Diseño de referencia validado de las particiones de administrador de Citrix ADC
Descripción general de funciones
Las particiones de administración de Citrix ADC permiten la multiempresa a nivel de software en una sola instancia de Citrix ADC. Cada partición tiene su propio plano de control y plano de red.
Las principales ventajas de las particiones de administración son:
- Plano de control: Configuración y administración aisladas
- Plano de datos: Datos y archivos de partición clave estrictamente controlados dentro del límite de la partición
- Plano de red: El tráfico se aísla con su propia configuración de red. Dos particiones en el mismo dispositivo Citrix ADC no ven el mismo tráfico que pasa a través de cada partición
Este documento cubre en detalle los casos de uso típicos habilitados por las particiones de administración y las pautas para el uso de particiones de administración en el entorno del cliente.
Casos prácticos de particiones administrativas
Caso de uso empresarial para particiones de administración
Los administradores de Citrix ADC pueden particionar un dispositivo Citrix ADC en varios ADC y asignar las particiones a diferentes administradores de aplicaciones como Microsoft SharePoint y Microsoft Lync. Cada administrador/propietario de la aplicación puede realizar sus propios cambios de configuración.
Solapamiento de IP: La ventaja clave de la superposición de IP es que el mismo intervalo de IP se puede utilizar en diferentes particiones de administración sin ningún conflicto de IP. Para los servidores backend, puede usar el mismo conjunto de direcciones IP privadas. En un caso de superposición de direcciones IP, las VLAN no se pueden compartir.
Redirección virtual: La configuración de redirección es única para cada partición y cada propietario de partición puede configurar sus propios protocolos de redirección.
Aislamiento del espacio de nombres: los nombres de las entidades son únicos en las diferentes particiones, por lo que puede usar los mismos nombres en diferentes particiones de administración
Diagrama de referencia:
NIC única: Varias VLAN
Superposición de IP:
Caso práctico del proveedor de servicios para particiones de administración
Los proveedores de servicios pueden particionar un dispositivo Citrix ADC y asignarlo a clientes individuales según sus requisitos de ancho de banda y el número de conexiones simultáneas.
Los proveedores de servicios pueden desarrollar herramientas de organización mediante las API de NITRO para obtener información de sus clientes individuales sobre sus requisitos de ancho de banda y conexiones simultáneas, crear particiones y asignarlas a sus clientes.
A continuación se muestra un conjunto de aislamientos que ayudan a los proveedores de servicios:
Sistema de archivos: A cada partición se le asigna una parte de un sistema de archivos y los archivos almacenados en ese espacio de partición respectivo no son visibles para otras particiones. Los certificados o claves SSL se almacenan en esa partición y no son visibles para otros propietarios de particiones, lo que hace que cada partición sea segura.
VLAN compartida: En un proveedor de servicios típico con una implementación multiusuario, es posible que los clientes finales no tengan VLAN independientes para el tráfico entrante. La función VLAN compartida comparte la VLAN cuando no es posible tener una VLAN dedicada.
Etiquetado de VLAN: Se puede compartir una sola interfaz en varias particiones de administración y aislarla mediante una VLAN etiquetada. Para una VLAN sin etiqueta, utilice una VLAN compartida.
Solución de problemas y depuración: Los administradores pueden ver las estadísticas de tráfico de cada partición de forma independiente y separar los registros filtrándolos por el ID de la partición. La función trace garantiza la independencia de la partición, ya que el seguimiento iniciado desde una partición nunca verá los paquetes de otra partición.
Diagrama de referencia
Pautas para implementar particiones de administración
Las particiones de administración permiten compartir recursos, incluidos ancho de banda, memoria y conexiones simultáneas, y proporcionan aislamiento en la red, los datos y el plano de administración.
Partición de recursos
Los administradores de ADC necesitan los siguientes detalles para configurar la partición de administración:
- Conexiones: (cantidad de conexiones TCP)
- Memoria
- Requisitos de banda ancha
La cantidad de conexiones y los requisitos de ancho de banda dependen de la aplicación y del tráfico gestionado por la partición respectiva. El administrador de ADC, en consulta con el administrador de la aplicación, obtendrá las conexiones/ancho de banda para una partición.
Directrices de asignación de memoria
La cantidad de memoria asignada a una partición predeterminada debe ser como mínimo del 50% de la memoria total disponible por las siguientes razones:
- Proporcionar flexibilidad al cliente en el futuro para aumentar la memoria de otras particiones en caso de que se alcance el límite.
- La memoria caché integrada para todas las particiones se toma de la partición predeterminada.
La memoria total que puede consumir un PE es de 4 GB. Por lo tanto, se puede asignar un total de 2 GB a todas las particiones excepto la partición de administración
La memoria asignada a la partición de administración se utiliza para dos propósitos:
- Almacenamiento de objetos estáticos (configuración, claves SSL)
- Objetos dinámicos: según la lista de funciones habilitadas y el número de conexiones, la memoria asignada a los objetos dinámicos varía.
El administrador de ADC utiliza los requisitos de conexión y ancho de banda del propietario de la aplicación y las siguientes pautas para elaborar la estimación de la memoria.
Pautas para asignar memoria estática para la configuración
En la tabla 1 se enumeran las configuraciones más utilizadas y la memoria necesaria.
Tabla 1
| Tipo de configuración | Memoria asignada en KB por motor de paquetes |
|---|---|
| Agregar SNIP | 255 |
| Agregar servidor IPv4 | 0.384 |
| Agregar servicio | 5.253 |
| Agregar vServer con un servicio | 11.157 |
| vincular vlan a la partición | 0.116 |
| agregar ruta a la partición | 0.564 |
| add acl | 0.5 |
| agregar monitor | 4.34 |
| agregar grupos de servicios | 4.625 |
| vincular servidor a grupo de servicios | 5.817 |
| agregar acción cs | 4.532 |
| add cs policy | 2.548 |
| agregar cs vserver | 11.589 |
| enlazar la directiva cs a cs vServer | 7.348 |
Las configuraciones se replican en todos los PE, por lo que el requisito anterior debe multiplicarse por el número de PE.
Pautas para la memoria dinámica
Tabla 2
| Función | Requisito de memoria |
|---|---|
| Conexiones (Aplicable solo si la versión de Citrix ADC es 12.0 o superior) | 2,4 MB por 1 K conexiones |
| Sesiones persistentes | 600 KB por 1 K sesiones |
| Sesiones persistentes de GSLB | 6 MB por 1 K sesiones |
| SSL | 6 MB para 1000 conexiones/sesiones SSL en descarga SSL y 9 MB para 1000 conexiones/sesiones SSL en SSL de extremo |
| AAA: Depende de la cantidad de usuarios | Número de usuarios * 2 KB |
| Reescribir: Obtenga la longitud máxima que analizará la directiva de reescritura | Número de conexiones * Longitud máxima |
| Respondedor: obtenga la longitud máxima que analizará la directiva Respondedor | Número de conexiones * Longitud máxima |
| Almacenamiento en búfer TCP | 20% de las conexiones * tamaño del búfer TCP configurado |
Memoria dinámica = suma de la memoria calculada a partir de cada una de las filas anteriores de la tabla anterior.
Agregue un búfer del 10 al 20% a la memoria total calculada.
Los requisitos de memoria para algunas funciones como AppQoE no se proporcionan porque la memoria consumida de la memoria de partición es insignificante para estas funciones y el búfer de 10-20% es suficiente para manejarlas.
Memoria total = Memoria estática*Cantidad de PE + Memoria dinámica
Supongamos que llegamos a la conclusión de que la memoria necesaria es de 1 GB y el número de motores de paquetes es de 4. Luego, para esa partición en particular, la cantidad de memoria necesaria se deriva de la siguiente fórmula:
Configuración de memoria de partición de administración = (cantidad de memoria requerida/cantidad de motores de paquetes)
Memoria de partición de administración = 1 GB/4 = 250 MB
Comportamientos cuando se alcanza el límite de recursos
- Conexiones: Se eliminarán las nuevas conexiones
- Ancho de banda: Se eliminará el tráfico nuevo
- Memoria: Se descartará el tráfico nuevo
Puede configurar alertas SNMP que se activan si se agotan los recursos de la partición en particular. La lista de capturas de SNMP se proporciona en la sección Recursos adicionales.
Plano de red
VLAN: Configure y asigne diferentes VLAN a las particiones de administración para mantener el aislamiento a nivel de red.
Redirección: La configuración de redirección es única por partición.
El administrador de ADC, en consulta con el administrador de red (con información del administrador de la aplicación), define la VLAN y las configuraciones relacionadas con la redirección según la topología de la red.
Parámetros L3: pueden ser específicos de la partición. Algunos de los parámetros L3 son Drop DF Packets, ICMP err threshold, overridernat, etc., y la entrada debe provenir de la red o del administrador de ADC.
Plano de control: Experiencia de usuario
Las particiones de administración proporcionan aislamiento en diferentes niveles, lo que permite al usuario administrar de forma segura una instancia de ADC aislada.
Los diferentes niveles de aislamiento incluyen:
- Página UI — Configuración, estadísticas mostradas solo para la partición
- Diagnóstico: Aislamiento de rastros. El seguimiento no capturará el tráfico de otras particiones
- Alertas SNMP: Configuradas a nivel de partición
- Aislamiento a nivel de registro
El aislamiento a nivel de la interfaz de usuario se puede configurar mediante el siguiente método:
- En la partición correspondiente, habilite el acceso de administración para un SNIP y use ese SNIP para acceder a la GUI. Esto proporcionará aislamiento y visibilidad a nivel de la interfaz de usuario solo en esa partición.
Tabla 3
| Tipo de registro | Partición específica |
|---|---|
| Weblog | Sí |
| Paquete de soporte técnico | Sí |
| Registros de auditoría | No |
| /var/log | No |
Partición de administración para caso de uso empresarial
Esta sección describe un caso de uso de un cliente empresarial con cuatro aplicaciones que utilizan particiones de administración.
Requisitos del cliente
-
Necesita alojar 4 aplicaciones
-
Cada aplicación tiene su propio administrador y un conjunto diferente de requisitos de ADC. En la siguiente tabla se enumeran las aplicaciones y sus requisitos únicos.
Tabla 4
| Aplicación | Características | Requisito/Funciones |
|---|---|---|
| SharePoint | Uso compartido de archivos, audio, archivos, etc. | Almacenamiento en caché, compresión, autenticación, descarga SSL, perfiles SSL |
| Base de datos | Reglas SQL personalizadas, autenticación, división entre lectura y escritura para un mejor rendimiento | Conmutador de contenido, infraestructura de directivas para palabras clave relacionadas con SQL |
| Sitio web empresarial | Acceso público: Propenso a ataques, firewall de aplicaciones | Perfiles de DDoS, AppQoE, AppFW, SSL |
| Outlook | Integrado con AD, SSO, mejor rendimiento en HTTP | Autenticación, SSO, descarga de SSL |
De la tabla de requisitos anterior, queda claro que cada una de las aplicaciones necesita un conjunto diferente de configuraciones para aprovechar todos los beneficios de Citrix ADC. Se recomienda particionar el dispositivo Citrix ADC y asignar esas particiones a los respectivos propietarios de aplicaciones.
Estimación de ancho de banda y conexiones
Outlook y SharePoint
El ancho de banda para las aplicaciones de empresa como SharePoint, Exchange y Lync dependen de:
- Número de usuarios simultáneos
- Tipo de uso
- Exchange: Tamaño y número promedio de mensajes
- SharePoint: Tipo de archivos, proporción de lectura y escritura
El administrador de la aplicación calcula los requisitos de ancho de banda mediante los dos factores anteriores y proporciona la información al administrador de Citrix ADC para la configuración de la partición de administración.
Ejemplos:
Ancho de banda para Outlook 2010: tipos de usuarios (ligero, medio, pesado, etc.). Para usuarios medianos, envíe 10 correos electrónicos, reciba 40 correos electrónicos, tamaño promedio de mensaje 50 kb = 2,15 Kbps. Para 1000 usuarios, el ancho de banda requerido es de 2150 Kbps.
Ancho de banda para SharePoint: número de usuarios = 1000. Suponiendo que el 20% de los usuarios están activos en cualquier momento y que el tamaño medio de carga de la página es de 100 KB y que accede a unas 10 páginas durante un período de 1 hora:
= 100 KB * 200 * 10 por hora = 200 000 KB/h = 200 000*8 (8 bits por byte)/3600 (segundos)
= 444 Kbps
Conexiones por segundo = Número de usuarios activos * 10
MS SQL
Según la tasa de consultas y el tamaño de la respuesta, deduzca el ancho de banda y las conexiones.
Sitio web empresarial
Requisitos de ancho de banda: Tamaño medio de página * Número máximo de usuarios en cualquier momento * 2
Conexiones: número máximo de usuarios * número de conexiones por usuario
Ejemplo:
Ancho de banda: 4 KB10002 = 48 000 Kbps
Número máximo de usuarios = 1000 y número de conexiones por usuario = 10. Las conexiones = 10K
Si la mayoría de los usuarios son de HTTP/1.1, entonces el número de conexiones por usuario sería de 2 a 3, pero si la mezcla se inclina más hacia HTTP/1.0, entonces el número de conexiones sería de 10 a 15. El número del factor multiplicativo de conexiones por usuario varía de 3 a 15 dependiendo de la mezcla de tráfico/cliente.
La memoria que se va a configurar depende de:
- Lista de configuraciones en la partición de administración correspondiente: Memoria estática. Consulte la Tabla 1 para obtener más información.
- Memoria dinámica: Número de conexiones y tipo de conexiones (HTTP frente a SSL): Consulte la Tabla 2 para obtener más información.
- Cantidad de motores de paquetes. Memoria = (memoria estática+memoria dinámica)/(número de motores de paquetes)
Pasos para el administrador de ADC
- Recopilar el ancho de banda y las conexiones de cada aplicación
- Cree tres particiones para SharePoint, Database y Outlook respectivamente. Utilice el ancho de banda y las conexiones del paso anterior y asígnelo a la partición correspondiente. El sitio web empresarial se puede alojar en la partición predeterminada si el cliente necesita AppFW, ya que AppFW solo es compatible con las particiones predeterminadas.
- Cree usuarios para cada una de las particiones y comparta las credenciales.
-
Habilite el almacenamiento en caché integrado y configure la memoria caché. La memoria caché se toma de la memoria caché configurada en la partición predeterminada. Para obtener información detallada sobre la asignación, consulte la sección del apéndice de IC.
- Asigne memoria caché después de consultar con el administrador de ADC. Intente asignar entre el 30 y el 40% de la memoria caché total del sistema. Si el total asignado es de 10 GB, asigne entre 3 y 4 GB para la memoria caché en la partición de SharePoint.
- Los propietarios de las aplicaciones deben monitorizar inicialmente las estadísticas de almacenamiento en caché para comprobar el nivel de beneficios.
- Compruebe la proporción de aciertos de objetos de almacenamiento en caché y, si un gran número de objetos de caché tienen un impacto alto, aumente el tamaño de la memoria IC para esa partición en particular.
- Habilitar compresión
- SharePoint publicará archivos de diferentes tipos (Excel, PowerPoint, Word) y los mismos archivos, si se comprimen y se entregan a los clientes, reducirán el uso del ancho de banda.
Usuario base de datos
- Configure los servidores CS, VIP y backend.
- Utilice Content Switching para dividir las solicitudes de lectura/escritura y redirigirlas al conjunto de servidores correspondiente.
Sitio web empresarial
- Configure los servidores VIP y backend.
-
Habilite el almacenamiento en caché integrado.
- El sitio web de Enterprise se encuentra en la partición predeterminada, por lo que la memoria caché no utilizada de otras particiones está disponible para el sitio web de Enterprise. Por lo tanto, suponiendo que SharePoint y Outlook consuman un 35% cada uno, el total consumido sería del 70%, dejando el 30% restante a la partición predeterminada (sitio web empresarial). Si la memoria caché total es de 10 GB, la partición predeterminada tendría 3 GB de memoria caché.
- Los propietarios de las aplicaciones deben monitorizar inicialmente las estadísticas de almacenamiento en caché para comprobar el nivel de beneficios.
- Compruebe la proporción de aciertos de objetos de almacenamiento en caché y, si un gran número de objetos de caché tienen un impacto alto, aumente el tamaño de la memoria IC para esa partición en particular.
- Habilite la optimización del front-end.
- Habilita AppFW.
Caso de uso de particiones administrativas de proveedores
El proveedor de servicios aloja aplicaciones de Microsoft y proporciona las aplicaciones de IIS, SharePoint y MSSQL como un servicio. Por lo general, sus clientes tienen los siguientes requisitos:
Requisitos del cliente
-
Cliente 1: Accede al servidor de bases de datos y su división de lectura/escritura es de 90:10 y el cliente final quiere configurar filtros personalizados relacionados con SQL
-
Cliente 2: accede a la aplicación web a través de SSL y el cliente final quiere tener el control de sus certificados SSL
-
Cliente 3: Accede a SharePoint hospedado desde el proveedor de servicios
El proveedor de servicios aloja un portal para que sus clientes:
- Seleccione la aplicación que quiere alojar
- Requisitos de banda ancha
El proveedor de servicios aloja un portal para que sus clientes:
- Seleccione la aplicación que quiere alojar
- Requisitos de banda ancha
- Conexiones
Según la selección, el proveedor de servicios puede configurar las particiones adecuadas con configuraciones relacionadas con aplicaciones específicas en el back-end mediante las API de NITRO.
En función de la aplicación seleccionada por el cliente, elija la opción adecuada.
- Aplicación web con SSL
- Opción de certificado SSL para vincularse a VIP
- Redirección de HTTP a HTTPS
- Parámetros relacionados con el perfil SSL
- SQL
- Filtros relacionados con SQL que el cliente quiere configurar
- SharePoint
- Límite y reglas de memoria caché
- Directivas de compresión
El proveedor de servicios sigue una de las dos opciones para implementar los requisitos exactos después de la creación de las particiones de administración.
Opción de configuración 1:
El proveedor de servicios recopila las solicitudes del cliente y las ejecuta en la partición correspondiente.
Opción de configuración 2:
Automatice las particiones de administración mediante las API de NITRO. Las entradas se pueden recopilar desde el portal front-end y, en el back-end, las API de NITRO se pueden ejecutar para configurar las particiones.
Consideraciones sobre las funciones
Funciones admitidas: La partición de administración es compatible con la mayoría de las funciones y solo no es compatible con algunas funciones. Para obtener la lista exacta, consulte Citrix Docs y compruebe la versión de software en cuestión. Contendrá una tabla que enumera la matriz de compatibilidad.
Limitaciones de configuración Las particiones de administración no se admiten en:
-
Agrupar en clústeres
-
Dispositivo MPX-FIPS
Conclusión
El beneficio clave de las particiones de administración es permitir la separación del ADC a nivel de software y proporcionar una experiencia de usuario segura y aislada a cada propietario de la partición.
Recursos adicionales
Herramientas para solucionar problemas
Problemas comunes en la partición de administración:
Partición de administración en VPX en ESX:
-
No se puede acceder a la partición no predeterminada cuando se configura una dirección MAC personalizada.
-
Solución: El modo promiscuo debe estar habilitado en ESX para que funcione la partición no predeterminada.
Fallo de configuración:
-
Es posible que la configuración no arroje el error Los archivos de entrada no están presentes.
-
Se debe usar la ruta relativa y no la ruta absoluta.
Configuración de VLAN:
- La VLAN de partición de administración admite VLAN etiquetada, por lo que cuando se etiqueta la VLAN, el conmutador al que está conectada la interfaz de Citrix ADC debe configurarse con la VLAN adecuada. Para VLAN sin etiqueta, utilice la configuración de VLAN compartida
Asignación de memoria caché integrada
Para configurar el almacenamiento en caché integrado (IC) en un dispositivo Citrix ADC particionado, después de definir la memoria IC en la partición predeterminada, el superusuario puede configurar la memoria IC en cada partición de administrador de modo que la memoria IC total asignada a todas las particiones de administrador no supere la memoria IC definida en la partición predeterminada. La memoria que no está configurada para las particiones admin permanece disponible para la partición predeterminada.
Por ejemplo, si un dispositivo Citrix ADC con dos particiones de administración tiene 10 GB de memoria IC asignados a la partición predeterminada, y la asignación de memoria IC para las dos particiones de administración es la siguiente:
-
Partición1: 4 GB
-
Partición2: 3 GB
Luego, la partición predeterminada tiene 10 - (4 + 3) = 3 GB de memoria IC disponible para su uso.
Nota:
Si las particiones de administrador utilizan toda la memoria IC, no hay memoria IC disponible para la partición predeterminada.
Comandos para comprobar el uso de memoria
- La memoria del sistema Stat dentro de la partición mostrará la asignación de memoria agregada a nivel del sistema para la partición y el nombre de la partición stat mostrará el porcentaje de memoria utilizada dentro de la partición.
>add partition p1
Done
>switch partition p1
Done
p1> stat system memory
done
Citrix ADC Memory Information:
Maximum Memory Available (MB): 50
Memory Currently Available (MB): 50
Memory Allocated (MB) 7
Memory Allocated (%) 14.95
InUse Memory (MB) 7
InUse Memory (%) 14.95
Free Memory (MB) 42
>stat partition p1
Partition(s) Summary
MinBW MaxBW MaxConn MaxMem
p1 10240 10240 1024 10
Partition Stats:
Rates (/s) Total
Current Bandwidth -- 0
Current Connections -- 0
Memory Usage (%) -- 14
Total Packet Drops 0 7
Total Drops (KB) 0 0
Total Connection Drops 0 0
<!--NeedCopy-->
- Memoria de configuración: dado que cada configuración se replica en cada motor de paquetes, la memoria se asigna dentro de cada motor de paquetes. Por ejemplo, si el comando “add lb vserver” toma alrededor de 10 KB en Peach Packet Engine y creamos una partición de 10 MB en un sistema de 5 — Packet Engine, entonces en total consume 50 KB de memoria de partición.
- El valor preciso de los requisitos de memoria para una configuración específica se puede medir al aplicar la configuración y ejecutar el siguiente comando en el shell Citrix ADC:
root@ns# nsconmsg -s nsppeid=0 -s nspartid=1 -g mem_cur_usedsize -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51
reltime:mili second between two records Thu Feb 23 13:45:18 2017
Index rtime totalcount-val delta rate/sec symbol-name&device-no
0 22681 1597631 8965 5333 mem_cur_usedsize partition_ctx(p1) (PART-1)
<!--NeedCopy-->
En este experimento, se utilizan alrededor de 9 KB de memoria en PPE-0 para el ID de partición 1. Cada partición configurada en Citrix ADC tiene un identificador único.
El siguiente comando permite medir la estimación de memoria para un sistema completo (incluidos todos los motores de paquetes) para una partición determinada.
root@ns# nsconmsg -s nspartid=1 -g mem_cur_used -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51
reltime:mili second between two records Thu Feb 23 13:44:27 2017
Index rtime totalcount-val delta rate/sec symbol-name&device-no
0 7000 7881865 6403 5333 mem_cur_usedsize partition_ctx(p1) (PART-1)
<!--NeedCopy-->
Lista de trampas SNMP introducidas en Citrix ADC 12.0
| Nombre de la captura | Descripción |
|---|---|
| partitionCONNLimitExceeded | El límite de conexión de la partición se ha agotado y se están interrumpiendo nuevas conexiones |
| partitionCONNLimitNormal | La partición ahora puede aceptar nuevas conexiones |
| partitionBWLimitExceeded | El límite de BW de la partición está agotado y los paquetes se descartan |
| ParítionBWThresholdreached | Uso actual de BW >= 80% |
| partitionCONNThresholdReached | Recuento de conexiones activas actuales >= 80% |
| paritionCONNThresholdNormal | Número de conexión activa actual <= 60% |
| partitionMEMThresholdReached | Uso actual de memoria de PE >= 80% |
| partitionMEMThresholdNormal | Uso actual de memoria de PE <= 60% |
| partitionMEMLimitExceeded | Uso actual de memoria de PE >= 95% |
Referencias adicionales
Versión beta de la calculadora de ancho de banda
¿Cuánto ancho de banda necesito para ejecutar los Servicios en línea de Microsoft?