Citrix ADC

管理分区

Citrix ADC 设备可以分区为称为管理分区的逻辑实体。每个分区都可以配置并用作单独的 Citrix ADC 设备。下图显示了不同客户和部门正在使用的 Citrix ADC 的分区:

管理分区

分区的 Citrix ADC 设备具有一个默认分区以及一个或多个管理分区。下表提供了有关这两种分区类型的更多详细信息:

注意

在分区的设备中,BridgeBPDU 模式只能在默认分区中启用,而不能在管理分区中启用。

可用性

Citrix ADC 设备随附一个分区,称为默认分区。即使在将 Citrix ADC 设备分区后,默认分区仍会保留。

必须按照 配置管理分区中所述明确创建。

Number of Partitions(分区数):

Citrix ADC 设备可以有一个或多个(最多 512 个)管理分区。

User Access and Roles(用户访问权限和角色):

特定于分区的命令策略没有关联的所有 Citrix ADC 用户都可以访问和配置默认分区。与往常一样,关联的命令策略限制用户可以执行的操作。

用户访问权限和角色由 Citrix ADC 超级用户创建,他们还为该分区指定用户。只有超级用户和该分区的关联用户才能访问和配置管理分区。

注意

分区用户没有 shell 访问权限。

File Structure(文件结构):

默认分区中的所有文件都存储在默认 Citrix ADC 文件结构中。

例如,/nsconfig 目录存储 Citrix ADC 配置文件,/var/log/ 目录存储 Citrix ADC 日志。

管理分区中的所有文件都存储在具有管理分区名称的目录路径中。

例如,Citrix ADC 配置文件 (ns.conf) 存储在 /nsconfig/partitions/<partitionName> 目录中。其他特定于分区的文件存储在 /var/partitions/<partitionName> 目录中。

管理分区中的一些其他路径:

  • 下载的文件:/var/partitions/<partitionName>/download/
  • 日志文件:/var/partitions/<partitionName>/log/

注意

目前,分区级别不支持日志记录。因此,此目录为空,所有日志都存储在 /var/log/ 目录中。

  • SSL CRL 证书相关文件:/var/partitions/<partitionName>/netscaler/ssl

Resources Available(可用资源):

所有 Citrix ADC 资源。

明确分配给管理分区的 Citrix ADC 资源。

用户访问权限和角色

在对分区的 Citrix ADC 设备进行身份验证和授权时,root 管理员可以为一个或多个分区分配分区管理员。分区管理员可以授权用户访问该分区,而不会影响其他分区。分区用户有权使用 SNIP 地址仅访问该分区。root 管理员和分区管理员都可以配置基于角色的访问权限(通过授权用户访问不同的应用程序来配置 RBA。

可以按如下所示描述管理员和用户角色:

root 管理员。通过其 NSIP 地址访问分区的设备,并且可以授予用户对一个或多个分区的访问权限。管理员还可以将分区管理员分配给一个或多个分区。管理员可以使用 NSIP 地址从默认分区创建分区管理员,或者切换到某个分区,然后创建一个用户并使用 SNIP 地址分配分区管理员访问权限。

分区管理员。通过 root 管理员分配的 NSIP 地址访问指定的分区。管理员可以为分区用户分配基于角色的访问权限,还可以使用特定于分区的配置来配置外部服务器身份验证。

系统用户。通过 NSIP 地址访问分区。可以访问 root 管理员指定的分区和资源。

分区用户。通过 SNIP 地址访问分区。用户帐户由分区管理员创建,用户只能在分区内访问资源。

需要记住的几个要点

下面是在分区中提供基于角色的访问权限时需要记住的几个事项。

  1. 通过 NSIP 地址访问 GUI 的 Citrix ADC 用户使用默认分区身份验证配置登录设备。
  2. 通过分区 SNIP 地址访问 GUI 的分区系统用户使用特定于分区的身份验证配置登录设备。
  3. 在分区中创建的分区用户无法使用 NSIP 地址登录。
  4. 绑定到分区的 Citrix ADC 用户无法使用分区 SNIP 地址登录。
  5. 通过外部身份验证服务器(例如 LDAP、RADIUS、TACACS)进行身份验证的系统用户必须通过 SNIP 地址访问分区。

在分区的设置中管理基于角色的访问权限的用例

假设一个场景,即企业组织 www.example.com 拥有多个业务单元和一个集中管理员来管理其网络中的所有实例。但是,他们希望为每个业务部门提供专属用户权限和环境。

下面是在分区的设备中默认分区身份验证配置和特定于分区的配置管理的管理员和用户。

John:root 管理员

George:分区管理员

Adam:系统用户

Jane:分区用户

John 是分区的 Citrix ADC 设备的 root 管理员。John 在设备内跨分区(例如 P1、P2、P3、P4 和 P5)管理所有用户帐户和具有管理权限的用户帐户。John 提供对设备的默认分区中的实体的基于角色的精细访问权限。John 创建用户帐户并为每个帐户分配分区访问权限。作为组织内的网络工程师,George 倾向于对分区 P2 上运行的少数应用程序具有基于角色的访问权限。根据用户管理,John 为 George 创建了一个分区管理员角色,并将其用户帐户与 P2 分区中的分区管理员命令策略相关联。作为另一名网络工程师,Adam 更喜欢访问在 P2 上运行的应用程序。John 为 Adam 创建了一个系统用户帐户,并将其用户帐户与 P2 分区相关联。创建帐户后,Adam 可以登录该设备以通过 NSIP 地址访问 Citrix ADC 管理界面,并且可以根据用户/组绑定切换到分区 P2。

假设另一名网络工程师 Jane 想直接访问仅在分区 P2 上运行的应用程序,George(分区管理员)可以为她创建分区用户帐户,并将其帐户与命令策略相关联以获得授权权限。Jane 在分区内创建的用户帐户现在直接与 P2 相关联。现在 Jane 可以通过 SNIP 地址访问 Citrix ADC 管理界面,但无法切换到任何其他分区。

注意

如果 Jane 的用户帐户是由分区 P2 中的分区管理员创建的,则管理员只能通过 SNIP 地址(在分区内创建)访问 Citrix ADC 管理界面。管理员不得通过 NSIP 地址访问界面。同样,如果 Adam 的用户帐户是由 root 管理员在默认分区中创建的,并且绑定到 P2 分区。管理员只能通过在默认分区中创建的 NSIP 地址或 SNIP 地址访问 Citrix ADC 管理界面(启用了管理访问权限)。并且不允许通过在管理分区中创建的 SNIP 地址访问分区界面。

为分区管理员配置角色和职责

下面是 root 管理员在默认分区中执行的配置。

创建管理分区和系统用户 - root 管理员在设备的默认分区中创建管理分区和系统用户。然后,管理员将用户关联到不同的分区。如果您绑定到一个或多个分区,则可以根据用户绑定从一个分区切换到另一个分区。此外,您对一个或多个绑定分区的访问权限仅由 root 管理员授权。

授权系统用户作为特定分区的分区管理员 — 创建用户帐户后,root 管理员将切换到特定分区并授权该用户作为分区管理员。它是通过将分区-管理员命令策略分配给用户帐户来完成的。现在,用户可以作为分区管理员访问该分区并管理分区内的实体。

下面是分区管理员在管理分区中执行的配置。

在管理分区中配置 SNIP 地址 - 分区管理员登录分区并创建 SNIP 地址,同时提供对该地址的管理访问权限。

使用分区命令策略创建和绑定分区系统用户 - 分区管理员创建分区用户并定义用户访问范围。它是通过将用户帐户绑定到分区命令策略来完成的。

使用分区命令策略创建和绑定分区系统用户组 - 分区管理员创建分区用户组并定义用户组的访问范围。它是通过将用户组帐户绑定到分区命令策略来完成的。

为外部用户配置外部服务器身份验证(可选)- 此配置用于验证使用 SNIP 地址访问分区的外部 TACACS 用户。

下面是在管理分区中为分区用户配置基于角色的访问时执行的任务。

  1. 创建管理分区 - 在管理分区中创建分区用户之前,必须首先创建分区。作为 root 管理员,您可以使用配置实用程序或命令行界面从默认分区创建分区。
  2. 将用户访问权限从默认分区切换到分区 P2 - 如果您是从默认分区访问设备的分区管理员,则可以从默认分区切换到特定分区。例如,基于用户绑定的分区 P2。
  3. 将 SNIP 地址添加到启用了管理访问权限的分区用户帐户 - 您将访问权限切换到管理分区后。您负责创建 SNIP 地址并提供对该地址的管理访问权限。
  4. 使用分区命令策略创建和绑定分区系统用户 - 如果您是分区管理员,则可以创建分区用户并定义用户的访问范围。它是通过将用户帐户绑定到分区命令策略来完成的。
  5. 使用分区命令策略创建和绑定分区用户组 - 如果您是分区管理员,则可以创建分区用户组并定义用户访问控制的范围。它是通过将用户组帐户绑定到分区命令策略来完成的。

为外部用户配置外部服务器身份验证(可选)- 此配置用于验证使用 SNIP 地址访问分区的外部 TACACS 用户。

使用管理分区的好处

通过使用管理分区进行部署,您可以享受以下好处:

  • 允许将应用程序的管理所有权委派给客户。
  • 在不影响性能和易用性的情况下降低 ADC 的拥有成本。
  • 防止不必要的配置更改。在未分区的 Citrix ADC 设备中,其他应用程序的授权用户可以有意或无意地更改应用程序所需的配置。它可能会导致不良的行为。在分区的 Citrix ADC 设备中,这种可能性会降低。
  • 通过为每个分区使用专用 VLAN 来隔离不同应用程序之间的流量。
  • 加快应用程序部署并允许扩展。
  • 允许应用程序级或本地化管理和报告。

让我们分析几个案例,以了解您可以在哪些情况下使用管理分区。

用户案例 1:如何在企业网络中使用管理分区

让我们假设一家名为 Foo.com 的公司所面临的情况。

  • Foo.com 有一个 Citrix ADC。
  • 共有五个部门,每个部门都有一个需要与 Citrix ADC 一起部署的应用程序。
  • 每个应用程序都必须由一组不同的用户或管理员独立管理。
  • 必须限制其他用户访问配置。
  • 应用程序或后端必须能够共享 IP 地址等资源。
  • 全球 IT 部门必须能够控制 Citrix ADC 级别的设置,这些设置必须是所有分区通用的。
  • 应用程序必须相互独立。一个应用程序的配置错误不得影响另一个应用程序。

未分区的 Citrix ADC 将无法满足这些要求。但是,您可以通过对 Citrix ADC 进行分区来实现所有这些要求。

只需为每个应用程序创建一个分区,将所需的用户分配到这些分区,为每个分区指定一个 VLAN,然后在默认分区上定义全局设置。

用例 2:服务提供商如何使用管理分区

让我们假设名为 BigProvider 的服务提供商所面临的情况:

  • BigProvider 有 5 个客户:3 家小型企业和 2 家大型企业。
  • SmallBizSmallerBizStartupBiz 只需要最基本的 Citrix ADC 功能。
  • BigBizLargBiz 是规模较大的企业,其应用程序吸引了大量流量。他们想使用一些更复杂的 Citrix ADC 功能。

在非分区方法中,Citrix ADC 管理员通常会使用 Citrix ADC SDX 设备并为每个客户预配 Citrix ADC 实例。

该解决方案适合 BigBizLargeBiz,因为他们的应用程序需要整个非分区 Citrix ADC 设备的不受减损的功能。但是,该解决方案对于为 SmallBizSmallerBizStartupBiz 提供服务可能不太具有成本效益。

因此,BigProvider 决定采用以下解决方案:

  • 使用 Citrix ADC SDX 设备为 BigBizLargeBiz 启动专用 Citrix ADC 实例。
  • 使用单个 Citrix ADC,该 ADC 分为三个分区,SmallBizSmallerBizStartupBiz 各一个分区。

Citrix ADC 管理员(超级用户)为这些客户创建一个管理分区,并指定分区的用户。此外,还为分区指定 Citrix ADC 资源,并指定传输到每个分区的流量要使用的 VLAN。