NetScaler SDX

预配 Citrix ADC 实例

注意

在您安装或升级 NetScaler SDX 设备到 12.1 Build 58.xx 及更高版本后,Citrix ADM 服务连接默认处于启用状态。有关更多详细信息,请参阅 数据治理Citrix ADM 服务连接

您可以使用管理服务在 SDX 设备上置备一个或多个 Citrix ADC 实例。您可以安装的实例数量取决于您购买的许可证。如果添加的实例数等于许可证中指定的数量,则管理服务不允许预配更多 Citrix ADC 实例。

在 SDX 设备上预配 NetScaler VPX 实例包括以下步骤。

  1. 定义要附加到 Citrix ADC 实例的管理员配置文件。此配置文件指定管理服务用于置备 Citrix ADC 实例以及稍后用于与实例通信以检索配置数据的用户凭据。您还可以使用默认的管理员配置文件。
  2. 将.xva 映像文件上载到管理服务。
  3. 使用管理服务中的预配 Citrix ADC 向导添加 Citrix ADC 实例。管理服务会在 SDX 设备上隐式部署 Citrix ADC 实例,然后下载该实例的配置详细信息。

警告

请确保使用管理服务修改实例的预配置网络接口或 VLAN,而不是直接在实例上执行修改。

创建管理员配置文件

管理员配置文件指定管理服务在配置 Citrix ADC 实例时以及稍后与实例通信以检索配置数据时使用的用户凭据。在通过 CLI 或配置实用程序登录 Citrix ADC 实例时,客户端也会使用管理员配置文件中指定的用户凭据。

管理员配置文件还允许您指定管理服务和 VPX 实例只能通过安全通道或使用 HTTP 进行通信。

实例的默认管理员配置文件将用户名指定为 nsroot。无法修改或删除此配置文件。但是,您必须通过创建用户定义的管理员配置文件并在置备实例时将其附加到实例来覆盖默认配置文件。如果用户定义的管理员配置文件未附加到任何 Citrix ADC 实例,管理服务管理员可以将其删除。

重要提示: 请勿直接在 VPX 实例上更改密码。如果这样做,则无法从管理服务访问实例。要更改密码,请先创建管理员配置文件,然后修改 Citrix ADC 实例,从 管理员配置文件 列表中选择此配置文件。

要在高可用性设置中更改 Citrix ADC 实例的密码,请首先更改指定为辅助节点的实例上的密码,然后在指定为主节点的实例上更改密码。请记住,只能使用管理服务来更改密码。

创建管理员配置文件

  1. 配置 选项卡的导航窗格中,展开 Citrix ADC 配置,然后单击 管理员配置文件

  2. 在“管理员配置文件”窗格中,单击“添加”。

  3. 此时将显示“创建管理员配置文件”对话框。

管理员配置文件 SNMP

设置以下参数:

  • 配置文件名称:管理员配置文件的名称。默认配置文件名称为 nsroot。您可以创建用户定义的配置文件名称。
  • 密码:用于登录 Citrix ADC 实例的密码。最大长度:31 个字符。
  • SSH 端口:设置 SSH 端口。默认端口为22。
  • 如果希望在管理服务与 Citrix ADC 实例之间的通信的系统设置中定义设置,请选中“使用全局 设置用于 Citrix ADC 通信”复选框。您可以清除此复选框,然后将协议更改为 HTTP 或 HTTPS。

    • 选择 http 选项以使用 HTTP 协议进行管理服务与 Citrix ADC 实例之间的通信。
    • 选择 https 选项以使用安全通道进行管理服务与 Citrix ADC 实例之间的通信

4. 在 SNMP下,选择版本。如果选择 v2,请转到步骤 5。如果选择 v3,请转到步骤 6。

5. 在 SNMP v2 下,添加 SNMP 团体 名称。

6. 在 SNMP v3 下,添加 安全名称安全级别

7. 在“超时设置”下,指定值。

8. 单击“创建”,然后单击“关闭”。您创建的管理员配置文件显示在“管理员配置文件”窗格中。

如果“默认”列中的值为 true,则默认配置文件为管理员配置文件。如果值为 false,则用户定义的配置文件就是管理员配置文件。

如果您不想使用用户定义的管理员配置文件,可以将其从管理服务中删除。要删除用户定义的管理员配置文件,请在“管理员配置文件”窗格中选择要删除的配置文件,然后单击“删除”。

上载 Citrix ADC .xva 映像

添加 NetScaler VPX 实例需要.xva 文件。

在置备 VPX 实例之前,将 Citrix ADC SDA.xva 文件上载到 SDX 设备。您还可以将.xva 映像文件下载到本地计算机作为备份。.xva 图像文件格式为:nsvpx-xen-releaseNumber-Buildnumber_nc.xva

注意: 默认情况下,SDX 设备上提供了基于 Citrix ADC 9.3 版本的.xva 映像文件。

Citrix ADC XVA 文件 窗格中,您可以查看以下详细信息。

  • 名称

    .xva 映像文件的名称。文件名包含发行版和内部版本号。例如,文件名 nsvpx-xen-9.3-25_nc.xva 指的是 9.3 版本 25。

  • 上次修改时间

    上次修改.xva 映像文件的日期。

  • 大小

    .xva 图像文件的大小(以 MB 为单位)。

上载 Citrix ADC .xva 文件

  1. 配置 选项卡的导航窗格中,展开 Citrix ADC 配置,然后单击 XVA 文件
  2. Citrix ADC XVA 文件 窗格中,单击 上载
  3. 在上 传 Citrix ADC 实例 XVA 对话框中,单击 浏览 ,然后选择要上载的 XVA 映像文件。
  4. 单击上载。上载后,XVA 映像文件将显示在 Citrix ADC XVA 文件 窗格中。

通过下载 Citrix ADC .xva 文件创建备份

  1. Citrix ADC 构建文件 窗格中,选择要下载的文件,然后单击 下载
  2. 在“文件下载”消息框中,单击“保存”。
  3. 在 “ 另存为 ” 消息框中,浏览到要保存文件的位置,然后单击 “ 保存”。

添加 Citrix ADC 实例

从管理服务添加 Citrix ADC 实例时,您需要为某些参数提供值,并且管理服务会在 Citrix ADC 实例上隐式配置这些设置。

名称:为 Citrix ADC 实例分配一个名称。

接下来,出于管理目的,选择 IPv4 或 IPv6 地址或同时选择 IPv4 和 IPv6 地址来访问 NetScaler VPX 实例。 一个 Citrix ADC 实例只能有一个管理 IP(也称为 NSIP)。无法删除 NSIP 地址。

为该 IP 地址分配网络掩码、默认网关和 nexthop 给管理服务。

接下来,添加 XVA 文件、管理员配置文件和实例描述。

添加 Citrix ADC 实例

注意: 对于高可用性设置(主动-主动或活动-备用),Citrix 建议您在不同的 SDX 设备上配置两个 NetScaler VPX 实例。确保设置中的实例具有相同的资源,例如 CPU、内存、接口、每秒数据包数 (PPS) 和吞吐量。

许可证分配

在本节中,指定您为 Citrix ADC 购买的许可证。许可证可以是标准版、企业版、白金版或Secure Web Gateway。

注意: * 表示必填字段。

注意

为 SDX 设备上的 Citrix Secure Web Gateway (SWG) 实例购买单独的许可证(用于安全 Web 网关的 SDX 双实例附加包)。此实例包不同于 SDX 平台许可证或 SDX 实例包。

有关在 SDX 设备上部署 Citrix SWG 实例的更多信息,请参阅在 SDX 设备上 部署 Citrix Secure Web Gateway 实例。

ADX VPX 许可证分配

如果需要带宽突增能力,请在 分配模式下选择突发能力。有关更多信息,请参阅 SDX 中的带宽计量

加密货币分配

从版本12.1 48.13开始,管理加密容量的接口已经改变。有关更多信息,请参阅 管理加密容量

资源分配

在资源分配下,分配总内存、每秒数据包数和 CPU。

资源分配

CPU: 为实例分配一个或多个专用内核,或者实例与其他实例共享一个核心。如果您选择 shared,则会将一个核心分配给实例,但如果资源短缺,该核心可能会与其他实例共享。如果重新分配 CPU 核心,请重启受影响的实例。重启已重新分配 CPU 核心的实例,以避免性能下降。

从 SDX 11.1.x.x (MR4) 版本开始,如果您使用的是 SDX 25000xx 平台,则最多可以为一个实例分配 16 个内核。此外,如果您使用的是 SDX 2500xxx 平台,则最多可以为实例分配 11 个内核。

注意:对于实例,您配置的最大吞吐量为 180 Gbps。

下表列出了支持的 VPX、单一 Bungle 映像版本以及您可以分配给实例的核心数量:

平台 内核总数 可用于预配 VPX 实例的内核总数 可分配给单个实例的最大内核数
SDX 8015、SDX 8400 和 SDX 8600 4 3 3
SDX 8900 8 7 7
SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500 和 SDX 20500 12 10 5
SDX 11515、SDX 11520、SDX 11530、SDX 11540 和 SDX 11542 12 10 5
SDX 17500、SDX 19500 和 SDX 21500 12 10 5
SDX 17550、SDX 19550、SDX 20550 和 SDX 21550 12 10 5
SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080 和 SDX 14100 12 10 5
SDX 22040、SDX 22060、SDX 22080、SDX 22100 和 SDX 22120 16 14 7
SDX 24100 和 SDX 24150 16 14 7
SDX 14020 40G、SDX 14030 40G、SDX 14040 40G、SDX 14060 40G、SDX 14080 40G 和 SDX 14100 40G 12 10 10
SDX 14020 FIPS、SDX 14030 FIPS、SDX 14040 FIPS、SDX 14060 FIPS、SDX 14080 FIPS 和 SDX 14100 FIPS 12 10 10
SDX 14040 40S、SDX 14060 40S、SDX 14080 40S 和 SDX 14100 40S 12 10 10
SDX 25100A、25160A、25200A 20 18 9
SDX 25100-40G、25160-40G、25200-40G 20 18 16(如果版本为 11.1-51.x 或更高版本);9(如果版本为 11.1-50.x 或更低;所有版本为 11.0 和 10.5)
SDX 26100、26160、26200、26250 28 26 16
SDX 26100-50S、26160-50S、26200-50S、26250-50 28 26 16
SDX 26100-100G、26160-100G、26200-100G、26250-100G 28 26 26
15000-50G 16 14 14

注意

专用内核映射到实例上运行的数据包引擎的数量。对于使用专用内核创建的 VPX 实例,会为管理分配额外的 CPU。

实例管理

您可以通过选择“实例管理”下的“添加实例管理”来为 VPX 实例创建管理员用户。

实例管理

添加以下详细信息:

用户名: Citrix ADC 实例管理员的用户名。此用户具有超级用户访问权限,但无权访问联网命令来配置 VLAN 和接口。

密码: 用户名的密码。

Shell/Sftp/Scp 访问权限: 允许给 Citrix ADC 实例管理员的访问权限。此选项默认处于选中状态。

网络设置

  • 在网络设置下允许 L2 模式。

您可以在 Citrix ADC 实例上允许 L2 模式。在“网络设置”下选择“允许 L2 模式”。在登录实例并启用 L2 模式之前。有关更多信息,请参阅在 Citrix ADC 实例上允许 L2 模式

网络设置

注意:如果从管理服务中禁用实例的 L2 模式,则必须登录该实例并从该实例禁用 L2 模式。如果不这样做,可能会导致在重启实例后禁用所有其他 Citrix ADC 模式

默认情况下,为管理 LA 选择接口 0/1 和 0/2。

VLAN 标记: 为管理接口指定一个 VLAN ID。

接下来,添加数据接口。

注意:添加到实例的接口的接口 ID 不一定与 SDX 设备上的物理接口编号相对应。例如,如果您与实例 1 关联的第一个接口是 SDX interface 1/4,则当您登录实例并查看接口设置时,它将显示为接口 1/1,因为它是您与实例 1 关联的第一个接口。

添加数据接口

  • 允许的 VLAN: 指定可以与 Citrix ADC 实例关联的 VLAN ID 列表。

  • MAC 地址模式: 分配一个 MAC 地址。选择以下选项之一:

    • 默认值: Citrix Hypervisor 分配一个 MAC 地址。
    • 自定义: 选择此模式可指定覆盖生成的 MAC 地址的 MAC 地址。
    • 已生成: 使用先前设置的基本 MAC 地址生成 MAC 地址。有关设置基本 MAC 地址的信息,请参阅 为接口分配 MAC 地址。
  • VMAC 设置(用于配置虚拟 MAC 的 IPv4 和 IPv6 VRID)

    • VRID IPV4: 用于标识 VMAC 的 IPv4 VRID。可能的值:1—255。有关更多信息,请参阅在接口上配置 VMAC。
    • VRID IPV6: 用于标识 VMAC 的 IPv6 VRID。可能的值:1—255。有关更多信息,请参阅在接口上配置 VMAC。

管理 VLAN 设置

通常,VPX 实例的管理服务和管理地址 (NSIP) 位于同一个子网中,并且通过管理接口进行通信。但是,如果管理服务和实例位于不同的子网中,则必须在置备 VPX 实例时指定 VLAN ID,以便在实例启动时可以通过网络访问该实例。如果您的部署要求 NSIP 无法通过置备 VPX 实例时选定的接口以外的任何接口访问,请选择 NSVLAN 选项。

Citrix 建议您不要选择 NSVLAN。置备 Citrix ADC 实例后,您无法更改此设置。

管理 VLAN 设置

注意:

  • HA 检测信号仅在属于 NSVLAN 的接口上发送。
  • 只能从 VPX XVA 版本 9.3-53.4 及更高版本中配置 NSVLAN。

重要:如果未选择 NSVLAN,则在 VPX 实例上运行 “清除配置已满” 命令会删除 VLAN 配置。

单击 完成 以配置 NetScaler VPX 设备。

修改 Citrix ADC 实例

要修改已置备的 Citrix ADC 实例的参数值,请在 Citrix ADC 实例窗格中选择要修改的实例,然后单击 修改。在“修改 ADC 向导”中,修改参数。

注意: 如果修改以下参数:SSL 芯片 数量、接口、内存和功能许可证,Citrix ADC 实例将隐式停止并重新启动以使这些参数生效。

您无法修改“映像”和“用户名”参数。

如果要删除在 SDX 设备上预配的 Citrix ADC 实例,请在 Citrix ADC 实例 窗格中选择要删除的实例,然后单击 删除。在 确认 消息框中,单击 以删除 Citrix ADC 实例。

将 VLAN 限制在特定的虚拟接口上

SDX 设备管理员可以在与 Citrix ADC 实例关联的虚拟接口上强制实施特定的 802.1Q VLAN。此功能在限制实例管理员使用 802.1Q VLAN 时特别有用。如果属于两个不同公司的两个实例托管在 SDX 设备上,则可以限制两家公司使用相同的 VLAN ID,这样一家公司就看不到另一家公司的流量。如果实例管理员在置备或修改 VPX 实例时尝试将接口分配给 802.1Q VLAN,则会执行验证以验证指定的 VLAN ID 是否属于允许列表的一部分。

默认情况下,任何VLAN ID都可以在接口上使用。要限制接口上已标记的 VLAN,请在配置 Citrix ADC 实例时在网络设置中指定 VLAN ID,或稍后通过修改实例来指定 VLAN ID。要指定范围,请用连字符分隔 ID(例如 10-12)。如果您最初指定了一些 VLAN ID,但后来又从允许列表中删除了所有这些 VLAN ID,则可以使用该接口上的任何 VLAN ID。实际上,您已经恢复了默认设置。

创建允许的 VLAN 列表后,SDX 管理员无需登录实例即可创建 VLAN。管理员可以在管理服务中为特定实例添加和删除 VLAN。

重要提示

如果启用了 L2 模式,管理员必须注意不同 Citrix ADC 实例上的 VLAN ID 不会重叠。

指定允许的 VLAN ID

  1. 在配置 ADC 向导或修改 ADC 向导中,在网络设置页面的 允许的 VLAN 文本框中,指定此接口上允许的一个或多个 VLAN ID。使用连字符指定范围。例如,2—4094。
  2. 按照向导中的说明进行操作。
  3. 单击“完成”,然后单击“关闭”。

从管理服务为实例配置 VLAN

  1. 配置选项卡上,导航到 Citrix ADC > 实例
  2. 选择一个实例,然后单击 VLAN
  3. 在详细信息窗格中,单击“添加”。
  4. 创建 Citrix ADC VLAN 对话框中,指定以下参数:
    • VLAN ID — 唯一标识特定帧所属的 VLAN 的整数。Citrix ADC 最多支持 4094 个 VLAN。ID 1 是为默认 VLAN 保留的。
    • IPV6 动态路由 — 在此 VLAN 上启用所有 IPv6 动态路由协议。注意:要使 ENABLED 设置生效,您必须登录实例并从 VTYSH 命令行配置 IPv6 动态路由协议。
  5. 选择必须是 VLAN 一部分的接口。
  6. 单击“创建”,然后单击“关闭”。
预配 Citrix ADC 实例