Citrix ADC

管理分区

Citrix ADC 设备可以分割为称为管理分区的逻辑实体,其中每个分区都可以配置并用作单独的 Citrix ADC 设备。下图显示了不同客户和部门正在使用的 Citrix ADC 分区:

图片

分区的 Citrix ADC 设备具有单个默认分区和一个或多个管理分区。下表提供了有关两种分区类型的更多详细信息:

注意:在已分区的设备中,只能在默认分区中启用 BridgeBPDU 模式,而不能在管理分区中启用。

默认分区

管理分区

可用性

Citrix ADC 设备随附一个分区,称为默认分区。即使对 Citrix ADC 设备进行分区,默认分区也会保留。

必须按照配置管理分区中所述显式创建。

分区数量

Citrix ADC 设备可以有一个或多个(最多 512 个)管理分区。

用户访问权限和角色

所有与特定于分区的命令策略没有关联的 Citrix ADC 用户都可以访问和配置默认分区。与往常一样,用户可以执行的操作受关联命令策略的限制。

只能由同时为该分区指定用户的 Citrix ADC 超级用户创建。只有超级用户和分区的关联用户才能访问和配置管理分区。

注意:分区用户没有 shell 访问权限。

文件结构

默认分区中的所有文件都存储在默认 Citrix ADC 文件结构中。

例如,Citrix ADC 配置文件存储在 /nsconfig 目录中,Citrix ADC 日志存储在 /var/log/ 目录中。

管理分区中的所有文件都存储在具有管理分区名称的目录路径中。

例如,Citrix ADC 配置文件 (ns.conf) 存储在 /nsconfig/partitions/<partitionName> 目录中。其他特定于分区的文件存储在目录 /var/partitions/<partitionName> 中。

管理分区中的其他一些路径:

  • 已下载的文件:/var/partitions/<partitionName>/download/
  • 日志文件: /var/partitions/<partitionName>/log/

注意: 目前,分区级别不支持日志记录。因此,此目录为空,所有日志都存储在目录 /var/log/ 中。

  • SSL CRL 证书相关文件:/var/partitions/<partitionName>/netscaler/ssl

可用资源

所有 Citrix ADC 资源。

显式分配给管理分区的 Citrix ADC 资源。

用户访问权限和角色

在对分区的 Citrix ADC 设备进行身份验证和授权时,root 权限管理员可以将分区管理员分配给一个或多个分区。分区管理员可以授权用户访问该分区,而不会影响其他分区。这些是分区用户,他们有权使用 SNIP 地址仅访问该分区。root 权限管理员和分区管理员都可以配置基于角色的访问权限(RBA 授权用户访问不同的应用程序)。

管理员和用户角色的描述如下:

root 权限管理员。通过其 NSIP 地址访问已分区的设备,并可授予用户访问一个或多个分区的权限。管理员还可以将分区管理员分配到一个或多个分区。管理员可以使用 NSIP 地址从默认分区创建分区管理员,或切换到分区,然后创建用户并使用 SNIP 地址分配分区管理员访问权限。

分区管理员。通过 root 权限管理员分配的 NSIP 地址访问指定的分区。管理员可以将基于角色的访问权限分配给分区用户对该分区的访问权限,还可以使用特定于分区的配置配置配置配置配置外部服务器身份验证。

系统用户。通过 NSIP 地址访问分区。有权访问 root 权限管理员指定的分区和资源。

分区用户。通过 SNIP 地址访问分区。此用户帐户由分区管理员创建,用户只能访问分区内的资源。

需要记住的几个要点

以下是在分区中提供基于角色的访问时需要记住的几点。

  1. 通过 NSIP 地址访问 GUI 的 Citrix ADC 用户将使用默认分区身份验证配置登录到设备。
  2. 通过分区 SNIP 地址访问 GUI 的分区系统用户将使用分区特定的身份验证配置登录到设备。
  3. 在分区中创建的分区用户无法使用 NSIP 地址登录。
  4. 绑定到分区的 Citrix ADC 用户无法使用分区 SNIP 地址登录。
  5. 外部用户通过外部服务器配置访问分区,例如在分区中添加 LDAP、Radius 或 TACACS。用户必须使用 SNIP 地址访问才能直接登录到分区。

在分区设置中管理基于角色的访问的用例

考虑企业组织 www.example.com 具有多个业务部门和一个集中管理员管理其网络中的所有实例的情况。但是,他们希望为每个业务部门提供专属用户权限和环境。

以下是已分区设备中默认分区身份验证配置和分区特定配置管理的管理员和用户。

John:root 权限管理员

George:分区管理员

Adam:系统用户

Jane:分区用户

John 是分区的 Citrix ADC 设备的 root 权限管理员。John 管理设备内跨分区(例如 P1、P2、P3、P4 和 P5)的所有用户帐户和管理用户帐户。他提供了对设备默认分区中实体的基于角色的精细访问权限。John 创建用户帐户并为每个帐户分配分区访问权限。George 作为组织内的网络工程师,更愿意对分区 P2 上运行的少数应用程序进行基于角色的访问。根据用户管理,John 为 George 创建分区管理员角色,并将其用户帐户与 P2 分区中的分区管理员命令策略相关联。作为另一名网络工程师,Adam 更喜欢访问在 P2 上运行的应用程序。John 为亚当创建一个系统用户帐户,并将他的用户帐户关联到 P2 分区。创建帐户后,Adam 可以登录设备,通过 NSIP 地址访问 Citrix ADC 管理界面,并可以根据用户/组绑定切换到分区 P2。

假设 Jane 是另一名网络工程师希望直接访问仅在分区 P2 上运行的应用程序,George(分区管理员)可以为她创建一个分区用户帐户,并将她的帐户与命令策略关联起来以获得授权权权限。Jane 在分区中创建的用户帐户现在直接与 P2 关联。现在,Jane 可以通过 SNIP 地址访问 Citrix ADC 管理界面,并且无法切换到任何其他分区。

注意

如果 Jane 的用户帐户是由分区 P2 中的分区管理员创建的,她只能通过 SNIP 地址(在分区内创建)访问 Citrix ADC 管理界面,而不允许通过 NSIP 地址访问该界面。同样,如果 Adam 的用户帐户由默认分区中的 root 管理员创建并绑定到 P2 分区,则他只能通过在默认分区中创建的 NSIP 地址或 SNIP 地址访问 Citrix ADC 管理界面(启用了管理访问权限),并且不允许访问分区接口通过在管理分区中创建的 SNIP 地址。

为分区管理员配置角色和职责

以下是 root 权限管理员在默认分区中执行的配置。

创建管理分区和系统用户 — root 权限管理员在设备的默认分区中创建管理分区和系统用户。然后,管理员将用户关联到不同的分区。如果绑定到一个或多个分区,则可以根据用户绑定从一个分区切换到另一个分区。此外,您对一个或多个绑定分区的访问权限仅由 root 权限管理员授权。

授权系统用户作为特定分区的分区管理员 — 创建用户帐户后,root 管理员会切换到特定分区,并授权用户作为分区管理员。这是通过向用户帐户分配分区管理员命令策略来完成的。现在,用户可以作为分区管理员访问分区并管理分区内的实体。

以下是管理分区管理员在管理分区中执行的配置。

在管理分区中配置 SNIP 地址-分区管理员登录到分区并创建 SNIP 地址并提供对该地址的管理访问权限。

使用分区命令策略创建和绑定分区系统用户-分区管理员创建分区用户并定义用户访问范围。这是通过将用户帐户绑定到分区命令策略来完成的。

使用分区命令策略创建和绑定分区系统用户组-分区管理员创建分区用户组并定义用户组访问的范围。这是通过将用户组帐户绑定到命令策略的分区来完成的。

为外部用户配置外部服务器身份验证(可选)-此配置用于对使用 SNIP 地址访问分区的外部 TACACS 用户进行身份验证。

以下是在管理分区中为分区用户配置基于角色的访问权限时执行的任务。

  1. 创建管理分区 — 在管理分区中创建分区用户之前,必须先创建分区。作为 root 管理员,您可以使用配置实用程序或命令行界面从默认分区创建分区。
  2. 将用户访问权限从默认分区切换到分区 P2 — 如果您是从默认分区访问设备的分区管理员,则可以根据用户绑定从默认分区切换到特定分区(例如,分区 P2)。
  3. 将 SNIP 地址添加到已启用管理访问权限的分区用户帐户-一旦您切换到管理分区的访问权限,就必须创建 SNIP 地址并提供对该地址的管理访问权限。
  4. 使用分区命令策略创建和绑定分区系统用户如果您是分区管理员,则可以创建分区用户并定义用户访问的范围。这是通过将用户帐户绑定到分区命令策略来完成的。
  5. 使用分区命令策略创建和绑定分区用户组如果您是分区管理员,则可以创建分区用户组并定义用户访问控制的范围。这是通过将用户组帐户绑定到分区命令策略来完成的。

为外部用户配置外部服务器身份验证(可选)-此配置用于对使用 SNIP 地址访问分区的外部 TACACS 用户进行身份验证。

使用管理分区的好处

您可以通过为您的部署使用 admin 分区来获得以下优势:

  • 允许将应用程序的管理所有权委派给客户。
  • 在不影响性能和易用性的情况下降低 ADC 拥有成本。
  • 防止不必要的配置更改。在未分区的 Citrix ADC 设备中,其他应用程序的授权用户可能会有意或无意更改应用程序所需的配置。这可能导致不良行为。在分区的 Citrix ADC 设备中减少了这种可能性。
  • 通过为每个分区使用专用 VLAN,隔离不同应用程序之间的流量。
  • 加速并允许扩展应用程序部署。
  • 允许应用程序级或本地化管理和报告。

让我们分析几个案例来了解您可以使用 admin 分区的场景。

用户案例 1:如何在企业网络中使用管理分区

让我们来考虑一个名为 Foo.com 的公司所面临的情况。

  • Foo.com 有一个单一的 Citrix ADC。
  • 共有五个部门,每个部门都有一个应用程序需要与 Citrix ADC 一起部署。
  • 每个应用程序必须由一组不同的用户或管理员独立管理。
  • 必须限制其他用户访问配置。
  • 应用程序或后端必须能够共享 IP 地址等资源。
  • 全球 IT 部门必须能够控制 Citrix ADC 级别的设置,这些设置必须是所有分区通用的。
  • 应用程序必须彼此独立。一个应用程序的配置错误不得影响另一个应用程序。

未分区的 Citrix ADC 将无法满足这些要求。但是,您可以通过对 Citrix ADC 进行分区来满足所有这些要求。

只需为每个应用程序创建一个分区,将所需用户分配到分区,为每个分区指定一个 VLAN,然后在默认分区上定义全局设置。

用例 2:服务提供商如何使用管理分区

让我们假设一个名为 BigProvider 的服务提供商所面临的场景:

  • BigProvider 拥有 5 个客户:3 个小企业和 2 个大企业。
  • SmallBizSmallerBizStartupBiz 只需要最基本的 Citrix ADC 功能。
  • BigBizLargeBiz 是较大的企业,它们拥有吸引大量流量的应用程序。他们希望使用一些更复杂的 Citrix ADC 功能。

在非分区方法中,Citrix ADC 管理员通常会使用 Citrix ADC SDX 设备并为每个客户配置 Citrix ADC 实例。

此解决方案适合 BigBizLargeBiz ,因为它们的应用需要整个未分区的 Citrix ADC 设备的功率不受减损。但是,此解决方案可能不会为 SmallBizSmallerBizStartupBiz 提供服务那么具有成本效益。

因此,BigProvider 决定以下解决方案:

  • 使用 Citrix ADC SDX 设备调出适用于 BigBizLargeBiz 的专用 Citrix ADC 实例。
  • 使用分区为三个分区的单个 Citrix ADC,分区为 SmallBizSmallerBizStartupBiz

Citrix ADC 管理员(超级用户)为这些客户中的每个客户创建一个管理分区,指定分区的用户,指定分区的 Citrix ADC 资源,并指定用于每个分区的流量所使用的 VLAN。

管理分区