Citrix ADC SDX

预配Citrix ADC 实例

注意

安装或升级 Citrix ADC SDX 设备至版本 13.0 build 64.xx 或更高版本后,Citrix ADM 服务连接默认处于启用状态。有关更多详细信息,请参阅数据治理和 Citrix ADM 服务连接。

您可以使用管理服务在 SDX 设备上置备一个或多个 Citrix ADC 实例。您可以安装的实例数量取决于您购买的许可证。如果添加的实例数等于许可证中指定的数量,则管理服务不允许预配更多 Citrix ADC 实例。

注意

您最多可以在独立于底层硬件平台的网络接口上配置 20 个 VPX 实例。

在 SDX 设备上配置 Citrix ADC VPX 实例包括以下步骤。

  1. 定义要附加到 Citrix ADC 实例的管理员配置文件。此配置文件指定管理服务用于置备 ADC 实例以及稍后与实例通信以检索配置数据的用户凭证。您还可以使用默认的管理员配置文件。
  2. 将.xva 映像文件上载到管理服务。
  3. 使用管理服务中的预配 Citrix ADC 向导添加 Citrix ADC 实例。管理服务会在 SDX 设备上隐式部署 Citrix ADC 实例,然后下载该实例的配置详细信息。

警告

请确保使用管理服务修改实例的预配置网络接口或 VLAN,而不是直接在实例上执行修改。

创建管理员配置文件

管理员配置文件指定在置备 Citrix ADC 实例时管理服务使用的用户凭据。稍后在与实例通信以检索配置数据时会使用这些凭证。在通过 CLI 或 GUI 登录 Citrix ADC 实例时,客户端也会使用管理员配置文件中指定的用户凭据。

管理员配置文件还允许您指定管理服务和 VPX 实例仅通过安全通道或使用 HTTP 进行通信。

实例的默认管理员配置文件指定默认管理员用户名。无法修改或删除此配置文件。但是,您必须通过创建用户定义的管理员配置文件并在置备实例时将其附加到实例来覆盖默认配置文件。如果用户定义的管理员配置文件未附加到任何 Citrix ADC 实例,管理服务管理员可以将其删除。

重要 信息:请勿直接在 VPX 实例上更改密码。如果这样做,则无法从管理服务访问实例。要更改密码,请先创建管理员配置文件,然后修改 Citrix ADC 实例,从管理员配置文件列表中选择此配置文件。

要在高可用性设置中更改 Citrix ADC 实例的密码,请首先在指定为辅助节点的实例上更改密码。然后在指定为主节点的实例上更改密码。请记住,只能使用管理服务来更改密码。

创建管理员配置文件

  1. 配置 选项卡的导航窗格中,展开 Citrix ADC 配置,然后单击 管理员配置文件

  2. 在 “ 管理员配置文件 ” 窗格中,单击 “ 添加”。

  3. 此时将显示 “ 创建管理员配置文件 ” 对话框。

管理员配置文件 SNMP

设置以下参数:

  • 配置文件名称:管理员配置文件的名称。默认配置文件名称为 nsroot。您可以创建用户定义的配置文件名称。
  • 密码:用于登录 Citrix ADC 实例的密码。最大长度:31 个字符。
  • SSH 端口:设置 SSH 端口。默认端口为22。
  • 使用全局设置进行 Citrix ADC 通信: 如果要在系统设置中为管理服务与 Citrix ADC 实例之间的通信定义设置,请选择此选项。您可以清除此复选框,然后将协议更改为 HTTP 或 HTTPS。

    • 选择 http 选项以使用 HTTP 协议进行管理服务与 Citrix ADC 实例之间的通信。

    • 选择 https 选项以使用安全通道进行管理服务与 Citrix ADC 实例之间的通信。

4. 在 SNMP下,选择版本。如果选择 v2,请转到步骤 5。如果选择 v3,请转到步骤 6。

5. 在 SNMP v2 下,添加 SNMP 团体 名称。

6. 在 SNMP v3 下,添加 安全名称安全级别

7. 在 “超时设置”下,指定值。

8. 单击创建,然后单击关闭。您创建的管理员配置文件将显示在 “ 管理员配置文件 ” 窗格中。

如果 “ 默认 ” 列中的值为 true,则默认配置文件为管理员配置文件。如果值为 false,则用户定义的配置文件就是管理员配置文件。

如果您不想使用用户定义的管理员配置文件,可以将其从管理服务中删除。要删除用户定义的管理员配置文件,请在 “ 管理员配置文件 ” 窗格中选择要删除的配置文件,然后单击 “ 删除”。

上载 Citrix ADC .xva 映像

添加 Citrix ADC VPX 实例需要.xva 文件。

在置备 VPX 实例之前,将 Citrix ADC SDX.xva 文件上载到 SDX 设备。您还可以将.xva 映像文件下载到本地计算机作为备份。.xva 图像文件格式为: NSVPX-XEN-ReleaseNumber-BuildNumber_nc.xva。

注意: 默认情况下,SDX 设备上提供了基于 Citrix ADC 9.3 版本的.xva 映像文件。

Citrix ADC XVA 文件 窗格中,您可以查看以下详细信息。

  • 名称:.xva 映像文件的名称。文件名包含发行版和内部版本号。例如,文件名 NSVPX-XEN-9.3-25_nc.xva 是指版本 9.3 build 25。
  • 上次修改时间: 上次修改.xva 映像文件的日期。
  • 大小:.xva 图像文件的大小(以 MB 为单位)。

上载 Citrix ADC .xva 文件

  1. 配置 选项卡的导航窗格中,展开 Citrix ADC 配置,然后单击 XVA 文件
  2. Citrix ADC XVA 文件 窗格中,单击 上载
  3. 在上 传 Citrix ADC 实例 XVA 对话框中,单击 浏览 ,然后选择要上载的 XVA 映像文件。
  4. 单击上载。上载后,XVA 映像文件将显示在 Citrix ADC XVA 文件 窗格中。

通过下载 Citrix ADC .xva 文件创建备份

  1. Citrix ADC 构建文件 窗格中,选择要下载的文件,然后单击 下载
  2. 在 “ 文件下载 ” 消息框中,单击 “ 保存”。
  3. 在 “ 另存为 ” 消息框中,浏览到要保存文件的位置,然后单击 “ 保存”。

添加 Citrix ADC 实例

从管理服务添加 Citrix ADC 实例时,需要为某些参数提供值。管理服务会在 Citrix ADC 实例上隐式配置这些设置。

SDX 实例详细信息

  • 名称:为 Citrix ADC 实例分配一个名称。

  • 选中 通过内部网络管理 ,在 SDX 管理服务和 VPX 实例之间启用独立的内部始终在线连接。

  • 出于管理目的,选择一个 IPv4 或 IPv6 地址或同时选择 IPv4 和 IPv6 地址以访问 Citrix VPX 实例。一个 Citrix ADC 实例只能有一个管理 IP (NSIP)。无法删除 NSIP 地址。

  • 为该 IP 地址分配网络掩码、默认网关和 nexthop 给管理服务。

VPX IP 详细信息

接下来,添加 XVA 文件、管理员配置文件和实例描述。

注意: 对于高可用性设置(主动-主动或活动-备用),Citrix 建议您在不同的 SDX 设备上配置两个 Citrix ADC VPX 实例。确保设置中的实例具有相同的资源,例如 CPU、内存、接口、每秒数据包数 (PPS) 和吞吐量。

许可证分配

在本节中,指定您为 Citrix ADC 购买的许可证。许可证可以是标准版、企业版和白金版。

注意: 星号表示必填字段。

SDX VPX 许可证分配

如果需要带宽突增能力,请在 分配模式下选择突发能力。有关更多信息,请参阅 SDX 中的带宽计量

加密货币分配

从版本12.1 48.13开始,管理加密容量的接口已经改变。有关更多信息,请参阅 管理加密容量

资源分配

在资源分配下,分配总内存、每秒数据包数和 CPU。

SDX VPX 资源分配

CPU 为实例分配一个或多个专用内核,或者实例与其他实例共享一个核心。如果您选择 shared,则会将一个核心分配给实例,但如果资源短缺,该核心可能会与其他实例共享。如果重新分配 CPU 核心,请重启受影响的实例。重启已重新分配 CPU 核心的实例,以避免性能下降。

从 SDX 11.1.x.x (MR4) 版本开始,如果您使用的是 SDX 25000xx 平台,则最多可以为一个实例分配 16 个内核。此外,如果您使用的是 SDX 2500xxx 平台,则最多可以为实例分配 11 个内核。

注意: 对于实例,您配置的最大吞吐量为 180 Gbps。

下表列出了支持的 VPX、单一 Bungle 映像版本以及您可以分配给实例的核心数量:

平台名称 核心总数 可用于 VPX 预配的内核总数 可分配给单个实例的最大核心数
SDX 8015、SDX 8400 和 SDX 8600 4 3 3
SDX 8900 8 7 7
SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500 和 SDX 20500 12 10 5
SDX 11515、SDX 11520、SDX 11530、SDX 11540 和 SDX 11542 12 10 5
SDX 17500、SDX 19500 和 SDX 21500 12 10 5
SDX 17550、SDX 19550、SDX 20550 和 SDX 21550 12 10 5
SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080 和 SDX 14100 12 10 5
SDX 22040、SDX 22060、SDX 22080、SDX 22100 和 SDX 22120 16 14 7
SDX 24100 和 SDX 24150 16 14 7
SDX 14020 40G、SDX 14030 40G、SDX 14040 40G、SDX 14060 40G、SDX 14080 40G 和 SDX 14100 40G 12 10 10
SDX 14020 FIPS、SDX 14030 FIPS、SDX 14040 FIPS、SDX 14060 FIPS、SDX 14080 FIPS 和 SDX 14100 FIPS 12 10 5
SDX 14040 40S、SDX 14060 40S、SDX 14080 40S 和 SDX 14100 40S 12 10 10
SDX 25100A、25160A、25200A 20 18 9
SDX 25100-40G、25160-40G、25200-40G 20 18 16(如果版本为 11.1-51.x 或更高版本);9(如果版本为 11.1-50.x 或更低;所有版本为 11.0 和 10.5)
SDX 26100、26160、26200、26250 28 26 16
SDX 26100-50S、26160-50S、26200-50S、26250-50 28 26 16
SDX 26100-100G、26160-100G、26200-100G、26250-100G 28 26 26
SDX 15000 16 14 14
SDX 15000-50G 16 14 14

注意:在 SDX 26000 平台上,最多可以为一个 VPX 实例分配 26 个 CPU 内核。但是,如果为实例分配了加密单元,则内核的最大数量取决于加密单元和数据接口的数量。例如,如果您为实例分配 24000 个加密单元,则可以为实例分配 24 个 CPU 核心和最多两个数据接口。SDX 设备将数据接口和加密单元视为 PCI 设备。如果使用 26000 个加密单元,则无法配置 VPX 实例,因为没有数据接口的空间。

实例管理

您可以通过选择 “实例管理” 下的 “ 添加实例管理 ” 来为 VPX 实例创建管理员用户。

实例管理员

添加以下详细信息:

用户名: Citrix ADC 实例管理员的用户名。此用户具有超级用户访问权限,但无权访问联网命令来配置 VLAN 和接口。

密码: 用户名的密码。

Shell/sftp/Scp 访问权限: Citrix ADC 实例管理员允许的访问权限。此选项默认处于选中状态。

网络设置

  • 在网络设置下允许 L2 模式

您可以在 Citrix ADC 实例上允许 L2 模式。选择网络设置下的允许 L2 模式。在登录实例并启用 L2 模式之前。有关更多信息,请参阅在 Citrix ADC 实例上允许 L2 模式

网络设置

注意:

  • 如果您通过管理服务禁用实例的 L2 模式,则必须登录该实例并从该实例禁用 L2 模式。如果不这样做,可能会导致在重启实例后禁用所有其他 Citrix ADC 模式
  • 从版本 13.0 build 71.x 及更高版本开始,您无法从管理服务中删除 ADC 实例上的接口或通道。

默认情况下,为管理 LA 选择接口 0/1 和 0/2。

VLAN 标记: 为管理接口指定一个 VLAN ID。

接下来,添加数据接口。

注意:添加到实例的接口的接口 ID 不一定与 SDX 设备上的物理接口编号相对应。如果您与实例 1 关联的第一个接口是接口 1/4,则当您查看实例上的接口设置时,它将显示为接口 1/1。编号会发生变化,因为它是您与实例 1 关联的第一个接口。

添加数据接口

  • 允许的 VLAN: 指定可以与 Citrix ADC 实例关联的 VLAN ID 列表。

  • MAC 地址模式: 分配一个 MAC 地址。选择以下选项之一:

    • 默认值: Citrix Hypervisor 分配一个 MAC 地址。
    • 自定义: 选择此模式可指定覆盖生成的 MAC 地址的 MAC 地址。
    • 已生成: 使用先前设置的基本 MAC 地址生成 MAC 地址。有关设置基本 MAC 地址的信息,请参阅为接口分配 MAC 地址。
  • VMAC 设置(用于配置虚拟 MAC 的 IPv4 和 IPv6 vRID)

    • VRID IPV4: 用于标识 VMAC 的 IPv4 VRID。可能的值:1—255。有关详细信息,请参阅在接口上配置 VMAC。
    • VRID IPV6: 用于标识 VMAC 的 IPv6 VRID。可能的值:1—255。有关详细信息,请参阅在接口上配置 VMAC。

管理 VLAN 设置

通常,VPX 实例的管理服务和管理地址 (NSIP) 位于同一个子网中,并且通过管理接口进行通信。但是,如果管理服务和实例位于不同的子网中,则必须在置备 VPX 实例时指定 VLAN ID。此 ID 是必需的,以便实例在启动时可以通过网络进行访问。如果您的部署要求只有在置备 VPX 实例时选择的接口才能访问 NSIP,请选择 NSVLAN 选项。

Citrix 建议您不要选择 NSVLAN。置备 Citrix ADC 实例后,您无法更改此设置。

VPX 管理 VLAN 设置

注意:

  • HA 检测信号仅在属于 NSVLAN 的接口上发送。
  • 只能从 VPX XVA 版本 9.3 53.4 及更高版本中配置 NSVLAN。

重要提示: 如果未选择 NSVLAN,则在 VPX 实例上运行 “clear config full” 命令会删除 VLAN 配置。

单击 完成 以配置 Citrix ADC VPX 设备。

修改 Citrix ADC 实例

要修改已置备的 ADC 实例的参数值,请在 Citrix ADC 实例窗格中选择要修改的实例,然后单击 修改。在 “修改 ADC 向导” 中,修改参数。

注意: 如果修改以下参数:SSL 芯片 数量、接口、内存和功能许可证,Citrix ADC 实例将隐式停止并重新启动以使这些参数生效。

您无法修改 “映像” 和 “用户名” 参数。

要删除在 SDX 设备上预配的 ADC 实例,请在 Citrix ADC 实例 窗格中选择要删除的实例,然后单击 删除。在 确认 消息框中,单击 以删除 Citrix ADC 实例。

将 VLAN 限制在特定的虚拟接口上

SDX 设备管理员可以在与 Citrix ADC 实例关联的虚拟接口上强制实施特定的 802.1Q VLAN。此功能在限制实例管理员使用 802.1Q VLAN 时特别有用。如果属于两个不同公司的两个实例托管在 SDX 设备上,则可以限制两家公司使用相同的 VLAN ID。这样,一家公司就看不到另一家公司的流量。如果实例管理员尝试将接口分配给 802.1Q VLAN,则会执行验证以验证指定的 VLAN ID 是否属于允许列表的一部分。

默认情况下,任何VLAN ID都可以在接口上使用。要限制接口上已标记的 VLAN,请在配置 Citrix ADC 实例时在网络设置中指定 VLAN ID。您也可以稍后通过修改实例来指定它。要指定范围,请用连字符分隔 ID(例如 10-12)。如果您最初指定了一些 VLAN ID,但后来又从允许列表中删除了所有这些 VLAN ID,则可以使用该接口上的任何 VLAN ID。实际上,您已经恢复了默认设置。

创建允许的 VLAN 列表后,SDX 管理员无需登录实例即可创建 VLAN。管理员可以在管理服务中为特定实例添加和删除 VLAN。

重要提示:如果启用了 L2 模式,管理员必须注意不同 Citrix ADC 实例上的 VLAN ID 不会重叠。

指定允许的 VLAN ID

  1. 在配置 ADC 向导或修改 ADC 向导中,在网络设置页面的 允许的 VLAN中,指定此接口上允许的一个或多个 VLAN ID。使用连字符指定范围。例如,2—4094。
  2. 按照向导中的说明进行操作。
  3. 单击完成,然后单击关闭

从管理服务为实例配置 VLAN

  1. 配置选项卡上,导航到 Citrix ADC > 实例。
  2. 选择一个实例,然后单击 VLAN
  3. 在详细信息窗格中,单击添加
  4. 创建 Citrix ADC VLAN 对话框中,指定以下参数:
    • VLAN ID — 唯一标识特定帧所属的 VLAN 的整数。Citrix ADC 最多支持 4094 个 VLAN。ID 1 是为默认 VLAN 保留的。
    • IPV6 动态路由 — 在此 VLAN 上启用所有 IPv6 动态路由协议。注意:要 使 EN ABLED 设置生效,您必须登录实例并从 VTYSH 命令行配置 IPv6 动态路由协议。
  5. 选择必须是 VLAN 一部分的接口。
  6. 单击创建,然后单击关闭
预配Citrix ADC 实例