Citrix ADC

管理パーティション

Citrix ADCアプライアンスは、管理パーティションと呼ばれる論理エンティティに分割できます。各パーティションは、個別のCitrix ADCアプライアンスとして構成および使用できます。次の図は、さまざまな顧客や部門で使用されているCitrix ADC パーティションを示しています。

管理パーティション

パーティション分割されたCitrix ADCアプライアンスには、1つのデフォルトパーティションと1つ以上の管理パーティションがあります。次の表に、2 つのパーティション・タイプの詳細を示します。

パーティション化されたアプライアンスでは、モードBridgeBPDUはデフォルトのパーティションでのみ有効にでき、管理パーティションでは有効にできません。

可用性:

Citrix ADCアプライアンスには、デフォルトのパーティションと呼ばれる単一のパーティションが付属しています。デフォルトのパーティションは、Citrix ADCアプライアンスのパーティション分割後も保持されます。

管理パーティションの構成の説明に従って明示的に作成する必要があります。

パーティション数:

1

Citrix ADCアプライアンスは、1つ以上の(最大512の)管理パーティションを持つことができます。

ユーザーアクセスとロール:

パーティション固有の コマンドポリシーに関連付けられていないすべてのCitrix ADCユーザーは、デフォルトのパーティションにアクセスして構成できます。いつものように、関連するコマンドポリシーは、ユーザーが実行できる操作を制限します。

ユーザーアクセスとロールは、そのパーティションのユーザーも指定するCitrix ADCスーパーユーザーによって作成されます。管理者パーティションにアクセスして設定できるのは、スーパーユーザとパーティションの関連付けられたユーザだけです。

パーティションユーザーにはシェルアクセスがありません。

ファイル構造:

デフォルトパーティション内のすべてのファイルは、デフォルトのCitrix ADCファイル構造に保存されます。

たとえば、 /nsconfig ディレクトリには、Citrix ADC構成ファイルと /var/log/ ディレクトリには、Citrix ADCログが格納されます。**

admin パーティション内のすべてのファイルは、admin パーティションの名前を持つディレクトリパスに格納されます。

たとえば、Citrix ADC構成ファイル(ns.conf)は、/nsconfig/partitions/<partitionName> ディレクトリに格納されます。その他のパーティション固有のファイルは、/var/partitions/<partitionName> ディレクトリに格納されます。

管理パーティション内の他のいくつかのパス:

  • ダウンロードしたファイル:/var/partitions/<partitionName>/download/
  • ログ ファイル: /var/partitions/<partitionName>/log/

現在、ロギングはパーティションレベルではサポートされていません。したがって、このディレクトリは空であり、すべてのログは/var/log/ ディレクトリに格納されます。

  • SSL CRL 証明書関連ファイル:/var/partitions/<partitionName>/netscaler/ssl

利用可能なリソース:

すべてのCitrix ADCリソース。

管理者パーティションに明示的に割り当てられているCitrix ADCリソース。

ユーザー・アクセスと役割

パーティション化されたCitrix ADCアプライアンスの認証と承認では、ルート管理者はパーティション管理者を1つ以上のパーティションに割り当てることができます。パーティション管理者は、他のパーティションに影響を与えずに、そのパーティションに対してユーザーを許可できます。パーティションユーザーは、SNIPアドレスを使用してそのパーティションにのみアクセスすることを許可されています。ルート管理者とパーティション管理者の両方が、ロールベースのアクセス (ユーザーに異なるアプリケーションへのアクセスを許可することで RBA を構成できます。

管理者とユーザーの役割は、次のように記述できます。

ルート管理者。パーティション化されたアプライアンスに NSIP アドレスを通じてアクセスし、ユーザーに 1 つ以上のパーティションへのアクセスを許可できます。管理者は、パーティション管理者を 1 つ以上のパーティションに割り当てることもできます。管理者は、NSIPアドレスを使用してデフォルトのパーティションからパーティション管理者を作成するか、パーティションに切り替えてからユーザーを作成し、SNIPアドレスを使用してパーティション管理者アクセスを割り当てることができます。

パーティション管理者。ルート管理者によって割り当てられたNSIPアドレスを介して指定されたパーティションにアクセスします。管理者は、そのパーティションへのパーティションユーザアクセスにロールベースのアクセス権を割り当てることができます。また、パーティション固有の設定を使用して外部サーバ認証を構成することもできます。

システムユーザー。NSIP アドレスを使用してパーティションにアクセスします。ルート管理者によって指定されたパーティションとリソースにアクセスできます。

パーティションのユーザー。SNIP アドレスを使用してパーティションにアクセスします。ユーザーアカウントはパーティション管理者によって作成され、ユーザーはパーティション内でのみリソースにアクセスできます。

確認事項

次に、パーティションでロールベースのアクセスを提供するときに覚えておくべき点をいくつか示します。

  1. NSIPアドレスを介してGUIにアクセスするCitrix ADCユーザーは、デフォルトのパーティション認証構成を使用してアプライアンスにログオンします。
  2. パーティションSNIPアドレスを介してGUIにアクセスするパーティションシステムユーザーは、パーティション固有の認証構成を使用してアプライアンスにログオンします。
  3. パーティションに作成されたパーティションユーザーは、NSIPアドレスを使用してログインできません。
  4. パーティションにバインドされているCitrix ADCユーザーは、パーティションのSNIPアドレスを使用してログインできません。
  5. LDAP、RADIUS、またはTACACSとしてパーティションに追加された外部サーバー構成を介してパーティションにアクセスする外部ユーザー。ユーザーは、SNIPアドレスを使用してアクセスし、パーティションに直接ログオンする必要があります。

パーティション化されたセットアップでロールベースのアクセスを管理するためのユースケース

エンタープライズ組織である www.example.com に複数のビジネスユニットがあり、ネットワーク内のすべてのインスタンスを管理する一元管理管理者があるシナリオを考えてみましょう。ただし、各部署に対して排他的なユーザー権限と環境を提供したいと考えています。

パーティション化されたアプライアンスでデフォルトのパーティション認証構成とパーティション固有の設定で管理される管理者とユーザーを次に示します。

ジョン:ルート管理者

ジョージ:パーティション管理者

アダム:システムユーザー

ジェーン:パーティションユーザー

John は、パーティション分割されたCitrix ADCアプライアンスのルート管理者です。John は、アプライアンス内のパーティション(P1、P2、P3、P4、P5 など)にわたって、すべてのユーザー・アカウントおよび管理ユーザー・アカウントを管理します。Johnは、アプライアンスのデフォルトパーティションからエンティティへのきめ細かいロールベースのアクセスを提供します。John はユーザーアカウントを作成し、各アカウントにパーティションアクセスを割り当てます。組織内のネットワークエンジニアである George は、パーティション P2 で実行されている少数のアプリケーションに対して、役割ベースのアクセスを持つことを好みます。Johnは、ユーザー管理に基づいて、Georgeのパーティション管理者ロールを作成し、彼のユーザーアカウントをP2パーティションのpartition-adminコマンドポリシーに関連付けます。別のネットワークエンジニアであるアダムは、P2で実行されているアプリケーションにアクセスすることを好みます。Johnは、Adamのシステムユーザーアカウントを作成し、彼のユーザーアカウントをP2パーティションに関連付けます。アカウントが作成されると、Adamはアプライアンスにログインして、NSIPアドレスを介してCitrix ADC管理インターフェイスにアクセスし、に基づいてパーティションP2に切り替えることができます。 user/group 製本。

たとえば、別のネットワークエンジニアである Jane が、パーティション P2 でのみ実行されているアプリケーションに直接アクセスするとします。George(パーティション管理者)は、彼女のためにパーティションユーザアカウントを作成し、そのアカウントを認可特権のコマンドポリシーに関連付けることができます。パーティション内に作成された Jane のユーザーアカウントが P2 に直接関連付けられるようになりました。これで、ジェーンはSNIPアドレスを介してCitrix ADC管理インターフェイスにアクセスでき、他のパーティションに切り替えることはできません。

JaneのユーザーアカウントがパーティションP2のパーティション管理者によって作成された場合、管理者はSNIPアドレス(パーティション内に作成された)を介してのみCitrix ADC管理インターフェイスにアクセスできます。管理者は、NSIPアドレスを介してインターフェイスにアクセスすることは許可されていません。同様に、Adamのユーザーアカウントがルート管理者によってデフォルトパーティションで作成され、P2パーティションにバインドされている場合。管理者は、デフォルトのパーティションで作成されたNSIPアドレスまたはSNIPアドレス(管理アクセスが有効になっている)を介してのみCitrix ADC管理インターフェイスにアクセスできます。また、管理パーティションで作成されたSNIPアドレスを介してパーティションインターフェイスにアクセスすることは許可されていません。

パーティション管理者の役割と責任の構成

以下は、ルート管理者がデフォルトパーティションで実行する設定です。

管理パーティションとシステムユーザーの作成 — ルート管理者は、アプライアンスのデフォルトパーティションに管理パーティションとシステムユーザーを作成します。その後、管理者はユーザーを異なるパーティションに関連付けます。1 つ以上のパーティションにバインドされている場合は、ユーザーバインディングに基づいて 1 つのパーティションから別のパーティションに切り替えることができます。また、1 つ以上のバインドされたパーティションへのアクセスは、root 管理者によってのみ許可されます。

システムユーザーを特定のパーティションのパーティション管理者として承認する–ユーザーアカウントが作成されると、ルート管理者は特定のパーティションに切り替えて、ユーザーをパーティション管理者として承認します。これは、partition-adminコマンドポリシーをユーザーアカウントに割り当てることによって行われます。これで、ユーザーはパーティション管理者としてパーティションにアクセスし、パーティション内のエンティティを管理できるようになります。

次に、管理パーティションでパーティション管理者が実行する構成を示します。

管理パーティションでのSNIPアドレスの構成-パーティション管理者はパーティションにログオンしてSNIPアドレスを作成し、そのアドレスへの管理アクセスを提供します。

パーティションコマンドポリシーを使用したパーティションシステムユーザーの作成とバインド-パーティション管理者は、パーティションユーザーを作成し、ユーザーアクセスの範囲を定義します。これは、ユーザーアカウントをパーティションコマンドポリシーにバインドすることによって行われます。

パーティションコマンドポリシーを使用したパーティションシステムユーザーグループの作成とバインド-パーティション管理者はパーティションユーザーグループを作成し、ユーザーグループアクセスの範囲を定義します。これは、ユーザーグループアカウントをパーティションコマンドポリシーにバインドすることによって行われます。

外部ユーザーの外部サーバー認証の構成(オプション)-この構成は、SNIPアドレスを使用してパーティションにアクセスする外部TACACSユーザーを認証するために行われます。

管理パーティション内のパーティション・ユーザーの役割ベースのアクセスを構成する際に実行されるタスクは次のとおりです。

  1. 管理パーティションの作成 — 管理パーティションにパーティション・ユーザーを作成する前に、まずパーティションを作成する必要があります。ルート管理者は、設定ユーティリティーまたはコマンドラインインターフェイスを使用して、デフォルトパーティションからパーティションを作成できます。
  2. ユーザーアクセスをデフォルトパーティションからパーティションP2に切り替える–パーティション管理者がデフォルトパーティションからアプライアンスにアクセスしている場合は、デフォルトパーティションから特定のパーティションに切り替えることができます。たとえば、ユーザーバインディングに基づいてP2を分割します。
  3. 管理アクセスが有効になっているパーティションユーザーアカウントにSNIPアドレスを追加する-管理パーティションへのアクセスを切り替えたら。SNIPアドレスを作成し、そのアドレスへの管理アクセスを提供します。
  4. パーティションコマンドポリシーを使用したパーティションシステムユーザーの作成とバインド-パーティション管理者の場合は、パーティションユーザーを作成し、ユーザーアクセスの範囲を定義できます。これは、ユーザーアカウントをパーティションコマンドポリシーにバインドすることによって行われます。
  5. パーティションコマンドポリシーを使用したパーティションユーザーグループの作成とバインド-パーティション管理者の場合は、パーティションユーザーグループを作成し、ユーザーアクセス制御の範囲を定義できます。これは、ユーザーグループアカウントをパーティションコマンドポリシーにバインドすることによって行われます。

外部ユーザーの外部サーバー認証の構成(オプション)-この構成は、SNIPアドレスを使用してパーティションにアクセスする外部TACACSユーザーを認証するために行われます。

管理パーティションを使用する利点

展開に管理パーティションを使用することで、次の利点を利用できます。

  • アプリケーションの管理所有権を顧客に委任できるようにします。
  • 性能と使いやすさを損なうことなく、ADCの所有コストを削減します。
  • 不当な構成変更から守ります。パーティション化されていないCitrix ADCアプライアンスでは、他のアプリケーションの許可されたユーザーが、アプリケーションに必要な構成を意図的または意図せずに変更できます。望ましくない動作につながる可能性があります。この可能性は、パーティション化されたCitrix ADCアプライアンスで低減されます。
  • パーティションごとに専用 VLAN を使用して、異なるアプリケーション間のトラフィックを分離します。
  • アプリケーションの展開を加速し、拡張できるようにします。
  • アプリケーション・レベルまたはローカライズされた管理とレポート作成を可能にします。

私たちは、あなたが管理パーティションを使用できるシナリオを理解するために、いくつかのケースを分析してみましょう。

ユースケース 1: エンタープライズネットワークでの管理パーティションの使用方法

私たちは Foo.comという名前の会社が直面するシナリオを考えてみましょう。

  • Foo.com は、単一のCitrix ADC を持っています.
  • 5つの部門があり、各部門には1つのアプリケーションがあり、Citrix ADCで展開する必要があります。
  • 各アプリケーションは、異なるユーザーまたは管理者のセットによって個別に管理する必要があります。
  • 他のユーザーは、設定へのアクセスを制限する必要があります。
  • アプリケーションまたはバックエンドは、IP アドレスなどのリソースを共有できる必要があります。
  • グローバルIT部門は、すべてのパーティションに共通するCitrix ADCレベルの設定を制御できる必要があります。
  • アプリケーションは互いに独立している必要があります。一方のアプリケーションの構成のエラーが他方に影響を与えてはなりません。

パーティション化されていないCitrix ADCは、これらの要件を満たすことができません。ただし、Citrix ADCをパーティション化することで、これらの要件をすべて達成できます。

アプリケーションごとにパーティションを作成し、必要なユーザーをパーティションに割り当てて、各パーティションに VLAN を指定し、デフォルトパーティションにグローバル設定を定義するだけです。

ユースケース 2: サービスプロバイダによる管理パーティションの使用方法

私たちは、 BigProviderという名前のサービスプロバイダが直面するシナリオを考えてみましょう。

  • BigProviderには、小規模企業3社と大企業2社の5社の顧客があります。
  • スモールビズスモールビズスタートアップビズは、最も基本的なCitrix ADC機能のみを必要とします。
  • BigBizLargeBiz は大企業であり、大量のトラフィックを引き付けるアプリケーションがあります。より複雑なCitrix ADC機能の一部を使用したいと考えています。

パーティション分割されていないアプローチでは、Citrix ADC管理者は通常、Citrix ADC SDXアプライアンスを使用し、各顧客に対してCitrix ADCインスタンスをプロビジョニングします。

このソリューションは、 BigBizLargeBizに適し ています。これは、これらのアプリケーションが、パーティション化されていないCitrix ADCアプライアンス全体のパワーを低下させることなく必要とするためです。ただし、このソリューションは、SmallBizSmallerBiz、および StartupBizのサービスに対して費用対効果が低い場合があります。

したがって、 BigProvider は次の解決策を決定します。

  • Citrix ADC SDXアプライアンスを使用して、 BigBizおよび LargeBiz 専用のCitrix ADCインスタンスを起動します。
  • 3つのパーティションに分割された単一のCitrix ADCを使用します。このパーティションは、 SmallBizSmallerBizおよび StartupBizに対してそれぞれ1つずつ。

Citrix ADC管理者(スーパーユーザー)は、これらの顧客ごとに管理パーティションを作成し、パーティションのユーザーを指定します。また、パーティションのCitrix ADCリソースを指定し、各パーティション宛てのトラフィックが使用するVLANを指定します。