Citrix ADC

Lier des stratégies à l’aide d’une stratégie avancée

Après avoir défini une stratégie, vous indiquez quand la stratégie doit être activée en liant la stratégie à un point de liaison. Spécifiez ensuite un niveau de priorité.

Liez une stratégie à un seul point de liaison. Un point de liaison peut être global. Le point de liaison global s’applique aux serveurs virtuels configurés. Ou bien, un point de liaison peut être spécifique à un serveur virtuel particulier, soit un serveur virtuel d’équilibrage de charge ou de changement de contenu. Tous les points de liaison ne sont pas disponibles pour toutes les entités.

L’ordre dans lequel les stratégies sont évaluées détermine l’ordre dans lequel les stratégies sont appliquées. Les fonctionnalités évaluent généralement différentes banques de politiques dans un ordre particulier.

Parfois, d’autres fonctionnalités peuvent influer sur l’ordre d’évaluation au sein d’une banque de stratégies. L’ordre d’évaluation dépend des valeurs des paramètres configurés dans les stratégies. La plupart des fonctionnalités appliquent des actions associées à des stratégies dont l’évaluation donne lieu à une correspondance avec les données en cours de traitement. La fonction de mise en cache intégrée est une exception.

Différences spécifiques aux fonctionnalités dans les liaisons de stratégie

Vous pouvez lier des stratégies à des points de liaison globaux intégrés (ou des banques), à des serveurs virtuels ou à des étiquettes de stratégie.

Toutefois, les fonctionnalités Citrix ADC diffèrent en fonction des types de liaisons disponibles. Le tableau suivant récapitule la façon dont vous utilisez les liaisons de stratégie dans diverses fonctionnalités Citrix ADC qui utilisent des stratégies.

Nom de la fonctionnalité Serveurs virtuels configurés dans la fonctionnalité Stratégies configurées dans la fonctionnalité Points de liaison configurés pour les stratégies Utilisation des stratégies dans la fonctionnalité
DNS aucun Stratégies DNS Global Pour déterminer comment effectuer une résolution DNS pour les requêtes.
Changement de contenu (Remarque : cette fonctionnalité peut prendre en charge les stratégies avancées, mais pas les deux.) Commutation de contenu (CS) Stratégies de changement de contenu Serveur virtuel de commutation de contenu ou de redirection de cache ; étiquette de stratégie Pour déterminer quel serveur ou groupe de serveurs est responsable du traitement des réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé.
Mise en cache intégrée aucun Stratégies de mise en cache Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Pour déterminer si les réponses HTTP peuvent être stockées et diffusées à partir du cache intégré de l’appliance Citrix ADC.
Répondeur aucun Politiques de répondeur Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Pour configurer le comportement de la fonction Responder.
Réécrire aucun Stratégies de réécriture Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL Pour identifier les données HTTP que vous souhaitez modifier avant de les transmettre. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier les données HTTP pour rediriger une demande vers un serveur sélectionné. Cette modification est basée sur l’adresse de la demande entrante. Ou, pour masquer les informations du serveur dans une réponse à des fins de sécurité.
Fonction Transformation d’URL dans la fonction Réécriture aucun Politiques de transformation Remplacer globalement, Valeur par défaut globale, Étiquette de stratégie Pour identifier les URL dans les transactions HTTP et les fichiers texte lors de l’évaluation de la modification d’une URL.
Citrix Gateway (fonctions VPN sans client uniquement) serveur VPN Politiques d’accès sans client VPN Global, serveur VPN Pour déterminer le fonctionnement de Citrix Gateway : authentification, autorisation, audit et autres fonctions, et pour définir des règles de réécriture pour l’accès Web général à l’aide de Citrix Gateway.

Lier les points et l’ordre d’évaluation

Pour qu’une stratégie prenne effet, vous devez confirmer que la stratégie est activée à un moment donné pendant le traitement. Pour ce faire, vous associez la stratégie à un point de liaison. L’ensemble des stratégies liées à un point de liaison est connu sous le nom de banque de stratégies.

Voici les points de liaison évalués par Citrix ADC, répertoriés dans l’ordre d’évaluation typique d’une banque de stratégies.

  1. Remplacer le moment de la demande. Lorsqu’une demande passe par une fonctionnalité, Citrix ADC évalue d’abord les stratégies de remplacement au moment de la demande pour cette fonctionnalité.
  2. Serveur virtuel d’équilibrage de charge au moment de la demande. Si l’évaluation de stratégie est incomplète après l’évaluation de la stratégie de remplacement au moment de la demande, Citrix ADC traite les stratégies de temps de demande pour les serveurs virtuels d’équilibrage de charge.
  3. Serveur virtuel de commutation de contenu au moment de la demande. Si l’évaluation des stratégies est incomplète après les stratégies de demande pour l’évaluation des serveurs virtuels d’équilibrage de charge, Citrix ADC traite les stratégies de temps de demande pour les serveurs virtuels de commutation de contenu.
  4. Valeur par défaut au moment de la demande. Si l’évaluation des stratégies ne peut pas être effectuée après que toutes les stratégies spécifiques au serveur virtuel au moment de la demande ont été évaluées, Citrix ADC traite les stratégies avancées au moment de la demande.
  5. Remplacer le temps de réponse. Au moment de la réponse, Citrix ADC commence par des stratégies qui sont liées au point de liaison de remplacement du temps de réponse.
  6. Serveur virtuel d’équilibrage de charge du temps de réponse. Si l’évaluation des stratégies ne peut pas être effectuée après que toutes les stratégies de remplacement de temps de réponse ont été évaluées, Citrix ADC traite les stratégies de temps de réponse pour les serveurs virtuels d’équilibrage de charge.
  7. Serveur virtuel de commutation de contenu en temps de réponse. Si une évaluation de stratégie est incomplète après l’évaluation de la stratégie pour les serveurs virtuels d’équilibrage de charge, Citrix ADC traite les stratégies de temps de réponse des serveurs virtuels de commutation de contenu.
  8. Défaut du temps de réponse. Si l’évaluation des stratégies ne peut pas être effectuée après que toutes les stratégies spécifiques au serveur virtuel et au temps de réponse ont été évaluées, Citrix ADC traite les stratégies avancées de temps de réponse.

Évaluation des stratégies pour toutes les fonctionnalités

Si une stratégie est liée à un serveur virtuel de changement de contenu. En plus de l’évaluation de la stratégie au sein d’une fonctionnalité. Les stratégies sont évaluées avant d’autres stratégies.

La liaison d’une stratégie à un serveur de commutation de contenu produit un résultat différent dans les versions 9.0.x et ultérieures de Citrix ADC que dans les versions 8.x. Dans Citrix ADC 9.0 et versions ultérieures, l’évaluation se déroule comme suit :

  • Les stratégies de changement de contenu sont évaluées avant les autres stratégies. Si une stratégie de commutation de contenu est évaluée à TRUE, le serveur virtuel d’équilibrage de charge cible est sélectionné.
  • Si toutes les stratégies de changement de contenu ont la valeur FALSE, le serveur virtuel d’équilibrage de charge par défaut sous la VIP de commutation de contenu est sélectionné.

Une fois qu’un serveur virtuel d’équilibrage de charge cible est sélectionné par le processus de changement de contenu, les stratégies sont évaluées dans l’ordre suivant :

  1. Les stratégies qui sont liées au point de liaison de remplacement global.
  2. Stratégies liées au serveur virtuel d’équilibrage de charge par défaut.
  3. Stratégies liées au serveur virtuel de commutation de contenu cible.
  4. Stratégies liées au point de liaison global par défaut.

Pour vous assurer que les stratégies sont évaluées dans l’ordre prévu, suivez ces instructions :

  • Assurez-vous que le vserver d’équilibrage de charge par défaut n’est pas directement accessible depuis l’extérieur. Par exemple, l’adresse IP du vserver peut être 0.0.0.0.
  • Pour éviter d’exposer des données internes sur le serveur virtuel par défaut d’équilibrage de charge, configurez une stratégie pour qu’elle réponde avec l’état « 503 Service indisponible » et liez-la au serveur virtuel d’équilibrage de charge par défaut.

Saisies dans une banque de polices

Chaque entrée d’une banque de polices comporte, au minimum, une stratégie et un niveau de priorité. Vous pouvez également configurer des entrées qui modifient l’ordre d’évaluation basé sur la priorité, et vous pouvez configurer des entrées qui appellent des banques de stratégies externes.

Le tableau suivant récapitule chaque entrée d’une banque de stratégies.

Nom de la stratégie Priority Aller à Expression Type d’appel Banque de stratégies à invoquer
Le nom de la stratégie, ou une stratégie « factice » nommée NOPOLICY. L’entrée NOPOLICY contrôle le flux d’évaluation sans traiter de règle. Un entier. Facultatif. Identifie la prochaine stratégie de la banque à évaluer ou met fin à toute évaluation ultérieure Facultatif. Indique qu’une banque de stratégies externe sera appelée. Ce champ limite les choix à une étiquette de stratégie globale ou à un serveur virtuel. Facultatif. Utilisé avec le type d’appel. Il s’agit de l’étiquette d’une banque de stratégies ou d’un nom de serveur virtuel. Le Citrix ADC revient à la banque actuelle après avoir traité la banque externe.

Si la stratégie est évaluée à TRUE, Citrix ADC stocke l’action associée à la stratégie. Si la stratégie est évaluée à FALSE, Citrix ADC évalue la stratégie suivante. Si la stratégie n’est ni VRAI ni FAUX, Citrix ADC utilise l’action Undef (undefined) associée.

Ordre d’évaluation au sein d’une banque de polices

Dans une banque de stratégies, l’ordre d’évaluation dépend des éléments suivants :

  • Une priorité.

    La quantité minimale d’informations sur l’ordre d’évaluation est un niveau de priorité numérique. Plus le nombre est bas, plus la priorité est élevée.

  • Une expression Goto.

    Si elle est fournie, l’expression Goto indique la prochaine stratégie à évaluer, généralement dans la même banque de stratégies. Les expressions Goto ne peuvent avancer que dans une banque. Pour éviter le bouclage, une configuration de banque de stratégie n’est pas valide si un relevé Goto pointe vers l’arrière dans la banque.

  • Invocation d’autres banques de politiques.

    N’importe quelle entrée peut appeler une banque de stratégies externe. Citrix ADC fournit une entité intégrée nommée NOPOLICY qui n’a pas de règle. Vous pouvez ajouter une entrée NOPOLICY dans une banque de stratégies lorsque vous souhaitez appeler une autre banque de stratégies, mais que vous ne souhaitez pas traiter d’autres règles avant l’appel. Vous pouvez avoir plusieurs entrées NOPOLICY dans plusieurs banques de stratégies.

Les valeurs d’une expression Goto sont les suivantes :

  • SUIVANT.

    Ce mot-clé sélectionne la stratégie avec le niveau de priorité supérieur suivant dans la banque de stratégies actuelle. Les stratégies sont évaluées par ordre de priorité allant de la priorité numérotée inférieure à la priorité numérotée supérieure.

  • Un entier.

    Si vous fournissez un nombre entier, il doit correspondre au niveau de priorité d’une autre stratégie de la banque de stratégies actuelle.

  • FIN.

    Ce mot clé interrompt l’évaluation après le traitement de la stratégie actuelle, et aucune stratégie supplémentaire de cette banque n’est traitée.

  • Blank.

    Si l’expression Goto est vide, cela revient à spécifier END.

  • Une expression numérique.

    Il s’agit d’une expression de stratégie avancée qui se résout en un numéro de priorité pour une autre stratégie de la banque actuelle.

  • USE_INVOCATION_RESULT.

    Cette expression ne peut être utilisée que si vous invoquez une banque de stratégies externe. La saisie de cette phrase entraîne l’exécution par Citrix ADC de l’une des actions suivantes :

    • Si le dernier Goto de la banque de stratégies invoquée a la valeur END ou est vide, le résultat de l’appel est END et l’évaluation s’arrête.
    • Si l’expression Goto finale de la banque de stratégies invoquée est autre que END, Citrix ADC exécute un NEXT.

Le tableau suivant illustre une banque de stratégies qui utilise des relevés Goto et des appels de banque de stratégies.

Nom de la stratégie Priority Goto Invocation Banque de stratégies à invoquer
ClientCertificatePolicy (règle : la demande contient-elle un certificat client ?) 100 300 Aucun Aucun
SubnetPolicy (règle : le client provient-il d’un sous-réseau privé ?) 200 SUIVANT Aucun Aucun
NOPOLICY 300 USE INVOCATION RESULT Demander un vserver My_Request_VServer
NOPOLICY 350 USE INVOCATION RESULT Policy Label My_Policy_Label
WorkingHourspolicy (règle : s’agit-il d’heures de travail ?) 400 END Aucun Aucun

Tableau 3. Exemple d’une banque de politiques qui utilise des Gotos et des appels de banque externes

Comment se termine l’évaluation des politiques

L’évaluation d’une banque de politiques prend fin lorsque l’un des éléments suivants a lieu :

  • Une stratégie est évaluée à TRUE et sa valeur d’instruction Goto est END.

    Aucune autre stratégie ou banque de stratégies de cette fonctionnalité n’est évaluée.

  • Une banque de stratégies externe est appelée, son évaluation renvoie un END et l’instruction Goto utilise la valeur USE_INVOCATION_RESULT ou END.

    L’évaluation se poursuit avec la prochaine banque de stratégies pour cette fonctionnalité. Par exemple, si la banque actuelle est la banque de remplacement au moment de la demande, Citrix ADC évalue ensuite les banques de stratégies de temps de demande pour les serveurs virtuels.

  • Citrix ADC a parcouru toutes les banques de stratégies de cette fonctionnalité, mais n’a pas rencontré de fin.

    S’il s’agit de la dernière entrée évaluée dans cette banque de stratégies, Citrix ADC passe à la fonctionnalité suivante.

Comment les fonctionnalités utilisent les actions après l’évaluation des stratégies

Après avoir évalué toutes les stratégies pertinentes pour un point de données particulier (par exemple, une requête HTTP), Citrix ADC stocke toutes les actions associées à une stratégie correspondant aux données.

Pour la plupart des fonctionnalités, toutes les actions des stratégies correspondantes sont appliquées à un paquet de trafic lorsqu’il quitte Citrix ADC. La fonctionnalité de mise en cache intégrée n’applique qu’une seule action : CACHE ou NOCACHE. Cette action est associée à la stratégie ayant la valeur de priorité la plus faible dans la banque de stratégies « priorité la plus élevée » (par exemple, les stratégies de remplacement au moment de la requête sont appliquées avant les stratégies spécifiques au serveur virtuel).