PDFを表示
HDX Insightデータ収集の有効化
HDX Insightにより、Citrix Application Delivery Management(ADM)分析の一部であるCitrix ADCインスタンスまたはCitrix SD-WAN アプライアンスを通過するICAトラフィックに対して、これまでにないエンドツーエンドの可視性を提供することで、IT部門は卓越したユーザーエクスペリエンスを提供できます。HDX Insightは、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリックに対して、説得力のある強力なビジネスインテリジェンス機能と障害分析機能を提供します。HDX Insightは、ユーザーの問題を即座にトリアージし、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成し、ビジュアルレポートとして表示します。
Citrix ADCでデータ収集を有効にする構成は、展開トポロジーにおけるアプライアンスの位置によって異なります。
LANユーザーモードで展開されたCitrix ADCを監視するためのデータ収集の有効化
Citrix Virtual AppおよびDesktopアプリケーションにアクセスする外部ユーザーは、Citrix Gatewayで自身を認証する必要があります。ただし、内部ユーザーはCitrix Gateway にリダイレクトする必要はありません。また、透過モードの展開では、管理者が手動でルーティングポリシーを適用して、要求がCitrix ADCアプライアンスにリダイレクトされるようにする必要があります。
これらの課題を克服し、LANユーザーがCitrix Virtual AppおよびDesktopアプリケーションに直接接続できるようにするには、Citrix GatewayアプライアンスでSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成することで、Citrix ADCアプライアンスをLANユーザーモードで展開します。
注: Citrix ADMアプライアンスとCitrix Gateway アプライアンスは、同じサブネットに存在します。
このモードで展開されたCitrix ADCアプライアンスを監視するには、まずCitrix ADCアプライアンスをNetScaler Insightインベントリに追加し、AppFlowを有効にしてから、ダッシュボードにレポートを表示します。
Citrix ADCアプライアンスをCitrix ADMインベントリに追加したら、データ収集用にAppFlowを有効にする必要があります。
注意事項
- ADCインスタンスでは、「 システム 」>「 AppFlow 」>「 コレクター 」に移動して、コレクター(Citrix ADM)が起動しているかどうかを確認できます。Citrix ADCインスタンスは、NSIPを使用してAppFlowレコードをCitrix ADMに送信します。ただし、インスタンスは SNIP を使用して Citrix ADM との接続を確認します。そのため、インスタンスで SNIP が設定されていることを確認します。
- Citrix ADM構成ユーティリティを使用して、LANユーザーモードで展開されているCitrix ADCでデータ収集を有効にすることはできません。
- コマンドとその使用方法の詳細については、コマンドリファレンスを参照してください。
- ポリシー式の詳細については、ポリシーと式を参照してください。
コマンドラインインターフェイスを使用してCitrix ADCアプライアンスのデータ収集を構成するには:
コマンドプロンプトで、次の操作を行います。
-
アプライアンスにログオンします。
-
プロキシIPとポートを持つフォワードプロキシキャッシュリダイレクト仮想サーバーを追加し、サービスタイプをHDXとして指定します。
add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]例
add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180注: Citrix Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックに一致するポリシーによって適用されるアクションを追加します。
add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )] add vpn trafficPolicy <name> <rule> <action>例
add vpn trafficAction act1 tcp -HDX ON add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1 -
Citrix ADMをアプリケーションフローコレクタとしてCitrix ADCアプライアンスに追加します。
add appflow collector <name> -IPAddress <ip_addr>Example:
``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```
-
appflowアクションを作成し、コレクタをアクションに関連付けます。
add appflow action <name> -collectors <string>例:
add appflow action act -collectors MyInsight -
appflow ポリシーを作成し、トラフィックを生成するルールを指定します。
add appflow policy <policyname> <rule> <action>例:
add appflow policy pol true act -
appflowポリシーをグローバルバインドポイントにバインドします。
bind appflow global <policyname> <priority> -type <type>例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT注意事項
タイプの値は、ICAトラフィックに適用するICA_REQ_OVERRIDEまたは ICA_REQ_DEFAULTである必要があります。
-
アプリケーションフローのレコード間隔パラメーターの値を 60 秒に設定します。
set appflow param -flowRecordInterval 60例:
set appflow param -flowRecordInterval 60 -
設定を保存します。タイプ:
save ns config
シングルホップモードで展開されたCitrix Gateway アプライアンスのデータ収集の有効化
Citrix Gateway をシングルホップモードで展開すると、ネットワークのエッジに配置されます。Gatewayインスタンスは、デスクトップ配信インフラストラクチャへのプロキシICA接続を提供します。シングルホップは、最も単純で最も一般的な展開です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを提供します。 シングルホップモードでは、ユーザーは仮想プライベートネットワーク(VPN)を介してCitrix ADCアプライアンスにアクセスします。
レポートの収集を開始するには、Citrix Gateway アプライアンスをCitrix Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlowを有効にする必要があります。
Citrix ADMからAppFlow機能を有効にするには:
-
Webブラウザで、Citrix ADMのIPアドレスを入力します(例:http://192.168.100.1)。
-
「 ユーザー名」 および 「パスワード 」に、管理者の資格情報を入力します。
-
[ ネットワーク ] > [ インスタンス ] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。
-
「 アクションの選択」 リストから「 分析の構成 」を選択します。
-
VPN 仮想サーバーを選択し、[ アナリティクスの有効化] をクリックします。
-
「 HDX Insight 」を選択し、「 ICA 」を選択します。
-
[OK] をクリックします。
注: AppFlowをシングルホップモードで有効にすると、次のコマンドがバックグラウンドで実行されます。これらのコマンドは、トラブルシューティングの目的で明示的に指定されています。
- add appflow collector <name> -IPAddress <ip_addr>
- add appflow action <name> -collectors <string>
- set appflow param -flowRecordInterval <secs>
- disable ns feature AppFlow
- enable ns feature AppFlow
- add appflow policy <name> <rule> <expression>
- set appflow policy <name> -rule <expression>
- bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
- set vpn vserver <name> -appflowLog ENABLED
- save ns config
EUEM仮想チャネルデータは、Citrix ADMがゲートウェイインスタンスから受信するHDX Insightデータの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合、残りのHDX InsightデータはCitrix ADMに表示されます。
ダブルホップモードで展開されたCitrix Gateway アプライアンスのデータ収集の有効化
Citrix Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装ゾーン(DMZ)に侵入してセキュリティで保護されたネットワーク内のサーバーにアクセスする必要があるため、組織の内部ネットワークをさらに保護します。ICA接続が通過するホップ(Citrix Gateway アプライアンス)の数、および各TCP接続のレイテンシー、およびクライアントによって認識される合計ICAレイテンシーに対する見本市の詳細を分析する場合は、Citrix ADMをインストールして、Citrix Gatewayアプライアンスこれらの重要な統計を報告する。
最初のDMZのCitrix Gateway は、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このCitrix Gateway は、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワーク上のサーバーへのアクセスを制御します。
2つ目のDMZのCitrix Gateway は、Citrix Gateway のプロキシデバイスとして機能します。このCitrix Gateway では、ICAトラフィックが2番目のDMZを通過して、サーバーファームへのユーザー接続を完了できます。
Citrix ADMは、最初のDMZのCitrix Gateway アプライアンスに属するサブネットまたは2番目のDMZのCitrixゲートウェイアプライアンスに属するサブネットのいずれかに展開できます。上の画像では、最初のDMZ内のCitrix ADMとCitrixゲートウェイが同じサブネットに展開されています。
ダブルホップモードでは、Citrix ADMは1つのアプライアンスからTCPレコードを収集し、もう1つのアプライアンスからICAレコードを収集します。Citrix Gateway アプライアンスをCitrix ADMインベントリに追加してデータ収集を有効にすると、各アプライアンスはホップ数と接続チェーンIDを追跡してレポートをエクスポートします。
Citrix ADMがレコードをエクスポートするアプライアンスを識別するには、各アプライアンスにホップカウントを指定し、各接続には接続チェーンIDを指定します。ホップ数は、クライアントからサーバーにトラフィックが流れるCitrix Gateway アプライアンスの数を表します。接続チェーン ID は、クライアントとサーバー間のエンドツーエンド接続を表します。
Citrix ADMは、ホップカウントと接続チェーンIDを使用して、Citrix Gateway アプライアンスのデータを相互に関連づけ、レポートを生成します。
このモードで展開されたCitrix Gateway アプライアンスを監視するには、まずCitrix ADMインベントリにCitrix Gatewayを追加し、Citrix ADMでAppFlowを有効にしてから、Citrix ADMダッシュボードにレポートを表示する必要があります。
最適なゲートウェイに使用する仮想サーバーでのHDX Insightの構成
最適なゲートウェイで使用する仮想サーバーでHDX Insightを設定する手順:
- Webブラウザで、Citrix ADMのIPアドレスを入力します(例:
http://192.168.100.1)。 - 「 ユーザー名」 および 「パスワード 」に、管理者の資格情報を入力します。
- [ ネットワーク ] > [ インスタンス ] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。
- 「 アクションの選択」 リストから「 分析の構成 」を選択します。
- 認証用に構成された VPN 仮想サーバーを選択し、[ アナリティクスの有効化] をクリックします。
- 「 HDX Insight 」を選択し、「 ICA 」を選択します。
- 必要に応じて、その他の詳細オプションを選択します。
- [OK] をクリックします。
- 他の VPN 仮想サーバーで手順 3 ~ 6 を繰り返します。
Citrix ADMでのデータ収集の有効化
Citrix ADMを有効にして両方のアプライアンスからICA詳細の収集を開始すると、収集された詳細情報は冗長になります。つまり、両方のアプライアンスが同じメトリックを報告します。この状況を克服するには、最初のCitrix Gateway アプライアンスのいずれかでICA用のAppFlowを有効にしてから、2番目のアプライアンスでTCP用のAppFlowを有効にする必要があります。これにより、いずれかのアプライアンスがICA AppFlowレコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックの解析処理時間が短縮されます。
Citrix ADMからAppFlow機能を有効にするには:
-
Webブラウザで、Citrix ADMのIPアドレスを入力します(例:http://192.168.100.1)。
-
「 ユーザー名」 および 「パスワード 」に、管理者の資格情報を入力します。
-
[ ネットワーク ] > [ インスタンス ] に移動し、分析を有効にするCitrix ADCインスタンスを選択します。
-
「 アクションの選択」 リストから「 分析の構成 」を選択します。
-
VPN 仮想サーバーを選択し、[ アナリティクスの有効化] をクリックします。
-
[ **HDX Insight ] を選択し、[ ICA トラフィック] または [ TCPトラフィック] をそれぞれ選択します。**
注意事項
Citrix ADCアプライアンスの各サービスまたはサービスグループに対してAppFlowログが有効でない場合、[Insight]列に[Enabled]と表示されていても、Citrix ADMダッシュボードにはレコードが表示されません。
-
[OK] をクリックします。
データをエクスポートするためのCitrix Gateway アプライアンスの構成
Citrix Gateway アプライアンスをインストールした後、Citrix Gatewayアプライアンスで以下の設定を構成して、レポートをCitrix ADMにエクスポートする必要があります。
- 最初のDMZと2番目のDMZでCitrix Gateway アプライアンスの仮想サーバーが相互に通信するように構成します。
- 2番目のDMZ内のCitrix Gateway 仮想サーバーを、最初のDMZ内のCitrixゲートウェイ仮想サーバーにバインドします。
- 2番目のDMZでCitrix Gateway でダブルホップを有効にします。
- 2番目のDMZのCitrix Gateway 仮想サーバー上の認証を無効にします。
- Citrix Gateway アプライアンスのいずれかでICAレコードをエクスポートできるようにする
- 他のCitrix Gateway アプライアンスでTCPレコードをエクスポートできるようにします。
- 両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。
コマンドラインインターフェイスを使用したCitrix Gateway の設定:
-
最初のDMZのCitrix Gateway 仮想サーバーを、2番目のDMZのCitrixゲートウェイ仮想サーバーと通信するように構成します。
add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng] add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON -
2番目のDMZ内のCitrix Gateway 仮想サーバーを、最初のDMZ内のCitrixゲートウェイ仮想サーバーにバインドします。最初のDMZのCitrix Gateway で次のコマンドを実行します。
bind vpn vserver <name> -nextHopServer <name> bind vpn vserver vs1 -nextHopServer nh1 -
2番目のDMZのCitrix Gateway でダブルホップとAppFlowを有効にします。
set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED -
2番目のDMZのCitrix Gateway 仮想サーバー上の認証を無効にします。
set vpn vserver <name> [-authentication (ON or OFF)] set vpn vserver vs -authentication OFF -
Citrix Gateway アプライアンスのいずれかを有効にして、TCPレコードをエクスポートします。
bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>] bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST -
他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。
bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>] bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST -
両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。
set appFlow param [-connectionChaining (ENABLED or DISABLED)] set appflow param -connectionChaining ENABLED
構成ユーティリティを使用してCitrix Gateway を構成する:
-
最初のDMZのCitrix Gateway が2番目のDMZのCitrix Gateway と通信するように構成し、2番目のDMZのCitrixゲートウェイを最初のDMZのCitrixゲートウェイにバインドします。
-
[ 構成 ]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ 公開アプリケーション] を展開します。
-
[ネクスト ホップサーバー] をクリックし、ネクストホップサーバーを2つ目のCitrix Gateway アプライアンスにバインドします。
-
-
2番目のDMZでCitrix Gateway でダブルホップを有効にします。
-
[ 構成 ]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[ 基本設定 ] グループで編集アイコンをクリックします。
-
さらに展開し、[ ダブルホップ ] を選択して [ OK ] をクリックします。
-
-
2番目のDMZのCitrix Gateway 上の仮想サーバーの認証を無効にします。
-
[ 構成 ]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[ 基本設定 ] グループで編集アイコンをクリックします。
-
[ 詳細] を展開し、[ 認証を有効にする]をオフにします。
-
-
Citrix Gateway アプライアンスのいずれかを有効にして、TCPレコードをエクスポートします。
-
[ 構成 ]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のペインで、仮想サーバをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。
-
「+」アイコンをクリックし、 「ポリシーの選択」 リストから「 AppFlow 」を選択し、 「タイプの選択」 リストから「 その他のTCPリクエスト 」を選択します。
-
[ 続行] をクリックします。
-
ポリシーバインディングを追加し、[ Close] をクリックします。
-
-
他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。
-
[ 構成 ]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のウィンドウで、仮想サーバをダブルクリックし、[ 詳細設定 ] グループで [ ポリシー ] を展開します。
-
「+」アイコンをクリックし、 「ポリシーの選択」 リストから「AppFlow」を選択し、「タイプの選択」リストから「 その他のTCPリクエスト 」を選択します。
-
[ 続行] をクリックします。
-
ポリシーバインディングを追加し、[ Close] をクリックします。
-
-
両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。
-
「 構成 」タブで、「 システム 」>「 Appflow 」に移動します。
-
右側のウィンドウの [ 設定 ] グループで、[ Appflow 設定の変更 ] をダブルクリックします。
-
[ 接続チェーン ] を選択し、[ OK] をクリックします 。
-
-
最初のDMZのCitrix Gateway が2番目のDMZのCitrix Gateway と通信するように構成し、2番目のDMZのCitrixゲートウェイを最初のDMZのCitrixゲートウェイにバインドします。
-
[構成]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のウィンドウで、仮想サーバーをダブルクリックし、[ 詳細設定] グループで [ 公開アプリケーション] を展開します。
-
[ネクスト ホップサーバー] をクリックし、ネクストホップサーバーを2つ目のCitrix Gateway アプライアンスにバインドします。
-
-
2番目のDMZでCitrix Gateway でダブルホップを有効にします。
-
[構成]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[ 基本設定 ] グループで編集アイコンをクリックします。
-
[詳細] を展開し、[ ダブルホップ] を選択して [ OK] をクリックします。
-
-
2番目のDMZのCitrix Gateway 上の仮想サーバーの認証を無効にします。
-
[構成]タブで Citrix Gateway を展開し、[ 仮想サーバー]をクリックします。
-
右側のペインで仮想サーバーをダブルクリックし、[ 基本設定 ] グループで編集アイコンをクリックします。
-
[ 詳細] を展開し、[ 認証を有効にする]をオフにします。
-
-
Citrix Gateway アプライアンスのいずれかを有効にして、TCPレコードをエクスポートします。
-
[構成]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のウィンドウで、仮想サーバをダブルクリックし、[詳細設定] グループで [ ポリシー] を展開します。
-
**+** アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、 「タイプの選択」 リストから「 その他のTCPリクエスト 」を選択します。
-
[ 続行] をクリックします。
-
ポリシーバインディングを追加し、[ Close] をクリックします。
-
-
他のCitrix Gateway アプライアンスでICAレコードをエクスポートできるようにします。
-
[構成]タブで Citrix Gateway を展開し、[ 仮想サーバー ]をクリックします。
-
右側のウィンドウで、仮想サーバをダブルクリックし、[詳細設定] グループで [ ポリシー] を展開します。
-
「 **+」** アイコンをクリックし **、「ポリシーの選択」** リストから「AppFlow」を選択し、 **「タイプの選択」 **リストから「 **その他のTCPリクエスト **」を選択します。
-
[ 続行] をクリックします。
-
ポリシーバインディングを追加し、[ Close] をクリックします。
-
-
両方のCitrix Gateway アプライアンスで接続チェーンを有効にします。
透過モードで展開されたCitrix ADCを監視するためのデータ収集の有効化
Citrix ADCを透過モードで展開すると、クライアントは仮想サーバーを介さずにサーバーに直接アクセスできます。Citrix ADCアプライアンスがCitrix Virtual Apps and Desktop環境で透過モードで展開されている場合、ICAトラフィックはVPN経由で送信されません。
Citrix ADCをCitrix ADMインベントリに追加したら、データ収集用にAppFlowを有効にする必要があります。データ収集の有効化は、デバイスとモードによって異なります。その場合は、Citrix ADMをAppFlowコレクタとして各Citrix ADCアプライアンスに追加する必要があり、アプライアンスを通過するすべてのICAトラフィックまたは特定のICAトラフィックを収集するようにAppflowポリシーを構成する必要があります。
注意事項
- Citrix ADM構成ユーティリティを使用して、透過モードで展開されたCitrix ADCでデータ収集を有効にすることはできません。
- コマンドとその使用方法の詳細については、コマンドリファレンスを参照してください。
- ポリシー式の詳細については、ポリシーと式を参照してください。
次の図は、Citrix ADCが透過モードで展開された場合のCitrix ADMのネットワーク展開を示しています。
コマンドラインインターフェイスを使用してCitrix ADCアプライアンスのデータ収集を構成するには:
コマンドプロンプトで、次の操作を行います。
-
アプライアンスにログオンします。
-
Citrix ADCアプライアンスがトラフィックをリッスンするICAポートを指定します。
set ns param --icaPorts <port>...例:
set ns param -icaPorts 2598 1494注意事項
- このコマンドでは、最大 10 個のポートを指定できます。
- デフォルトのポート番号は 2598 です。必要に応じてポート番号を変更できます。
-
Citrix ADCアプライアンスのアプリケーションフローコレクターとしてNetScaler Insight Center を追加します。
add appflow collector <name> -IPAddress <ip_addr>例:
add appflow collector MyInsight -IPAddress 192.168.1.101注: Citrix ADCアプライアンス上で構成されているアプリケーションフロー コレクタを表示するには、show appflow collectorコマンドを使用します。
-
appflowアクションを作成し、コレクタをアクションに関連付けます。
add appflow action <name> -collectors <string> ...例:
アプリケーションフローのアクションコレクターを追加する MyInsight
-
appflow ポリシーを作成し、トラフィックを生成するルールを指定します。
add appflow policy <policyname> <rule> <action>例:
add appflow policy pol true act -
appflowポリシーをグローバルバインドポイントにバインドします。
bind appflow global <policyname> <priority> -type <type>例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT注意事項
タイプ の値は、ICAトラフィックに適用するICA_REQ_OVERRIDEまたは ICA_REQ_DEFAULTである必要があります。
-
アプリケーションフローのレコード間隔パラメーターの値を 60 秒に設定します。
set appflow param -flowRecordInterval 60例:
set appflow param -flowRecordInterval 60 -
設定を保存します。タイプ:
save ns config