Citrix ADC

管理パーティションの構成

重要

  • 管理者パーティションの作成と構成は、スーパーユーザーだけに許可されます。
  • 特に指定しない限り、admin パーティションをセットアップする設定は、デフォルトパーティションから行う必要があります。

Citrix ADCアプライアンスをパーティション化すると、1つのCitrix ADCアプライアンスの複数のインスタンスを作成できます。各インスタンスには独自の設定があり、各パーティションに専用 VLAN または共有 VLAN を割り当てることによって、各パーティションのトラフィックが他から分離されます。

パーティション分割されたCitrix ADCには、1つのデフォルトパーティションと作成されるadminパーティションがあります。管理パーティションを設定するには、まず、関連するリソース(メモリ、最大帯域幅、および接続)を含むパーティションを作成する必要があります。次に、パーティションにアクセスできるユーザーと、パーティション上の各ユーザーの承認レベルを指定します。

パーティション分割されたCitrix ADCへのアクセスは、パーティション分割されていないCitrix ADCへのアクセスと同じです。NSIPアドレスまたは他の管理IPアドレスを使用します。ユーザーとして、有効なログオン資格情報を入力すると、バインド先のパーティションが表示されます。作成した構成は、そのパーティションに保存されます。複数のパーティションに関連付けられている場合は、関連付けられた最初のパーティションが表示されます。他のパーティションのいずれかでエンティティを構成する場合は、明示的にそのパーティションに切り替える必要があります。

適切なパーティションにアクセスすると、実行した構成はそのパーティションに保存され、そのパーティションに固有のものになります。

  • Citrix ADCスーパーユーザーおよびその他の非パーティションユーザーは、デフォルトのパーティションになります。
  • 512 パーティションのユーザーは、同時にログインできます。

ヒント

SNIP(管理アクセスが有効になっている)を使用してHTTPS経由でパーティション分割されたCitrix ADCアプライアンスにアクセスするには、各パーティションにパーティション管理者の証明書があることを確認してください。パーティション内で、パーティション管理者は次のことを行う必要があります。

  1. 証明書を Citrix ADC に追加します。

    SSL 証明書の追加キーns-サーバ証明書-証明書 ns-サーバ.cert-キー** ns-サーバ.key**

  2. nskrpcs-<SNIP>-3009という名前のサービスにバインドします。ここで<SNIP>は SNIP アドレス(この場合は 100.10.10.1)に置き換える必要があります。

    • bind ssl service nskrpcs-100.10.10.1-3009
    • certkeyName** ns-server-certificate

パーティションのリソース制限

パーティション分割されたCitrix ADCアプライアンスでは、ネットワーク管理者は、メモリ、帯域幅、接続制限などのパーティションリソースを無制限に設定したパーティションを作成できます。これは、パーティションのリソース値としてゼロを指定することによって行われます。ゼロは、リソースがパーティション上で無制限であり、システム制限まで消費できることを示します。パーティションリソース設定は、トラフィックドメインの展開を管理用パーティションに移行する場合や、特定の展開のパーティションに対するリソース割り当ての制限がわからない場合に便利です。

管理パーティションのリソース制限は次のとおりです。

  1. メモリをパーティション化する。これは、パーティションに割り当てられた最大メモリです。パーティションを作成するときは、必ず値を指定する必要があります。

    NetScaler 12.0以降では、パーティションを作成するときに、メモリ制限をゼロに設定できます。特定のメモリ制限を使用してパーティションがすでに作成されている場合は、制限を任意の値に減らすか、または制限をゼロに設定できます。

    パラメータ:最大メモリ制限

    最大メモリは、パーティション内のメガバイト単位で割り当てられます。ゼロの値は、メモリがパーティション上で無制限であり、システムの制限まで消費できることを示します。

    デフォルト値:10

  2. パーティションの帯域幅。パーティションに割り当てられた最大帯域幅。制限を指定する場合は、アプライアンスのライセンスされたスループットの範囲内であることを確認してください。それ以外の場合、パーティションで使用できる帯域幅は制限されません。指定された制限は、アプリケーションが必要とする帯域幅に対して責任を負います。アプリケーションの帯域幅が指定の制限を超えた場合、パケットはドロップされます。

    NetScaler 12.0以降では、パーティションを作成できるときに、パーティションの帯域幅制限をゼロに設定できます。特定の帯域幅を使用してパーティションがすでに作成されている場合は、帯域幅を減らすか、または制限をゼロに設定できます。

    パラメータ:最大帯域幅

    最大帯域幅は、パーティションに Kbps 単位で割り当てられます。ゼロの値は、帯域幅が制限されていないことを示します。つまり、パーティションはシステム制限まで消費できます。

    デフォルト値:10240

    最大値:4294967295

  3. パーティション接続。パーティションで開くことができる同時接続の最大数。この値は、パーティション内で予想される最大同時フローに対応する必要があります。パーティション接続は、パーティションクォータメモリからアカウンティングされます。以前は、接続はデフォルトのパーティションクォータメモリから占められていました。クライアント側でのみ構成され、バックエンドサーバー側の TCP 接続では構成されません。この構成値を超えて新しい接続を確立することはできません。

    NetScaler 12.0以降では、開いている接続の数をゼロに設定したパーティションを作成できます。すでに特定の数の開いている接続を持つパーティションを作成している場合は、接続制限を減らすか、または制限をゼロに設定できます。

    パラメータ:最大接続

    パーティション内で開くことができる同時接続の最大数。ゼロの値は、開いている接続の数に制限がないことを示します。

    デフォルト値:1024

    最小値:0

    最大値:4294967295

管理パーティションの構成

admin パーティションを設定するには、次のタスクを実行します。

管理パーティションへのアクセス

コマンドラインインターフェイスを使用して admin パーティションでアクセスするには

  1. Citrix ADCアプライアンスにログオンします。
  2. 正しいパーティションにいるかどうかを確認します。コマンドプロンプトには、現在選択されているパーティションの名前が表示されます。
  3. 「はい」の場合は、次の手順に進みます。
  4. 「いいえ」の場合は、関連付けられているパーティションのリストを取得し、適切なパーティションに切り替えます。

    • show system user <username>
    • switch ns partition <partitionName>
  5. これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。

構成ユーティリティを使用して管理パーティションにアクセスするには

  1. Citrix ADCアプライアンスにログオンします。

  2. 正しいパーティションにいるかどうかを確認します。グラフィカル・ユーザー・インタフェースの上部バーには、現在選択されているパーティションの名前が表示されます。

    • 「はい」の場合は、次の手順に進みます。

    • [設定] > [システム] > [管理パーティション] > [パーティション] に移動し、切り替え先のパーティションを右クリックして [切り替 ] を選択します。

  3. これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。

管理パーティションを追加する

ルート管理者は、デフォルトパーティションから管理パーティションを追加し、そのパーティションを VLAN 2 にバインドします。

コマンドラインインターフェイス**を使用して管理パーティションを作成するには

コマンドプロンプトで、次のように入力します。

<partitionname>パーティションの追加

ユーザーアクセスをデフォルトパーティションから管理パーティションに切り替える

ここで、ユーザーアクセスを既定のパーティションからパーティション Par1 に切り替えます。

コマンドラインインターフェイスを使用して、デフォルトパーティションから管理者パーティションにユーザーアカウントを切り替えるには:

コマンドプロンプトで、次のように入力します。

<pname>スイッチ・パーティション

管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加する

パーティションで、管理アクセスを有効にしたSNIPアドレスを作成します。

コマンドラインインターフェイスを使用して管理アクセスを有効にしたパーティションユーザーアカウントに SNIP アドレスを追加するには:

コマンドプロンプトで、次のように入力します。

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

パーティションコマンドポリシーを使用してパーティションユーザーを作成およびバインドする

パーティションで、パーティションシステムユーザーを作成し、partition-admin コマンドポリシーを使用してユーザーをバインドします。

コマンドラインインターフェイスを使用して、パーティションコマンドポリシーを使用してパーティションシステムユーザーを作成し、バインドするには:

コマンドプロンプトで、次のように入力します。

> add system user <username> <password> Done

パーティションコマンドポリシーを使用したパーティションユーザーグループの作成とバインド

Partition Par1 で、パーティションシステムユーザグループを作成し、パーティションコマンドポリシー(パーティション admin、パーティション読み取り専用、パーティションオペレータ、パーティションネットワークなど)を使用してグループをバインドします。

コマンドラインインターフェイスを使用して、パーティションコマンドポリシーを使用してパーティションユーザーグループを作成し、バインドするには:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

外部ユーザの外部サーバ認証の設定

パーティション Par1 では、SNIP アドレスを使用してパーティションにアクセスする外部 TACACS ユーザを認証するように、外部サーバ認証を設定できます。

コマンドラインインターフェイスを使用して外部ユーザの外部サーバ認証を構成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

GUI を使用してパーティション内のパーティションのシステムユーザーアカウントを構成する

管理パーティションでパーティションユーザーアカウントを構成するには、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする必要があります。また、外部ユーザの外部サーバ認証を構成することもできます。

GUI を使用してパーティション内にパーティションユーザーアカウントを作成するには

システム」>「ユーザー管理」に移動し、「 ユーザー」をクリックしてパーティションシステムユーザーを追加し、ユーザーをコマンドポリシー(パーティション管理/パーティション読み取り専用/パーティション演算子/パーティションネットワーク)にバインドします。

GUI を使用してパーティションにパーティションユーザーグループアカウントを作成するには

[システム] > [ユーザー管理] に移動し、[グループ] をクリックしてパーティションシステムのユーザーグループを追加し、そのユーザーグループをコマンドポリシー(パーティション管理者/パーティション読み取り専用/パーティションオペレータ/パーティションネットワーク)にバインドします。

GUI を使用して外部ユーザの外部サーバ認証を構成するには

[システム] > [認証] > [基本アクション] に移動し、[TACACS] をクリックして、パーティションにアクセスする外部ユーザを認証するための TACACS サーバを設定します。

構成例

次の設定は、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする方法を示しています。また、外部ユーザを認証するための外部サーバ認証の設定方法についても説明します。

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

管理パーティションのパーティションユーザーとパーティションユーザーグループのコマンドポリシー

管理パーティション内のユーザーアカウントを認証するコマンド 管理パーティション内で利用可能なコマンドポリシー (組み込みポリシー) ユーザー・アカウント・アクセス・タイプ
add system user Partition-admin SNIP(管理アクセスが有効になっている場合)
add system group Partition-network SNIP(管理アクセスが有効になっている場合)
add authentication <action, policy>, bind system global <policy name> パーティション読取り専用 SNIP(管理アクセスが有効になっている場合)
remove system user パーティション管理者 SNIP(管理アクセスが有効になっている場合)
remove system group パーティション管理者 SNIP(管理アクセスが有効になっている場合)
bind system cmdpolicy to system user; bind system cmdpolicy to system group パーティション管理者 SNIP(管理アクセスが有効になっている場合)

デフォルトの管理パーティションで LACP イーサネットチャネルを設定します

リンクアグリゲーション制御プロトコル(LACP)を使用すると、複数のポートを 1 つの高速リンク(チャネルとも呼ばれます)に結合できます。LACP対応アプライアンスは、チャネルを介してLACPデータユニット(LACPDU)を交換します。

Citrix ADCアプライアンスのデフォルトパーティションでは、次の3つのLACP構成モードを有効にできます。

  1. アクティブ。アクティブモードのポートは LACPDU を送信します。イーサネットリンクのもう一方の端が LACP アクティブモードまたはパッシブモードの場合、リンク集約が形成されます。
  2. 受動的。パッシブモードのポートは、LACPDU を受信したときにだけ LACPDU を送信します。リンクアグリゲーションは、イーサネットリンクのもう一方の端が LACP アクティブモードである場合に形成されます。
  3. 無効化。リンク集約は形成されません。

デフォルトでは、アプライアンスのデフォルトパーティションではリンク集約が無効になっています。

LACP は、イーサネットリンクによって接続されたデバイス間で LACPDU を交換します。これらのデバイスは、通常、アクターまたはパートナーと呼ばれます。

LACPDU データユニットには、次のパラメータが含まれます。

  • LACP モード。アクティブ、パッシブ、または無効。
  • LACP タイムアウト。パートナーまたは俳優をタイムアウトするまでの待ち時間。指定可能な値:長整数型 (Long) と短い。デフォルト:長整数型。
  • ポートキー。異なるチャネルを区別する。key が 1 の場合、LA/1 が作成されます。key が 2 の場合、LA/2 が作成されます。可能な値:1 ~ 8 の整数。4 ~ 8 はクラスター CLAG 用です。
  • ポートプライオリティ。最小値:1。最大値:65535。デフォルト:32768。
  • システムプライオリティ。このプライオリティをシステム MAC とともに使用してシステム ID を形成し、パートナーとのLACP ネゴシエーション中にシステムを一意に識別します。システムプライオリティを 1 と 65535 から設定します。デフォルト値は 32768 に設定されています。
  • インターフェイス。NetScaler 10.1アプライアンスではチャネルあたり8つのインターフェイスをサポートし、NetScaler 10.5および11.0アプライアンスではチャネルあたり16のインターフェイスをサポートします。

LACPDU を交換した後、アクターとパートナーは設定をネゴシエートし、ポートを集約に追加するかどうかを決定します。

LACP の設定と確認

コマンドラインを使用してCitrix ADCアプライアンスでLACPを構成および確認するには

  1. 各インターフェイスで LACP を有効にします。

    コマンドプロンプトで、次のように入力します。

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1

    インターフェイスで LACP を有効にすると、チャネルがダイナミックに作成されます。さらに、インターフェイスで LACP を有効にし、lacpKey を 1 に設定すると、インターフェイスは自動的にチャネル LA/1 にバインドされます。

    インターフェイスをチャネルにバインドすると、チャネルパラメータがインターフェイスパラメータよりも優先されるため、インターフェイスパラメータは無視されます。チャネルが LACP によって動的に作成された場合は、チャネルに対して追加、バインド、バインド解除、または削除操作を実行できません。LACP によって動的に作成されたチャネルは、チャネルのすべてのインターフェイスで LACP を無効にすると、自動的に削除されます。

  2. システムプライオリティを設定します。

    コマンドプロンプトで、次のように入力します。

    set lacp -sysPriority <Positive_Integer>

  3. LACP が期待どおりに動作していることを確認します。

    show interface <Interface_ID>

    show channel

    show LACP

    Cisco IOS の一部のバージョンでは、switchport trunk native vlan <VLAN_ID> コマンドを実行すると、Cisco製スイッチは LACP PDU にタグ付けします。これにより、CiscoスイッチとCitrix ADCアプライアンス間のLACPチャネルに障害が発生します。ただし、この問題は、上記の手順で設定されたスタティックリンク集約チャネルには影響しません。

デフォルトのパーティションからすべての管理パーティションの設定を保存する

管理者は、デフォルトパーティションからすべての管理パーティションの設定を一度に保存できるようになりました。

CLI を使用してデフォルトパーティションからすべての管理パーティションを保存するには

コマンドプロンプトで、次のように入力します。

save ns config -all

パーティションおよびクラスタベースのカスタムレポートのサポート

Citrix ADC GUIでは、現在の表示パーティションまたはクラスタ内に作成されたカスタムレポートのみが表示されるようになりました。

以前は、Citrix ADC GUIでは、区別するパーティションまたはクラスタ名を指定せずに、カスタムレポート名をバックエンドファイルに直接保存していました。

GUIで現在のパーティションまたはクラスタのカスタム・レポートを表示するには

  • レポート 」タブにナビゲートします。

  • [Custom Reports] をクリックして、現在のパーティションまたはクラスタ内に作成されたレポートを表示します。

OAuth IdP のパーティション設定で VPN グローバル証明書をバインドするサポート

パーティション設定で、OAuth IdP デプロイメントの VPN グローバルに証明書をバインドできるようになりました。

CLI を使用してパーティションセットアップで証明書をバインドするには

コマンドプロンプトで、次のように入力します。

バインド VPN グローバル [-証明書キー名 <string>] [-ユーザーデータ暗号化キー <string>]