ADC

Lier des stratégies à l’aide d’une stratégie avancée

Après avoir défini une stratégie, vous indiquez quand la stratégie doit être activée en liant la stratégie à un point de liaison. Spécifiez ensuite un niveau de priorité.

Liez une stratégie à un seul point de liaison. Un point de liaison peut être global. Le point de liaison global s’applique aux serveurs virtuels configurés. Ou bien, un point de liaison peut être spécifique à un serveur virtuel particulier, soit un serveur virtuel d’équilibrage de charge ou de changement de contenu. Tous les points de liaison ne sont pas disponibles pour toutes les entités.

L’ordre dans lequel les stratégies sont évaluées détermine l’ordre dans lequel les stratégies sont appliquées. Les fonctionnalités évaluent généralement différentes banques de politiques dans un ordre particulier.

Parfois, d’autres fonctionnalités peuvent influer sur l’ordre d’évaluation au sein d’une banque de stratégies. L’ordre d’évaluation dépend des valeurs des paramètres configurés dans les stratégies. La plupart des fonctionnalités appliquent des actions associées à des stratégies dont l’évaluation donne lieu à une correspondance avec les données en cours de traitement. La fonction de mise en cache intégrée est une exception.

Différences spécifiques aux fonctionnalités dans les liaisons de stratégie

Vous pouvez lier des stratégies à des points de liaison globaux intégrés (ou des banques), à des serveurs virtuels ou à des étiquettes de stratégie.

Toutefois, les fonctionnalités de NetScaler diffèrent selon les types de liaisons disponibles. Le tableau suivant résume la façon dont vous utilisez les liaisons de stratégies dans diverses fonctionnalités de NetScaler qui utilisent des politiques.

Nom de la fonctionnalité Serveurs virtuels configurés dans la fonctionnalité Stratégies configurées dans la fonctionnalité Points de liaison configurés pour les stratégies Utilisation des stratégies dans la fonctionnalité
DNS aucun Stratégies DNS Global Pour déterminer comment effectuer une résolution DNS pour les requêtes.
Changement de contenu (Remarque : cette fonctionnalité peut prendre en charge les stratégies avancées, mais pas les deux.) Commutation de contenu (CS) Stratégies de changement de contenu Serveur virtuel de commutation de contenu ou de redirection de cache ; étiquette de stratégie Pour déterminer quel serveur ou groupe de serveurs est responsable du traitement des réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé.
Mise en cache intégrée aucun Stratégies de mise en cache Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Déterminer si les réponses HTTP peuvent être stockées et servies à partir du cache intégré de l’appliance NetScaler.
Répondeur aucun Politiques de répondeur Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Pour configurer le comportement de la fonction Responder.
Réécriture aucun Stratégies de réécriture Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Pour identifier les données HTTP que vous souhaitez modifier avant de les transmettre. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier les données HTTP pour rediriger une demande vers un serveur sélectionné. Cette modification est basée sur l’adresse de la demande entrante. Ou, pour masquer les informations du serveur dans une réponse à des fins de sécurité.
Fonction Transformation d’URL dans la fonction Réécriture aucun Politiques de transformation Remplacer globalement, Valeur par défaut globale, Étiquette de stratégie Pour identifier les URL dans les transactions HTTP et les fichiers texte lors de l’évaluation de la modification d’une URL.
NetScaler Gateway (fonctions VPN sans client uniquement) serveur VPN Politiques d’accès sans client VPN Global, serveur VPN Pour déterminer comment fonctionne NetScaler Gateway : authentification, autorisation, audit et autres fonctions, et pour définir des règles de réécriture pour l’accès Web général à l’aide de NetScaler Gateway.

Lier les points et l’ordre d’évaluation

Pour qu’une stratégie prenne effet, vous devez confirmer que la stratégie est activée à un moment donné pendant le traitement. Pour ce faire, vous associez la stratégie à un point de liaison. L’ensemble des stratégies liées à un point de liaison est connu sous le nom de banque de stratégies.

Voici les points de liaison que NetScaler évalue, répertoriés dans l’ordre d’évaluation typique d’une banque de politiques.

  1. Remplacer le moment de la demande. Lorsqu’une demande passe par une fonctionnalité, NetScaler évalue d’abord les politiques de dérogation au moment de la demande pour la fonctionnalité.
  2. Serveur virtuel d’équilibrage de charge au moment de la demande. Si l’évaluation des politiques est incomplète après l’évaluation de la politique de dérogation au moment de la demande, NetScaler traite les politiques de délai de demande pour les serveurs virtuels d’équilibrage de charge.
  3. Serveur virtuel de commutation de contenu au moment de la demande. Si l’évaluation des politiques est incomplète après l’évaluation des politiques de temps de demande pour les serveurs virtuels d’équilibrage de charge, NetScaler traite les politiques de temps de demande pour les serveurs virtuels de commutation de contenu.
  4. Valeur par défaut au moment de la demande. Si l’évaluation des politiques ne peut pas être terminée après tout le temps de demande, les politiques spécifiques au serveur virtuel ont été évaluées, NetScaler traite les politiques avancées au moment de la demande.
  5. Remplacer le temps de réponse. Au moment de la réponse, NetScaler commence par des politiques liées au point de rupture du temps de réponse.
  6. Serveur virtuel d’équilibrage de charge du temps de réponse. Si l’évaluation des politiques ne peut pas être terminée une fois que toutes les politiques de remplacement du temps de réponse ont été évaluées, NetScaler traite les politiques de temps de réponse pour les serveurs virtuels d’équilibrage de charge.
  7. Serveur virtuel de commutation de contenu en temps de réponse. Si une évaluation des politiques est incomplète après l’évaluation des politiques pour les serveurs virtuels d’équilibrage de charge, NetScaler traite les politiques de temps de réponse pour les serveurs virtuels de commutation de contenu.
  8. Défaut du temps de réponse. Si l’évaluation des politiques ne peut pas être terminée une fois que tous les temps de réponse spécifiques au serveur virtuel ont été évalués, NetScaler traite les politiques avancées en matière de temps de réponse.

Évaluation des stratégies pour toutes les fonctionnalités

Si une stratégie est liée à un serveur virtuel de changement de contenu. En plus de l’évaluation de la stratégie au sein d’une fonctionnalité. Les stratégies sont évaluées avant d’autres stratégies.

La liaison d’une politique à un serveur virtuel de commutation de contenu produit un résultat différent dans les versions 9.0.x et ultérieures de NetScaler que dans les versions 8.x. Dans NetScaler 9.0 et versions ultérieures, l’évaluation se déroule comme suit :

  • Les stratégies de changement de contenu sont évaluées avant les autres stratégies. Si une stratégie de commutation de contenu est évaluée à TRUE, le serveur virtuel d’équilibrage de charge cible est sélectionné.
  • Si toutes les stratégies de changement de contenu ont la valeur FALSE, le serveur virtuel d’équilibrage de charge par défaut sous la VIP de commutation de contenu est sélectionné.

Une fois qu’un serveur virtuel d’équilibrage de charge cible est sélectionné par le processus de changement de contenu, les stratégies sont évaluées dans l’ordre suivant :

  1. Les stratégies qui sont liées au point de liaison de remplacement global.
  2. Stratégies liées au serveur virtuel d’équilibrage de charge par défaut.
  3. Stratégies liées au serveur virtuel de commutation de contenu cible.
  4. Stratégies liées au point de liaison global par défaut.

Pour vous assurer que les stratégies sont évaluées dans l’ordre prévu, suivez ces instructions :

  • Assurez-vous que le vserver d’équilibrage de charge par défaut n’est pas directement accessible depuis l’extérieur. Par exemple, l’adresse IP du vserver peut être 0.0.0.0.
  • Pour éviter d’exposer des données internes sur le serveur virtuel par défaut d’équilibrage de charge, configurez une stratégie pour qu’elle réponde avec l’état « 503 Service indisponible » et liez-la au serveur virtuel d’équilibrage de charge par défaut.

Saisies dans une banque de polices

Chaque entrée d’une banque de polices comporte, au minimum, une stratégie et un niveau de priorité. Vous pouvez également configurer des entrées qui modifient l’ordre d’évaluation basé sur la priorité, et vous pouvez configurer des entrées qui appellent des banques de stratégies externes.

Le tableau suivant récapitule chaque entrée d’une banque de stratégies.

Nom de la stratégie Priority Aller à Expression Type d’appel Banque de stratégies à invoquer
Le nom de la stratégie, ou une stratégie « factice » nommée NOPOLICY. L’entrée NOPOLICY contrôle le flux d’évaluation sans traiter de règle. Un entier. Facultatif. Identifie la prochaine stratégie de la banque à évaluer ou met fin à toute évaluation ultérieure Facultatif. Indique qu’une banque de stratégies externe sera appelée. Ce champ limite les choix à une étiquette de stratégie globale ou à un serveur virtuel. Facultatif. Utilisé avec le type d’appel. Il s’agit de l’étiquette d’une banque de stratégies ou d’un nom de serveur virtuel. Le NetScaler retourne à la banque actuelle après avoir traité la banque externe.

Si la politique est évaluée à TRUE, NetScaler enregistre l’action associée à la politique. Si la politique est évaluée à FALSE, NetScaler évalue la politique suivante. Si la politique n’est ni VRAIE ni FALSE, NetScaler utilise l’action Undef (non définie) associée.

Ordre d’évaluation au sein d’une banque de polices

Dans une banque de stratégies, l’ordre d’évaluation dépend des éléments suivants :

  • Une priorité.

    La quantité minimale d’informations sur l’ordre d’évaluation est un niveau de priorité numérique. Plus le nombre est bas, plus la priorité est élevée.

  • Une expression Goto.

    Si elle est fournie, l’expression Goto indique la prochaine stratégie à évaluer, généralement dans la même banque de stratégies. Les expressions Goto ne peuvent avancer que dans une banque. Pour éviter le bouclage, une configuration de banque de stratégie n’est pas valide si un relevé Goto pointe vers l’arrière dans la banque.

  • Invocation d’autres banques de politiques.

    N’importe quelle entrée peut appeler une banque de stratégies externe. NetScaler fournit une entité intégrée nommée NOPOLICY qui ne possède pas de règle. Vous pouvez ajouter une entrée NOPOLICY dans une banque de stratégies lorsque vous souhaitez appeler une autre banque de stratégies, mais que vous ne souhaitez pas traiter d’autres règles avant l’appel. Vous pouvez avoir plusieurs entrées NOPOLICY dans plusieurs banques de stratégies.

Les valeurs d’une expression Goto sont les suivantes :

  • SUIVANT.

    Ce mot-clé sélectionne la stratégie avec le niveau de priorité supérieur suivant dans la banque de stratégies actuelle. Les stratégies sont évaluées par ordre de priorité allant de la priorité numérotée inférieure à la priorité numérotée supérieure.

  • Un entier.

    Si vous fournissez un nombre entier, il doit correspondre au niveau de priorité d’une autre stratégie de la banque de stratégies actuelle.

  • FIN.

    Ce mot clé interrompt l’évaluation après le traitement de la stratégie actuelle, et aucune stratégie supplémentaire de cette banque n’est traitée.

  • Blank.

    Si l’expression Goto est vide, cela revient à spécifier END.

  • Une expression numérique.

    Il s’agit d’une expression de stratégie avancée qui se résout en un numéro de priorité pour une autre stratégie de la banque actuelle.

  • USE_INVOCATION_RESULT.

    Cette expression ne peut être utilisée que si vous invoquez une banque de stratégies externe. La saisie de cette phrase amène NetScaler à effectuer l’une des actions suivantes :

    • Si le dernier Goto de la banque de stratégies invoquée a la valeur END ou est vide, le résultat de l’appel est END et l’évaluation s’arrête.
    • Si l’expression Goto finale dans la banque de règles invoquée est autre que END, NetScaler exécute une commande NEXT.

Le tableau suivant illustre une banque de stratégies qui utilise des relevés Goto et des appels de banque de stratégies.

Nom de la stratégie Priority Goto Invocation Banque de stratégies à invoquer
ClientCertificatePolicy (règle : la demande contient-elle un certificat client ?) 100 300 Aucun Aucun
SubnetPolicy (règle : le client provient-il d’un sous-réseau privé ?) 200 SUIVANT Aucun Aucun
NOPOLICY 300 USE INVOCATION RESULT Demander un vserver My_Request_VServer
NOPOLICY 350 USE INVOCATION RESULT Policy Label My_Policy_Label
WorkingHourspolicy (règle : s’agit-il d’heures de travail ?) 400 END Aucun Aucun

Tableau 3. Exemple d’une banque de politiques qui utilise des Gotos et des appels de banque externes

Comment se termine l’évaluation des politiques

L’évaluation d’une banque de politiques prend fin lorsque l’un des éléments suivants a lieu :

  • Une stratégie est évaluée à TRUE et sa valeur d’instruction Goto est END.

    Aucune autre stratégie ou banque de stratégies de cette fonctionnalité n’est évaluée.

  • Une banque de stratégies externe est appelée, son évaluation renvoie un END et l’instruction Goto utilise la valeur USE_INVOCATION_RESULT ou END.

    L’évaluation se poursuit avec la prochaine banque de stratégies pour cette fonctionnalité. Par exemple, si la banque actuelle est la banque de remplacement du temps de demande, NetScaler évalue ensuite les banques de politiques de délai de demande pour les serveurs virtuels.

  • NetScaler a parcouru toutes les banques de politiques de cette fonctionnalité, mais n’a rencontré aucun END.

    S’il s’agit de la dernière entrée à être évaluée dans cette banque de règles, NetScaler passe à la fonctionnalité suivante.

Comment les fonctionnalités utilisent les actions après l’évaluation des stratégies

Après avoir évalué toutes les politiques pertinentes pour un point de données particulier (par exemple, une requête HTTP), NetScaler stocke toutes les actions associées à toute politique correspondant aux données.

Pour la plupart des fonctionnalités, toutes les actions issues des politiques correspondantes sont appliquées à un paquet de trafic lorsqu’il quitte NetScaler. La fonctionnalité de mise en cache intégrée n’applique qu’une seule action : CACHE ou NOCACHE. Cette action est associée à la stratégie ayant la valeur de priorité la plus faible dans la banque de stratégies « priorité la plus élevée » (par exemple, les stratégies de remplacement au moment de la requête sont appliquées avant les stratégies spécifiques au serveur virtuel).