Binden von Richtlinien mit erweiterten Richtlinien
Nach dem Definieren einer Richtlinie geben Sie an, wann die Richtlinie aktiviert werden soll, indem Sie die Richtlinie an einen Bindepunkt binden. Geben Sie dann eine Prioritätsstufe an.
Binden Sie eine Richtlinie an nur einen Bindepunkt. Ein Bindepunkt kann global sein. Der globale Bindepunkt gilt für die konfigurierten virtuellen Server. Oder ein Bindepunkt kann für einen bestimmten virtuellen Server spezifisch sein; entweder für einen Lastenausgleich oder einen virtuellen Content Switching-Server. Nicht alle Bindepunkte sind für alle Features verfügbar.
Die Reihenfolge, in der Richtlinien ausgewertet werden, bestimmt die Reihenfolge, in der die Richtlinien angewendet werden. Die Funktionen bewerten typischerweise verschiedene Richtlinienbanken in einer bestimmten Reihenfolge.
Manchmal können andere Funktionen die Reihenfolge der Bewertung innerhalb einer Richtlinienbank beeinflussen. Die Reihenfolge der Auswertung hängt von den Werten der in den Richtlinien konfigurierten Parameter ab. Die meisten Funktionen wenden Aktionen an, die mit Richtlinien verknüpft sind, deren Auswertung zu einer Übereinstimmung mit den Daten führt, die verarbeitet werden. Die integrierte Caching-Funktion ist eine Ausnahme.
Funktionsspezifische Unterschiede bei Richtlinienbindungen
Sie können Richtlinien an integrierte, globale Bindungspunkte (oder Banken), an virtuelle Server oder an Richtlinienbeschriftungen binden.
Die NetScaler-Funktionen unterscheiden sich jedoch hinsichtlich der verfügbaren Bindungsarten. In der folgenden Tabelle wird erläutert, wie Sie Richtlinienbindungen in verschiedenen NetScaler Features verwenden, die Richtlinien verwenden.
| Name der Funktion | Im Feature konfigurierte virtuelle Server | Im Feature konfigurierte Richtlinien | Bind-Punkte, die für die Richtlinien konfiguriert sind | Verwendung von Richtlinien im Feature |
|---|---|---|---|---|
| DNS | keine | DNS-Richtlinien | Global | Um zu bestimmen, wie eine DNS-Auflösung für Anfragen durchgeführt wird. |
| Content Switching (Hinweis: Diese Funktion kann erweiterte Richtlinien unterstützen, aber nicht beides.) | Content Switching (CS) | Content Switching-Richtlinien | Virtueller Content Switching- oder Cache-Umleitungserver; Richtlinienbezeichnung | Um festzustellen, welcher Server oder eine Gruppe von Servern für die Bereitstellung von Antworten verantwortlich ist, basierend auf den Merkmalen einer eingehenden Anfrage. Anforderungsmerkmale umfassen Gerätetyp, Sprache, Cookies, HTTP-Methode, Inhaltstyp und zugehörige Cacheserver. |
| Integriertes Caching | keine | Caching-Richtlinien | Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server | Um festzustellen, ob HTTP-Antworten im integrierten Cache der NetScaler-Appliance gespeichert und von diesem bereitgestellt werden können. |
| Responder | keine | Richtlinien für Responder | Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server | Um das Verhalten der Responder-Funktion zu konfigurieren. |
| Rewrite | keine | Rewriterichtlinien | Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung, Lastenausgleich, Content Switching oder virtueller SSL-Offload-Server | Um HTTP-Daten zu identifizieren, die Sie vor dem Servieren ändern möchten. Die Richtlinien enthalten Regeln zum Ändern der Daten. Sie können beispielsweise HTTP-Daten ändern, um eine Anforderung an einen ausgewählten Server umzuleiten. Diese Änderung basiert auf der Adresse der eingehenden Anfrage. Oder um Serverinformationen aus Sicherheitsgründen in einer Antwort zu maskieren. |
| URL-Transformationsfunktion in der Funktion Rewrite | keine | Richtlinien zur Transformation | Globale Überschreibung, Globaler Standard, Richtlinienbezeichnung | Um URLs in HTTP-Transaktionen und Textdateien zu identifizieren, um auszuwerten, ob eine URL geändert werden muss. |
| NetScaler Gateway (nur clientlose VPN-Funktionen) | VPN-Server | Richtlinien für den clientlosen Zugriff | VPN Global, VPN-Server | So ermitteln Sie, wie das NetScaler Gateway funktioniert: Authentifizierung, Autorisierung, Überwachung und andere Funktionen sowie zum Definieren von Rewrite-Regeln für den allgemeinen Webzugriff mit dem NetScaler Gateway. |
Binden Sie Punkte und Reihenfolge der Auswertung
Damit eine Richtlinie wirksam wird, müssen Sie bestätigen, dass die Richtlinie irgendwann während der Verarbeitung aktiviert ist. Dazu ordnen Sie die Richtlinie einem Bindepunkt zu. Die Sammlung von Richtlinien, die an einen Bindepunkt gebunden sind, wird als Richtlinienbank bezeichnet.
Im Folgenden sind die Bindepunkte aufgeführt, die der NetScaler auswertet und in der typischen Reihenfolge der Bewertung innerhalb einer Richtlinienbank aufgeführt sind
- Überschreibung der Anforderungszeit. Wenn eine Anforderung durch ein Feature fließt, wertet der NetScaler zunächst Richtlinien zur Überschreibung von Anforderungszeiten für das Feature aus.
- Virtueller Server zum Lastenausgleich bei Anforderung. Wenn die Richtlinienauswertung nach der Auswertung der Richtlinie zur Überschreibung der Anforderungszeit unvollständig ist, verarbeitet der NetScaler Anforderungszeitrichtlinien für den Lastenausgleich virtueller Server.
- Anforderungszeit für virtuellen Content Switching-Server. Wenn die Richtlinienauswertung nach den Anforderungszeitrichtlinien für die Auswertung virtueller Server mit Lastenausgleich unvollständig ist, verarbeitet der NetScaler Anforderungszeitrichtlinien für virtuelle Server mit Content Switching.
- Standardeinstellung für die Anforderungszeit. Wenn die Richtlinienauswertung nach allen Anforderungszeiten nicht abgeschlossen werden kann, wurden virtuelle serverspezifische Richtlinien ausgewertet, verarbeitet der NetScaler erweiterte Anforderungszeitrichtlinien.
- Außerkraftsetzung der Reaktionszeit. Zur Reaktionszeit beginnt der NetScaler mit Richtlinien, die an den Bindepunkt zur Überschreibung der Antwortzeit gebunden sind.
- Virtueller Load Balancing-Server zur Reaktionszeit. Wenn die Richtlinienauswertung nicht abgeschlossen werden kann, nachdem alle Richtlinien zur Überschreibung der Reaktionszeit ausgewertet wurden, verarbeitet der NetScaler die Reaktionszeitrichtlinien für den Lastenausgleich virtueller Server.
- Antwortzeit für virtuellen Content Switching-Server. Wenn eine Richtlinienauswertung nach der Richtlinienauswertung für virtuelle Server mit Lastenausgleich unvollständig ist, verarbeitet der NetScaler die Reaktionszeitrichtlinien für virtuelle Server mit Content Switching.
- Standardeinstellung für Reaktionszeit. Wenn die Richtlinienauswertung nach allen Reaktionszeiten nicht abgeschlossen werden kann, wurden Richtlinien spezifisch für virtueller Server ausgewertet, verarbeitet NetScaler erweiterte Richtlinien in der Reaktionszeit.
Richtlinien-Evaluierung über Funktionen hinweg
Wenn eine Richtlinie an einen virtuellen Content Switching-Server gebunden ist. Zusätzlich zur Richtlinienbewertung in einem Feature. Die Richtlinien werden vor anderen Richtlinien ausgewertet.
Das Binden einer Richtlinie an einen Content Switching-vserver führt in NetScaler Versionen 9.0.x und höher zu einem anderen Ergebnis als in 8.x-Versionen. In NetScaler 9.0 und höheren Versionen erfolgt die Auswertung wie folgt:
- Content Switching-Richtlinien werden vor anderen Richtlinien ausgewertet. Wenn eine Content Switching-Richtlinie auf TRUE ausgewertet wird, wird der Ziel-Lastausgleich-vserver ausgewählt.
- Wenn alle Content Switching-Richtlinien auf FALSE ausgewertet werden, wird der standardmäßige Lastausgleichsserver unter dem Content Switching VIP ausgewählt.
Nachdem ein Ziel-Lastausgleich-vserver vom Content Switching-Prozess ausgewählt wurde, werden Richtlinien in der folgenden Reihenfolge ausgewertet:
- Richtlinien, die an den globalen Override-Bindepunkt gebunden sind.
- Richtlinien, die an den standardmäßigen Lastausgleichsserver gebunden sind.
- Richtlinien, die an den Ziel-Content Switching-vserver gebunden sind.
- Richtlinien, die an den globalen Standardbindepunkt gebunden sind.
Befolgen Sie diese Richtlinien, um sicherzustellen, dass die Richtlinien in der beabsichtigten Reihenfolge bewertet werden:
- Stellen Sie sicher, dass der standardmäßige Lastausgleichs-vserver von außen nicht direkt erreichbar ist. Beispielsweise kann die vserver-IP-Adresse 0.0.0.0 sein.
- Um zu verhindern, dass interne Daten auf dem standardmäßigen Lastausgleichsserver verfügbar gemacht werden, konfigurieren Sie eine Richtlinie so, dass sie mit dem Status “503 Dienst nicht verfügbar” antwortet, und binden Sie sie an den standardmäßigen Lastausgleichsserver.
Einträge in einer Richtlinienbank
Jeder Eintrag in einer Richtlinienbank hat mindestens eine Policy und eine Prioritätsstufe. Sie können auch Einträge konfigurieren, die die prioritätsbasierte Bewertungsreihenfolge ändern, und Sie können Einträge konfigurieren, die externe Richtlinienbanken aufrufen.
Die folgende Tabelle fasst jeden Eintrag in einer Richtlinienbank zusammen.
| Name der Richtlinie | Priorität | Gehe zu Expression | Aufruftstyp | Richtlinienbank, die aufgerufen werden soll |
|---|---|---|---|---|
| Der Richtlinienname oder eine “Dummy” -Richtlinie mit dem Namen NOPOLICY. Der NOPOLICY-Eintrag steuert den Auswertungsfluss, ohne eine Regel zu verarbeiten. | Eine ganze Zahl. | Optional. Identifiziert die nächste zu bewertende Richtlinie in der Bank oder beendet jede weitere Bewertung | Optional. Gibt an, dass eine externe Richtlinienbank aufgerufen wird. Dieses Feld beschränkt die Auswahl auf eine globale Policy Label oder einen virtuellen Server. | Optional. Wird mit Aufruftstyp verwendet. Dies ist die Bezeichnung für eine Richtlinienbank oder einen virtuellen Servernamen. Der NetScaler kehrt nach Bearbeitung der externen Bank an die aktuelle Bank zurück. |
Wenn die Richtlinie zu TRUE ausgewertet wird, speichert der NetScaler die Aktion, die mit der Richtlinie verknüpft ist. Wenn die Richtlinie zu FALSE ausgewertet wird, wertet der NetScaler die nächste Richtlinie aus. Wenn die Richtlinie weder TRUE noch FALSE ist, verwendet der NetScaler die zugehörige Undef-Aktion (undefined).
Evaluierungsauftrag innerhalb einer Richtlinienbank
Innerhalb einer Richtlinienbank hängt die Evaluierungsreihenfolge von den folgenden Punkten ab:
-
Eine Priorität.
Die minimalste Menge an Informationen über die Bewertungsreihenfolge ist eine numerische Prioritätsstufe. Je niedriger die Zahl, desto höher die Priorität.
-
Ein Goto-Ausdruck.
Falls angegeben, gibt der Gehe zu-Ausdruck die nächste auszuwertende Policy an, typischerweise innerhalb derselben Policenbank. Gehe zu Ausdrücken können nur in einer Bank weitergehen. Um eine Schleife zu verhindern, ist eine Policenbank-Konfiguration nicht gültig, wenn ein Goto Kontoauszug in der Bank rückwärts zeigt.
-
Anrufung anderer politischer Banken.
Jeder Eintrag kann sich auf eine externe Richtlinienbank berufen. Der NetScaler bietet eine integrierte Entität namens NOPOLICY, die keine Regel hat. Sie können einen NOPOLICY-Eintrag in einer Richtlinienbank hinzufügen, wenn Sie eine andere Richtlinienbank aufrufen möchten, aber vor dem Aufruf keine anderen Regeln verarbeiten möchten. Sie können mehrere NOPOLICY-Einträge in mehreren Richtlinienbanken haben.
Die Werte für einen Goto-Ausdruck lauten wie folgt:
-
WEITER.
Dieses Schlüsselwort wählt die Richtlinie mit der nächsthöheren Prioritätsstufe in der aktuellen Richtlinienbank aus. Die Richtlinien werden in Prioritätsreihenfolge von niedriger nummerierter Priorität bis hin zu höherer nummerierter Priorität ausgewertet.
-
Eine ganze Zahl.
Wenn Sie eine ganze Zahl angeben, muss sie mit der Prioritätsstufe einer anderen Richtlinie in der aktuellen Richtlinienbank übereinstimmen.
-
END.
Dieses Schlüsselwort stoppt die Auswertung nach Verarbeitung der aktuellen Richtlinie, und es werden keine zusätzlichen Richtlinien in dieser Bank verarbeitet.
-
Leer.
Wenn der Goto-Ausdruck leer ist, entspricht er der Angabe von END.
-
Ein numerischer Ausdruck.
Dies ist ein erweiterter Richtlinienausdruck, der in eine Prioritätsnummer für eine andere Richtlinie in der aktuellen Bank aufgelöst wird.
-
USE_INVOCATION_RESULT.
Dieser Satz kann nur verwendet werden, wenn Sie sich auf eine externe Policenbank berufen. Durch die Eingabe dieses Satzes führt der NetScaler eine der folgenden Aktionen aus:
- Wenn das endgültige Goto in der aufgerufenen Richtlinienbank den Wert END hat oder leer ist, lautet das Aufrufsergebnis END und die Bewertung wird beendet.
- Wenn der endgültige Goto-Ausdruck in der aufgerufenen Richtlinienbank etwas anderes als END ist, führt der NetScaler eine NEXT aus.
Die folgende Tabelle zeigt eine Richtlinienbank, die Goto-Ausdrücke und Richtlinienbank-Aufrufe verwendet.
| Name der Richtlinie | Priorität | Goto | Aufruf | Richtlinienbank, die aufgerufen werden soll |
|---|---|---|---|---|
| ClientCertificatePolicy (Regel: enthält die Anforderung ein Clientzertifikat?) | 100 | 300 | Ohne | Ohne |
| SubnetPolicy (Regel: stammt der Client aus einem privaten Subnetz?) | 200 | NEXT | Ohne | Ohne |
| NOPOLICY | 300 | USE INVOCATION RESULT | vserver anfragen | My_Request_VServer |
| NOPOLICY | 350 | USE INVOCATION RESULT | Richtlinienlabel | My_Policy_Label |
| workinghoursPolicy (Regel: ist es Arbeitszeit?) | 400 | END | Ohne | Ohne |
Tabelle 3. Beispiel für eine Richtlinienbank, die Gotos und externe Bankaufrufe verwendet
Wie die Bewertung von Richtlinien endet
Die Bewertung einer Policenbank endet, wenn eine der folgenden Bedingungen stattfindet:
-
Eine Richtlinie wird mit TRUE ausgewertet und ihr Goto Anweisungswert ist END.
Es werden keine weiteren Richtlinien oder Policenbanken in dieser Funktion bewertet.
-
Eine externe Richtlinienbank wird aufgerufen, ihre Bewertung gibt ein END zurück, und die Goto-Anweisung verwendet den Wert USE_INVOCATION_RESULT oder END.
Die Bewertung wird mit der nächsten Richtlinienbank für diese Funktion fortgesetzt. Wenn die aktuelle Bank beispielsweise die Bank zur Überschreibung der Anforderungszeit ist, wertet der NetScaler als Nächstes Richtlinienbanken für die virtuellen Server aus.
-
Der NetScaler hat alle Policenbanken in dieser Funktion durchlaufen, ist jedoch nicht auf ein END gestoßen.
Wenn dies der letzte Eintrag ist, der in dieser Richtlinienbank ausgewertet wird, fährt der NetScaler mit der nächsten Funktion fort.
Wie Funktionen Aktionen nach der Richtlinienbewertung verwenden
Nach Auswertung aller relevanten Richtlinien für einen bestimmten Datenpunkt (z. B. eine HTTP-Anforderung) speichert der NetScaler alle Aktionen, die mit einer Richtlinie verknüpft sind, die mit den Daten übereinstimmen.
Für die meisten Funktionen werden alle Aktionen aus übereinstimmenden Richtlinien auf ein Datenverkehrspaket angewendet, wenn es den NetScaler verlässt. Die Funktion “Integriertes Caching” wendet nur eine Aktion an: CACHE oder NOCACHE. Diese Aktion ist der Richtlinie mit dem niedrigsten Prioritätswert in der Richtlinienbank höchste Priorität zugeordnet (z. B. werden Richtlinien für die Anforderungszeitüberschreibung angewendet, bevor virtuelle serverspezifische Richtlinien angewendet werden).
In diesem Artikel
- Funktionsspezifische Unterschiede bei Richtlinienbindungen
- Binden Sie Punkte und Reihenfolge der Auswertung
- Richtlinien-Evaluierung über Funktionen hinweg
- Einträge in einer Richtlinienbank
- Evaluierungsauftrag innerhalb einer Richtlinienbank
- Wie die Bewertung von Richtlinien endet
- Wie Funktionen Aktionen nach der Richtlinienbewertung verwenden