ausdruck Aufruftstyp Richtlinienbank, die aufgerufen werden soll
Der Richtlinienname oder eine “Dummy” -Richtlinie mit dem Namen NOPOLICY. Der NOPOLICY-Eintrag steuert den Auswertungsfluss, ohne eine Regel zu verarbeiten. Eine ganze Zahl. Optional. Identifiziert die nächste zu bewertende Richtlinie in der Bank oder beendet jede weitere Bewertung Optional. Gibt an, dass eine externe Richtlinienbank aufgerufen wird. Dieses Feld beschränkt die Auswahl auf eine globale Policy Label oder einen virtuellen Server. Optional. Wird mit Aufruftstyp verwendet. Dies ist die Bezeichnung für eine Richtlinienbank oder einen virtuellen Servernamen. Der Citrix ADC kehrt nach Bearbeitung der externen Bank an die aktuelle Bank zurück.

Wenn die Richtlinie zu TRUE ausgewertet wird, speichert der Citrix ADC die Aktion, die mit der Richtlinie verknüpft ist. Wenn die Richtlinie zu FALSE ausgewertet wird, wertet der Citrix ADC die nächste Richtlinie aus. Wenn die Richtlinie weder TRUE noch FALSE ist, verwendet der Citrix ADC die zugehörige Undef-Aktion (undefined).

Evaluierungsauftrag innerhalb einer Richtlinienbank

Innerhalb einer Richtlinienbank hängt die Evaluierungsreihenfolge von den folgenden Punkten ab:

  • Eine Priorität.

    Die minimalste Menge an Informationen über die Bewertungsreihenfolge ist eine numerische Prioritätsstufe. Je niedriger die Zahl, desto höher die Priorität.

  • Ein Goto-Ausdruck.

    Falls angegeben, gibt der Gehe zu-Ausdruck die nächste auszuwertende Policy an, typischerweise innerhalb derselben Policenbank. Gehe zu Ausdrücken können nur in einer Bank weitergehen. Um eine Schleife zu verhindern, ist eine Policenbank-Konfiguration nicht gültig, wenn ein Goto Kontoauszug in der Bank rückwärts zeigt.

  • Anrufung anderer politischer Banken.

    Jeder Eintrag kann sich auf eine externe Richtlinienbank berufen. Der Citrix ADC bietet eine integrierte Entität namens NOPOLICY, die keine Regel hat. Sie können einen NOPOLICY-Eintrag in einer Richtlinienbank hinzufügen, wenn Sie eine andere Richtlinienbank aufrufen möchten, aber vor dem Aufruf keine anderen Regeln verarbeiten möchten. Sie können mehrere NOPOLICY-Einträge in mehreren Richtlinienbanken haben.

Die Werte für einen Goto-Ausdruck lauten wie folgt:

  • NEXT.

    Dieses Schlüsselwort wählt die Richtlinie mit der nächsthöheren Prioritätsstufe in der aktuellen Richtlinienbank aus. Die Richtlinien werden in Prioritätsreihenfolge von niedriger nummerierter Priorität bis hin zu höherer nummerierter Priorität ausgewertet.

  • Eine ganze Zahl.

    Wenn Sie eine ganze Zahl angeben, muss sie mit der Prioritätsstufe einer anderen Richtlinie in der aktuellen Richtlinienbank übereinstimmen.

  • END.

    Dieses Schlüsselwort stoppt die Auswertung nach Verarbeitung der aktuellen Richtlinie, und es werden keine zusätzlichen Richtlinien in dieser Bank verarbeitet.

  • Leer.

    Wenn der Goto-Ausdruck leer ist, entspricht er der Angabe von END.

  • Ein numerischer Ausdruck.

    Dies ist ein erweiterter Richtlinienausdruck, der in eine Prioritätsnummer für eine andere Richtlinie in der aktuellen Bank aufgelöst wird.

  • USE_INVOCATION_RESULT.

    Dieser Satz kann nur verwendet werden, wenn Sie sich auf eine externe Policenbank berufen. Durch die Eingabe dieses Satzes führt der Citrix ADC eine der folgenden Aktionen aus:

    • Wenn das endgültige Goto in der aufgerufenen Richtlinienbank den Wert END hat oder leer ist, lautet das Aufrufsergebnis END und die Bewertung wird beendet.
    • Wenn der endgültige Goto-Ausdruck in der aufgerufenen Richtlinienbank etwas anderes als END ist, führt der Citrix ADC eine NEXT aus.

Die folgende Tabelle zeigt eine Richtlinienbank, die Goto-Ausdrücke und Richtlinienbank-Aufrufe verwendet.

Name der Richtlinie Priorität Goto Aufruf Richtlinienbank, die aufgerufen werden soll
ClientCertificatePolicy (Regel: enthält die Anforderung ein Clientzertifikat?) 100 300 Ohne Ohne
SubnetPolicy (Regel: stammt der Client aus einem privaten Subnetz?) 200 NEXT Ohne Ohne
NOPOLICY 300 USE INVOCATION RESULT vserver anfragen My_Request_VServer
NOPOLICY 350 USE INVOCATION RESULT Richtlinienlabel My_Policy_Label
workinghoursPolicy (Regel: ist es Arbeitszeit?) 400 END Ohne Ohne

Tabelle 3. Beispiel für eine Richtlinienbank, die Gotos und externe Bankaufrufe verwendet

Wie die Bewertung von Richtlinien endet

Die Bewertung einer Policenbank endet, wenn eine der folgenden Bedingungen stattfindet:

  • Eine Richtlinie wird mit TRUE ausgewertet und ihr Goto Anweisungswert ist END.

    Es werden keine weiteren Richtlinien oder Policenbanken in dieser Funktion bewertet.

  • Eine externe Richtlinienbank wird aufgerufen, ihre Bewertung gibt ein END zurück, und die Goto-Anweisung verwendet den Wert USE_INVOCATION_RESULT oder END.

    Die Bewertung wird mit der nächsten Richtlinienbank für diese Funktion fortgesetzt. Wenn die aktuelle Bank beispielsweise die Bank zur Überschreibung der Anforderungszeit ist, wertet der Citrix ADC als Nächstes Richtlinienbanken für die virtuellen Server aus.

  • Der Citrix ADC hat alle Policenbanken in dieser Funktion durchlaufen, ist jedoch nicht auf ein END gestoßen.

    Wenn dies der letzte Eintrag ist, der in dieser Richtlinienbank ausgewertet wird, fährt der Citrix ADC mit der nächsten Funktion fort.

Wie Funktionen Aktionen nach der Richtlinienbewertung verwenden

Nach Auswertung aller relevanten Richtlinien für einen bestimmten Datenpunkt (z. B. eine HTTP-Anforderung) speichert der Citrix ADC alle Aktionen, die mit einer Richtlinie verknüpft sind, die mit den Daten übereinstimmen.

Für die meisten Funktionen werden alle Aktionen aus übereinstimmenden Richtlinien auf ein Datenverkehrspaket angewendet, wenn es den Citrix ADC verlässt. Die Funktion “Integriertes Caching” wendet nur eine Aktion an: CACHE oder NOCACHE. Diese Aktion ist der Richtlinie mit dem niedrigsten Prioritätswert in der Richtlinienbank höchste Priorität zugeordnet (z. B. werden Richtlinien für die Anforderungszeitüberschreibung angewendet, bevor virtuelle serverspezifische Richtlinien angewendet werden).