Citrix ADC管理パーティション検証済みリファレンスデザイン
機能の概要
Citrix ADC管理パーティションは、単一のCitrix ADCインスタンスでソフトウェアレベルでマルチテナント機能を有効にします。各パーティションには、独自のコントロールプレーンとネットワークプレーンがあります。
管理パーティションの主な利点は次のとおりです。
- コントロールプレーン:分離された構成と管理
- データプレーン:重要なパーティションデータとファイルは、パーティション境界内で厳しく制御されます。
- ネットワークプレーン:トラフィックは独自のネットワーク構成で分離されます。同じCitrix ADC上の2つのパーティションは、各パーティションを通過する同じトラフィックを認識しません。
このドキュメントでは、管理パーティションによって有効になっている一般的なユースケースと、お客様の環境で管理パーティションを使用するためのガイドラインを詳しく説明します。
管理パーティションの使用例
管理パーティションのエンタープライズユースケース
Citrix ADC管理者は、Citrix ADCを複数のADCに分割し、そのパーティションをMicrosoft SharePointやMicrosoft Lyncなどのさまざまなアプリケーション管理者に割り当てることができます。各アプリケーション管理者/所有者は、独自の構成を変更できます。
IP オーバーラップ: IP オーバーラップの主な利点は、IP の競合なしに、異なる管理パーティション間で同じ IP 範囲を使用できることです。バックエンドサーバーでは、同じプライベート IP アドレスのセットを使用できます。IP オーバーラッピングのシナリオでは、VLAN を共有できません。
仮想ルーティング: ルーティング構成は各パーティションに固有であり、各パーティションの所有者は独自のルーティングプロトコルを設定できます。
名前空間の分離: エンティティ名は異なるパーティション間で一意であるため、異なる管理パーティションで同じ名前を使用できます。
参照図:
単一NIC – 複数のVlans
IP オーバーラップ:
管理パーティションのサービスプロバイダーの使用例
サービスプロバイダは、Citrix ADCを分割し、帯域幅要件と同時接続数に基づいて個々のクライアントに割り当てることができます。
サービスプロバイダは、NITRO APIを使用してオーケストレーションツールを開発し、個々のクライアントから帯域幅要件と同時接続に関する入力を取得し、パーティションを作成してクライアントに割り当てることができます。
以下は、サービスプロバイダを支援する分離のセットです。
ファイルシステム:各パーティションは、ファイルシステム の一部が割り当てられ、それぞれのパーティション領域に格納されているファイルは、他のパーティションには見えません。SSL 証明書/キーはそのパーティションに格納され、他のパーティション所有者には見えません。したがって、各パーティションは安全になります。
共有 VLAN: マルチテナント配置を使用する一般的なサービスプロバイダーでは、エンドカスタマーが着信トラフィック用に独立した VLAN を持っていない場合があります。共有 VLAN 機能は、専用 VLAN を使用できない場合に VLAN を共有します。
VLAN タギング: 1 つのインターフェイスを複数の管理パーティションで共有し、タグ付き VLAN を使用して分離できます。タグなし VLAN の場合は、共有 VLAN を使用します。
トラブルシューティングとデバッグ: 管理者は各パーティションのトラフィック統計を個別に確認し、パーティション ID でフィルタリングしてログを分離できます。トレース機能は、あるパーティションから起動されたトレースが別のパーティションからのパケットを認識しないため、パーティションの独立性を保証します。
参照図
管理パーティションを実装するためのガイドライン
管理パーティションにより、帯域幅、メモリ、同時接続などのリソースの共有が可能になり、ネットワーク、データ、管理プレーンでの分離が可能になります。
リソースのパーティション
ADC 管理者は、admin パーティションを構成するために次の詳細情報が必要です。
- 接続:(TCP接続の数)
- メモリ
- 帯域幅の要件
接続数と帯域幅の要件は、アプリケーションとそれぞれのパーティションによって処理されるトラフィックによって異なります。ADC 管理者は、アプリケーション管理者と協議して、パーティションの接続/帯域幅を取得します。
メモリ割り当てのガイドライン
デフォルトパーティションに割り当てられるメモリの量は、使用可能な合計メモリの 50% 以上である必要があります。理由は次のとおりです。
- 制限に達した場合に備えて、他のパーティションのメモリを増やすために、将来お客様に柔軟性を提供します。
- すべてのパーティションの統合キャッシュメモリは、既定のパーティションから取得されます。
PE で消費できる合計メモリは 4 GB です。したがって、2 GBの合計は、管理パーティションを除くすべてのパーティションに割り当てることができます。
admin パーティションに割り当てられたメモリは、次の 2 つの目的で使用されます。
- 静的オブジェクト(設定、SSLキー)の保存
- 動的オブジェクト — 有効な機能のリストと接続数に応じて、動的オブジェクトに割り当てられるメモリは異なります。
ADCの管理者は、アプリの所有者からの接続と帯域幅の要件、および以下のガイドラインを使用して、メモリの見積もりを考え出します。
configに静的メモリを割り当てるためのガイドライン
表 1 に、一般的に使用される構成と必要なメモリを示します。
表 1
| 構成のタイプ | パケットエンジンあたりの割り当てメモリ(KB 単位) |
|---|---|
| SNIP の追加 | 255 |
| IPv4 サーバーの追加 | 0.384 |
| サービスの追加 | 5.253 |
| サービスでの vServer の追加 | 11.157 |
| VLAN をパーティションにバインドする | 0.116 |
| パーティションへのルートの追加 | 0.564 |
| acl を追加 | 0.5 |
| モニタの追加 | 4.34 |
| サービスグループの追加 | 4.625 |
| サーバーをサービスグループにバインドする | 5.817 |
| cs アクションを追加 | 4.532 |
| add cs policy | 2.548 |
| add cs vserver | 11.589 |
| cs ポリシーを cs vServer にバインドする | 7.348 |
設定は PE 間で複製されるため、上記の要件に PE の数を乗算する必要があります。
動的メモリのガイドライン
表 2
| 機能 | メモリ要件 |
|---|---|
| 接続(Citrix ADCのバージョンが12.0以降の場合のみ適用) | 1 K 接続あたり 2.4 MB |
| 永続的なセッション | 1 K セッションあたり 600 KB |
| GSLB 永続セッション | 1 K セッションあたり 6 MB |
| SSL | SSL オフロードでは 1000 個の SSL 接続/セッションでは 6 MB、エンドエンド SSL では 1000 個の SSL 接続/セッションでは 9 MB |
| AAA:ユーザ数に依存する | ユーザー数 * 2 KB |
| 書き換え — 書き換えポリシーによって解析される最大長を取得します。 | 接続数* 最大長 |
| レスポンダー — レスポンダーポリシーによって解析される最大長を取得します。 | 接続数* 最大長さ |
| TCPバッファリング | 接続の 20% * 構成された TCP バッファのサイズ |
動的メモリ=上記の表の上記の行のそれぞれから計算されたメモリの合計。
計算された合計メモリに 10 ~ 20% のバッファを追加します。
AppQoE のようないくつかの機能のメモリ要件は提供されません。パーティションメモリから消費されるメモリは、これらの機能では無視できるものであり、10 ~ 20% のバッファで処理するのに十分であるためです。
合計メモリ = 静的メモリ* PE のなし + 動的メモリ
必要なメモリが 1 GB、パケットエンジンの数が 4 であるという結論に達したと仮定しましょう。次に、その特定のパーティションについて、必要なメモリの量は、次の式によって導出されます。
管理パーティションのメモリ構成 =(必要なメモリ量/パケットエンジンの数)
管理パーティションのメモリ = 1 GB/4 = 250 MB
リソース制限に達したときの動作
- 接続 — 新しい接続は切断されます
- 帯域幅:新しいトラフィックはドロップされます。
- メモリ:新しいトラフィックがドロップされる
特定のパーティションのリソースが枯渇した場合にトリガーされる SNMP アラートを設定できます。SNMP トラップのリストは、「その他のリソース」セクションに記載されています。
ネットワークプレーン
VLAN:ネットワークレベルの分離を維持するために、異なる VLAN を設定して管理パーティションに割り当てます。
ルーティング:ルーティング設定はパーティションごとに一意です。
ADC 管理者は、ネットワーク管理者(アプリケーション管理者からの入力を含む)と協議して、ネットワークトポロジに基づいて VLAN およびルーティング関連の設定を定義します。
L3 パラメータ:パーティション固有です。L3 パラメータには、ドロップ DF パケット、ICMP エラーしきい値、オーバーライダーナットなどがあり、入力はネットワークまたは ADC 管理者から取得する必要があります。
コントロールプレーン:ユーザーエクスペリエンス
Admin Partitionsはさまざまなレベルで分離できるため、分離されたADCインスタンスを安全に管理できます。
次のような分離レベルがあります。
- UIページ:パーティションに対してのみ表示される構成、統計情報
- 診断 — トレース分離。トレースは、他のパーティションのトラフィックをキャプチャしません。
- SNMPアラート:パーティションレベルで構成
- ログレベルの分離
UI レベルの分離は、次の方法を使用して設定できます。
- それぞれのパーティションで、1つのSNIPに対してmgmt.アクセスを有効にし、そのSNIPを使用してGUIにアクセスします。これにより、UI レベルの分離と可視性がそのパーティションのみに提供されます。
表 3
| ログの種類 | パーティション固有 |
|---|---|
| ウェブログ | はい |
| Techsupport バンドル | はい |
| 監査ログ | いいえ |
| /var/log | いいえ |
エンタープライズユースケースの管理パーティション
この項では、Admin Partitions を使用する 4 つのアプリケーションを使用したエンタープライズカスタマーのユースケースについて説明します。
お客様の要件
-
4つのアプリケーションをホストする必要がある
-
各アプリケーションには、独自の管理者と異なるADC要件のセットがあります。次の表に、アプリケーションとその固有の要件を示します。
表 4
| アプリケーション | 特性 | 要件/機能 |
|---|---|---|
| SharePoint | ファイル、オーディオ、ファイルなどの共有 | キャッシュ、圧縮、認証、SSL オフロード、SSL プロファイル |
| データベース | カスタムSQLルール、認証、読み取りと書き込みの分割によるパフォーマンスの向上 | コンテンツスイッチ、SQL関連キーワードのポリシーインフラ |
| エンタープライズ Web サイト | パブリックアクセス-攻撃を受けやすい、アプリケーションファイアウォール | DDoS、アプリケーション品質、アプリケーションFW、SSLプロファイル |
| Outlook | AD、SSO との統合、HTTP でのパフォーマンスの向上 | 認証 SSO、SSL オフロード |
上記の要件表から、Citrix ADC メリットをすべて実現するために、アプリケーションごとに異なる構成セットが必要であることは明らかです。Citrix ADC をパーティション分割し、それらのパーティションをそれぞれのアプリケーション所有者に割り当てることをお勧めします。
帯域幅と接続推定
OutlookとSharePoint
SharePoint、Exchange、Lyncなどのエンタープライズアプリケーションの帯域幅は、次の項目に依存します。
- 同時ユーザー数
- 使用タイプ
- Exchange:メッセージの平均サイズと数
- SharePoint:ファイルのタイプ、読み取りと書き込みの比率
アプリケーション管理者は、上記の2つの要素を使用して帯域幅要件を計算し、管理者パーティションの構成に関する情報をCitrix ADC adminに提供します。帯域幅の計算方法に関する広範なガイドラインについては、Microsoft TechNetおよびMSDN ブログを参照してください。
例:
Outlook 2010 の帯域幅:ユーザーの種類 (ライト、ミディアム、ヘビーなど)。ミディアムユーザーの場合は、10回の電子メールを送信し、40回の電子メールを受信します。msg.サイズ 50 kb = 2.15 Kbps。1,000 ユーザの場合、必要な帯域幅は 2,150 Kbps です。
SharePoint の帯域幅:ユーザー数 = 1,000。ユーザーの 20% が任意の時点でアクティブであり、平均ページロードサイズは100 KBで、1時間以内に約10ページにアクセスすると仮定します。
= 100 KB * 200 * 10 per hour = 200000 KB/hr = 200000*8(8 bits per byte)/3600(no of seconds)
= 444 キロビット/秒
1秒あたりの接続数 = アクティブユーザー数* 10
MSSQL
クエリの速度と応答のサイズに基づいて、帯域幅と接続を導出します。
エンタープライズ Web サイト
帯域幅要件:平均ページサイズ*任意の時点での最大ユーザー数* 2
接続:最大ユーザー数* ユーザーあたりの接続数
例:
帯域幅:4 KB10002 = 48000 キロビット/秒
最大ユーザー数 = 1000、ユーザーあたりの接続数 = 10。接続数 = 10K
ほとんどのユーザーがHTTP/1.1からのものである場合、ユーザーあたりの接続数は2〜3になりますが、ミックスがHTTP/1.0に向かって傾いている場合、接続数は10〜15になります。ユーザーあたりの乗数係数の接続数は、トラフィックとクライアントの組み合わせに応じて 3 ~ 15 です。
構成するメモリは、次の条件によって異なります。
- 各 admin パーティション(スタティックメモリ)内の設定のリスト。詳しくは、表1 を参照してください。
- 動的メモリ — 接続数と接続のタイプ (HTTP とSSL) — 詳しくは、表 2 を参照してください。
- パケットエンジンの数。メモリ =(スタティックメモリ+ダイナミックメモリ)/(パケットエンジンの数)
ADC管理の手順
- 各アプリケーションの帯域幅と接続を収集する
- それぞれSharePoint、データベース、およびOutlook用の3つのパーティションを作成します。前の手順の帯域幅と接続を使用し、各パーティションに割り当てます。AppFWはデフォルトパーティションでのみサポートされているため、顧客がAppFWを必要とする場合、エンタープライズWebサイトはデフォルトパーティションでホストできます。
- 各パーティションのユーザーを作成し、資格情報を共有します。
-
統合キャッシュを有効にし、キャッシュメモリを設定します。キャッシュメモリは、デフォルトパーティションで設定されたキャッシュメモリから取得されます。割当てについて詳しくは、ICの付録セクションを参照してください。
- ADC管理者に相談した後、キャッシュメモリを割り当てます。システムの合計キャッシュメモリの 30 ~ 40% を割り当てます。割り当てた合計が 10 GB の場合は、SharePoint パーティションのキャッシュに約 3-4 GB を割り当てます。
- アプリケーションの所有者は、最初にキャッシュ統計を監視して、メリットのレベルをチェックする必要があります。
- キャッシュオブジェクトのヒット率を確認し、多数のキャッシュオブジェクトのヒット率が高い場合は、そのパーティションの IC メモリのサイズを増やします。
- 圧縮を有効にする
- SharePointは、異なる種類のファイル(Excel、PowerPoint、Word)を発行し、同じファイルを圧縮してクライアントに配信すると、帯域幅の使用量が減少します。
データベースユーザー
- CS、VIP、およびバックエンドサーバーを設定します。
- コンテンツスイッチを使用して、読み取り/書き込み要求を分割し、それぞれのサーバーセットにリダイレクトします。
エンタープライズ Web サイト
- VIP サーバーとバックエンドサーバーを設定します。
-
統合キャッシュを有効にします。
- 他のパーティションからの未使用のキャッシュメモリは、エンタープライズWebサイトのために利用可能であるように、エンタープライズWebサイトは、デフォルトのパーティションにあります。したがって、SharePointとOutlookがそれぞれ35%を消費すると仮定すると、消費された合計は70%になり、残りの30%はデフォルトパーティション(エンタープライズWebサイト)に残ります。合計キャッシュメモリが 10 GB の場合、デフォルトパーティションには 3 GB のキャッシュメモリがあります。
- アプリケーションの所有者は、最初にキャッシュ統計を監視して、メリットのレベルをチェックする必要があります。
- キャッシュオブジェクトのヒット率を確認し、多数のキャッシュオブジェクトのヒット率が高い場合は、そのパーティションのICメモリのサイズを増やします。
- フロントエンドの最適化を有効にします。
- AppFW を有効にします。
サービスプロバイダーの管理パーティションの使用例
サービスプロバイダーは Microsoft アプリケーションをホストし、IIS、SharePoint、および MSSQL アプリケーションをサービスとして提供します。お客様には、通常、次の要件があります。
お客様の要件
-
顧客 1: データベースサーバーにアクセスし、読み取り/書き込みの分割は 90:10 で、エンドカスタマーは SQL 関連のカスタムフィルタの設定を希望しています。
-
顧客 2: SSL 経由で Web アプリにアクセスし、エンドカスタマーが SSL 証明書の管理を希望している
-
お客様 3: サービスプロバイダーからホストされている SharePoint にアクセスする
サービスプロバイダは、顧客のためのポータルをホストします。
- ホストするアプリケーションを選択します。
- 帯域幅の要件
サービスプロバイダは、顧客のためのポータルをホストします。
- ホストするアプリケーションを選択します。
- 帯域幅の要件
- 接続
この選択に基づいて、サービスプロバイダは、NITRO APIを使用して、バックエンド内の特定のアプリケーションに関連する構成で適切なパーティションを設定できます。
お客様が選択したアプリケーションに基づいて、適切なオプションを選択します。
- SSL を使用するウェブアプリ
- VIPにバインドされるSSL証明書オプション
- HTTP から HTTPS へのリダイレクト
- SSL プロファイル関連パラメータ
- SQL
- 顧客が設定する SQL 関連のフィルタ
- SharePoint
- キャッシュメモリ制限とルール
- 圧縮ポリシー
サービスプロバイダは、管理パーティションの作成後に正確な要件を実装するために、2 つのオプションのいずれかに従います。
構成オプション 1:
サービスプロバイダは、顧客からの要求を収集し、それぞれのパーティションで実行します。
構成オプション 2:
NITRO APIを使用して管理パーティションを自動化します。入力はフロントエンドポータルから収集することができ、バックエンドでNITRO APIを実行してパーティションを構成することができます。
機能に関する考慮事項
機能のサポート:管理者パーティションは、ほとんどの機能でサポートされ、唯一のいくつかの機能のためにサポートされていません。正確なリストについては、Citrixを参照し、特定のソフトウェアリリースで確認してください。このテーブルには、サポートマトリックスをリストしたテーブルが含まれます。
設定の制限事項。管理パーティションは、ではサポートされていません。
-
クラスタリング
-
MPX-FIPSアプライアンス
結論
Admin Partitionsの主な利点は、ADCをソフトウェアレベルで分離し、各パーティションの所有者に安全で分離されたユーザーエクスペリエンスを提供することです。
そのほかの情報の入手先
トラブルシューティングツール
管理者パーティションの一般的な問題:
ESX上のVPX上の管理者パーティション:
-
カスタム MAC アドレスが設定されている場合、デフォルト以外のパーティションに到達できません。
-
解決方法:デフォルト以外のパーティションを動作させるには、ESX で無差別モードを有効にする必要があります。
構成エラー:
-
設定で、入力ファイルが存在しないというエラーをスローできないことがあります。
-
絶対パスではなく、相対パスを使用する必要があります。
VLANの構成:
- 管理パーティションVLANはタグ付きVLANをサポートしているため、VLANがタグ付けされている場合、Citrix ADCインターフェイスが接続されているスイッチを適切なVLANで構成する必要があります。タグなし VLAN の場合は、共有 VLAN 設定を使用します。
キャッシュメモリ割り当ての統合
パーティション分割されたCitrix ADCで統合キャッシュ(IC)を構成するには、デフォルトパーティションにICメモリを定義した後、スーパーユーザーは各管理パーティションにICメモリを構成して、すべての管理パーティションに割り当てられるICメモリの合計がデフォルトパーティションに定義されているICメモリを超えないようにできます。で指定します。admin パーティション用に構成されていないメモリは、デフォルトパーティションで引き続き使用できます。
たとえば、2つの管理パーティションを持つCitrix ADCアプライアンスで、デフォルトパーティションに10 GBのICメモリが割り当てられ、2つの管理パーティションに対するICメモリ割り当ては次のようになります。
-
パーティション1:4 GB
-
パーティション2:3 GB
次に、デフォルトのパーティションには 10-(4 + 3) = 3 GB の IC メモリが使用可能です。
注:
すべての IC メモリが admin パーティションによって使用されている場合、デフォルトパーティションには IC メモリを使用できません。
メモリ使用量をチェックするコマンド
- パーティション内の Stat システムメモリには、パーティションのシステムレベルのメモリ割り当てが集約され、stat パーティション名は、パーティション内で使用されているメモリのパーセンテージを示します。
>add partition p1
Done
>switch partition p1
Done
p1> stat system memory
done
Citrix ADC Memory Information:
Maximum Memory Available (MB): 50
Memory Currently Available (MB): 50
Memory Allocated (MB) 7
Memory Allocated (%) 14.95
InUse Memory (MB) 7
InUse Memory (%) 14.95
Free Memory (MB) 42
>stat partition p1
Partition(s) Summary
MinBW MaxBW MaxConn MaxMem
p1 10240 10240 1024 10
Partition Stats:
Rates (/s) Total
Current Bandwidth -- 0
Current Connections -- 0
Memory Usage (%) -- 14
Total Packet Drops 0 7
Total Drops (KB) 0 0
Total Connection Drops 0 0
- 設定メモリ:各設定は、すべてのパケットエンジンで複製されているので、それに応じてメモリは、すべてのパケットエンジンの内部に割り当てられます。たとえば、「add lb vserver」コマンドがピーチパケットエンジンで約10KBかかり、5パケットエンジンシステムで10MBのパーティションを作成した場合、合計で50KBのパーティションメモリを消費します。
- 特定の構成に必要なメモリ要件の正確な値は、構成を適用し、Citrix ADCシェルで次のコマンドを実行することで測定できます。
root@ns# nsconmsg -s nsppeid=0 -s nspartid=1 -g mem_cur_usedsize -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51
reltime:mili second between two records Thu Feb 23 13:45:18 2017
Index rtime totalcount-val delta rate/sec symbol-name&device-no
0 22681 1597631 8965 5333 mem_cur_usedsize partition_ctx(p1) (PART-1)
この実験では、PPE-0でパーティション ID 1に約9KBのメモリが使用されています。Citrix ADC上で構成されたすべてのパーティションには、一意のIDが割り当てられます。
次のコマンドは、指定されたパーティションのための完全なシステム(すべてのパケットエンジンを含む)のメモリ推定を測定することを可能にします。
root@ns# nsconmsg -s nspartid=1 -g mem_cur_used -d current
Displaying performance information
Citrix ADC V20 Performance Data
Citrix ADC NS11.0: Build 65.572.nc, Date: Apr 7 2016, 10:32:51
reltime:mili second between two records Thu Feb 23 13:44:27 2017
Index rtime totalcount-val delta rate/sec symbol-name&device-no
0 7000 7881865 6403 5333 mem_cur_usedsize partition_ctx(p1) (PART-1)
Citrix ADC 12.0で導入されたSNMPトラップのリスト
| トラップ名 | 説明 |
|---|---|
| パーティション接続制限を超えました | パーティションの接続制限がなくなり、新しい接続が切断される |
| パーティション接続制限標準 | パーティションが新しい接続を受け入れるようになりました。 |
| パーティションBWリミットを超えました | パーティションの BW 制限が使い果たされ、パケットがドロップされる |
| パーティション BWW しきい値に達しました | 現在の帯域幅使用率 80% 以上 |
| パーティション接続しきい値に達しました | 現在のアクティブな接続数 80% 以上 |
| パーティション接続しきい値 (標準) | 現在のアクティブな接続数 60% 以下 |
| パーティションMEMしきい値に達しました | PE の現在のメモリ使用率 80% 以上 |
| パーティションMEMしきい値 (標準) | PE の現在のメモリ使用率 60% 以下 |
| パーティションMEMリミット超過 | PE の現在のメモリ使用率 95% 以上 |