Conceptos avanzados

Diseño de referencia validado de las particiones de administrador de Citrix ADC

Descripción general de la función

Citrix ADC Admin Partitions permite la multiarrendamiento a nivel de software en una única instancia de Citrix ADC. Cada partición tiene su propio plano de control y plano de red.

Las principales ventajas de las particiones de administración son:

  1. Plano de control: Configuración y administración aisladas
  2. Plano de datos: Datos de partición clave y archivos estrechamente controlados dentro del límite de partición
  3. Plano de red: El tráfico se aísla con su propia configuración de red. Dos particiones en el mismo dispositivo Citrix ADC no ven el mismo tráfico que pasa a través de cada partición

Este documento describe detalladamente los casos de uso típicos que están habilitados por las Particiones de administración y las directrices para el uso de Particiones de administración en el entorno del cliente.

Casos de uso de particiones de administración

Caso de uso empresarial para particiones de administración

Los administradores de Citrix ADC pueden particionar un dispositivo Citrix ADC en varios ADC y asignar las particiones a diferentes administradores de aplicaciones como Microsoft SharePoint y Microsoft Lync. Cada administrador/propietario de la aplicación puede realizar sus propios cambios de configuración.

Solapamiento de IP: La ventaja clave de la superposición de IP es que el mismo intervalo de IP se puede utilizar en diferentes particiones de administración sin ningún conflicto de IP. Para los servidores back-end, puede usar el mismo conjunto de direcciones IP privadas. En un caso de superposición de IP, las VLAN no se pueden compartir.

Enrutamiento virtual: la configuración de enrutamiento es única para cada partición y cada propietario de partición puede configurar sus propios protocolos de enrutamiento.

Aislamiento del espacio de nombres: los nombres de entidades son únicos en distintas particiones, por lo que puede utilizar los mismos nombres en distintas Particiones de administración.

Diagrama de referencia:

NIC única: Varias VLAN

image-admin-patritions-01

Superposición de IP:

image-admin-partitions-02

Caso de uso del proveedor de servicios para particiones de administración

Los proveedores de servicios pueden particionar un dispositivo Citrix ADC y asignarlo a clientes individuales según sus requisitos de ancho de banda y el número de conexiones simultáneas.

Los proveedores de servicios pueden desarrollar herramientas de orquestación mediante las API de NITRO para obtener información de sus clientes individuales sobre sus requisitos de ancho de banda y conexiones simultáneas, crear particiones y asignarlas a sus clientes.

A continuación se muestra un conjunto de aislamientos que ayudan a los proveedores de servicios:

Sistema dearchivos: Cada partición se asigna parte de un sistema de archivos y los archivos almacenados en ese espacio de partición respectivo no son visibles para otras particiones. Los certificados/claves SSL se almacenan en esa partición y no son visibles para otros propietarios de particiones, lo que hace que cada partición sea segura.

VLAN compartida: En un proveedor de servicios típico con una implementación de varios arrendatarios, es posible que los clientes finales no tengan VLAN independientes para el tráfico entrante. La función VLAN compartida comparte la VLAN cuando no es posible tener VLAN dedicada.

Etiquetado de VLAN: Se puede compartir una única interfaz entre varias particiones de administración y aislarla mediante una VLAN etiquetada. Para una VLAN sin etiquetar, utilice una VLAN compartida.

Solución de problemas y depuración: Los administradores pueden ver las estadísticas de tráfico de cada partición de forma independiente y separar los registros filtrando por el ID de partición. La función de seguimiento garantiza la independencia de la partición, ya que la traza disparada desde una partición nunca verá paquetes de otra partición.

Diagrama de referencia

image-admin-partitions-03


Directrices para implementar particiones de administración

Las particiones de administración permiten compartir recursos, como ancho de banda, memoria y conexiones simultáneas, y proporcionan aislamiento en la red, los datos y el plano de administración.

Partición de los recursos

Los administradores de ADC necesitan los siguientes detalles para configurar la partición de administración:

  1. Conexiones: (Número de conexiones TCP)
  2. Memoria
  3. Requisitos de ancho de banda

El número de conexiones y requisitos de ancho de banda depende de la aplicación y del tráfico manejado por la partición respectiva. El administrador de ADC en consulta con el administrador de la aplicación obtendrá las conexiones/ancho de banda para una partición.

Directrices de asignación de memoria

La cantidad de memoria asignada a una partición predeterminada debe ser un mínimo del 50% de la memoria total disponible por las siguientes razones:

  1. Proporcionar flexibilidad al cliente en el futuro para aumentar la memoria de otras particiones en caso de que se alcance el límite.
  2. La memoria caché integrada para todas las particiones se toma de la partición predeterminada.

La memoria total que puede consumir un PE es de 4 GB. Por lo tanto, un total de 2 GB se puede asignar a todas las particiones excluyendo la partición admin.

La memoria asignada a la partición admin se utiliza para dos propósitos:

  1. Almacenamiento de objetos estáticos (configuración, claves SSL)
  2. Objetos dinámicos: Dependiendo de la lista de entidades habilitadas y del número de conexiones que la memoria asignada para objetos dinámicos varía

El administrador de ADC utiliza las conexiones y los requisitos de ancho de banda del propietario de la aplicación y las siguientes pautas para llegar a la estimación de la memoria.

Directrices para asignar memoria estática para la configuración

La tabla 1 enumera las configuraciones de uso común y la memoria requerida.

Cuadro 1

Tipo de configuración Memoria asignada en KB por motor de paquetes
Agregar SNIP 255
Agregar servidor IPv4 0,384
Agregar servicio 5,253
Agregar vServer con un servicio 11,157
enlazar vlan a la partición 0,116
agregar ruta a la partición 0,564
add acl 0,5
agregar monitor 4,34
agregar grupos de servicios 4,625
enlazar servidor al grupo de servicios 5,817
acción de agregar cs 4,532
agregar directiva cs 2,548
add cs vserver 11,589
enlazar la directiva cs a cs vServer 7,348

Las configuraciones se replican a través de PE, por lo que el requisito anterior debe multiplicarse por el número de PE.

Directrices para la memoria dinámica

Cuadro 2

Función Requisito de memoria
Conexiones (Aplicable solo si la versión de Citrix ADC es 12.0 o superior) 2,4 MB por 1 K conexiones
Sesiones persistentes 600 KB por sesiones de 1 K
Sesiones persistentes de GSLB 6 MB por sesiones de 1 K
SSL 6 MB para 1000 conexiones/sesiones SSL en descarga SSL y 9 MB para 1000 conexiones/sesiones SSL en SSL End-End
AAA: Depende del número de usuarios Número de usuarios * 2 KB
Reescritura: Obtenga la longitud máxima que se analizará mediante la directiva de reescritura Número de conexiones * Longitud máxima
Respondedor: Obtenga la longitud máxima que analizará la directiva Respondedor Número de conexiones * Longitud máxima
Almacenamiento en búfer TCP 20% de las conexiones* tamaño del búfer TCP configurado

Memoria dinámica = suma de la memoria calculada a partir de cada una de las filas anteriores en la tabla anterior.

Agregue un búfer de 10 -20% a la memoria total calculada.

Los requisitos de memoria para algunas funciones como AppQoE no se proporcionan porque la memoria consumida de la memoria de partición es insignificante para estas funciones y el búfer de 10-20% es suficiente para manejarlas.

Memoria total = memoria estática* No de la memoria dinámica de PE +

Supongamos que llegamos a una conclusión de que la memoria requerida es de 1 GB y el número de motores de paquetes son 4. Luego, para esa partición en particular, la cantidad de memoria necesaria se deriva de la siguiente fórmula:

Configuración de memoria de partición de administración = (Cantidad de memoria necesaria/Número de motores de paquetes)

Memoria de partición de administración = 1 GB/4 = 250 MB

Comportamientos cuando se alcanza el límite de recursos

  1. Conexiones: Se eliminarán las nuevas conexiones
  2. Ancho de banda: Se eliminará el tráfico nuevo
  3. Memoria: Se descartará el tráfico nuevo

Puede configurar alertas SNMP que se activan si se agotan los recursos de la partición en particular. La lista de trampas SNMP se proporciona en la sección de recursos adicionales.

Plano de red

VLAN: Configure y asigne diferentes VLAN a particiones de administración para mantener el aislamiento a nivel de red.

Enrutamiento: La configuración de enrutamiento es única por partición.

El administrador de ADC en consulta con el administrador de la red (con la entrada del administrador de la aplicación) define la VLAN y las configuraciones relacionadas con el enrutamiento en función de la topología de la red.

Parámetros L3: Puede ser específico de la partición. Algunos de los parámetros L3 son Drop DF Packets, ICMP err threshold, overridernat, etc., y la entrada debe provenir de la red o ADC admin.

Plano de control: Experiencia del usuario

Las particiones de administración proporcionan aislamiento en diferentes niveles, lo que permite al usuario administrar de forma segura una instancia de ADC aislada.

Los diferentes niveles de aislamiento incluyen:

  1. Página UI: Configuración, estadísticas mostradas solo para la partición
  2. Diagnósticos: Rastreo de aislamiento. El seguimiento no capturará el tráfico de otras particiones
  3. Alertas SNMP: Configuradas en el nivel de partición
  4. Aislamiento a nivel de registro

El aislamiento a nivel de UI-se puede configurar mediante el siguiente método:

  1. En la partición respectiva, habilite el acceso mgmt. para un SNIP y use ese SNIP para acceder a la GUI. Esto proporcionará aislamiento y visibilidad a nivel de UI-solo en esa partición.

Cuadro 3

Tipo de registro Partición específica
Weblog
Paquete de soporte técnico
Registros de auditoría No
/var/log No

Partición de administración para caso de uso empresarial

En esta sección se describe un caso de uso de clientes empresariales con cuatro aplicaciones que utilizan Particiones de administración.

Requisitos del cliente

  • Necesita alojar 4 aplicaciones

  • Cada aplicación tiene su propio administrador y un conjunto diferente de requisitos ADC. En la siguiente tabla se enumeran las aplicaciones y sus requisitos únicos.

Cuadro 4

Aplicación Funciones Requisito/Funciones
SharePoint Compartir archivos, audio, archivos, etc. Almacenamiento en caché, compresión, autenticación, descarga SSL, perfiles SSL
Base de datos Reglas SQL personalizadas, autenticación, división entre lectura y escritura para un mejor rendimiento Content Switch, Policy Infra for SQL palabras clave relacionadas
Sitio web de la empresa Acceso público: Propenso a ataques, Firewall de aplicaciones DDoS, AppQoE, AppFW, Perfiles SSL
Outlook Integrado con AD, SSO, mejor rendimiento en HTTP Autenticación SSO, descarga SSL

De la tabla de requisitos anterior, queda claro que cada una de las aplicaciones necesita un conjunto diferente de configuraciones para obtener los beneficios completos de Citrix ADC. Se recomienda particionar el Citrix ADC y asignarlas a los respectivos propietarios de aplicaciones.

Estimación de ancho de banda y conexiones

Outlook y SharePoint

El ancho de banda para las aplicaciones de empresa como SharePoint, Exchange y Lync dependen de:

  1. Número de usuarios simultáneos
  2. Tipo de uso
    1. Exchange: Tamaño medio y número de mensajes
    2. SharePoint: Tipo de archivos, proporción de lectura frente a escritura

El administrador de la aplicación calcula los requisitos de ancho de banda mediante los dos factores anteriores y proporciona la información al administrador de Citrix ADC para la configuración de la partición de administración. Se proporcionan directrices generales sobre cómo calcular el ancho de banda en Technet de Microsoft y blogs de MSDN.

Ejemplos:

Ancho de banda para Outlook 2010: Tipos de usuarios (ligero, medio, pesado, etc.). Para usuarios medianos, envíe 10 correos electrónicos, reciba 40 correos electrónicos, promedio msg. tamaño 50 kb = 2,15 Kbps. Para 1000 usuarios, el ancho de banda requerido es de 2150 Kbps.

Ancho de banda para SharePoint: Número de usuarios = 1000. Suponiendo que el 20% de los usuarios están activos en cualquier momento y que el tamaño medio de carga de página es de 100 KB y accediendo a alrededor de 10 páginas durante un período de 1 hora:

= 100 KB * 200 * 10 por hora = 200 000 KB/h = 200 000*8 (8 bits por byte)/3600 (segundos)

= 444 Kbps

Conexiones por segundo = Usuarios activos * 10

MSSQL

En función de la velocidad de consultas y el tamaño de respuesta, derivar el ancho de banda y las conexiones.

Sitio web de la empresa

Requisitos de ancho de banda: Tamaño medio de página * Máximo de usuarios en cualquier momento * 2

Conexiones: Número máximo de usuarios* número de conexiones por usuario

Ejemplo:

Ancho de banda: 4 KB10002 = 48 000 Kbps

Número máximo de usuarios = 1000 y número de conexiones por usuario = 10. Las conexiones = 10K

Si la mayoría de los usuarios son de HTTP/1.1, entonces el número de conexiones por usuario sería de 2 a 3, pero si la mezcla se inclina más hacia HTTP/1.0, entonces el número de conexiones sería de 10 a 15. El número del factor multiplicativo de conexiones por usuario varía de 3 a 15 dependiendo de la mezcla de tráfico/cliente.

La memoria a configurar depende de:

  1. Lista de configuraciones en la partición de administración respectiva: Memoria estática. Consulte la Tabla 1 para obtener más detalles.
  2. Memoria dinámica: Número de conexiones y tipo de conexiones (HTTP frente a SSL): Consulte la Tabla 2 para obtener más detalles.
  3. Número de motores de paquetes. Memoria = (memoria estática+memoria dinámica)/(número de motores de paquetes)

Pasos para el administrador de ADC

  1. Recopilar el ancho de banda y las conexiones para cada aplicación
  2. Cree tres particiones para SharePoint, Base de datos y Outlook respectivamente. Utilice el ancho de banda y las conexiones del paso anterior y asígnelo a la partición respectiva. El sitio web de la empresa se puede alojar en la partición predeterminada si el cliente necesita AppFW ya que AppFW solo se admite en particiones predeterminadas.
  3. Cree usuarios para cada una de las particiones y comparta las credenciales.
  4. Habilite el almacenamiento en caché integrado y configure la memoria caché. La memoria caché se toma de la memoria caché configurada en la partición predeterminada. Para obtener información detallada sobre la asignación, consulte la sección del apéndice de IC.

    1. Asigne memoria caché después de consultar con el administrador de ADC. Intente asignar entre el 30 y el 40% de la memoria caché total del sistema. Si el total asignado es de 10 GB, asigne alrededor de 3-4 GB para la caché en la partición de SharePoint.
    2. Los propietarios de aplicaciones deben supervisar inicialmente las estadísticas de almacenamiento en caché para comprobar el nivel de beneficios.
    3. Compruebe la relación de aciertos de objetos de almacenamiento en caché y, si un gran número de objetos de caché tiene un acierto alto, aumente el tamaño de la memoria IC para esa partición en particular.
  5. Habilitar compresión
    1. SharePoint publicará archivos de diferentes tipos (Excel, PowerPoint, Word) y los mismos archivos, si se comprimen y se entregan a los clientes, reducirán el uso de ancho de banda.

Usuario de la base de datos

  1. Configure los servidores CS, VIP y backend.
  2. Utilice Content Switching para dividir las solicitudes de lectura/escritura y redirigir al conjunto respectivo de servidores.

Sitio web de la empresa

  1. Configure los servidores VIP y back-end.
  2. Habilite el almacenamiento en caché integrado.

    1. El sitio web de Enterprise se encuentra en la partición predeterminada, por lo que la memoria caché no utilizada de otras particiones está disponible para el sitio web de Enterprise. Por lo tanto, suponiendo que SharePoint y Outlook consuman el 35%, entonces el total consumido sería el 70% dejando el 30% restante a la partición predeterminada (sitio web de la empresa). Si la memoria caché total es de 10 GB, la partición predeterminada tendría 3 GB de memoria caché.
    2. Los propietarios de aplicaciones deben supervisar inicialmente las estadísticas de almacenamiento en caché para comprobar el nivel de beneficios.
    3. Compruebe la relación de aciertos de objetos de almacenamiento en caché, y si un gran número de objetos de caché tienen un acierto alto, aumente el tamaño de la memoria IC para esa partición en particular.
  3. Habilite la optimización front-end.
  4. Habilitar AppFW.

Caso de uso de particiones administrativas del proveedor de servicios

El proveedor de servicios aloja aplicaciones de Microsoft y proporciona las aplicaciones IIS, SharePoint y MSSQL como un servicio. Sus clientes suelen tener estos requisitos:

Requisitos del cliente

  • Cliente 1: Accede al servidor de base de datos y su división de lectura/escritura es 90:10 y el cliente final quiere configurar filtros personalizados relacionados con SQL

  • Cliente 2: Accede a la aplicación web a través de SSL y el cliente final quiere controlar sus certificados SSL

  • Cliente 3: Accede a SharePoint hospedado desde Service Provider

El proveedor de servicios aloja un portal para que su cliente:

  1. Seleccione la aplicación que quiere alojar
  2. Requisitos de ancho de banda

El proveedor de servicios aloja un portal para que su cliente:

  1. Seleccione la aplicación que quiere alojar
  2. Requisitos de ancho de banda
  3. Conexiones

En función de la selección, el proveedor de servicios puede configurar las particiones apropiadas con configuraciones relacionadas con aplicaciones específicas en el back-end mediante las API de NITRO.

En función de la aplicación seleccionada por el cliente, elija la opción adecuada.

  1. Aplicación web con SSL
    1. Opción de certificado SSL que se vinculará a VIP
    2. Redirigir HTTP a HTTPS
    3. Parámetros relacionados con el perfil SSL
  2. SQL
    1. Filtros relacionados con SQL que el cliente quiere configurar
  3. SharePoint
    1. Límite y reglas de memoria de almacenamiento en caché
    2. Directivas de compresión

El proveedor de servicios sigue una de las dos opciones para implementar los requisitos exactos después de la creación de particiones de administración.

Opción de configuración 1:

El proveedor de servicios recopila las solicitudes del cliente y las ejecuta en la partición respectiva.

Opción de configuración 2:

Automatice las particiones de administración mediante las API de NITRO. Las entradas se pueden recopilar desde el portal front-end y en el back-end las API NITRO se pueden ejecutar para configurar las particiones.

Consideraciones sobre las funciones

Funciones admitidas: La partición de administración es compatible con la mayoría de las funciones y solo no es compatible con algunas funciones. Para obtener la lista exacta, consulte Documentos de Citrix y compruebe la versión de software en particular. Contendrá una tabla que enumera la matriz de compatibilidad.

Limitaciones de configuración. Las particiones de administración no se admiten en:

  1. Agrupar en clústeres

  2. Dispositivo MPX-FIPS

Conclusión

La ventaja clave de Admin Partitions es permitir la separación del ADC en el nivel de software y proporcionar una experiencia de usuario segura y aislada al propietario de cada partición.


Recursos adicionales

Herramientas para solucionar problemas

Problemas comunes en la partición de administración:

Partición de administración en VPX en ESX:

  • Partición no predeterminada no accesible cuando se configura la dirección MAC personalizada.

  • Solución: El modo promiscuo debe habilitarse en ESX para que la partición no predeterminada funcione.

Error de configuración:

  • Es posible que la configuración no arroje los archivos de entrada de error que no están presentes.

  • Se necesita usar la ruta relativa y no la ruta absoluta.

Configuración de VLAN:

  • La VLAN de partición de administración admite VLAN etiquetada, por lo que cuando se etiqueta la VLAN, el conmutador al que está conectada la interfaz de Citrix ADC debe configurarse con la VLAN adecuada. Para VLAN sin etiquetar, utilice la configuración de VLAN compartida

Asignación de memoria caché integrada

Para configurar el almacenamiento en caché integrado (IC) en un dispositivo Citrix ADC particionado, después de definir la memoria IC en la partición predeterminada, el superusuario puede configurar la memoria IC en cada partición de administrador de modo que la memoria IC total asignada a todas las particiones de administrador no supere la memoria IC definida en la partición predeterminada. La memoria que no está configurada para las particiones admin permanece disponible para la partición predeterminada.

Por ejemplo, si un dispositivo Citrix ADC con dos particiones administrativas tiene 10 GB de memoria IC asignados a la partición predeterminada, y la asignación de memoria IC para las dos particiones administrativas es la siguiente:

  • Partición1: 4 GB

  • Partición2: 3 GB

Luego, la partición predeterminada tiene 10: (4 + 3) = 3 GB de memoria IC disponible para su uso.

Nota:

Si todas las particiones admin utilizan toda la memoria IC, no hay memoria IC disponible para la partición predeterminada.

Comandos para comprobar el uso de memoria

  • La memoria del sistema Stat dentro de la partición mostrará la asignación agregada de memoria del nivel del sistema para la partición y el nombre de partición stat mostrará el porcentaje de memoria utilizada dentro de la partición.
>add partition p1
Done
>switch partition p1
Done
p1> stat system memory
done

Citrix ADC Memory Information:
Maximum Memory Available (MB): 50
Memory Currently Available (MB): 50
Memory Allocated (MB) 7
Memory Allocated (%) 14.95
InUse Memory  (MB) 7
InUse Memory (%) 14.95
Free Memory (MB) 42

>stat partition p1

Partition(s) Summary
   MinBW MaxBW MaxConn MaxMem

p1 10240 10240  1024  10

Partition Stats:

                       Rates (/s)   Total
Current Bandwidth         --          0
Current Connections       --          0
Memory Usage (%)          --          14
Total Packet Drops        0           7
Total Drops (KB)          0           0
Total Connection Drops    0           0
<!--NeedCopy-->
  • Memoria de configuración: Dado que cada configuración se replica en cada motor de paquetes, la memoria se asigna dentro de cada motor de paquetes. Por ejemplo, si el comando “add lb vserver” toma alrededor de 10 KB en Peach Packet Engine y creamos una partición de 10 MB en un sistema de 5: Packet Engine, entonces en total consume 50 KB de memoria de partición.
  • El valor preciso de los requisitos de memoria para una configuración específica se puede medir al aplicar la configuración y ejecutar el siguiente comando en el shell de Citrix ADC:
root@ns# nsconmsg -s nsppeid=0 -s nspartid=1 -g mem_cur_usedsize -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51

reltime:mili second between two records Thu Feb 23 13:45:18 2017
 Index rtime totalcount-val delta rate/sec symbol-name&device-no
    0  22681     1597631     8965  5333     mem_cur_usedsize partition_ctx(p1) (PART-1)
<!--NeedCopy-->

En este experimento, alrededor de 9KB de memoria se utilizan en PPE-0 para el ID de partición 1. Cada partición configurada en Citrix ADC tiene un identificador único.

El siguiente comando permite medir la estimación de memoria para el sistema completo (incluyendo todos los motores de paquetes) para una partición dada.

root@ns# nsconmsg -s nspartid=1 -g mem_cur_used -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51

reltime:mili second between two records Thu Feb 23 13:44:27 2017
Index rtime totalcount-val delta rate/sec symbol-name&device-no
 0   7000    7881865       6403    5333    mem_cur_usedsize partition_ctx(p1) (PART-1)
<!--NeedCopy-->

Lista de capturas SNMP introducidas en Citrix ADC 12.0

Nombre de la captura Descripción
partitionCONNLimitExceeded El límite de conexión de la partición se ha agotado y las nuevas conexiones se están quitando
partitionCONNLimitNormal La partición ahora puede aceptar nuevas conexiones
partitionBWLimitExceeded El límite de BW de la partición está agotado y los paquetes se descartan
paritionBWThresholdReached Uso actual de BW >= 80%
partitionCONNThresholdReached Recuento de conexiones activas actuales >= 80%
partitionCONNThresholdNormal Número de conexión activa actual <= 60%
partitionMEMThresholdReached Uso actual de memoria de PE >= 80%
partitionMEMThresholdNormal Uso actual de memoria de PE <= 60%
partitionMEMLimitExceeded Uso actual de memoria de PE >= 95%

Referencias adicionales

Calculadora de ancho de banda de red cliente Exchange Beta

Cuánto ancho de banda necesito para ejecutar Microsoft Online Services

Diseño de referencia validado de las particiones de administrador de Citrix ADC