Citrix ADC

管理パーティションの構成

重要

  • 管理者パーティションの作成と構成は、スーパーユーザーだけに許可されます。
  • 特に指定しない限り、admin パーティションをセットアップする設定は、デフォルトパーティションから行う必要があります。

Citrix ADCアプライアンスをパーティション化すると、1つのCitrix ADCアプライアンスの複数のインスタンスを作成できます。各インスタンスには独自の構成があり、これらの各パーティションのトラフィックは他のパーティションから分離されています。これは、各パーティションに専用VLANまたは共有VLANを割り当てることによって行われます。

パーティション分割されたCitrix ADCには、1つのデフォルトパーティションと作成されるadminパーティションがあります。管理パーティションを設定するには、まず、関連するリソース(メモリ、最大帯域幅、および接続)を含むパーティションを作成する必要があります。次に、パーティションにアクセスできるユーザーと、パーティション上の各ユーザーの承認レベルを指定します。

パーティション分割されたCitrix ADCへのアクセスは、パーティション分割されていないCitrix ADCへのアクセスと同じです。NSIPアドレスまたは他の管理IPアドレスを使用します。ユーザーとして、有効なログオン資格情報を入力すると、バインド先のパーティションが表示されます。作成した構成は、そのパーティションに保存されます。複数のパーティションに関連付けられている場合は、関連付けられた最初のパーティションが表示されます。他のパーティションのいずれかでエンティティを構成する場合は、明示的にそのパーティションに切り替える必要があります。

適切なパーティションにアクセスした後、実行する構成はそのパーティションに保存され、そのパーティションに固有です。

  • Citrix ADCスーパーユーザーおよびその他の非パーティションユーザーは、デフォルトのパーティションになります。
  • 512 パーティションのユーザーは、同時にログインできます。

ヒント

SNIP(管理アクセスが有効になっている)を使用してHTTPS経由でパーティション分割されたCitrix ADCアプライアンスにアクセスするには、各パーティションにパーティション管理者の証明書があることを確認してください。パーティション内で、パーティション管理者は次のことを行う必要があります。

  1. 証明書を Citrix ADC に追加します。

    add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key

  2. nshttps-<SNIP>-3009という名前のサービスにバインドします。ここで<SNIP>は SNIP アドレス(この場合は 100.10.10.1)に置き換える必要があります。

    bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate

パーティションのリソース制限

パーティション分割されたCitrix ADCアプライアンスでは、ネットワーク管理者は、メモリ、帯域幅、接続制限などのパーティションリソースを無制限に設定したパーティションを作成できます。これは、パーティションリソース値としてゼロを指定することによって行われます。ここで、ゼロは、リソースがパーティション上で無制限であり、システム制限まで消費できることを示します。パーティションリソースの構成は、トラフィックドメインの展開を管理パーティションに移行する場合、または特定の展開におけるパーティションのリソース割り当て制限について知らない場合に役立ちます。

管理パーティションのリソース制限は次のとおりです。

  1. パーティションメモリ。これは、パーティションに割り当てられた最大メモリです。パーティションを作成するときは、必ず値を指定してください。

    NetScaler 12.0以降では、パーティションを作成するときに、メモリ制限をゼロに設定できます。特定のメモリ制限を使用してパーティションがすでに作成されている場合は、制限を任意の値に減らすか、または制限をゼロに設定できます。

    パラメータ:最大メモリ制限

    最大メモリは、パーティションにMB単位で割り当てられます。ゼロ値は、メモリがパーティション上で無制限であり、システム制限まで消費できることを示します。

    デフォルト値:10

  2. パーティション帯域幅。パーティションに割り当てられた最大帯域幅。制限を指定する場合は、アプライアンスのライセンスされたスループットの範囲内であることを確認してください。それ以外の場合は、パーティションで使用される帯域幅を制限していません。指定された制限は、アプリケーションが必要とする帯域幅に対して責任を負います。アプリケーションの帯域幅が指定の制限を超えた場合、パケットはドロップされます。

    NetScaler 12.0以降では、パーティションを作成できるときに、パーティションの帯域幅制限をゼロに設定できます。特定の帯域幅を使用してパーティションがすでに作成されている場合は、帯域幅を減らすか、または制限をゼロに設定できます。

    パラメータ:最大帯域幅

    最大帯域幅は、パーティションに Kbps 単位で割り当てられます。ゼロの値は、帯域幅が制限されていないことを示します。つまり、パーティションはシステム制限まで消費できます。

    デフォルト値:10240

    最大値:4294967295

  3. パーティション接続。パーティションで開くことができる同時接続の最大数。この値は、パーティション内で予想される最大同時フローに対応する必要があります。パーティション接続は、パーティションクォータメモリからアカウンティングされます。以前は、接続はデフォルトのパーティションクォータメモリから占められていました。クライアント側でのみ構成され、バックエンドサーバー側の TCP 接続では構成されません。この構成値を超えて新しい接続を確立することはできません。

    NetScaler 12.0以降では、開いている接続の数をゼロに設定してパーティションを作成できます。すでに特定の数の開いている接続を持つパーティションを作成している場合は、接続制限を減らすか、または制限をゼロに設定できます。

    パラメータ:最大接続

    パーティション内で開くことができる同時接続の最大数。ゼロ値は、開いている接続の数に制限がないことを示します。

    デフォルト値:1024

    最小値:0

    最大値:4294967295

管理パーティションの構成

admin パーティションを設定するには、次のタスクを実行します。

CLIを使用して管理パーティションにアクセスするには

  1. Citrix ADCアプライアンスにログオンします。
  2. 正しいパーティションにいるかどうかを確認します。コマンドプロンプトには、現在選択されているパーティションの名前が表示されます。
  3. 「はい」の場合は、次の手順に進みます。
  4. 「いいえ」の場合は、関連付けられているパーティションのリストを取得し、適切なパーティションに切り替えます。

    • show system user <username>
    • switch ns partition <partitionName>
  5. これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。

GUIを使用して管理パーティションにアクセスするには

  1. Citrix ADCアプライアンスにログオンします。

  2. 正しいパーティションにいるかどうかを確認します。GUIのトップバーには、現在選択されているパーティションの名前が表示されます。

    • 「はい」の場合は、次の手順に進みます。

    • [設定] > [システム] > [管理パーティション] > [パーティション] に移動し、切り替え先のパーティションを右クリックして [切り替 ] を選択します。

  3. これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。

管理パーティションを追加する

ルート管理者は、デフォルトパーティションから管理パーティションを追加し、そのパーティションを VLAN 2 にバインドします。

CLIを使用して管理パーティションを作成するには

コマンドプロンプトで、次のように入力します。

add partition <partitionname>

ユーザーアクセスをデフォルトパーティションから管理パーティションに切り替える

これで、ユーザーアクセスをデフォルトのパーティションからパーティションPar1に切り替えることができます。

CLIを使用してユーザーアカウントをデフォルトパーティションから管理パーティションに切り替えるには:

コマンドプロンプトで、次のように入力します。

Switch ns partition <pname>

管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加する

パーティションで、管理アクセスを有効にしてSNIPアドレスを作成します。

コマンドラインインターフェイスを使用して管理アクセスを有効にしたパーティションユーザーアカウントに SNIP アドレスを追加するには:

コマンドプロンプトで、次のように入力します。

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

パーティションコマンドポリシーを使用してパーティションユーザーを作成およびバインドする

パーティションで、パーティションシステムユーザーを作成し、partition-admin コマンドポリシーを使用してユーザーをバインドします。

CLIを使用して、パーティションコマンドポリシーを使用してパーティションシステムユーザーを作成およびバインドするには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

> add system user <username> <password>

Done

パーティションコマンドポリシーを使用したパーティションユーザーグループの作成とバインド

Partition Par1 で、パーティションシステムユーザグループを作成し、パーティションコマンドポリシー(パーティション admin、パーティション読み取り専用、パーティションオペレータ、パーティションネットワークなど)を使用してグループをバインドします。

コマンドラインインターフェイスを使用して、パーティションコマンドポリシーを使用してパーティションユーザーグループを作成し、バインドするには:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

外部ユーザの外部サーバ認証の設定

パーティションPar1では、SNIPアドレスを介してパーティションにアクセスする外部TACACSユーザーを認証するように外部サーバー認証を構成できます。

コマンドラインインターフェイスを使用して外部ユーザの外部サーバ認証を構成するには、次の手順を実行します。

コマンドプロンプトで、次のように入力します。

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

GUIを使用して、パーティション内のパーティションシステムユーザーアカウントを構成します

管理パーティションでパーティションユーザーアカウントを構成するには、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする必要があります。また、外部ユーザの外部サーバ認証を構成することもできます。

GUI を使用してパーティション内にパーティションユーザーアカウントを作成するには

システム」>「ユーザー管理」に移動し、「 ユーザー」をクリックしてパーティションシステムユーザーを追加し、ユーザーをコマンドポリシー(パーティション管理/パーティション読み取り専用/パーティション演算子/パーティションネットワーク)にバインドします。

GUI を使用してパーティションにパーティションユーザーグループアカウントを作成するには

[システム] > [ユーザー管理] に移動し、[グループ] をクリックしてパーティションシステムのユーザーグループを追加し、そのユーザーグループをコマンドポリシー(パーティション管理者/パーティション読み取り専用/パーティションオペレータ/パーティションネットワーク)にバインドします。

GUIを使用して外部ユーザーの外部サーバー認証を構成するには

[システム] > [認証] > [基本アクション] に移動し、[TACACS] をクリックして、パーティションにアクセスする外部ユーザを認証するための TACACS サーバを設定します。

構成例

次の設定は、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする方法を示しています。また、外部ユーザを認証するための外部サーバ認証の設定方法についても説明します。

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

管理パーティション内のパーティションユーザーおよびパーティションユーザーグループのコマンドポリシー

管理パーティション内のユーザーアカウントを承認するコマンド 管理パーティション内で利用可能なコマンドポリシー (組み込みポリシー) ユーザー・アカウント・アクセス・タイプ
add system user Partition-admin SNIP(管理アクセスが有効になっている場合)
add system group Partition-network SNIP(管理アクセスが有効になっている場合)
add authentication <action, policy>, bind system global <policy name> パーティション読取り専用 SNIP(管理アクセスが有効になっている場合)
remove system user Partition-admin SNIP(管理アクセスが有効になっている場合)
remove system group Partition-admin SNIP(管理アクセスが有効になっている場合)
bind system cmdpolicy システムユーザーへ。 bind system cmdpolicy システムグループへ Partition-admin SNIP(管理アクセスが有効になっている場合)

デフォルトの管理パーティションでLACPイーサネットチャネルを設定します

リンクアグリゲーション制御プロトコル(LACP)を使用すると、複数のポートを1つの高速リンク(チャネルとも呼ばれます)に組み合わせることができます。LACP対応アプライアンスは、チャネルを介してLACPデータユニット(LACPDU)を交換します。

Citrix ADCアプライアンスのデフォルトパーティションでは、次の3つのLACP構成モードを有効にできます。

  1. アクティブ。アクティブモードのポートは LACPDU を送信します。イーサネットリンクのもう一方の端が LACP アクティブモードまたはパッシブモードの場合、リンク集約が形成されます。
  2. 受動的。パッシブモードのポートは、LACPDU を受信したときにだけ LACPDU を送信します。リンクアグリゲーションは、イーサネットリンクのもう一方の端が LACP アクティブモードである場合に形成されます。
  3. 無効化。リンク集約は形成されません。

デフォルトでは、アプライアンスのデフォルトパーティションではリンク集約が無効になっています。

LACP は、イーサネットリンクによって接続されたデバイス間で LACPDU を交換します。これらのデバイスは、通常、アクターまたはパートナーと呼ばれます。

LACPDU データユニットには、次のパラメータが含まれます。

  • LACP モード。アクティブ、パッシブ、または無効にします。
  • LACP タイムアウト。パートナーまたは俳優をタイムアウトするまでの待ち時間。指定可能な値:長整数型 (Long) と短い。デフォルト:長整数型。
  • ポートキー。異なるチャネルを区別する。キーが1の場合 LA/1 創造された。キーが2の場合 LA/2 創造された。可能な値:1 ~ 8 の整数。4 ~ 8 はクラスター CLAG 用です。
  • ポートプライオリティ。最小値:1。最大値:65535。デフォルト:32768。
  • システムプライオリティ。この優先度をシステムMACとともに使用して、システムIDを形成し、パートナーとのLACPネゴシエーション中にシステムを一意に識別します。システムプライオリティを 1 と 65535 から設定します。デフォルト値は 32768 に設定されています。
  • インターフェイス。NetScaler 10.1アプライアンスではチャネルあたり8つのインターフェイスをサポートし、NetScaler 10.5および11.0アプライアンスではチャネルあたり16のインターフェイスをサポートします。

LACPDU を交換した後、アクターとパートナーは設定をネゴシエートし、ポートを集約に追加するかどうかを決定します。

LACP の設定と確認

次のセクションでは、管理パーティションでLACPを構成および検証する方法を示します。

CLIを使用してCitrix ADCアプライアンスでLACPを構成および検証するには

  1. 各インターフェイスで LACP を有効にします。

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1

    インターフェイスで LACP を有効にすると、チャネルがダイナミックに作成されます。また、インターフェイスでLACPを有効にし、lacpKeyを1に設定すると、インターフェイスは自動的にチャネルにバインドされます。 LA/1.

    インターフェイスをチャネルにバインドすると、チャネルパラメータがインターフェイスパラメータよりも優先されるため、インターフェイスパラメータは無視されます。チャネルがLACPによって動的に作成される場合、チャネルに対して追加、バインド、バインド解除、または削除操作を実行することはできません。LACP によって動的に作成されたチャネルは、チャネルのすべてのインターフェイスで LACP を無効にすると、自動的に削除されます。

  2. システムプライオリティを設定します。

    set lacp -sysPriority <Positive_Integer>

  3. LACP が期待どおりに動作していることを確認します。

    show interface <Interface_ID>

    show channel

    show LACP

    Cisco Internetwork Operating System(iOS)の一部のバージョンでは、スイッチポートトランクネイティブVLANを実行しています < VLAN_ID> コマンドを実行すると、CiscoスイッチはLACP PDUにタグを付けます。これにより、CiscoスイッチとCitrix ADCアプライアンス間のLACPチャネルに障害が発生します。ただし、この問題は、前の手順で構成された静的リンクアグリゲーションチャネルには影響しません。

デフォルトのパーティションからすべての管理パーティションの設定を保存する

管理者は、デフォルトのパーティションからすべての管理パーティションの構成を一度に保存できます。

CLIを使用して、デフォルトのパーティションからすべての管理パーティションを保存します

コマンドプロンプトで、次のように入力します。

save ns config -all

パーティションおよびクラスタベースのカスタムレポートのサポート

Citrix ADC GUIは、現在の表示パーティションまたはクラスターで作成されたカスタムレポートのみを表示します。

以前は、Citrix ADC GUIは、区別するためにパーティションまたはクラスター名を指定せずに、カスタムレポート名をバックエンドファイルに直接保存するために使用されていました。

GUIで現在のパーティションまたはクラスターのカスタムレポートを表示するには

  • レポート 」タブにナビゲートします。

  • [ カスタムレポート] をクリックして、現在のパーティションまたはクラスターで作成されたレポートを表示します。

OAuth IdP のパーティション設定で VPN グローバル証明書をバインドするサポート

パーティション設定で、OAuth IdP デプロイメントの VPN グローバルに証明書をバインドできるようになりました。

CLI を使用してパーティションセットアップで証明書をバインドするには

コマンドプロンプトで、次のように入力します。

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]
管理パーティションの構成