This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已动态机器翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This content has been machine translated dynamically.
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.
Este artigo foi traduzido automaticamente.
这篇文章已经过机器翻译.放弃
Translation failed!
管理パーティションの構成
重要
- 管理者パーティションの作成と構成は、スーパーユーザーだけに許可されます。
- 特に指定しない限り、admin パーティションをセットアップする設定は、デフォルトパーティションから行う必要があります。
Citrix ADCアプライアンスをパーティション化すると、1つのCitrix ADCアプライアンスの複数のインスタンスを作成できます。各インスタンスには独自の構成があり、これらの各パーティションのトラフィックは他のパーティションから分離されています。これは、各パーティションに専用VLANまたは共有VLANを割り当てることによって行われます。
パーティション分割されたCitrix ADCには、1つのデフォルトパーティションと作成されるadminパーティションがあります。管理パーティションを設定するには、まず、関連するリソース(メモリ、最大帯域幅、および接続)を含むパーティションを作成する必要があります。次に、パーティションにアクセスできるユーザーと、パーティション上の各ユーザーの承認レベルを指定します。
パーティション分割されたCitrix ADCへのアクセスは、パーティション分割されていないCitrix ADCへのアクセスと同じです。NSIPアドレスまたは他の管理IPアドレスを使用します。ユーザーとして、有効なログオン資格情報を入力すると、バインド先のパーティションが表示されます。作成した構成は、そのパーティションに保存されます。複数のパーティションに関連付けられている場合は、関連付けられた最初のパーティションが表示されます。他のパーティションのいずれかでエンティティを構成する場合は、明示的にそのパーティションに切り替える必要があります。
適切なパーティションにアクセスした後、実行する構成はそのパーティションに保存され、そのパーティションに固有です。
注
- Citrix ADCスーパーユーザーおよびその他の非パーティションユーザーは、デフォルトのパーティションになります。
- 512 パーティションのユーザーは、同時にログインできます。
ヒント
SNIP(管理アクセスが有効になっている)を使用してHTTPS経由でパーティション分割されたCitrix ADCアプライアンスにアクセスするには、各パーティションにパーティション管理者の証明書があることを確認してください。パーティション内で、パーティション管理者は次のことを行う必要があります。
-
証明書を Citrix ADC に追加します。
add ssl certKey ns-server-certificate -cert ns-server.cert-key ns-server.key
-
nshttps-<SNIP>-3009
という名前のサービスにバインドします。ここで<SNIP>
は SNIP アドレス(この場合は 100.10.10.1)に置き換える必要があります。bind ssl service nshttps-100.10.10.1-3009 -certkeyName ns-server-certificate
パーティションのリソース制限
パーティション分割されたCitrix ADCアプライアンスでは、ネットワーク管理者は、メモリ、帯域幅、接続制限などのパーティションリソースを無制限に設定したパーティションを作成できます。これは、パーティションリソース値としてゼロを指定することによって行われます。ここで、ゼロは、リソースがパーティション上で無制限であり、システム制限まで消費できることを示します。パーティションリソースの構成は、トラフィックドメインの展開を管理パーティションに移行する場合、または特定の展開におけるパーティションのリソース割り当て制限について知らない場合に役立ちます。
管理パーティションのリソース制限は次のとおりです。
-
パーティションメモリ。これは、パーティションに割り当てられた最大メモリです。パーティションを作成するときは、必ず値を指定してください。
注
NetScaler 12.0以降では、パーティションを作成するときに、メモリ制限をゼロに設定できます。特定のメモリ制限を使用してパーティションがすでに作成されている場合は、制限を任意の値に減らすか、または制限をゼロに設定できます。
パラメータ:最大メモリ制限
最大メモリは、パーティションにMB単位で割り当てられます。ゼロ値は、メモリがパーティション上で無制限であり、システム制限まで消費できることを示します。
デフォルト値:10
-
パーティション帯域幅。パーティションに割り当てられた最大帯域幅。制限を指定する場合は、アプライアンスのライセンスされたスループットの範囲内であることを確認してください。それ以外の場合は、パーティションで使用される帯域幅を制限していません。指定された制限は、アプリケーションが必要とする帯域幅に対して責任を負います。アプリケーションの帯域幅が指定の制限を超えた場合、パケットはドロップされます。
注
NetScaler 12.0以降では、パーティションを作成できるときに、パーティションの帯域幅制限をゼロに設定できます。特定の帯域幅を使用してパーティションがすでに作成されている場合は、帯域幅を減らすか、または制限をゼロに設定できます。
パラメータ:最大帯域幅
最大帯域幅は、パーティションに Kbps 単位で割り当てられます。ゼロの値は、帯域幅が制限されていないことを示します。つまり、パーティションはシステム制限まで消費できます。
デフォルト値:10240
最大値:4294967295
-
パーティション接続。パーティションで開くことができる同時接続の最大数。この値は、パーティション内で予想される最大同時フローに対応する必要があります。パーティション接続は、パーティションクォータメモリからアカウンティングされます。以前は、接続はデフォルトのパーティションクォータメモリから占められていました。クライアント側でのみ構成され、バックエンドサーバー側の TCP 接続では構成されません。この構成値を超えて新しい接続を確立することはできません。
注
NetScaler 12.0以降では、開いている接続の数をゼロに設定してパーティションを作成できます。すでに特定の数の開いている接続を持つパーティションを作成している場合は、接続制限を減らすか、または制限をゼロに設定できます。
パラメータ:最大接続
パーティション内で開くことができる同時接続の最大数。ゼロ値は、開いている接続の数に制限がないことを示します。
デフォルト値:1024
最小値:0
最大値:4294967295
管理パーティションの構成
admin パーティションを設定するには、次のタスクを実行します。
CLIを使用して管理パーティションにアクセスするには
- Citrix ADCアプライアンスにログオンします。
- 正しいパーティションにいるかどうかを確認します。コマンドプロンプトには、現在選択されているパーティションの名前が表示されます。
- 「はい」の場合は、次の手順に進みます。
-
「いいえ」の場合は、関連付けられているパーティションのリストを取得し、適切なパーティションに切り替えます。
show system user <username>
switch ns partition <partitionName>
- これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。
GUIを使用して管理パーティションにアクセスするには
-
Citrix ADCアプライアンスにログオンします。
-
正しいパーティションにいるかどうかを確認します。GUIのトップバーには、現在選択されているパーティションの名前が表示されます。
-
「はい」の場合は、次の手順に進みます。
-
[設定] > [システム] > [管理パーティション] > [パーティション] に移動し、切り替え先のパーティションを右クリックして [切り替 え] を選択します。
-
-
これで、必要な構成を、パーティション化されていないCitrix ADCと同じように実行できます。
管理パーティションを追加する
ルート管理者は、デフォルトパーティションから管理パーティションを追加し、そのパーティションを VLAN 2 にバインドします。
CLIを使用して管理パーティションを作成するには
コマンドプロンプトで、次のように入力します。
add partition <partitionname>
ユーザーアクセスをデフォルトパーティションから管理パーティションに切り替える
これで、ユーザーアクセスをデフォルトのパーティションからパーティションPar1に切り替えることができます。
CLIを使用してユーザーアカウントをデフォルトパーティションから管理パーティションに切り替えるには:
コマンドプロンプトで、次のように入力します。
Switch ns partition <pname>
管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加する
パーティションで、管理アクセスを有効にしてSNIPアドレスを作成します。
コマンドラインインターフェイスを使用して管理アクセスを有効にしたパーティションユーザーアカウントに SNIP アドレスを追加するには:
コマンドプロンプトで、次のように入力します。
> add ns ip <ip address> <subnet mask> -mgmtAccess enabled
パーティションコマンドポリシーを使用してパーティションユーザーを作成およびバインドする
パーティションで、パーティションシステムユーザーを作成し、partition-admin コマンドポリシーを使用してユーザーをバインドします。
CLIを使用して、パーティションコマンドポリシーを使用してパーティションシステムユーザーを作成およびバインドするには、次の手順を実行します。
コマンドプロンプトで、次のように入力します。
> add system user <username> <password>
Done
パーティションコマンドポリシーを使用したパーティションユーザーグループの作成とバインド
Partition Par1 で、パーティションシステムユーザグループを作成し、パーティションコマンドポリシー(パーティション admin、パーティション読み取り専用、パーティションオペレータ、パーティションネットワークなど)を使用してグループをバインドします。
コマンドラインインターフェイスを使用して、パーティションコマンドポリシーを使用してパーティションユーザーグループを作成し、バインドするには:
> add system group <groupName>
> bind system group <groupname> (-userName | -policyName <cmdpolicy> <priority> | -partitionName)
外部ユーザの外部サーバ認証の設定
パーティションPar1では、SNIPアドレスを介してパーティションにアクセスする外部TACACSユーザーを認証するように外部サーバー認証を構成できます。
コマンドラインインターフェイスを使用して外部ユーザの外部サーバ認証を構成するには、次の手順を実行します。
コマンドプロンプトで、次のように入力します。
> add authentication tacacsaction <name> -serverip <IP> -tacacsSecret <secret key> -authorization ON -accounting ON
> add authentication policy <policname> -rule true -action <name>
> bind system global <policyname> -priority <value>1
GUIを使用して、パーティション内のパーティションシステムユーザーアカウントを構成します
管理パーティションでパーティションユーザーアカウントを構成するには、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする必要があります。また、外部ユーザの外部サーバ認証を構成することもできます。
GUI を使用してパーティション内にパーティションユーザーアカウントを作成するには
「 システム」>「ユーザー管理」に移動し、「 ユーザー」をクリックしてパーティションシステムユーザーを追加し、ユーザーをコマンドポリシー(パーティション管理/パーティション読み取り専用/パーティション演算子/パーティションネットワーク)にバインドします。
GUI を使用してパーティションにパーティションユーザーグループアカウントを作成するには
[システム] > [ユーザー管理] に移動し、[グループ] をクリックしてパーティションシステムのユーザーグループを追加し、そのユーザーグループをコマンドポリシー(パーティション管理者/パーティション読み取り専用/パーティションオペレータ/パーティションネットワーク)にバインドします。
GUIを使用して外部ユーザーの外部サーバー認証を構成するには
[システム] > [認証] > [基本アクション] に移動し、[TACACS] をクリックして、パーティションにアクセスする外部ユーザを認証するための TACACS サーバを設定します。
構成例
次の設定は、パーティションユーザーまたはパーティションユーザーグループを作成し、パーティションコマンドポリシーをバインドする方法を示しています。また、外部ユーザを認証するための外部サーバ認証の設定方法についても説明します。
> add partition Par1
> switch ns partition Par1
> add ns ip 10.102.29.203 255.255.255.0 -mgmtAccessenabled
> add system user John Password
> bind system user Jane partition-read-only -priority 1
> add system group Retail
> bind system group Retail -policyname partition-network 1 (where 1 is the priority number)
> bind system group Retail –username Jane
> add authentication tacacssaction tacuser –serverip 10.102.29.200 –tacacsSecret Password –authorization ON –accounting ON
> add authentication policy polname –rule true –action tacacsAction
> bind system global polname –priority 1
管理パーティション内のパーティションユーザーおよびパーティションユーザーグループのコマンドポリシー
管理パーティション内のユーザーアカウントを承認するコマンド | 管理パーティション内で利用可能なコマンドポリシー (組み込みポリシー) | ユーザー・アカウント・アクセス・タイプ |
---|---|---|
add system user | Partition-admin | SNIP(管理アクセスが有効になっている場合) |
add system group | Partition-network | SNIP(管理アクセスが有効になっている場合) |
add authentication <action, policy> , bind system global <policy name>
|
パーティション読取り専用 | SNIP(管理アクセスが有効になっている場合) |
remove system user | Partition-admin | SNIP(管理アクセスが有効になっている場合) |
remove system group | Partition-admin | SNIP(管理アクセスが有効になっている場合) |
bind system cmdpolicy システムユーザーへ。 bind system cmdpolicy システムグループへ |
Partition-admin | SNIP(管理アクセスが有効になっている場合) |
デフォルトの管理パーティションでLACPイーサネットチャネルを設定します
リンクアグリゲーション制御プロトコル(LACP)を使用すると、複数のポートを1つの高速リンク(チャネルとも呼ばれます)に組み合わせることができます。LACP対応アプライアンスは、チャネルを介してLACPデータユニット(LACPDU)を交換します。
Citrix ADCアプライアンスのデフォルトパーティションでは、次の3つのLACP構成モードを有効にできます。
- アクティブ。アクティブモードのポートは LACPDU を送信します。イーサネットリンクのもう一方の端が LACP アクティブモードまたはパッシブモードの場合、リンク集約が形成されます。
- 受動的。パッシブモードのポートは、LACPDU を受信したときにだけ LACPDU を送信します。リンクアグリゲーションは、イーサネットリンクのもう一方の端が LACP アクティブモードである場合に形成されます。
- 無効化。リンク集約は形成されません。
注
デフォルトでは、アプライアンスのデフォルトパーティションではリンク集約が無効になっています。
LACP は、イーサネットリンクによって接続されたデバイス間で LACPDU を交換します。これらのデバイスは、通常、アクターまたはパートナーと呼ばれます。
LACPDU データユニットには、次のパラメータが含まれます。
- LACP モード。アクティブ、パッシブ、または無効にします。
- LACP タイムアウト。パートナーまたは俳優をタイムアウトするまでの待ち時間。指定可能な値:長整数型 (Long) と短い。デフォルト:長整数型。
- ポートキー。異なるチャネルを区別する。キーが1の場合 LA/1 創造された。キーが2の場合 LA/2 創造された。可能な値:1 ~ 8 の整数。4 ~ 8 はクラスター CLAG 用です。
- ポートプライオリティ。最小値:1。最大値:65535。デフォルト:32768。
- システムプライオリティ。この優先度をシステムMACとともに使用して、システムIDを形成し、パートナーとのLACPネゴシエーション中にシステムを一意に識別します。システムプライオリティを 1 と 65535 から設定します。デフォルト値は 32768 に設定されています。
- インターフェイス。NetScaler 10.1アプライアンスではチャネルあたり8つのインターフェイスをサポートし、NetScaler 10.5および11.0アプライアンスではチャネルあたり16のインターフェイスをサポートします。
LACPDU を交換した後、アクターとパートナーは設定をネゴシエートし、ポートを集約に追加するかどうかを決定します。
LACP の設定と確認
次のセクションでは、管理パーティションでLACPを構成および検証する方法を示します。
CLIを使用してCitrix ADCアプライアンスでLACPを構成および検証するには
-
各インターフェイスで LACP を有効にします。
set interface <Interface_ID> -lacpMode PASSIVE -lacpKey 1
インターフェイスで LACP を有効にすると、チャネルがダイナミックに作成されます。また、インターフェイスでLACPを有効にし、lacpKeyを1に設定すると、インターフェイスは自動的にチャネルにバインドされます。 LA/1.
注
インターフェイスをチャネルにバインドすると、チャネルパラメータがインターフェイスパラメータよりも優先されるため、インターフェイスパラメータは無視されます。チャネルがLACPによって動的に作成される場合、チャネルに対して追加、バインド、バインド解除、または削除操作を実行することはできません。LACP によって動的に作成されたチャネルは、チャネルのすべてのインターフェイスで LACP を無効にすると、自動的に削除されます。
-
システムプライオリティを設定します。
set lacp -sysPriority <Positive_Integer>
-
LACP が期待どおりに動作していることを確認します。
show interface <Interface_ID>
show channel
show LACP
注
Cisco Internetwork Operating System(iOS)の一部のバージョンでは、スイッチポートトランクネイティブVLANを実行しています < VLAN_ID> コマンドを実行すると、CiscoスイッチはLACP PDUにタグを付けます。これにより、CiscoスイッチとCitrix ADCアプライアンス間のLACPチャネルに障害が発生します。ただし、この問題は、前の手順で構成された静的リンクアグリゲーションチャネルには影響しません。
デフォルトのパーティションからすべての管理パーティションの設定を保存する
管理者は、デフォルトのパーティションからすべての管理パーティションの構成を一度に保存できます。
CLIを使用して、デフォルトのパーティションからすべての管理パーティションを保存します
コマンドプロンプトで、次のように入力します。
save ns config -all
パーティションおよびクラスタベースのカスタムレポートのサポート
Citrix ADC GUIは、現在の表示パーティションまたはクラスターで作成されたカスタムレポートのみを表示します。
以前は、Citrix ADC GUIは、区別するためにパーティションまたはクラスター名を指定せずに、カスタムレポート名をバックエンドファイルに直接保存するために使用されていました。
GUIで現在のパーティションまたはクラスターのカスタムレポートを表示するには
-
「 レポート 」タブにナビゲートします。
-
[ カスタムレポート] をクリックして、現在のパーティションまたはクラスターで作成されたレポートを表示します。
OAuth IdP のパーティション設定で VPN グローバル証明書をバインドするサポート
パーティション設定で、OAuth IdP デプロイメントの VPN グローバルに証明書をバインドできるようになりました。
CLI を使用してパーティションセットアップで証明書をバインドするには
コマンドプロンプトで、次のように入力します。
bind vpn global [-certkeyName <string>] [-userDataEncryptionKey <string>]
共有
共有
この記事の概要
- ヒント
- パーティションのリソース制限
- 管理パーティションの構成
- 管理パーティションを追加する
- ユーザーアクセスをデフォルトパーティションから管理パーティションに切り替える
- 管理アクセスが有効になっているパーティションユーザーアカウントに SNIP アドレスを追加する
- パーティションコマンドポリシーを使用してパーティションユーザーを作成およびバインドする
- 外部ユーザの外部サーバ認証の設定
- 管理パーティション内のパーティションユーザーおよびパーティションユーザーグループのコマンドポリシー
- デフォルトの管理パーティションでLACPイーサネットチャネルを設定します
- LACP の設定と確認
- デフォルトのパーティションからすべての管理パーティションの設定を保存する
- パーティションおよびクラスタベースのカスタムレポートのサポート
- OAuth IdP のパーティション設定で VPN グローバル証明書をバインドするサポート
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.