Citrix ADC

HTTP/3 の設定と統計の概要

QUIC を使用して HTTP/3 データの複数のストリームを送信するための HTTP/3 プロトコルを構成するには、次の手順を実行する必要があります。

  1. SSL およびロードバランシング機能を有効にします。
  2. HTTP_QUIC タイプのロードバランシングとコンテンツスイッチング(オプション)仮想サーバーを追加します。
  3. QUIC プロトコルパラメータを HTTP_QUIC 仮想サーバに関連付けます。
  4. HTTP_QUIC 仮想サーバーで HTTP/3 を有効にします。
  5. SSL 証明書とキーのペアを HTTP_QUIC 仮想サーバーとバインドします。
  6. SSL/TLS プロトコルパラメータを HTTP_QUIC 仮想サーバーに関連付けます。

SSL とロードバランシングを有効にする

開始する前に、アプライアンスで SSL およびロードバランシング機能が有効になっていることを確認してください。コマンドプロンプトで次のように入力します。

enable ns feature ssl lb
<!--NeedCopy-->

HTTP/3 サービスのタイプ HTTP_QUIC の負荷分散とコンテンツスイッチング (オプション) 仮想サーバーを追加します

QUIC 経由で HTTP/3 トラフィックを受け入れるように、負荷分散仮想サーバーを追加します。 注:タイプ HTTP_QUIC の負荷分散仮想サーバーには、QUIC、SSL、および HTTP3 プロファイルが組み込まれています。ユーザー定義プロファイルを作成する場合は、新しいプロファイルを追加し、負荷分散仮想サーバーとバインドできます。

add lb vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
add cs vserver <vserver-name> HTTP_QUIC <IP-address> <UDP-listening-port>
<!--NeedCopy-->

例:

add lb vserver lb-http3 HTTP_QUIC 1.1.1.1 443 add cs vserver cs-http3 HTTP_QUIC 10.10.10.10 443

QUIC プロトコルパラメータを HTTP_QUIC 仮想サーバに関連付ける

QUIC プロファイルを作成し、QUIC サービスの QUIC パラメータを指定し、それをロードバランシング仮想サーバに関連付けることができます。ユーザー定義プロファイルを作成するか、組み込みの QUIC プロファイルを使用して、プロファイルを負荷分散仮想サーバーにバインドする必要があります。

ステップ 1: ユーザ定義の QUIC プロファイルを設定するコマンドプロンプトで、次のように入力します。

set quic profile <profile_name> -transport_param <value>
<!--NeedCopy-->

例:

set quic profile quic_http3 -ackDelayExponent 10 -activeConnectionIDlimit 4

異なる QUIC トランスポートパラメータは次のとおりです。

-ackDelayExponent. Citrix ADCがリモートQUICエンドポイントにアドバタイズする整数値。リモートQUICエンドポイントがCitrix ADCによって送信されるQUIC ACKフレームのACK遅延フィールドをデコードするために使用する必要のある指数を示します。

-activeConnectionIDlimit. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値です。Citrix ADCが保存するリモートQUICエンドポイントからのQUIC接続IDの最大数を指定します。

-activeConnectionMigration. Citrix ADCがリモートQUICエンドポイントでアクティブなQUIC接続移行を実行できるようにする必要があるかどうかを指定します。

-congestionCtrlAlgorithm. QUIC 接続に使用する輻輳制御アルゴリズムを指定します。

-initialMaxData. Citrix ADCがリモートQUICエンドポイントにアドバタイズする整数値で、QUIC接続で送信できる最大データ量の初期値をバイト単位で指定します。

-initialMaxStreamDataBidiLocal. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値。Citrix ADCによって開始される双方向QUICストリームの初期フロー制御制限(バイト単位)を指定します。

-initialMaxStreamDataBidiRemote. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値。リモートQUICエンドポイントによって開始される双方向QUICストリームの初期フロー制御制限(バイト単位)を指定します。

-initialMaxStreamDataUni. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値。リモートQUICエンドポイントによって開始される単方向ストリームの初期フロー制御制限(バイト単位)を指定します。

-initialMaxStreamsBidi. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値。リモートQUICエンドポイントが開始する必要がある双方向ストリームの初期最大数を指定します。

-initialMaxStreamsUni. Citrix ADCによってリモートQUICエンドポイントにアドバタイズされる整数値。リモートQUICエンドポイントが開始する必要のある単一方向ストリームの初期最大数を指定します。

-maxAckDelay. Citrix ADCがリモートQUICエンドポイントにアドバタイズする整数値。Citrix ADCが確認応答の送信を遅延する最大時間をミリ秒単位で指定します。

-maxIdleTimeout. Citrix ADCがリモートQUICエンドポイントにアドバタイズする整数値。QUIC接続の最大アイドルタイムアウトを秒単位で指定します。Citrix ADCとリモートQUICエンドポイントによってアドバタイズされるアイドルタイムアウト値の最小値よりも長くアイドル状態のままであり、現在のプローブタイムアウト(PTO)の3倍のQUIC接続は、Citrix ADCによってサイレントに破棄されます。

-maxUDPPayloadSize. Citrix ADCがリモートQUICエンドポイントにアドバタイズする整数値。Citrix ADCがQUIC接続で受信する最大のUDPデータグラムペイロードのサイズをバイト単位で指定します。

-newTokenValidityPeriod. Citrix ADCによって送信されるQUIC NEW_TOKENフレームを介して発行されたアドレス検証トークンの有効期間を秒単位で指定する整数値です。 -retryTokenValidityPeriod. Citrix ADCによって送信されたQUIC再試行パケットを介して発行されるアドレス検証トークンの有効期間を秒単位で指定する整数値です。 -statelessAddressValidation. Citrix ADCがQUICクライアントのステートレスアドレス検証を実行する必要があるかどうかを指定します。QUIC接続の確立中にQUIC再試行パケットでトークンを送信し、QUIC接続の確立後にQUIC NEW_TOKENフレームでトークンを送信する必要があります。

ステップ 2: ユーザ定義の QUIC プロファイルを http_quic タイプの負荷分散仮想サーバーに関連付けます。

コマンドプロンプトで入力します。

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-quicProfileName <string>]
<!--NeedCopy-->

例:

set lb vserver lb-http3 -quicProfileName quic_http3

HTTP_QUIC 仮想サーバーで HTTP/3 を有効にしてバインドする

HTTP_QUIC 仮想サーバーで HTTP/3 を有効にするには、設定パラメータのセットが HTTP プロファイル設定に追加されます。設定を容易にするため、HTTP_QUIC 仮想サーバーを追加すると、新しいデフォルト/組み込みの HTTP プロファイルがアプライアンスで使用可能になります。プロファイルの HTTP/3 プロトコルサポートパラメータが ENABLED に設定され、HTTP_QUIC 仮想サーバにも制限されます(HTTP_QUIC 仮想サーバをユーザが追加した HTTP プロファイルに関連付けない場合に適用可能)。HTTP プロファイルの HTTP/3 パラメータの値は、QUIC プロトコルハンドシェイク中に TLS ALPN(アプリケーション層プロトコルネゴシエーション)拡張を処理するときに HTTP/3 プロトコルを選択し、アドバタイズするかどうかを決定します。

HTTP/3 プロファイルを作成し、HTTP/3 サービスと負荷分散仮想サーバーの HTTP パラメータを指定できます。ユーザー定義プロファイルを作成するか、組み込みの HTTP/3 プロファイルを使用して、プロファイルを負荷分散仮想サーバーにバインドする必要があります。

ステップ 1: ユーザ定義の HTTP/3 プロファイルを設定するコマンドプロンプトで、次のように入力します。

Add ns httpProfile <profile_name> -http3 ENABLED
<!--NeedCopy-->

例:

add ns httpProfile http3_quic –http3 ENABLED

ステップ 2: ユーザー定義の HTTP/3 プロファイルを http_quic タイプの負荷分散仮想サーバーにバインドするコマンドプロンプトで、次のように入力します。

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

例:

set lb vserver lb-http3 –httpProfileName http3_quic

SSL 証明書とキーのペアを HTTP_QUIC 仮想サーバーでバインドする

暗号化されたトラフィックを処理するには、SSL 証明書とキーのペアを追加し、HTTP_QUIC 仮想サーバーにバインドする必要があります。

コマンドプロンプトで入力します。

bind ssl vserver <vServerName> -certkeyName <certificate-KeyPairName>

<!--NeedCopy-->

例:

bind ssl vserver lb-http3 -certkeyName rsa_certkeypair

詳細については、「 SSL 証明書のバインド 」トピックを参照してください。

SSL/TLS プロトコルパラメーターを HTTP_QUIC 仮想サーバーでバインドする

HTTP_QUICタイプの仮想サーバーには、QUIC プロトコルが必須のセキュリティコンポーネントとして TLS 1.3 を使用するため、組み込みの TLS 1.3 サーバー機能があります。HTTP_QUIC 仮想サーバーを追加する際の設定を容易にするため、タイプ Quic-Frontend の新しいデフォルトまたは組み込みの SSL プロファイルが追加されます。SSL プロファイルでは、TLS 1.3 暗号化スイート(および楕円曲線)が設定された TLS 1.3 バージョンが有効になっています。SSL プロファイルは、新しく追加された HTTP_QUIC 仮想サーバーにバインドする必要があります。 SSL プロファイルを作成し、TLP 1.1 サービスと負荷分散仮想サーバーの SSL 暗号化パラメーターを指定できます。ユーザー定義プロファイルを作成するか、組み込みの SSL プロファイルを使用して、プロファイルを負荷分散仮想サーバーにバインドする必要があります。

ステップ 1: ユーザ定義の SSL プロファイルを構成するコマンドプロンプトで、次のように入力します。

add ssl profile <name> -sslprofileType QUIC-FrontEnd
<!--NeedCopy-->

例:

add ssl profile ssl_profile1 -sslprofileType QUIC-FrontEnd -tls13 ENABLED -tls12 DISABLED -tls11 DISABLED -tls1 DISABLED

ステップ 2: ユーザー定義の SSL プロファイルを HTTP_QUIC タイプの負荷分散仮想サーバーにバインドするコマンドプロンプトで、次のように入力します。

set lb vserver <name>@ [-IPAddress <ip_addr|ipv6_addr|*>@]  <serviceName>@] [-persistenceType <persistenceType>] [-httpProfileName <string>]
<!--NeedCopy-->

例:

set ssl vserver lb-http3 -sslprofile ssl_profile1

GUI を使用して SSL およびロードバランシング機能を有効にする

SSL およびロードバランシング機能を有効にするには、次の手順を実行します。

  1. ナビゲーションウィンドウで、[システム] を展開し、[設定] をクリックします。
  2. [ 基本機能の構成 ] ページで、[ SSLと負荷分散] を選択します。
  3. [OK] をクリックし、[Close] をクリックします。

SSL およびロードバランシング機能を有効にするための GUI

GUI を使用して HTTP_QUIC タイプのロードバランシングとコンテンツスイッチング(オプション)仮想サーバーを追加します

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. [ 追加 ] をクリックして、タイプ HTTP_QUIC の負荷分散仮想サーバーを作成します。
  3. Load Balancing Virtual ServerページでProfilesをクリックします。
  4. [ プロファイル ] セクションで、プロファイルタイプを [QUIC] として選択します。注:QUIC、HTTP/3、および SSL プロファイルは組み込みのプロファイルです。
  5. [ OK]、[ 完了]の順にクリックします。

負荷分散とコンテンツスイッチング(オプション)仮想サーバーの追加

GUI を使用して QUIC プロトコルパラメータを HTTP_QUIC 仮想サーバに関連付けます

ステップ 1: QUIC プロファイルを追加する

  1. [ システム] > [プロファイル] > [QUIC プロファイル]に移動します。
  2. [追加] をクリックします。
  3. [QUIC プロファイル] ページで、次のパラメータを設定します。各パラメータの詳細については、「QUIC プロトコル CLI の関連付け」セクションを参照してください。

    1. Ack Delay 指数
    2. アクティブ接続 ID 制限
    3. アクティブな接続の移行
    4. 輻輳制御アルゴリズム
    5. 初期最大データ
    6. 初期最大ストリームデータ Bidi ローカル
    7. 初期最大ストリームデータ Bidi リモート
    8. 初期最大ストリームデータ単位
    9. 初期最大ストリームbidi
    10. 初期最大ストリーム単位
    11. 最大確認応答遅延
    12. 最大アイドルタイムアウト
    13. バーストあたりの最大 UDP データグラム数
    14. 新しいトークンの有効期間
    15. トークンの有効期間を再試行
    16. ステートレスアドレス検証

QUIC プロトコルパラメータを HTTP_QUIC 仮想サーバに関連付ける

ステップ 2: QUIC プロファイルを HTTP_QUIC タイプの負荷分散仮想サーバーに関連付ける

  1. [ プロファイル ] セクションで、QUIC プロファイルを選択します。注:QUIC、HTTP/3、および SSL プロファイルは組み込みのプロファイルです。
  2. [ OK]、[ 完了]の順にクリックします。

クイックプロファイル

GUI を使用して、SSL/TLS プロトコルパラメータを SSL タイプの仮想サーバーに関連付けます

ステップ 1: SSL プロファイルを追加する

  1. [システム] > [プロファイル] > [SSL プロファイル] に移動します。
  2. [追加] をクリックします。
  3. [ QUIC プロファイル ] ページで、SSL パラメータを設定します。詳細な説明については、SSL プロファイルの構成トピックを参照してください。
  4. [ OK]をクリックして[閉じる]をクリックします。

SSL/TLS プロトコルパラメータを SSL タイプの仮想サーバーに関連付ける

ステップ 2: SSL プロファイルを SSL タイプの負荷分散仮想サーバーに関連付けます。

  1. [ プロファイル ] セクションで、SSL プロファイルを選択します。
  2. [ OK]、[ 完了]の順にクリックします。

SSL プロファイルを SSL タイプの負荷分散仮想サーバーに関連付ける

QUIC、および HTTP/3 の統計情報を表示する

次のコマンドは、QUIC および HTTP3 統計の詳細なサマリーを表示します。コマンドプロンプトで、次のように入力します。

> stat quic
> stat quic –detail
<!--NeedCopy-->

統計情報の表示をクリアするには、次のいずれかを入力します。

> stat quic -clearstats basic
> stat quic -clearstats full

<!--NeedCopy-->

HTTP/3 統計の詳細なサマリーを表示するには、次の手順を実行します。

> stat http3
> stat http3 –detail
<!--NeedCopy-->

統計情報の表示をクリアするには、次のいずれかを入力します。

> stat http3 -clearstats basic
> stat http3 -clearstats full
<!--NeedCopy-->