Citrix ADC SDX

Citrix ADC インスタンスのプロビジョニング

Citrix ADC SDXアプライアンスをリリース12.1ビルド58.xx以降にインストールまたはアップグレードすると、Citrix ADMサービス接続はデフォルトで有効になります。詳しくは、「 データガバナンスとCitrixADMサービスコネクト」を参照してください。

管理サービスを使用して、SDX アプライアンスで 1 つ以上の Citrix ADC インスタンスをプロビジョニングできます。インストールできるインスタンスの数は、購入したライセンスによって異なります。追加されるインスタンスの数がライセンスで指定された数に等しい場合、管理サービスはそれ以上Citrix ADCインスタンスのプロビジョニングを許可しません。

SDXアプライアンスでのCitrix ADC VPXインスタンスのプロビジョニングは、次の手順で構成されます。

  1. Citrix ADC インスタンスにアタッチする管理者プロファイルを定義します。このプロファイルは、管理サービスがCitrix ADCインスタンスをプロビジョニングし、後でインスタンスと通信して構成データを取得するために使用するユーザー資格情報を指定します。デフォルトの管理者プロファイルを使用することもできます。
  2. .xva イメージファイルを管理サービスにアップロードします。
  3. 管理サービスの Citrix ADC プロビジョニングウィザードを使用して、Citrix ADC インスタンスを追加します。管理サービスは、Citrix ADC インスタンスをSDXアプライアンスに暗黙的に展開し、インスタンスの構成の詳細をダウンロードします。

警告

インスタンスで直接変更を実行するのではなく、Management Service を使用して、プロビジョニングされたネットワークインターフェイスまたは VLAN を変更してください。

管理者プロフィールを作成する

管理者プロファイルは、Citrix ADCインスタンスをプロビジョニングするとき、および後でインスタンスと通信して構成データを取得するときに管理サービスによって使用されるユーザー資格情報を指定します。管理者プロファイルで指定されたユーザー資格情報は、CLIまたは構成ユーティリティを使用してCitrix ADCインスタンスにログオンするときにもクライアントによって使用されます。

管理者プロファイルでは、Management ServiceとVPXインスタンスがセキュアなチャネルまたはHTTPを使用してのみ相互に通信する必要があることを指定することもできます。

インスタンスのデフォルトの管理者プロファイルでは、 nsrootのユーザ名が指定されています。このプロファイルは変更も削除もできません。ただし、インスタンスのプロビジョニング時に、ユーザー定義の管理者プロファイルを作成してインスタンスにアタッチすることで、デフォルトプロファイルをオーバーライドする必要があります。管理サービス管理者は、Citrix ADC インスタンスにアタッチされていないユーザー定義の管理者プロファイルを削除できます。

重要: VPXインスタンスで直接パスワードを変更しないでください。これを行うと、管理サービスからインスタンスに到達できなくなります。パスワードを変更するには、まず管理者プロファイルを作成し、Citrix ADC インスタンスを変更して、[ 管理者プロファイル] リストからこのプロファイルを選択します。

高可用性セットアップでCitrix ADCインスタンスのパスワードを変更するには、まずセカンダリノードとして指定されたインスタンスのパスワードを変更してから、プライマリノードとして指定されたインスタンスのパスワードを変更します。パスワードの変更は、管理サービスを使用する場合のみ行ってください。

管理者プロファイルを作成するには

  1. 構成 ]タブのナビゲーションペインで[ Citrix ADC 構成]を展開し、[ 管理者プロファイル]をクリックします。

  2. [ 管理者プロファイル ] ペインで、[ 追加] をクリックします。

  3. [ 管理者プロファイルの作成 ] ダイアログボックスが表示されます。

管理者プロファイル SNMP

次のパラメーターを設定します。

  • プロファイル名:管理者プロファイルの名前。デフォルトのプロファイル名はnsrootです。ユーザ定義のプロファイル名を作成できます。
  • パスワード:Citrix ADC インスタンスへのログオンに使用するパスワード。最大長:31 文字
  • SSH ポート:SSH ポートを設定します。デフォルトのポートは 22 です。
  • 管理サービスとCitrix ADCインスタンス間の通信について[システム設定]で設定を定義する場合は、[Citrix ADC通信にグローバル設定を使用する ]チェックボックスをオンにします。このチェックボックスをオフにして、プロトコルを HTTP または HTTPS に変更できます。

    • 管理サービスとCitrix ADCインスタンス間の通信にHTTPプロトコルを使用するには、httpオプションを選択します。
    • 管理サービスとCitrix ADCインスタンス間の通信に安全なチャネルを使用するには、[ https ] オプションを選択します。

4. [ SNMP] で、バージョンを選択します。v2 を選択した場合は、手順 5 に進みます。v3 を選択した場合は、手順 6 に進みます。

5. [SNMP v2] で、SNMP コミュニティ名を追加します

6. [SNMP v3] で、[ セキュリティ名 ] と [ セキュリティレベル] を追加します。

7. [ タイムアウト設定]で、値を指定します。

8.[Create] をクリックしてから、[Close] をクリックします。作成した管理者プロファイルが [ Admin Profiles ] ペインに表示されます。

[ Default ] 列の値が true の場合、デフォルトのプロファイルは管理者プロファイルになります。値が false の場合、ユーザ定義プロファイルが管理者プロファイルになります。

ユーザー定義の管理者プロファイルを使用しない場合は、Management Service から削除できます。ユーザー定義の管理者プロファイルを削除するには、[ Admin Profiles ] ペインで削除するプロファイルを選択し、[ Delete] をクリックします。

Citrix ADC .xvaイメージをアップロードする

Citrix ADC VPX インスタンスを追加するには、.xva ファイルが必要です。

VPXインスタンスをプロビジョニングする前に、Citrix ADC SDAの.xvaファイルをSDXアプライアンスにアップロードします。.xva イメージファイルをバックアップとしてローカルコンピューターにダウンロードすることもできます。.xva イメージファイルの形式は次のとおりです。nsvpx-xen-releaseNumber-buildnumber_nc.xva

注:デフォルトでは、Citrix ADC 9.3リリースに基づく.xvaイメージファイルがSDXアプライアンスで使用できます。

Citrix ADC XVAファイルペインでは 、次の詳細を表示できます。

  • 名前

    .xva イメージファイルの名前。ファイル名にはリリースとビルド番号が含まれます。たとえば、nsvpx-xen-9.3-25_nc.xva というファイル名は、リリース 9.3 ビルド 25 を指します。

  • 最終変更日

    .xva イメージファイルが最後に変更された日付。

  • サイズ

    .xva イメージファイルのサイズ (MB 単位)。

Citrix ADC .xva ファイルをアップロードするには

  1. 構成 ]タブのナビゲーションペインで[ Citrix ADC 構成]を展開し、[ XVAファイル]をクリックします。
  2. Citrix ADC XVAファイルペインで 、[ アップロード]をクリックします。
  3. Citrix ADCインスタンスXVAのアップロード ]ダイアログボックスで[ 参照 ]をクリックし、アップロードするXVAイメージファイルを選択します。
  4. [アップロード]をクリックします。XVAイメージファイルは、 アップロード後にCitrix ADC XVAファイルペインに表示されます

Citrix ADC .xvaファイルをダウンロードしてバックアップを作成するには

  1. Citrix ADC ビルドファイル ]ペインで、ダウンロードするファイルを選択し、[ ダウンロード]をクリックします。
  2. [ ファイルのダウンロード ] メッセージボックスで、[ 保存] をクリックします。
  3. [ 名前を付けて保存 ] メッセージボックスで、ファイルを保存する場所を参照し、[ 保存] をクリックします。

Citrix ADC インスタンスを追加する

管理サービスからCitrix ADCインスタンスを追加する場合、一部のパラメータに値を指定する必要があり、管理サービスはCitrix ADCインスタンスでこれらの設定を暗黙的に構成します。

名前: Citrix ADC インスタンスに名前を割り当てます。

次に、IPv4またはIPv6アドレス、またはIPv4とIPv6の両方のアドレスを選択して、管理目的でCitrix VPXインスタンスにアクセスします。 Citrix ADC インスタンスは管理IP(NSIPとも呼ばれる)を1つだけ持つことができます。NSIPアドレスは削除できません。

IP アドレスのネットマスク、デフォルトゲートウェイ、ネクストホップを管理サービスに割り当てます。

次に、XVA ファイル、管理者プロファイル、およびインスタンスの説明を追加します。

Citrix ADC インスタンスを追加する

注: 高可用性セットアップ(アクティブ/アクティブまたはアクティブ/スタンバイ)では、2つのCitrix ADC VPXインスタンスを異なるSDXアプライアンスに構成することをお勧めします。セットアップ内のインスタンスに、CPU、メモリ、インターフェイス、1 秒あたりのパケット数 (PPS)、スループットなどのリソースが同じであることを確認します。

ライセンスの割り当て

このセクションでは、Citrix ADC用に調達したライセンスを指定します。ライセンスは、スタンダード、エンタープライズ、プラチナ、またはSecure Web Gateway のいずれかです。

注: * は必須フィールドを示します。

SDXアプライアンス上のCitrix Secure Web Gateway(SWG)インスタンス用に、個別のライセンス(Secure Web Gateway 用SDX 2インスタンスアドオンパック)を購入します。このインスタンスパックは、SDX プラットフォームライセンスまたは SDX インスタンスパックとは異なります。

SDX アプライアンスへの Citrix SWG インスタンスの展開について詳しくは、「SDX アプライアンスへの Citrix Secure Web Gateway インスタンスの展開」を参照してください。

ADX VPX ライセンス割り当て

帯域幅のバースト機能が必要な場合は、[ 割り当てモード ] で [ バースタブル] を選択します。詳しくは、 SDX での帯域幅メータリングを参照してください

暗号配分

リリース 12.1 48.13 から、暗号キャパシティを管理するインターフェイスが変更されました。詳しくは、「 暗号容量の管理」を参照してください。

資源配分

[リソース割り当て] で、合計メモリ、1 秒あたりのパケット数、および CPU を割り当てます。

リソース割り当て

CPU: 専用コア (1 つまたは複数) をインスタンスに割り当てるか、インスタンスが他のインスタンスとコアを共有します。[shared] を選択すると、1 つのコアがインスタンスに割り当てられますが、リソースが不足している場合はコアが他のインスタンスと共有されることがあります。CPU コアが再割り当てされた場合、影響を受けるインスタンスを再起動します。パフォーマンスの低下を避けるため、CPU コアが再割り当てされているインスタンスを再起動します。

SDX リリース 11.1.x.x (MR4) から、SDX 25000xx プラットフォームを使用している場合、インスタンスに最大 16 個のコアを割り当てることができます。また、SDX 2500xxx プラットフォームを使用している場合は、インスタンスには最大 11 個のコアを割り当てることができます。

:インスタンスの場合、設定する最大スループットは 180 Gbps です。

次の表に、サポートされている VPX、シングルバングルイメージのバージョン、およびインスタンスに割り当て可能なコア数を示します。

プラットフォーム 総コア数 VPXインスタンスのプロビジョニングに使用できる合計コア数 1 つのインスタンスに割り当てることができる最大コア数
SDX 8015、SDX 8400、SDX 8600 4 3 3
SDX 8900 8 7 7
SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500、SDX 20500 12 10 5
SDX 11515、SDX 11520、SDX 11530、SDX 11540、SDX 11540、SDX 11542 12 10 5
SDX 17500、SDX 19500、SDX 21500 12 10 5
SDX 17550、SDX 19550、SDX 20550、SDX 21550 12 10 5
SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080、SDX 14100 12 10 5
SDX 22040、SDX 22060、SDX 22080、SDX 22100、SDX 22120 16 14 7
SDX 24100とSDX 24150 16 14 7
SDX 14020 40G、SDX 14030 40G、SDX 14040 40G、SDX 14060 40G、SDX 14060 40G、SDX 14080 40G、SDX 14100 40G 12 10 10
SDX 14020 FIPS, SDX 14030 FIPS, SDX 14040 FIPS, SDX 14060 FIPS, SDX 14080 FIPS and SDX 14100 FIPS 12 10 10
SDX 14040 40S、SDX 14060 40S、SDX 14080 40S、SDX 14100 40S 12 10 10
SDX 25100A、25160A、25200A 20 18 9
SDX 25100-40G、25160-40G、25200-40G 20 18 16 (バージョンが11.1-51.x以上の場合); 9 (バージョンが11.1-50.x以下の場合、11.0および10.5のすべてのバージョン)
SDX 26100, 26160, 26200, 26250 28 26 16
SDX 26100-50S, 26160-50S, 26200-50S, 26250-50S 28 26 16
SDX 26100-100G, 26160-100G, 26200-100G, 26250-100G 28 26 26
15000-50G 16 14 14

注: SDX 26xxx プラットフォームでは、VPX インスタンスに最大 26 個の CPU コアを割り当てることができます。ただし、暗号ユニットがインスタンスに割り当てられている場合、コアの最大数は暗号化ユニットとデータインターフェイスの数によって決まります。たとえば、24000 暗号ユニットをインスタンスに割り当てると、24 CPU コアと最大 2 つのデータインターフェイスをインスタンスに割り当てることができます。SDX アプライアンスは、データインターフェイスと暗号ユニットを PCI デバイスと見なします。26000個の暗号ユニットでは、データインターフェイス用のスペースがないため、VPXインスタンスをプロビジョニングできません。

インスタンス管理

VPXインスタンスの管理者ユーザーを作成するには、[インスタンス管理] の [ **インスタンス管理の追加 ] を選択します。**

インスタンス管理

次の詳細を追加します。

ユーザー名: Citrix ADC インスタンス管理者のユーザー名。このユーザはスーパーユーザアクセスできますが、VLAN およびインターフェイスを設定するためのネットワークコマンドへのアクセス権がありません。

パスワード: ユーザー名のパスワード。

シェル/SFTP/SCPアクセス: Citrix ADCインスタンス管理者に許可されたアクセス。このオプションはデフォルトで選択されています。

ネットワーク設定

  • [ネットワーク設定] で [L2 モードを許可]

Citrix ADC インスタンスでL2モードを許可できます。[ ネットワーク設定 ] で [ L2 モードを許可] を選択します。インスタンスにログオンし、L2 モードを有効にする前に。詳しくは、「 Citrix ADC インスタンスでのL2モードの許可」を参照してください。

ネットワーク設定

:Management Service からインスタンスの L2 モードを無効にする場合は、インスタンスにログオンし、そのインスタンスから L2 モードを無効にする必要があります。これを行わないと、インスタンスの再起動後に他のCitrix ADCモードがすべて無効になる場合があります。

デフォルトでは、管理 LA にはインターフェイス 0/1 と 0/2 が選択されています。

VLAN タグ: 管理インターフェイスの VLAN ID を指定します。

次に、データインターフェイスを追加します。

:インスタンスに追加するインターフェイスのインターフェイス ID は、SDX アプライアンスの物理インターフェイスの番号付けと必ずしも一致しません。たとえば、インスタンス 1 に関連付ける最初のインターフェイスが SDX インターフェイス 1/4 の場合、インスタンスにログオンしてインターフェイス設定を表示すると、インスタンス 1 に関連付けた最初のインターフェイスであるため、このインターフェイスはインターフェイス 1/1 として表示されます。

データインターフェースの追加

  • 許可されたVLAN: Citrix ADC インスタンスに関連付けることができるVLAN IDのリストを指定します。

  • MAC アドレスモード: MAC アドレスを割り当てます。次のいずれかのオプションを選択します:

    • デフォルト:Citrix HypervisorはMACアドレスを割り当てます。
    • [Custom]:生成された MAC アドレスを上書きする MAC アドレスを指定するには、このモードを選択します。
    • 生成:以前に設定したベース MAC アドレスを使用して MAC アドレスを生成します。ベース MAC アドレスの設定については、インターフェイスへの MAC アドレスの割り当てを参照してください。
  • VMAC 設定(仮想 MAC を設定するための IPv4 および IPv6 VRID)

    • VRID IPv4: VMACを識別するIPv4 VRID。可能な値:1 ~ 255 詳細については、「インターフェイスでの VMC の設定」を参照してください。
    • VRID IPV6: VMACを識別するIPv6 VRID。可能な値:1 ~ 255 詳細については、「インターフェイスでの VMC の設定」を参照してください。

管理 VLAN 設定

通常、VPXインスタンスの管理サービスと管理アドレス (NSIP) は同じサブネットワーク内にあり、通信は管理インターフェイスを介して行われます。ただし、Management Serviceとインスタンスが異なるサブネットワークにある場合、VPXインスタンスのプロビジョニング時にVLAN IDを指定して、起動時にネットワーク経由でインスタンスに到達できるようにする必要があります。VPXインスタンスのプロビジョニング時に選択したインターフェイス以外のインターフェイスからNSIPにアクセスできないように配置する必要がある場合は、NSVLANオプションを選択します。

NSVLANは選択しないことをお勧めします。Citrix ADC インスタンスをプロビジョニングした後は、この設定を変更することはできません。

管理 VLAN 設定

注:

  • HA ハートビートは、NSVLAN の一部であるインターフェイスだけで送信されます。
  • NSVLAN は、VPX XVA ビルド 9.3 ~ 53.4 以降からのみ設定できます。

重要:NSVLANが選択されていない場合、VPXインスタンスで「clear config full」コマンドを実行すると、VLAN構成が削除されます。

完了 ]をクリックして、Citrix ADC VPXアプライアンスをプロビジョニングします。

Citrix ADC インスタンスを変更する

プロビジョニングされたCitrix ADCインスタンスのパラメーターの値を変更するには、[Citrix ADC インスタンス]ペインで変更するインスタンスを選択し、[ 変更]をクリックします。[Modify ADC ウィザード] で、パラメータを変更します。

注: SSLチップ、インターフェイス、メモリ、 機能ライセンスの数などのパラメーターを変更すると、Citrix ADC インスタンスは暗黙的に停止して再起動し、これらのパラメーターを有効にします。

[イメージ] パラメータと [ユーザ名] パラメータは変更できません。

SDX アプライアンスにプロビジョニングされた Citrix ADC インスタンスを削除する場合は、[ Citrix ADC インスタンス ] ペインで、削除するインスタンスを選択し、[ 削除] をクリックします。[ 確認 ]メッセージボックスで[ はい ]をクリックしてCitrix ADCインスタンスを削除します。

VLAN を特定の仮想インターフェイスに制限する

SDX アプライアンス管理者は、Citrix ADC インスタンスに関連付けられた仮想インターフェイスに特定の 802.1Q VLAN を強制できます。この機能は、インスタンス管理者による 802.1Q VLAN の使用を制限する場合に特に役立ちます。2 つの異なる会社に属する 2 つのインスタンスが 1 つの SDX アプライアンスでホストされている場合、2 つの会社が同じ VLAN ID を使用しないように制限して、一方の会社が他方の会社のトラフィックを認識しないようにすることができます。インスタンス管理者がVPXインスタンスのプロビジョニングまたは変更中に802.1Q VLANにインターフェイスを割り当てようとすると、検証が実行され、指定されたVLAN IDが許可リストに含まれていることが検証されます。

デフォルトでは、インターフェイス上では任意の VLAN ID を使用できます。インターフェイス上のタグ付きVLANを制限するには、Citrix ADCインスタンスのプロビジョニング時に、または後でインスタンスを変更して [ネットワーク設定] でVLAN IDを指定します。範囲を指定するには、ID をハイフンで区切ります (10 ~ 12 など)。最初にいくつかの VLAN ID を指定し、あとで許可リストから削除した場合、そのインターフェイスでは任意の VLAN ID を使用できます。これで、デフォルト設定が復元されました。

許可 VLAN のリストを作成すると、SDX 管理者は VLAN を作成するためにインスタンスにログオンする必要がなくなります。管理者は、管理サービスから特定のインスタンスの VLAN を追加および削除できます。

重要

L2モードが有効な場合、管理者は異なるCitrix ADCインスタンスのVLAN IDが重複しないように注意する必要があります。

許可された VLAN ID を指定するには

  1. ADC のプロビジョニングウィザードまたは ADC の変更ウィザードの [ネットワーク設定] ページの [ 許可された VLAN ] テキストボックスで、このインターフェイスで許可される 1 つ以上の VLAN ID を指定します。範囲を指定するにはハイフンを使用します。たとえば、2 ~ 4094 と入力します。
  2. ウィザードの手順に従って処理を進めます。
  3. [ 完了] をクリックし、[ 閉じる] をクリックします。

管理サービスからインスタンスの VLAN を設定するには

  1. 構成 ]タブで、[ Citrix ADC]>[インスタンス]に移動します。
  2. インスタンスを選択し、[ VLAN] をクリックします。
  3. 詳細ペインで、[Add] をクリックします。
  4. Citrix ADC VLANの作成 ]ダイアログボックスで、次のパラメーターを指定します。
    • VLAN ID:特定のフレームが属する VLAN を一意に識別する整数。Citrix ADCは最大4094個のVLANをサポートします。ID 1 はデフォルト VLAN 用に予約されています。
    • IPV6 ダイナミックルーティング:この VLAN 上のすべての IPv6 ダイナミックルーティングプロトコルを有効にします。注: ENABLED 設定を機能させるには、インスタンスにログオンし、VTYSH コマンドラインから IPv6 動的ルーティングプロトコルを設定する必要があります。
  5. VLAN に含める必要があるインターフェイスを選択します。
  6. [Create] をクリックしてから、[Close] をクリックします。
Citrix ADC インスタンスのプロビジョニング