Citrix ADC

管理パーティション化

Citrix ADCアプライアンスは、管理パーティションと呼ばれる論理エンティティに分割できます。各パーティションは、個別のCitrix ADCアプライアンスとして構成および使用できます。次の図は、さまざまな顧客や部門で使用されているCitrix ADC パーティションを示しています。

画像

パーティション分割されたCitrix ADCアプライアンスには、1つのデフォルトパーティションと1つ以上の管理パーティションがあります。次の表に、2 つのパーティション・タイプの詳細を示します。

:パーティション化されたアプライアンスでは、BridgeBPDUモードはデフォルトパーティションでのみ有効になり、管理パーティションでは有効になりません。

デフォルトパーティション

管理パーティション

在庫状況:

Citrix ADCアプライアンスには、デフォルトのパーティションと呼ばれる単一のパーティションが付属しています。デフォルトのパーティションは、Citrix ADCアプライアンスのパーティション分割後も保持されます。

管理パーティションの構成の説明に従って明示的に作成する必要があります。

パーティション数:

1

Citrix ADCアプライアンスは、1つ以上の(最大512の)管理パーティションを持つことができます。

ユーザーアクセスとロール:

デフォルトのパーティションは、 パーティション固有の コマンドポリシーに関連付けられていないすべてのCitrix ADCユーザーがアクセスして構成できます。いつものように、ユーザーが実行できる操作は、関連するコマンドポリシーによって制限されます。

そのパーティションのユーザーを指定する Citrix ADC スーパーユーザーのみが作成できます。管理者パーティションにアクセスして設定できるのは、スーパーユーザとパーティションの関連付けられたユーザだけです。

注:パーティションのユーザーにはシェルアクセス権がありません。

ファイル構造:

デフォルトパーティション内のすべてのファイルは、デフォルトのCitrix ADCファイル構造に保存されます。

たとえば、Citrix ADC 構成ファイルは /nsconfig ディレクトリに格納され、Citrix ADC ログは /var/log/ ディレクトリに格納されます。

admin パーティション内のすべてのファイルは、admin パーティションの名前を持つディレクトリパスに格納されます。

たとえば、Citrix ADC構成ファイル(ns.conf)は、/nsconfig/partitions/<partitionName> ディレクトリに格納されます。その他のパーティション固有のファイルは、/var/partitions/<partitionName> ディレクトリに格納されます。

管理パーティション内の他のいくつかのパス:

  • ダウンロードしたファイル:/var/partitions/<partitionName>/download/
  • ログ ファイル: /var/partitions/<partitionName>/log/

注意: 現在、ロギングはパーティションレベルではサポートされていません。したがって、このディレクトリは空であり、すべてのログは/var/log/ ディレクトリに格納されます。

  • SSL CRL 証明書関連ファイル:/var/partitions/<partitionName>/netscaler/ssl

利用可能なリソース:

すべてのCitrix ADCリソース。

管理者パーティションに明示的に割り当てられているCitrix ADCリソース。

ユーザー・アクセスと役割

パーティション化されたCitrix ADCアプライアンスの認証と承認では、ルート管理者はパーティション管理者を1つ以上のパーティションに割り当てることができます。パーティション管理者は、他のパーティションに影響を与えずに、そのパーティションに対してユーザーを許可できます。これらはパーティションユーザーであり、SNIPアドレスを使用してそのパーティションにのみアクセスすることが許可されています。ルート管理者とパーティション管理者の両方が、ロールベースのアクセス (ユーザーに異なるアプリケーションへのアクセスを許可することで RBA を構成できます。

管理者とユーザーの役割は、次のように記述できます。

**ルート管理者。 **パーティション化されたアプライアンスに NSIP アドレスを通じてアクセスし、ユーザーに 1 つ以上のパーティションへのアクセスを許可できます。管理者は、パーティション管理者を 1 つ以上のパーティションに割り当てることもできます。管理者は、NSIP アドレスを使用してデフォルトのパーティションからパーティション管理者を作成するか、パーティションに切り替えてから、ユーザーを作成し、SNIP アドレスを使用してパーティション管理者アクセスを割り当てることができます。

パーティション管理者。ルート管理者によって割り当てられた NSIP アドレスを使用して、指定されたパーティションにアクセスします。管理者は、そのパーティションへのパーティションユーザアクセスにロールベースのアクセス権を割り当てることができます。また、パーティション固有の設定を使用して外部サーバ認証を構成することもできます。

システムユーザー。NSIP アドレスを使用してパーティションにアクセスします。ルート管理者によって指定されたパーティションとリソースにアクセスできます。

パーティションのユーザー。SNIP アドレスを使用してパーティションにアクセスします。このユーザーアカウントはパーティション管理者によって作成され、ユーザーはパーティション内でのみリソースにアクセスできます。

確認事項

次に、パーティションでロールベースのアクセスを提供するときに覚えておくべき点をいくつか示します。

  1. NSIPアドレスを使用してGUIにアクセスするCitrix ADCユーザーは、デフォルトのパーティション認証設定を使用してアプライアンスにログオンします。
  2. パーティションSNIPアドレスを使用してGUIにアクセスするパーティション・システム・ユーザーは、パーティション固有の認証構成を使用してアプライアンスにログオンします。
  3. パーティション内に作成されたパーティションユーザーは、NSIP アドレスを使用してログインできません。
  4. パーティションにバインドされているCitrix ADCユーザーは、パーティションのSNIPアドレスを使用してログインできません。
  5. パーティションに追加された LDAP、Radius、または TACACS などの外部サーバ設定を使用してパーティションにアクセスする外部ユーザ。ユーザーが直接パーティションにログオンするには、SNIP アドレスを使用してアクセスする必要があります。

パーティション設定でのロールベースのアクセスを管理するユースケース

エンタープライズ組織である www.example.com に複数のビジネスユニットがあり、ネットワーク内のすべてのインスタンスを管理する一元管理管理者があるシナリオを考えてみましょう。ただし、各部署に対して排他的なユーザー権限と環境を提供したいと考えています。

パーティション化されたアプライアンスでデフォルトのパーティション認証構成とパーティション固有の設定で管理される管理者とユーザーを次に示します。

ジョン:ルート管理者

ジョージ:パーティション管理者

アダム:システムユーザー

ジェーン:パーティションユーザー

John は、パーティション分割されたCitrix ADCアプライアンスのルート管理者です。John は、アプライアンス内のパーティション(P1、P2、P3、P4、P5 など)にわたって、すべてのユーザー・アカウントおよび管理ユーザー・アカウントを管理します。アプライアンスのデフォルトパーティションからエンティティへの詳細な役割ベースのアクセスを提供します。John はユーザーアカウントを作成し、各アカウントにパーティションアクセスを割り当てます。組織内のネットワークエンジニアである George は、パーティション P2 で実行されている少数のアプリケーションに対して、役割ベースのアクセスを持つことを好みます。ユーザー管理に基づいて、John は George のパーティション管理者ロールを作成し、ユーザーアカウントを P2 パーティションの partition-admin コマンドポリシーに関連付けます。別のネットワークエンジニアであるアダムは、P2で実行されているアプリケーションにアクセスすることを好みます。John は Adam のシステムユーザーアカウントを作成し、そのユーザーアカウントを P2 パーティションに関連付けます。アカウントが作成されると、AdamはアプライアンスにログインしてNSIPアドレスを通じてCitrix ADC管理インターフェイスにアクセスし、ユーザー/グループのバインディングに基づいてパーティションP2に切り替えることができます。

たとえば、別のネットワークエンジニアである Jane が、パーティション P2 でのみ実行されているアプリケーションに直接アクセスするとします。George(パーティション管理者)は、彼女のためにパーティションユーザアカウントを作成し、そのアカウントを認可特権のコマンドポリシーに関連付けることができます。パーティション内に作成された Jane のユーザーアカウントが P2 に直接関連付けられるようになりました。これで、Jane は SNIP アドレスを使用して Citrix ADC 管理インターフェイスにアクセスでき、他のパーティションに切り替えることはできません。

パーティションP2のパーティション管理者によってJaneのユーザーアカウントが作成された場合、JaneはSNIPアドレス(パーティション内で作成)でのみCitrix ADC管理インターフェイスにアクセスでき、NSIPアドレスによるインターフェイスへのアクセスは許可されません。同様に、Adamのユーザーアカウントがルート管理者によってデフォルトパーティションに作成され、P2パーティションにバインドされている場合、Adamはデフォルトパーティション(管理アクセスが有効になっている)で作成されたNSIPアドレスまたはSNIPアドレスを使用してのみCitrix ADC管理インターフェイスにアクセスでき、パーティションインターフェイスは、管理パーティションで作成された SNIP アドレスを通じて作成されます。

パーティション管理者の役割と責任の構成

以下は、ルート管理者がデフォルトパーティションで実行する設定です。

管理パーティションとシステムユーザーの作成 — ルート管理者は、アプライアンスのデフォルトパーティションに管理パーティションとシステムユーザーを作成します。その後、管理者はユーザーを異なるパーティションに関連付けます。1 つ以上のパーティションにバインドされている場合は、ユーザーバインディングに基づいて 1 つのパーティションから別のパーティションに切り替えることができます。また、1 つ以上のバインドされたパーティションへのアクセスは、root 管理者によってのみ許可されます。

システムユーザーを特定のパーティションのパーティション管理者として承認する — ユーザーアカウントが作成されると、ルート管理者は特定のパーティションに切り替え、そのユーザーをパーティション管理者として承認します。これを行うには、partition-admin コマンドポリシーをユーザーアカウントに割り当てます。これで、ユーザーはパーティション管理者としてパーティションにアクセスし、パーティション内のエンティティを管理できるようになります。

次に、管理パーティションでパーティション管理者が実行する構成を示します。

管理パーティションの SNIP アドレスの設定-パーティション管理者は、パーティションにログオンし、SNIP アドレスを作成し、アドレスへの管理アクセスを提供します。

パーティションコマンドポリシーを使用したパーティションシステムユーザーの作成とバインド-パーティション管理者はパーティションユーザーを作成し、ユーザーアクセスの範囲を定義します。これは、ユーザーアカウントをパーティションコマンドポリシーにバインドすることによって行われます。

パーティションコマンドポリシーを使用したパーティションシステムユーザーグループの作成とバインド-パーティション管理者はパーティションユーザーグループを作成し、ユーザーグループアクセスの範囲を定義します。これを行うには、ユーザーグループアカウントをパーティションコマンドポリシーにバインドします。

外部ユーザの外部サーバ認証の設定(オプション):この設定は、SNIP アドレスを使用してパーティションにアクセスする外部 TACACS ユーザを認証するために行われます。

管理パーティション内のパーティション・ユーザーの役割ベースのアクセスを構成する際に実行されるタスクは次のとおりです。

  1. 管理パーティションの作成 — 管理パーティションにパーティション・ユーザーを作成する前に、まずパーティションを作成する必要があります。ルート管理者は、設定ユーティリティーまたはコマンドラインインターフェイスを使用して、デフォルトパーティションからパーティションを作成できます。
  2. デフォルト・パーティションからパーティションP2へのユーザー・アクセスの切り替え — パーティション管理者がデフォルト・パーティションからアプライアンスにアクセスしている場合、ユーザー・バインディングに基づいて、デフォルト・パーティションから特定のパーティション(パーティションP2など)に切り替えることができます。
  3. 管理アクセス権を有効にしたパーティションユーザーアカウントに SNIP アドレスを追加する-管理パーティションへのアクセスを切り替えたら、SNIP アドレスを作成し、そのアドレスへの管理アクセス権を提供する必要があります。
  4. パーティション・コマンド・ポリシーを使用したパーティション・システム・ユーザーの作成とバインド-パーティション管理者は、パーティション・ユーザーを作成し、ユーザー・アクセスの範囲を定義できます。これは、ユーザーアカウントをパーティションコマンドポリシーにバインドすることによって行われます。
  5. パーティションコマンドポリシーを使用したパーティションユーザーグループの作成とバインド-パーティション管理者は、パーティションユーザーグループを作成し、ユーザーアクセス制御の範囲を定義できます。これは、ユーザーグループアカウントをパーティションコマンドポリシーにバインドすることによって行われます。

外部ユーザの外部サーバ認証の設定(オプション):この設定は、SNIP アドレスを使用してパーティションにアクセスする外部 TACACS ユーザを認証するために行われます。

管理パーティションを使用する利点

展開に管理パーティションを使用することで、次の利点を利用できます。

  • アプリケーションの管理所有権を顧客に委任できるようにします。
  • 性能と使いやすさを損なうことなく、ADCの所有コストを削減します。
  • 不当な構成変更から守ります。パーティション化されていないCitrix ADCアプライアンスでは、他のアプリケーションの許可されたユーザーが、アプリケーションに必要な構成を意図的または意図せず変更する可能性があります。これにより、望ましくない動作が発生する可能性があります。この可能性は、パーティション化されたCitrix ADCアプライアンスで低減されます。
  • パーティションごとに専用 VLAN を使用して、異なるアプリケーション間のトラフィックを分離します。
  • アプリケーションの導入を迅速化し、拡張できます。
  • アプリケーション・レベルまたはローカライズされた管理とレポート作成を可能にします。

私たちは、あなたが管理パーティションを使用できるシナリオを理解するために、いくつかのケースを分析してみましょう。

ユーザ事例 1: 企業ネットワークでの Admin パーティションの使用方法

私たちは Foo.comという名前の会社が直面するシナリオを考えてみましょう。

  • Foo.com は、単一のCitrix ADC を持っています.
  • 5つの部門があり、各部門には1つのアプリケーションがあり、Citrix ADCで展開する必要があります。
  • 各アプリケーションは、異なるユーザーまたは管理者のセットによって個別に管理する必要があります。
  • 他のユーザーは、設定へのアクセスを制限する必要があります。
  • アプリケーションまたはバックエンドは、IP アドレスなどのリソースを共有できる必要があります。
  • グローバルIT部門は、すべてのパーティションに共通するCitrix ADCレベルの設定を制御できる必要があります。
  • アプリケーションは互いに独立している必要があります。1 つのアプリケーションの構成でエラーが発生しても、もう一方のアプリケーションに影響してはなりません。

パーティション化されていないCitrix ADCは、これらの要件を満たすことができません。ただし、Citrix ADCをパーティション化することで、これらの要件をすべて達成できます。

アプリケーションごとにパーティションを作成し、必要なユーザーをパーティションに割り当てて、各パーティションに VLAN を指定し、デフォルトパーティションにグローバル設定を定義するだけです。

ユースケース 2: サービスプロバイダによる管理パーティションの使用方法

私たちは、 BigProviderという名前のサービスプロバイダが直面するシナリオを考えてみましょう。

  • BigProviderには、小規模企業3社と大企業2社の5社の顧客があります。
  • スモールビズスモールビズスタートアップビズは、最も基本的なCitrix ADC機能のみを必要とします。
  • BigBizLargeBiz は大企業であり、多くのトラフィックを引き付けるアプリケーションを持っています。より複雑なCitrix ADC機能の一部を使用したいと考えています。

パーティション分割されていないアプローチでは、Citrix ADC管理者は通常、Citrix ADC SDXアプライアンスを使用し、各顧客に対してCitrix ADCインスタンスをプロビジョニングします。

このソリューションは、 BigBizLargeBiz に適しています。なぜなら、そのアプリケーションには、パーティション化されていないCitrix ADCアプライアンス全体の電力が消費されるからです。ただし、このソリューションは、SmallBiz、 SmallerBiz、および **StartupBiz**のサービスに対して費用対効果が低い場合があります。

したがって、 BigProvider は次の解決策を決定します。

  • Citrix ADC SDXアプライアンスを使用して、 BigBizおよび **Large Biz** 専用のCitrix ADCインスタンスを起動します。
  • 3つのパーティションに分割された単一のCitrix ADCを使用します。このパーティションは、 SmallBiz、SmallerBizおよび **StartupBiz**に対してそれぞれ1つずつ。

Citrix ADC管理者(スーパーユーザー)は、各顧客の管理パーティションを作成し、パーティションのユーザーを指定し、パーティションのCitrix ADCリソースを指定し、各パーティション宛てのトラフィックが使用するVLANを指定します。

管理パーティション化