Citrix ADC

管理パーティションを構成する

重要

  • 管理パーティションの作成と構成は、スーパーユーザーのみに許可されます。
  • 特に指定がない限り、管理パーティションをセットアップするための設定は、デフォルトパーティションから行う必要があります。

Citrix ADCアプライアンスをパーティション化すると、実際には単一のCitrix ADCアプライアンスの複数のインスタンスが作成されます。各インスタンスには独自の設定があり、これらの各パーティションのトラフィックは他のパーティションから分離されます。これは、各パーティションに専用 VLAN または共有 VLAN を割り当てることによって行われます。

パーティション化されたCitrix ADCには、1つのデフォルトパーティションと作成される管理パーティションがあります。管理パーティションを設定するには、まず、関連するリソース(メモリ、最大帯域幅、および接続)を持つパーティションを作成する必要があります。次に、パーティションにアクセスできるユーザーと、パーティション上の各ユーザーの承認レベルを指定します。

パーティション化されたCitrix ADCへのアクセスは、NSIPアドレスまたはその他の管理IPアドレスを使用して、パーティション化されていないCitrix ADCにアクセスするのと同じです。ユーザーとして、有効なログオン資格情報を入力すると、バインド先のパーティションに連れて行かれます。作成した構成は、そのパーティションに保存されます。複数のパーティションに関連付けられている場合は、関連付けられた最初のパーティションが表示されます。他のパーティションの 1 つにエンティティを構成する場合は、そのパーティションに明示的に切り替える必要があります。

適切なパーティションにアクセスすると、実行する構成はそのパーティションに保存され、そのパーティションに固有になります。

  • Citrix ADCスーパーユーザーおよびその他の非パーティションユーザーは、デフォルトのパーティションになります。
  • 512 パーティションのユーザーは同時にログインできます。

ヒント

SNIP(管理アクセスが有効)を使用してHTTPS経由でパーティション化されたCitrix ADCアプライアンスにアクセスするには、各パーティションにパーティション管理者の証明書があることを確認してください。パーティション内では、パーティション管理者は次の操作を行う必要があります。

  1. 証明書をCitrix ADCに追加します。

    add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key

  2. これはサービスnshttps-<SNIP>-3009にバインドされます。<SNIP>はSNIP アドレス(この場合は 100.10.10.1)に置き換える必要があります。

    bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate

パーティションリソースの制限

パーティション化されたCitrix ADCアプライアンスでは、ネットワーク管理者は、メモリ、帯域幅、接続制限などのパーティションリソースが無制限として構成されたパーティションを作成できます。これは、パーティションリソースの値として Zero を指定することによって行われます。ゼロは、パーティション上でリソースが無制限であり、システム制限まで消費できることを示します。パーティションリソース構成は、トラフィックドメインの展開を管理パーティションに移行する場合や、特定の展開内のパーティションのリソース割り当て制限がわからない場合に便利です。

管理パーティションのリソース制限は次のとおりです。

  1. パーティションメモリ。これは、パーティションに割り当てられる最大メモリです。パーティションを作成するときは、必ず値を指定してください。

    NetScaler 12.0以降では、パーティションを作成するときに、メモリ制限をゼロに設定できます。特定のメモリ制限を使用してパーティションがすでに作成されている場合は、制限を任意の値に減らすか、制限をゼロに設定できます。

    パラメータ:maxMemLimit

    パーティション内の最大メモリは MB 単位で割り当てられます。ゼロの値は、パーティション上のメモリが無制限であり、システム制限まで消費できることを示します。

    デフォルト値:10

  2. パーティション帯域幅。パーティションに割り当てられる最大帯域幅。制限を指定する場合は、アプライアンスのライセンススループット内であることを確認してください。それ以外の場合、パーティションで使用される帯域幅は制限されません。指定された制限は、アプリケーションが必要とする帯域幅について責任があります。アプリケーションの帯域幅が指定された制限を超えると、パケットはドロップされます。

    NetScaler 12.0以降では、パーティションを作成できるときに、パーティションの帯域幅制限をゼロに設定できます。パーティションが特定の帯域幅で既に作成されている場合は、帯域幅を減らすか、制限をゼロに設定できます。

    パラメータ:最大帯域幅

    パーティション内の最大帯域幅は Kbps 単位で割り当てられます。ゼロの値は、帯域幅が制限されていないことを示します。つまり、パーティションはシステム制限まで消費する可能性があります。

    デフォルト値:10240

    最大値:4294967295

  3. パーティション接続。パーティションで開くことができる同時接続の最大数。この値は、パーティション内で予想される最大同時フローに対応する必要があります。パーティション接続は、パーティションクォータメモリから計算されます。以前は、接続はデフォルトのパーティションクォータメモリから計算されていました。これは、バックエンドのサーバー側の TCP 接続ではなく、クライアント側でのみ構成されます。この設定値を超えると、新しい接続を確立できません。

    NetScaler 12.0以降では、開いている接続数がゼロに設定されたパーティションを作成できます。特定の数のオープン接続を持つパーティションをすでに作成している場合は、接続制限を減らすか、制限をゼロに設定できます。

    パラメータ:最大接続

    パーティションで開くことができる同時接続の最大数。ゼロの値は、開いている接続の数に制限がないことを示します。

    デフォルト値:1024

    最小値:0

    最大値:4294967295

管理パーティションを構成する

管理パーティションを設定するには、次のタスクを実行します。

CLI を使用して管理パーティションでアクセスするには

  1. Citrix ADCアプライアンスにログオンします。
  2. 正しいパーティションに入っているかどうかを確認します。コマンドプロンプトに、現在選択されているパーティションの名前が表示されます。
  3. はいの場合は、次のステップに進みます。
  4. いいえ、関連付けられているパーティションのリストを取得し、適切なパーティションに切り替えます。

    • show system user <username>
    • switch ns partition <partitionName>
  5. これで、パーティション化されていないCitrix ADCとして必要な構成を実行できます。

GUI を使用して管理パーティションにアクセスするには

  1. Citrix ADCアプライアンスにログオンします。

  2. 正しいパーティションに入っているかどうかを確認します。GUI の上部バーには、現在選択されているパーティションの名前が表示されます。

    • はいの場合は、次のステップに進みます。

    • [いいえ] の場合は、[ 構成] > [システム] > [パーティション管理] **[パーティション] に移動し、切り替えるパーティションを右クリックし、[ **切り替え] を選択します。

  3. これで、パーティション化されていないCitrix ADCとして必要な構成を実行できます。

管理者パーティションを追加する

ルート管理者は、デフォルトパーティションから管理パーティションを追加し、そのパーティションを VLAN 2 にバインドします。

CLI を使用して管理パーティションを作成するには

コマンドプロンプトで入力します。

add partition <partitionname>

ユーザーアクセスをデフォルトパーティションから管理パーティションに切り替える

これで、ユーザーアクセスをデフォルトパーティションからパーティション Par1 に切り替えることができます。

CLI を使用してユーザアカウントをデフォルトパーティションから管理パーティションに切り替えるには、次の手順を実行します。

コマンドプロンプトで入力します。

Switch ns partition <pname>

管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加する

パーティションで、管理アクセスが有効な SNIP アドレスを作成します。

コマンドラインインターフェイスを使用して管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加するには、次の手順を実行します。

コマンドプロンプトで入力します。

> add ns ip <ip address> <subnet mask> -mgmtAccess enabled

パーティションコマンドポリシーを使用してパーティションユーザーを作成してバインドする

パーティションで、パーティションシステムユーザーを作成し、partition-admin コマンドポリシーでユーザーをバインドします。

CLI を使用して partition コマンドポリシーを使用してパーティションシステムユーザーを作成してバインドするには、次の手順を実行します。

コマンドプロンプトで入力します。

> add system user <username> <password>

Done

partition コマンドポリシーを使用したパーティションユーザーグループの作成とバインド

パーティション Par1 で、パーティションシステムユーザーグループを作成し、パーティション管理、パーティション読み取り専用、パーティションオペレータ、パーティションネットワークなどのパーティションコマンドポリシーを使用してグループをバインドします。

コマンドラインインターフェイスを使用して、パーティションコマンドポリシーを使用してパーティションユーザーグループを作成し、バインドするには:

> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)

外部ユーザの外部サーバ認証の設定

パーティション Par1 では、外部サーバ認証を設定して、SNIP アドレスを介してパーティションにアクセスする外部 TACACS ユーザを認証できます。

コマンドラインインターフェイスを使用して外部ユーザーの外部サーバー認証を設定するには、次の手順を実行します。

コマンドプロンプトで入力します。

> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1

GUIを使用して、パーティション内のパーティションシステムユーザーアカウントを構成します

管理パーティションでパーティションユーザーアカウントを構成するには、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする必要があります。また、外部ユーザの外部サーバ認証を構成することもできます。

GUI を使用してパーティションにパーティションユーザーアカウントを作成するには

[ システム] > [ユーザー管理] に移動し、[ ユーザー ] をクリックしてパーティションシステムユーザーを追加し、コマンドポリシー (partitionadmin/partition/partition-ad-only/パーティション演算子/パーティションネットワーク) にユーザーをバインドします。

GUI を使用してパーティションにパーティションのユーザーグループアカウントを作成するには

[ システム] > [ユーザー管理] に移動し、[ グループ ] をクリックしてパーティションシステムのユーザーグループを追加し、ユーザーグループをコマンドポリシー (partitionadmin/partition/partition-read-only/パーティション演算子/パーティションネットワーク) にバインドします。

GUI を使用して外部ユーザの外部サーバ認証を設定するには

[ システム] > [認証] > [基本アクション ] に移動し、[ TACACS ] をクリックして、パーティションにアクセスする外部ユーザを認証するための TACACS サーバを設定します。

構成例

次の構成では、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする方法を示します。また、外部ユーザを認証するための外部サーバ認証の設定方法についても説明します。

> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1

管理パーティション内のパーティションユーザーおよびパーティションユーザーグループのコマンドポリシー

管理パーティション内のユーザアカウントを認証するコマンド 管理パーティション内で使用可能なコマンドポリシー (組み込みポリシー) ユーザーアカウントアクセスタイプ
add system user パーティション管理 SNIP(管理アクセスが有効になっている場合)
add system group パーティションネットワーク SNIP(管理アクセスが有効になっている場合)
add authentication <action, policy>, bind system global <policy name> パーティション-読み取り専用 SNIP(管理アクセスが有効になっている場合)
remove system user パーティション管理 SNIP(管理アクセスが有効になっている場合)
remove system group パーティション管理 SNIP(管理アクセスが有効になっている場合)
bind system cmdpolicy to system user; bind system cmdpolicy to system group パーティション管理 SNIP(管理アクセスが有効になっている場合)

デフォルトの管理パーティションで LACP イーサネットチャネルを設定します

リンク集約制御プロトコル(LACP)を使用すると、複数のポートを単一の高速リンク(チャネルとも呼ばれる)に結合できます。LACP 対応アプライアンスは、チャネルを介して LACP データユニット(LACPDU)を交換します。

Citrix ADCアプライアンスのデフォルトパーティションで有効にできるLACP構成モードは3つあります。

  1. アクティブ。アクティブモードのポートは LACPDU を送信します。リンクアグリゲーションは、イーサネットリンクのもう一方の端が LACP アクティブモードまたはパッシブモードにある場合に形成されます。
  2. パッシブ。パッシブモードのポートは、lacPDU を受信したときにのみ lacPDU を送信します。リンクアグリゲーションは、イーサネットリンクのもう一方の端が LACP アクティブモードにある場合に形成されます。
  3. 無効化。リンクアグリゲーションは形成されません。

デフォルトでは、リンクアグリゲーションはアプライアンスのデフォルトパーティションで無効になっています。

LACP は、イーサネットリンクによって接続されたデバイス間で LACPDU を交換します。これらのデバイスは、通常、アクターまたはパートナーと呼ばれます。

LACPDU データユニットには、次のパラメータが含まれています。

  • LACP モード。アクティブ、パッシブ、または無効。
  • LACP タイムアウト。パートナーまたは俳優がタイムアウトするまでの待機期間。指定可能な値:ロングとショート。デフォルト:長い。
  • ポートキー。異なるチャネルを区別する。キーが 1 の場合、LA/1 が作成されます。キーが 2 の場合、LA/2 が作成されます。指定可能な値:1 から 8 までの整数。4 ~ 8 はクラスタ CLAG 用です。
  • ポートプライオリティ。最小値:1。最大値:65535 デフォルト:32768。
  • システム優先度。このプライオリティをシステム MAC とともに使用して、パートナーとのLACP ネゴシエーション中にシステムを一意に識別するシステム ID を形成します。システムプライオリティを 1 および 65535 から設定します。デフォルト値は 32768 に設定されています。
  • インターフェイス。NetScaler 10.1アプライアンスではチャネルごとに8つのインターフェイスをサポートし、NetScaler 10.5および11.0アプライアンスではチャネルごとに16インターフェイスをサポートします。

LACPDU を交換した後、アクターとパートナーは設定をネゴシエートし、集約にポートを追加するかどうかを決定します。

LACP の設定と確認

次のセクションでは、管理パーティションで LACP を設定して検証する方法について説明します。

CLIを使用してCitrix ADCアプライアンスでLACPを構成して検証するには

  1. 各インターフェイスで LACP を有効にします。

    set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1<!--NeedCopy-->

    インターフェイスで LACP を有効にすると、チャネルが動的に作成されます。また、インターフェイスで LACP を有効にして lacpKey を 1 に設定すると、インターフェイスはチャネル LA/1 に自動的にバインドされます。

    インターフェイスをチャネルにバインドすると、チャネルパラメータがインターフェイスパラメータよりも優先されるため、インターフェイスパラメータは無視されます。チャネルが LACP によって動的に作成される場合、チャネルに対して追加、バインド、アンバインド、または削除の各操作を実行できません。LACP によって動的に作成されたチャネルは、チャネルのすべてのインターフェイスで LACP を無効にすると、自動的に削除されます。

  2. システムプライオリティを設定します。

    set lacp -sysPriority <Positive_Integer><!--NeedCopy-->

  3. LACP が期待どおりに動作していることを確認します。

    ```show interface

    
    ```show channel<!--NeedCopy-->
    

    show LACP<!--NeedCopy-->

    Ciscoインターネットワークオペレーティングシステム(iOS)の一部のバージョンでは、switchport trunk native VLAN <VLAN_ID>コマンドを実行すると、Cisco スイッチに LACP PDU のタグが付けられます。これにより、CiscoスイッチとCitrix ADCアプライアンス間のLACPチャネルに障害が発生します。ただし、この問題は、前の手順で設定したスタティックリンク集約チャネルには影響しません。

デフォルトパーティションのすべての管理パーティションの設定を保存する

管理者は、デフォルトパーティションからすべての管理パーティションの設定を一度に保存できます。

CLI を使用して、デフォルトパーティションからすべての管理パーティションを保存する

コマンドプロンプトで入力します。

save ns config -all

パーティションおよびクラスタベースのカスタムレポートのサポート

Citrix ADC GUIには、現在の表示パーティションまたはクラスタで作成されたカスタムレポートのみが表示されます。

以前は、Citrix ADC GUIは、区別するパーティション名またはクラスタ名を指定せずに、カスタムレポート名をバックエンドファイルに直接保存するために使用されていました。

GUI で現在のパーティションまたはクラスタのカスタムレポートを表示するには

  • [ レポート ] タブに移動します。

  • [ カスタムレポート ] をクリックして、現在のパーティションまたはクラスタで作成されたレポートを表示します。

OAuth IdP のパーティション設定で VPN グローバル証明書をバインドするサポート

パーティション設定で、OAuth IdP 展開用の VPN グローバルに証明書をバインドできるようになりました。

CLI を使用してパーティション設定で証明書をバインドするには

コマンドプロンプトで入力します。

bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]
管理パーティションを構成する