Citrix ADC Ingress Controller

Profilunterstützung für die Listener-CRD

Sie können einzelne Entitäten wie das HTTP-Profil, das TCP-Profilund das SSL-Profil verwenden, um HTTP, TCP und SSL für die Listener-CRD zu konfigurieren. Die Profilunterstützung für die Listener-CRD hilft Ihnen, das Standardprotokollverhalten anzupassen. Sie können auch die SSL-Verschlüsselungen für den virtuellen SSL-Server auswählen.

HTTP-Profil

Ein HTTP-Profil ist eine Sammlung von HTTP-Einstellungen. Ein Standard-HTTP-Profil mit dem Namen nshttp_default_profile ist konfiguriert, um die HTTP-Konfigurationen festzulegen. Diese Konfigurationen werden standardmäßig global auf alle Dienste und virtuellen Server angewendet. Sie können die HTTP-Konfigurationen für eine Listener-Ressource anpassen, indem Sie angeben spec.policies.httpprofile. Falls angegeben, erstellt der Citrix Ingress Controller ein neues HTTP-Profil mit den Standardwerten, die vom Standard-HTTP-Profil abgeleitet werden, und konfiguriert die angegebenen Werte.

Es hilft, die Standardwerte aus dem Standard-HTTP-Profil abzuleiten und konfiguriert die angegebenen Werte.

Das folgende Beispiel YAML zeigt, wie Websocket für einen bestimmten virtuellen Front-End-Server aktiviert wird.

    apiVersion: citrix.com/v1
    kind: Listener
    metadata:
      name: test-listener
      namespace: default
    spec:
      vip: x.x.x.x
      port: 80
      protocol: http
      policies:
        httpprofile:
          config:
            websocket: "ENABLED"
<!--NeedCopy-->

Hinweise zu allen möglichen Schlüssel-Wert-Paaren für das HTTP-Profil finden Sie unter HTTP-Profil.

Hinweis:

Der “Name” wird automatisch generiert.

Sie können auch ein integriertes HTTP-Profil oder ein vorkonfiguriertes HTTP-Profil angeben und es an den virtuellen Front-End-Server binden, wie im folgenden Beispiel gezeigt.

apiVersion: citrix.com/v1
kind: Listener
metadata:
  name: test-listener
  namespace: default
spec:
  vip: x.x.x.x
  port: 80
  protocol: http
  policies:
    httpprofile:
      preconfigured: 'nshttp_default_strict_validation'
<!--NeedCopy-->

TCP-Profil

Ein TCP-Profil ist eine Sammlung von TCP-Einstellungen. Ein Standard-TCP-Profil mit dem Namen nstcp_default_profile ist konfiguriert, um die TCP-Konfigurationen festzulegen. Diese Konfigurationen werden standardmäßig global auf alle Dienste und virtuellen Server angewendet. Sie können die TCP-Einstellungen anpassen, indem Sie angeben spec.policies.tcpprofile. Wenn Sie angeben spec.policies.tcpprofile, erstellt der Citrix Ingress Controller ein TCP-Profil, das vom Standard-TCP-Profil abgeleitet wird, und wendet die in der Spezifikation angegebenen Werte an und bindet es an den virtuellen Front-End-Server.

Informationen zu allen möglichen Schlüssel-Wert-Paaren für ein TCP-Profil finden Sie unter TCP-Profil.

Hinweis:

Der Name wird automatisch generiert.

Das folgende Beispiel zeigt, wie tcpfastopen und HyStart für den virtuellen Front-End-Server aktiviert wird.

apiVersion: citrix.com/v1
kind: Listener
metadata:
  name: test-listener
  namespace: default
spec:
  vip: x.x.x.x
  port: 80
  protocol: http
  policies:
    tcpprofile:
      config:
        tcpfastopen: "ENABLED"
        hystart: "ENABLED"
<!--NeedCopy-->

Sie können auch ein integriertes TCP-Profil oder einen vorkonfigurierten TCP-Profilnamen angeben, wie im folgenden Beispiel gezeigt:

apiVersion: citrix.com/v1
kind: Listener
metadata:
  name: test-listener
  namespace: default
spec:
  vip: x.x.x.x
  port: 80
  protocol: http
  policies:
    tcpprofile:
      preconfigured: 'nstcp_default_Mobile_profile'
<!--NeedCopy-->

SSL-Profil

Ein SSL-Profil ist eine Sammlung von Einstellungen für SSL-Entitäten. Das SSL-Profil macht die Konfiguration einfacher und flexibler. Sie können die Einstellungen in einem Profil konfigurieren und dieses Profil an einen virtuellen Server binden, anstatt die Einstellungen für jede Entität zu konfigurieren. Mit einem SSL-Profil können Sie viele SSL-Parameter wie das TLS-Protokoll und Verschlüsselungen anpassen. Weitere Informationen zum SSL-Profil finden Sie unter SSL-Profilinfrastruktur.

Hinweis:

Standardmäßig erstellt Citrix ADC ein Legacy-SSL-Profil. Das Legacy-SSL-Profil hat viele Nachteile, einschließlich der Nichtunterstützung erweiterter Protokolle wie SSLv3. Daher wird empfohlen, die Standard-SSL-Profile in Citrix ADC zu aktivieren, bevor der Citrix Ingress Controller gestartet wird.

Verwenden Sie den folgenden Befehl in der Citrix ADC-Befehlszeile, um das erweiterte SSL-Profil zu aktivieren:

set ssl parameter -defaultProfile ENABLED

Der Befehl aktiviert das Standard-SSL-Profil für alle vorhandenen virtuellen SSL-Server und die SSL-Dienstgruppen.

Sie können angeben spec.policies.sslprofile, dass das SSL-Profil angepasst werden soll. Wenn angegeben, erstellt der Citrix Ingress Controller ein SSL-Profil, das vom standardmäßigen SSL-Front-End-Profil abgeleitet wird: ns_default_ssl_profile_frontend.

Informationen zu Schlüssel-Wert-Paaren, die im SSL-Profil unterstützt werden, finden Sie unter SSL-Profil.

Hinweis:

Der name wird automatisch generiert.

Das folgende Beispiel zeigt, wie TLS1.3 und HSTS für den virtuellen Front-End-Server aktiviert werden.

apiVersion: citrix.com/v1
kind: Listener
metadata:
  name: test-listener
  namespace: default
spec:
  vip: x.x.x.x
  port: 443
  certificates:
  - secret:
      name: my-cert
  protocol: https
  policies:
    sslprofile:
      config:
        tls13: "ENABLED"
        hsts: "ENABLED"

<!--NeedCopy-->

Sie können einen integrierten oder vorkonfigurierten SSL-Profilnamen angeben, wie im folgenden Beispiel gezeigt:

apiVersion: citrix.com/v1
kind: Listener
metadata:
  name: test-listener
  namespace: default
spec:
  vip: x.x.x.x
  port: 443
  certificates:
  - secret:
      name: my-cert
  protocol: https
  policies:
    sslprofile:
      preconfigured: 'ns_default_ssl_profile_secure_frontend'
<!--NeedCopy-->

SSL-Verschlüsselungen

Der Ingress Citrix ADC verfügt über integrierte Verschlüsselungsgruppen. Standardmäßig verwenden virtuelle Server eine DEFAULT-Verschlüsselungsgruppe für eine SSL-Transaktion. Um Verschlüsselungen zu verwenden, die nicht Teil der DEFAULT-Verschlüsselungsgruppe sind, müssen Sie sie explizit an ein SSL-Profil binden. Sie können verwenden spec.policies.sslciphers, um eine Liste von Verschlüsselungen, eine Liste der integrierten Verschlüsselungsgruppenoder die Liste der benutzerdefinierten Verschlüsselungsgruppenbereitzustellen.

Hinweis:

Die Prioritätsreihenfolge von Chiffren entspricht der in der Liste definierten Reihenfolge. Der erste in der Liste erhält die erste Priorität und ebenso.

Das folgende Beispiel zeigt, wie eine Liste der integrierten Verschlüsselungssammlungen bereitgestellt wird.

  apiVersion: citrix.com/v1
  kind: Listener
  metadata:
    name: test-listener
    namespace: default
  spec:
    vip: x.x.x.x
    port: 443
    certificates:
    - secret:
        name: my-cert
    protocol: https
    policies:
      sslciphers:
      - 'TLS1.2-ECDHE-RSA-AES128-GCM-SHA256'
      - 'TLS1.2-ECDHE-RSA-AES256-GCM-SHA384'
      - 'TLS1.2-ECDHE-RSA-AES-128-SHA256'
      - 'TLS1.2-ECDHE-RSA-AES-256-SHA384'
<!--NeedCopy-->

Informationen zur Liste der in Citrix ADC verfügbaren Verschlüsselungssammlungen finden Sie unter SSL-Profilinfrastruktur.

Stellen Sie sicher, dass Citrix ADC über eine benutzerdefinierte Verschlüsselungsgruppe für die Verwendung einer benutzerdefinierten Verschlüsselungsgruppe verfügt. Führen Sie die folgenden Schritte aus, um eine benutzerdefinierte Verschlüsselungsgruppe zu konfigurieren:

  1. Erstellen Sie eine benutzerdefinierte Verschlüsselungsgruppe. Beispiel: MY-CUSTOM-GROUP.
  2. Binden Sie alle erforderlichen Verschlüsselungen an die benutzerdefinierte Verschlüsselungsgruppe.
  3. Notieren Sie sich den Namen der benutzerdefinierten Verschlüsselungsgruppe.

Ausführliche Anweisungen finden Sie unter Konfigurieren einer benutzerdefinierten Verschlüsselungsgruppe.

Hinweis: Die Prioritätsreihenfolge von Verschlüsselungen entspricht der in der Liste definierten Reihenfolge. Der erste in der Liste erhält die erste Priorität und ebenso.

Das folgende Beispiel zeigt, wie eine Liste von integrierten Verschlüsselungsgruppen und/oder benutzerdefinierten Verschlüsselungsgruppen bereitgestellt wird. Die benutzerdefinierten Verschlüsselungsgruppen müssen in Citrix ADC vorhanden sein, bevor Sie sie auf Listener anwenden.

  apiVersion: citrix.com/v1
  kind: Listener
  metadata:
    name: test-listener
    namespace: default
  spec:
    vip: x.x.x.x
    port: 443
    certificates:
    - secret:
        name: my-cert
    protocol: https
    policies:
      sslciphers:
      - 'SECURE'
      - 'HIGH'
      - 'MY-CUSTOM-CIPHERS'
<!--NeedCopy-->

Im vorherigen Beispiel SECURE und HIGH sind integrierte Verschlüsselungsgruppen in Citrix ADC. MY-CUSTOM-CIPHERS ist die vorkonfigurierte benutzerdefinierte Verschlüsselungsgruppe.

Hinweis: Wenn Sie das vorkonfigurierte SSL-Profil angegeben haben, müssen Sie die Verschlüsselungen manuell über Citrix ADC binden und spec.policies.sslciphers werden nicht auf das vorkonfigurierte SSL-Profil angewendet.

Hinweis: Die integrierten Verschlüsselungsgruppen können in Tier-1 und Tier-2 Citrix ADC verwendet werden. Die benutzerdefinierte Verschlüsselungsgruppe kann nur in einem Tier-1-Citrix ADC verwendet werden.

Analytics-Profil

Mit dem Analyseprofil kann Citrix ADC die Art der Transaktionen oder Daten auf eine externe Plattform exportieren. Wenn Sie Citrix ADC Observability Exporter verwenden, um Metriken und Transaktionsdaten zu sammeln und an Endpunkte wie Elasticsearch oder Prometheus zu exportieren, können Sie das Analyseprofil so konfigurieren, dass der Datentyp ausgewählt wird, der exportiert werden muss.

Hinweis:

Damit das Analytics-Profil funktionsfähig ist, müssen Sie den Citrix ADC Observability Exporter konfigurieren. Unterstützung der Analytics-Konfiguration mit ConfigMap.

Das folgende Beispiel zeigt, wie webinsight und tcpinsight im Analyseprofil aktiviert werden.

apiVersion: citrix.com/v1
  kind: Listener
  metadata:
    name: test-listener
    namespace: default
  spec:
    vip: x.x.x.x
    port: 443
    certificates:
    - secret:
        name: my-cert
    protocol: https
    policies:
     analyticsprofile:
       config:
       - type: webinsight
       - type: tcpinsight
<!--NeedCopy-->

Das folgende Beispiel zeigt, wie Sie die zusätzlichen Parameter für den Typ auswählen webinsight, von dem Sie in den Citrix ADC Observability Exporter exportiert werden möchten. Informationen zum gültigen Schlüssel-Wert-Paar finden Sie unter Analytics-Profil.

apiVersion: citrix.com/v1
  kind: Listener
  metadata:
    name: test-listener
    namespace: default
  spec:
    vip: x.x.x.x
    port: 443
    certificates:
    - secret:
        name: my-cert
    protocol: https
    policies:
     analyticsprofile:
       config:
       - type: webinsight
         parameters:
           httpdomainname: "ENABLED"
           httplocation: "ENABLED"
<!--NeedCopy-->

Das folgende Beispiel zeigt, wie vorkonfigurierte Analyseprofile verwendet werden.

  apiVersion: citrix.com/v1
  kind: Listener
  metadata:
    name: test-listener
    namespace: default
  spec:
    vip: x.x.x.x
    port: 443
    certificates:
    - secret:
        name: my-cert
    protocol: https
    policies:
     analyticsprofile:
       preconfigured:
       - 'custom-websingiht-analytics-profile'
       - 'custom-tcpinsight-analytics-profile'
<!--NeedCopy-->
Profilunterstützung für die Listener-CRD