Citrix ADC インスタンスのプロビジョニング
注
Citrix ADC SDXアプライアンスをリリース13.1にインストールまたはアップグレードすると、Citrix ADMサービス接続はデフォルトで有効になります。詳しくは、「データガバナンスとCitrix ADMサービスコネクト」を参照してください。
管理サービスを使用して、SDX アプライアンスで 1 つ以上の Citrix ADC インスタンスをプロビジョニングできます。インストールできるインスタンスの数は、購入したライセンスによって異なります。追加されるインスタンスの数がライセンスで指定された数に等しい場合、管理サービスはそれ以上Citrix ADCインスタンスのプロビジョニングを許可しません。
注意:
基盤となるハードウェアプラットフォームとは無関係に、ネットワークインターフェイスに最大20個のVPXインスタンスを構成できます。
SDXアプライアンスでのCitrix ADC VPXインスタンスのプロビジョニングは、次の手順で構成されます。
- Citrix ADC インスタンスにアタッチする管理者プロファイルを定義します。このプロファイルは、Management Service が ADC インスタンスをプロビジョニングし、後でインスタンスと通信して構成データを取得するために使用するユーザー資格情報を指定します。デフォルトの管理者プロファイルを使用することもできます。
- .xva イメージファイルを管理サービスにアップロードします。
- 管理サービスのCitrix ADCのプロビジョニングウィザードを使用して、Citrix ADC インスタンスを追加します。管理サービスは、Citrix ADC インスタンスをSDXアプライアンスに暗黙的に展開し、インスタンスの構成の詳細をダウンロードします。
警告
インスタンスで直接変更を実行するのではなく、Management Service を使用して、プロビジョニングされたネットワークインターフェイスまたは VLAN を変更してください。
管理者プロフィールを作成する
管理者プロファイルでは、Citrix ADC インスタンスのプロビジョニング時に管理サービスで使用されるユーザー資格情報を指定します。これらの認証情報は、後でインスタンスと通信して設定データを取得するときに使用されます。管理者プロファイルで指定されたユーザー資格情報は、CLIまたはGUIを使用してCitrix ADCインスタンスにログオンするときにクライアントによっても使用されます。
管理者プロファイルでは、Management ServiceとVPXインスタンスがセキュアなチャネルまたはHTTPを使用してのみ相互に通信するように指定することもできます。
インスタンスのデフォルト管理者プロファイルでは、デフォルトの管理者ユーザ名が指定されます。このプロファイルは変更も削除もできません。ただし、インスタンスのプロビジョニング時に、ユーザー定義の管理者プロファイルを作成してインスタンスにアタッチすることで、デフォルトプロファイルをオーバーライドする必要があります。管理サービス管理者は、Citrix ADC インスタンスにアタッチされていないユーザー定義の管理者プロファイルを削除できます。
重要
VPXインスタンスでパスワードを直接変更しないでください。これを行うと、管理サービスからインスタンスに到達できなくなります。パスワードを変更するには、まず管理者プロファイルを作成し、Citrix ADC インスタンスを変更して、[管理者プロファイル] リストからこのプロファイルを選択します。
高可用性セットアップでCitrix ADCインスタンスのパスワードを変更するには、まずセカンダリノードとして指定されたインスタンスのパスワードを変更します。次に、プライマリノードとして指定したインスタンスのパスワードを変更します。パスワードの変更は、管理サービスを使用する場合のみ行ってください。
管理者プロファイルを作成するには
-
[ 構成 ]タブのナビゲーションペインで[ Citrix ADC 構成]を展開し、[ 管理者プロファイル]をクリックします。
-
[ 管理者プロファイル ] ペインで、[ 追加] をクリックします。
-
[ 管理者プロファイルの作成 ] ダイアログボックスが表示されます。
次のパラメーターを設定します。
- プロファイル名:管理者プロファイルの名前。デフォルトのプロファイル名は
nsrootです。ユーザ定義のプロファイル名を作成できます。 - パスワード:Citrix ADC インスタンスへのログオンに使用するパスワード。最大長:31 文字
- SSH ポート:SSH ポートを設定します。デフォルトのポートは 22 です。
-
Citrix ADC通信にグローバル設定を使用する: 管理サービスとCitrix ADCインスタンス間の通信について、システム設定で設定を定義する場合に選択します。このチェックボックスをオフにして、プロトコルを HTTP または HTTPS に変更できます。
-
管理サービスとCitrix ADCインスタンス間の通信にHTTPプロトコルを使用するには、httpオプションを選択します。
-
管理サービスとCitrix ADCインスタンス間の通信に安全なチャネルを使用するには、[ https ] オプションを選択します。
-
4. [ SNMP] で、バージョンを選択します。v2 を選択した場合は、手順 5 に進みます。v3 を選択した場合は、手順 6 に進みます。
5. [SNMP v2] で、SNMP コミュニティ名を追加します 。
6. [SNMP v3] で、[ セキュリティ名 ] と [ セキュリティレベル] を追加します。
7. [ タイムアウト設定]で、値を指定します。
8.[Create] をクリックしてから、[Close] をクリックします。作成した管理者プロファイルが [ Admin Profiles ] ペインに表示されます。
[ Default ] 列の値が true の場合、デフォルトのプロファイルは管理者プロファイルになります。値が false の場合、ユーザ定義プロファイルが管理者プロファイルになります。
ユーザー定義の管理者プロファイルを使用しない場合は、Management Service から削除できます。ユーザー定義の管理者プロファイルを削除するには、[ Admin Profiles ] ペインで削除するプロファイルを選択し、[ Delete] をクリックします。
Citrix ADC .xvaイメージをアップロードする
Citrix ADC VPX インスタンスを追加するには、.xva ファイルが必要です。
VPXインスタンスをプロビジョニングする前に、Citrix ADC SDX .xvaファイルをSDXアプライアンスにアップロードします。.xva イメージファイルをバックアップとしてローカルコンピューターにダウンロードすることもできます。.xvaイメージファイルフォーマットはNSVPX-XEN-ReleaseNumber-BuildNumber_nc.xva です。
Citrix ADC XVAファイルペインでは 、次の詳細を表示できます。
-
[名前]:.xva イメージファイルの名前。ファイル名にはリリースとビルド番号が含まれます。たとえば、ファイル名
NSVPX-XEN-12.1-56.22.xva.gzはリリース 12.1 ビルド 56.22を指します。 - 最終更新日:.xva イメージファイルが最後に変更された日付。
- サイズ:.xva イメージファイルのサイズ (MB 単位)。
Citrix ADC .xva ファイルをアップロードするには
- [ 構成 ]タブのナビゲーションペインで[ Citrix ADC 構成]を展開し、[ XVAファイル]をクリックします。
- Citrix ADC XVAファイルペインで 、[ アップロード]をクリックします。
- [ Citrix ADCインスタンスXVAのアップロード ]ダイアログボックスで[ 参照 ]をクリックし、アップロードするXVAイメージファイルを選択します。
- [アップロード]をクリックします。XVAイメージファイルは、 アップロード後にCitrix ADC XVAファイルペインに表示されます 。
Citrix ADC .xvaファイルをダウンロードしてバックアップを作成するには
- [ Citrix ADC ビルドファイル ]ペインで、ダウンロードするファイルを選択し、[ ダウンロード]をクリックします。
- [ ファイルのダウンロード ] メッセージボックスで、[ 保存] をクリックします。
- [ 名前を付けて保存 ] メッセージボックスで、ファイルを保存する場所を参照し、[ 保存] をクリックします。
Citrix ADC インスタンスを追加する
管理サービスからCitrix ADC インスタンスを追加する場合、一部のパラメーターの値を指定する必要があります。管理サービスは、Citrix ADC インスタンスでこれらの設定を暗黙的に構成します。
-
名前:Citrix ADC インスタンスに名前を割り当てます。
-
SDX Management ServiceとVPXインスタンス間の独立した内部常時接続を有効にするには、[ 内部ネットワーク経由で管理 ] をオンにします。
-
管理目的でCitrix VPXインスタンスにアクセスするには、IPv4またはIPv6アドレス、またはIPv4とIPv6の両方のアドレスを選択します。Citrix ADC インスタンスは管理IP(NSIP)を1つだけ持つことができます。NSIPアドレスは削除できません。
-
IP アドレスのネットマスク、デフォルトゲートウェイ、ネクストホップを管理サービスに割り当てます。
次に、XVA ファイル、管理者プロファイル、およびインスタンスの説明を追加します。
注: 高可用性セットアップ(アクティブ/アクティブまたはアクティブ/スタンバイ)では、2つのCitrix ADC VPXインスタンスを異なるSDXアプライアンスに構成することをお勧めします。セットアップ内のインスタンスに、CPU、メモリ、インターフェイス、1 秒あたりのパケット数 (PPS)、スループットなどのリソースが同じであることを確認します。
ライセンスの割り当て
このセクションでは、Citrix ADC用に調達したライセンスを指定します。ライセンスは、スタンダード、エンタープライズ、プラチナです。
注: アスタリスクは必須フィールドを示します。
帯域幅バースト機能が必要な場合は、[ 割り当てモード ] で [ バースト可能] を選択します。詳しくは、 SDX での帯域幅メータリングを参照してください。
暗号配分
リリース 12.1 48.13 から、暗号キャパシティを管理するインターフェイスが変更されました。詳しくは、「 暗号容量の管理」を参照してください。
資源配分
[リソース割り当て] で、合計メモリ、1 秒あたりのパケット数、および CPU を割り当てます。
CPU 専用コア (1 つまたは複数) をインスタンスに割り当てるか、インスタンスが他のインスタンスとコアを共有します。[shared] を選択すると、1 つのコアがインスタンスに割り当てられますが、リソースが不足している場合はコアが他のインスタンスと共有されることがあります。CPU コアが再割り当てされた場合、影響を受けるインスタンスを再起動します。パフォーマンスの低下を避けるため、CPU コアが再割り当てされているインスタンスを再起動します。
SDX リリース 11.1.x.x (MR4) から、SDX 25000xx プラットフォームを使用している場合、インスタンスに最大 16 個のコアを割り当てることができます。また、SDX 2500xxx プラットフォームを使用している場合は、インスタンスには最大 11 個のコアを割り当てることができます。
注: インスタンスの場合、設定する最大スループットは 180 Gbps です。
次の表に、サポートされているVPX、単一バンドルイメージのバージョン、およびインスタンスに割り当てることができるコアの数を示します。
| プラットフォーム名 | 総コア数 | VPXプロビジョニングで使用可能なコアの合計 | 1 つのインスタンスに割り当て可能な最大コア数 |
|---|---|---|---|
| SDX 8015、SDX 8400、SDX 8600 | 4 | 3 | 3 |
| SDX 8900 | 8 | 7 | 7 |
| SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500、SDX 20500 | 12 | 10 | 5 |
| SDX 11515、SDX 11520、SDX 11530、SDX 11540、SDX 11540、SDX 11542 | 12 | 10 | 5 |
| SDX 17500、SDX 19500、SDX 21500 | 12 | 10 | 5 |
| SDX 17550、SDX 19550、SDX 20550、SDX 21550 | 12 | 10 | 5 |
| SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080、SDX 14100 | 12 | 10 | 5 |
| SDX 22040、SDX 22060、SDX 22080、SDX 22100、SDX 22120 | 16 | 14 | 7 |
| SDX 24100とSDX 24150 | 16 | 14 | 7 |
| SDX 14020 40G, SDX 14030 40G, SDX 14040 40G, SDX 14060 40G, SDX 14080 40G, and SDX 14100 40G | 12 | 10 | 10 |
| SDX 14020 FIPS, SDX 14030 FIPS, SDX 14040 FIPS, SDX 14060 FIPS, SDX 14080 FIPS, and SDX 14100 FIPS | 12 | 10 | 5 |
| SDX 14040 40S、SDX 14060 40S、SDX 14080 40S、SDX 14100 40S | 12 | 10 | 10 |
| SDX 25100A、25160A、25200A | 20 | 18 | 9 |
| SDX 25100-40G、25160-40G、25200-40G | 20 | 18 | 16 (バージョンが11.1-51.x以上の場合); 9 (バージョンが11.1-50.x以下の場合、11.0および10.5のすべてのバージョン) |
| SDX 26100, 26160, 26200, 26250 | 28 | 26 | 16 |
| SDX 26100-50S, 26160-50S, 26200-50S, 26250-50S | 28 | 26 | 16 |
| SDX 26100-100G, 26160-100G, 26200-100G, 26250-100G | 28 | 26 | 25 |
| SDX 15000 | 16 | 14 | 14 |
| SDX 15000-50G | 16 | 14 | 14 |
注意:
13.1-24.xより前のCitrix ADCリリースでは、SDX 26000プラットフォーム上のVPXインスタンスに最大26個のCPUコアを割り当てることができます。リリース13.1~24.x以降、SDX 26000プラットフォーム上のVPXインスタンスに最大25個のCPUコアを割り当てることができます。ただし、暗号ユニットがインスタンスに割り当てられている場合、コアの最大数は暗号化ユニットとデータインターフェイスの数によって決まります。たとえば、24000 暗号ユニットをインスタンスに割り当てると、24 CPU コアと最大 2 つのデータインターフェイスをインスタンスに割り当てることができます。SDX アプライアンスは、データインターフェイスと暗号ユニットを PCI デバイスと見なします。26000個の暗号ユニットでは、データインターフェイス用のスペースがないため、VPXインスタンスをプロビジョニングできません。
インスタンス管理
VPXインスタンスの管理者ユーザーを作成するには、[インスタンス管理] の [ **インスタンス管理の追加 ] を選択します。**
次の詳細を追加します。
ユーザー名: Citrix ADC インスタンス管理者のユーザー名。このユーザはスーパーユーザアクセスできますが、VLAN およびインターフェイスを設定するためのネットワークコマンドへのアクセス権がありません。
パスワード: ユーザー名のパスワード。
シェル/SFTP/SCPアクセス: Citrix ADCインスタンス管理者に許可されたアクセス。このオプションはデフォルトで選択されています。
ネットワーク設定
-
L2 モードを許可する: Citrix ADC インスタンスで L2 モードを許可できます。[ ネットワーク設定 ] で [ L2 モードを許可] を選択します。インスタンスにログオンし、L2 モードを有効にする前に。詳しくは、「 Citrix ADC インスタンスでのL2モードの許可」を参照してください。
注意:
- Management Service からインスタンスの L2 モードを無効にする場合は、インスタンスにログオンし、そのインスタンスから L2 モードを無効にする必要があります。これを行わないと、インスタンスの再起動後に他のCitrix ADCモードがすべて無効になる場合があります。
- ADC インスタンスのインターフェイスまたはチャネルは Management Service から削除できません。
-
インターフェイス 0/1 と 0/2: デフォルトでは、インターフェイス 0/1 と 0/2 が管理 LA に選択されます。
-
VLANタグ: 管理インターフェイスのVLAN IDを指定します。次に、データインターフェイスを追加します。
注意:
インスタンスに追加するインターフェイスのインターフェイス ID は、SDX アプライアンスの物理インターフェイス番号と必ずしも一致しません。インスタンス 1 に関連付ける最初のインターフェイスがインターフェイス 1/4 の場合、インスタンスのインターフェイス設定を表示すると、インターフェイス 1/1 として表示されます。インスタンス 1 に関連付けた最初のインターフェイスであるため、番号付けが変わります。
-
タグなしトラフィックを許可する: Citrix ADCインスタンスがタグなしトラフィックを処理できるようにするには、[タグなしトラフィックを許可する ]チェックボックスをオンにします。
注意:
SDXアプライアンスのバージョンが13.1-24.x以降で、Citrix ADCインスタンスのバージョンが13.1-24.xより前の場合、[ タグなしトラフィックを許可する] チェックボックスがオフになっていても、ADCインスタンスはMellanoxインターフェイスでタグなしトラフィックを処理します 。
-
許可されたVLAN:Citrix ADC インスタンスに関連付けることができるVLAN IDのリストを指定します。
-
MAC アドレスモード: MAC アドレスを割り当てます。次のいずれかのオプションを選択します:
- デフォルト: Citrix HypervisorはMACアドレスを割り当てます。
- [Custom]: 生成された MAC アドレスを上書きする MAC アドレスを指定するには、このモードを選択します。
- 生成:以前に設定したベース MAC アドレスを使用して MAC アドレスを生成します 。ベース MAC アドレスの設定については、 インターフェイスへの MAC アドレスの割り当てを参照してください。
-
VMAC 設定(仮想 MAC を設定するための IPv4 および IPv6 VRID)
- VRID IPv4: VMACを識別するIPv4 VRID。可能な値:1 ~ 255 詳細については、「 インターフェイスでの VMC の設定」を参照してください。
- VRID IPV6: VMACを識別するIPv6 VRID。可能な値:1 ~ 255 詳細については、「 インターフェイスでの VMC の設定」を参照してください。
管理 VLAN 設定
通常、VPXインスタンスの管理サービスと管理アドレス (NSIP) は同じサブネットワーク内にあり、通信は管理インターフェイスを介して行われます。ただし、管理サービスとインスタンスが異なるサブネットワークにある場合、VPXインスタンスのプロビジョニング時にVLAN IDを指定する必要があります。この ID は、起動時にネットワーク経由でインスタンスに到達できるようにするために必要です。VPXインスタンスのプロビジョニング時に選択したインターフェイスからのみNSIPにアクセスできるようにする必要がある場合は、NSVLANオプションを選択します。
NSVLANは選択しないことをお勧めします。Citrix ADC インスタンスをプロビジョニングした後は、この設定を変更することはできません。
注意:
- HA ハートビートは、NSVLAN の一部であるインターフェイスだけで送信されます。
- NSVLAN は、VPX XVA ビルド 9.3 53.4 以降からのみ設定できます。
重要: NSVLANが選択されていない場合、VPXインスタンスで「clear config full」コマンドを実行すると、VLAN構成が削除されます。
[ 完了 ]をクリックして、Citrix ADC VPXアプライアンスをプロビジョニングします。
Citrix ADC インスタンスを変更する
プロビジョニングされた ADC インスタンスのパラメーター値を変更するには、[ Citrix ADC インスタンス ] ペインで、変更するインスタンスを選択し、[ 変更] をクリックします。[Modify ADC ウィザード] で、パラメータを変更します。
注: SSLチップ、インターフェイス、メモリ、 機能ライセンスの数などのパラメーターを変更すると、Citrix ADC インスタンスは暗黙的に停止して再起動し、これらのパラメーターを有効にします。
[イメージ] パラメータと [ユーザ名] パラメータは変更できません。
SDX アプライアンスにプロビジョニングされた ADC インスタンスを削除するには、[ Citrix ADC インスタンス ]ペインで、削除するインスタンスを選択し、[ 削除]をクリックします。[ 確認 ]メッセージボックスで[ はい ]をクリックしてCitrix ADCインスタンスを削除します。
VLAN を特定の仮想インターフェイスに制限する
SDX アプライアンス管理者は、Citrix ADC インスタンスに関連付けられた仮想インターフェイスに特定の 802.1Q VLAN を強制できます。この機能は、インスタンス管理者による 802.1Q VLAN の使用を制限する場合に特に役立ちます。2 つの異なる会社に属する 2 つのインスタンスが 1 つの SDX アプライアンスでホストされている場合、2 つの会社が同じ VLAN ID を使用しないように制限できます。そうすることで、ある会社が他方の会社のトラフィックを見ることができなくなります。インスタンス管理者が 802.1Q VLAN にインターフェイスを割り当てようとすると、指定された VLAN ID が許可リストに含まれていることを確認する検証が実行されます。
デフォルトでは、インターフェイス上では任意の VLAN ID を使用できます。インターフェイス上のタグ付きVLANを制限するには、Citrix ADCインスタンスのプロビジョニング時に[ネットワーク設定]でVLAN IDを指定します。また、後でインスタンスを変更して指定することもできます。範囲を指定するには、ID をハイフンで区切ります (10 ~ 12 など)。最初にいくつかの VLAN ID を指定し、あとで許可リストから削除した場合、そのインターフェイスでは任意の VLAN ID を使用できます。これで、デフォルト設定が復元されました。
許可 VLAN のリストを作成すると、SDX 管理者は VLAN を作成するためにインスタンスにログオンする必要がなくなります。管理者は、管理サービスから特定のインスタンスの VLAN を追加および削除できます。
重要:L2モードが有効になっている場合、管理者は異なるCitrix ADCインスタンスのVLAN IDが重複しないように注意する必要があります。
許可された VLAN ID を指定するには
- ADC のプロビジョニングウィザードまたは ADC の変更ウィザードの [ネットワーク設定] ページの [ 許可された VLAN] で、このインターフェイスで許可される 1 つ以上の VLAN ID を指定します。範囲を指定するにはハイフンを使用します。たとえば、2 ~ 4094 と入力します。
- ウィザードの手順に従って処理を進めます。
- [ 完了] をクリックし、[ 閉じる] をクリックします。
管理サービスからインスタンスの VLAN を設定するには
- [ 構成 ]タブで、[Citrix ADC]>[インスタンス]に移動します。
- インスタンスを選択し、[ VLAN] をクリックします。
- 詳細ウィンドウで、[ 追加] をクリックします。
- [ Citrix ADC VLANの作成 ]ダイアログボックスで、次のパラメーターを指定します。
- VLAN ID:特定のフレームが属する VLAN を一意に識別する整数。Citrix ADCは最大4094個のVLANをサポートします。ID 1 はデフォルト VLAN 用に予約されています。
- IPV6 ダイナミックルーティング:この VLAN 上のすべての IPv6 ダイナミックルーティングプロトコルを有効にします。注: ENABLED 設定を機能させるには、インスタンスにログオンし、VTYSH コマンドラインから IPv6 動的ルーティングプロトコルを設定する必要があります。
- VLAN に含める必要があるインターフェイスを選択します。
- [Create] をクリックしてから、[Close] をクリックします。