ADC

Konfigurieren der Site-zu-Site-Kommunikation

Die GSLB-Kommunikation zwischen Standorten erfolgt zwischen den RPC-Knoten (Remote Procedure Call), die den kommunizierenden Standorten zugeordnet sind. Ein Master-GSLB-Standort stellt Verbindungen zu Slave-Standorten her, um GSLB-Konfigurationsinformationen zu synchronisieren und Standortmetriken auszutauschen.

Ein RPC-Knoten wird automatisch erstellt, wenn eine GSLB-Site erstellt wird, und ihm werden ein intern generierter Benutzername und ein Kennwort zugewiesen. Die NetScaler-Appliance verwendet diesen Benutzernamen und dieses Kennwort, um sich während des Verbindungsaufbaus an Remote-GSLB-Sites zu authentifizieren. Für einen RPC-Knoten sind keine Konfigurationsschritte erforderlich, Sie können jedoch ein Kennwort Ihrer Wahl angeben, die Sicherheit erhöhen, indem Sie die Informationen, die GSLB-Sites austauschen, verschlüsseln und eine Quell-IP-Adresse für den RPC-Knoten angeben.

Die Appliance benötigt eine NetScaler-eigene IP-Adresse, die als Quell-IP-Adresse für die Kommunikation mit anderen GSLB-Sites verwendet werden kann. Standardmäßig verwenden die RPC-Knoten entweder eine Subnetz-IP-Adresse (SNIP), aber Sie können eine IP-Adresse Ihrer Wahl angeben.

In den folgenden Themen werden das Verhalten und die Konfiguration von RPC-Knoten auf der NetScaler-Appliance beschrieben:

Das Kennwort eines RPC-Knotens ändern

Citrix empfiehlt Ihnen, die Kommunikation zwischen Websites in Ihrem GSLB-Setup zu sichern, indem Sie das Kennwort jedes RPC-Knotens ändern. Nachdem Sie das Kennwort für den RPC-Knoten der lokalen Site geändert haben, müssen Sie die Änderung manuell an den RPC-Knoten an jedem der Remote-Sites weitergeben.

Das Kennwort wird in verschlüsselter Form gespeichert. Sie können überprüfen, ob sich das Kennwort geändert hat, indem Sie den Befehl show RpcNode verwenden, um die verschlüsselte Form des Kennworts vor und nach der Änderung zu vergleichen.

Hinweis: GSLB verwendet ein internes Benutzerkonto. Zur Erhöhung der Sicherheit empfiehlt Citrix, dass Sie auch das interne Benutzerkontokennwort ändern. Das Kennwort des internen Benutzerkontos wird durch das RPC-Knotenkennwort geändert.

So ändern Sie das Kennwort eines RPC-Knotens mithilfe der Befehlszeilenschnittstelle

Geben Sie in der Befehlszeile die folgenden Befehle ein, um das Kennwort eines RPC-Knotens zu ändern:

set ns rpcNode <IPAddress> {-password}
show ns rpcNode  
<!--NeedCopy-->

Beispiel:

> set rpcNode 192.0.2.4 -password mypassword
 Done
> show rpcNode
.
.
.
2)  IPAddress:  192.0.2.4 Password:  d336004164d4352ce39e
    SrcIP:  *                Secure:  OFF
Done
>

<!--NeedCopy-->

So löschen Sie das Kennwort eines RPC-Knotens mithilfe der Befehlszeilenschnittstelle

Um das Kennwort eines RPC-Knotens mithilfe der CLI zu deaktivieren, geben Sie den Befehl unset RpcNode, die IP-Adresse des RPC-Knotens und den Kennwortparameter ohne Wert ein.

So ändern Sie das Kennwort eines RPC-Knotens mithilfe des Konfigurationsdienstprogramms

Navigieren Sie zu System > Netzwerk > RPC, wählen Sie den RPC-Knoten aus und ändern Sie das Kennwort.

Verschlüsseln Sie den Austausch von Site-Metriken

Sie können die Informationen, die zwischen GSLB-Sites ausgetauscht werden, sichern, indem Sie die sichere Option für die RPC-Knoten im GSLB-Setup festlegen. Wenn die sichere Option gesetzt ist, verschlüsselt die NetScaler-Appliance die gesamte Kommunikation, die vom Knoten an andere RPC-Knoten gesendet wird.

Um den Austausch von Site-Metriken mithilfe der Befehlszeilenschnittstelle zu verschlüsseln

Geben Sie an der Befehlszeile die folgenden Befehle ein, um den Austausch von Site-Metriken zu verschlüsseln und die Konfiguration zu überprüfen:

set ns rpcNode <IPAddress> [-secure ( YES | NO )]
show rpcNode
<!--NeedCopy-->

Beispiel:

> set rpcNode 192.0.2.4 -secure YES
 Done
>
> show rpcNode
.
.
.
3)  IPAddress:  192.0.2.4 Password:  d336004164d4352ce39e SrcIP:  192.0.2.3     Secure:  ON
 Done
>
<!--NeedCopy-->

So deaktivieren Sie den sicheren Parameter mithilfe der Befehlszeilenschnittstelle

Um den sicheren Parameter mithilfe der CLI zu deaktivieren, geben Sie den Befehl unset RpcNode, die IP-Adresse des RPC-Knotens und den sicheren Parameter ohne Wert ein.

So verschlüsseln Sie den Austausch von Site-Metriken mithilfe des NetScaler-Konfigurationsprogramms

  1. Navigieren Sie zu System > Netzwerk > RPC und doppelklicken Sie auf einen RPC-Knoten.
  2. Wählen Sie die Option Sicher und klicken Sie auf OK.

Quell-IP-Adresse für einen RPC-Knoten konfigurieren

Standardmäßig verwendet die NetScaler-Appliance eine NetScaler-eigene Subnetz-IP-Adresse (SNIP) als Quell-IP-Adresse für einen RPC-Knoten. Sie können die Appliance jedoch so konfigurieren, dass sie eine bestimmte SNIP-Adresse verwendet. Wenn eine SNIP-Adresse nicht verfügbar ist, kann die GSLB-Site nicht mit anderen Websites kommunizieren. In einem solchen Szenario müssen Sie entweder die NSIP-Adresse oder eine virtuelle IP-Adresse (VIP) als Quell-IP-Adresse für einen RPC-Knoten konfigurieren. Eine VIP-Adresse kann nur dann als Quell-IP-Adresse eines RPC-Knotens verwendet werden, wenn der RPC-Knoten ein Remote-Knoten ist. Wenn Sie eine VIP-Adresse als Quell-IP-Adresse konfigurieren und die VIP-Adresse entfernen, verwendet die Appliance eine SNIP-Adresse.

Hinweis

Ab NetScaler 11.0.64.x können Sie die Appliance so konfigurieren, dass sie die GSLB-Site-IP-Adresse als Quell-IP-Adresse für einen RPC-Knoten verwendet.

So geben Sie mithilfe der Befehlszeilenschnittstelle eine Quell-IP-Adresse für einen RPC-Knoten an

Geben Sie an der Befehlszeile die folgenden Befehle ein, um die Quell-IP-Adresse für einen RPC-Knoten zu ändern und die Konfiguration zu überprüfen:

set ns rpcNode <IPAddress> [-srcIP <ip_addr|ipv6_addr|*>]
show ns rpcNode
<!--NeedCopy-->

Beispiel:

set rpcNode 192.0.2.4 -srcIP 192.0.2.3
Done
show rpcNode
<!--NeedCopy-->
IPAddress: 192.0.2.4 Password: d336004164d4352ce39e SrcIP: 192.0.2.3 Secure: OFF
Done
<!--NeedCopy-->

So deaktivieren Sie den Quell-IP-Adressparameter mithilfe der Befehlszeilenschnittstelle

Um den Quell-IP-Adressparameter mithilfe der CLI zu deaktivieren, geben Sie den unset RpcNodeCommand, die IP-Adresse des RPC-Knotens und den Parameter srcIP ohne Wert ein.

So geben Sie mithilfe des NetScaler-Konfigurationsprogramms eine Quell-IP-Adresse für einen RPC-Knoten an

  1. Navigieren Sie zu System > Netzwerk > RPC und doppelklicken Sie auf einen RPC-Knoten.
  2. Geben Sie im Feld Quell-IP-Adresse die IP-Adresse ein, die der RPC-Knoten als Quell-IP-Adresse verwenden soll, und klicken Sie auf OK.

Wichtig

Die Quell-IP-Adresse kann nicht zwischen den an GSLB teilnehmenden Standorten synchronisiert werden, da die Quell-IP-Adresse für einen RPC-Knoten für jede NetScaler-Appliance spezifisch ist. Nachdem Sie eine Synchronisierung erzwungen haben (mit dem Befehl sync gslb config —ForceSync oder durch Auswahl der Option ForceSync in der GUI), müssen Sie die Quell-IP-Adressen auf den anderen NetScaler Appliances manuell ändern.

Konfigurieren der Site-zu-Site-Kommunikation