Bereitstellen einer NetScaler CPX-Instanz in Docker
NetScaler CPX-Instanzen sind als Docker-Imagedatei in der Quay-Container-Registrierung verfügbar. Um eine Instanz bereitzustellen, laden Sie das NetScaler CPX-Image aus der Quay-Container-Registrierung herunter und stellen Sie die Instanz dann mit dem Befehl docker run
oder mit Docker Compose Tool bereit.
Voraussetzungen
Stellen Sie sicher, dass:
- Das Docker-Hostsystem verfügt über mindestens:
-
1 CPU
-
2 GB RAM
-
Hinweis: Für eine bessere NetScaler CPX-Leistung können Sie die Anzahl der Verarbeitungs-Engines definieren, die die NetScaler CPX-Instanz starten soll. Stellen Sie für jede zusätzliche Verarbeitungsengine, die Sie hinzufügen, sicher, dass der Docker-Host die entsprechende Anzahl von vCPUs und die Menge an Arbeitsspeicher in GB enthält. Wenn Sie beispielsweise 4 Verarbeitungsmodule hinzufügen möchten, muss der Docker-Host 4 vCPUs und 4 GB Speicher enthalten.
-
Auf dem Docker-Hostsystem wird Linux Ubuntu Version 14.04 oder höher ausgeführt.
-
Docker Version 1.12 ist auf dem Hostsystem installiert. Informationen zur Docker-Installation unter Linux finden Sie in derDocker-Dokumentation.
-
Docker-Host hat Internetkonnektivität.
Hinweis: NetScaler CPX hat Probleme beim Ausführen auf Ubuntu Version 16.04.5, Kernelversion 4.4.0-131-generic. Es wird daher nicht empfohlen, NetScaler CPX auf Ubuntu Version 16.04.5, Kernelversion 4.4.0-131-generic auszuführen.
Hinweis: Die folgenden Kubelet- und Kube-Proxy-Versionen weisen einige Sicherheitslücken auf und es wird nicht empfohlen, NetScaler CPX mit diesen Versionen zu verwenden:
- kubelet/kube-proxy v1.18.0-1.18.3
- kubelet/kube-proxy v1.17.0-1.17.6
- kubelet/kube-proxy <=1.16.10
Informationen zur Minderung dieser Sicherheitsanfälligkeit finden Sie unter Mindern dieses Sicherheitsrisikos.
NetScaler CPX-Image von Quay herunterladen
Sie können das NetScaler CPX-Image mit dem docker pull
Befehl aus der Quay-Container-Registrierung herunterladen und in Ihrer Umgebung bereitstellen. Verwenden Sie den folgenden Befehl, um das NetScaler CPX-Image aus der Quay-Container-Registrierung herunterzuladen:
docker pull quay.io/citrix/citrix-k8s-cpx-ingress:13.0-xx.xx
Wenn Sie beispielsweise die Version 13.0-64.35 herunterladen möchten, verwenden Sie den folgenden Befehl:
docker pull quay.io/citrix/citrix-k8s-cpx-ingress:13.0-64.35
Verwenden Sie den folgenden Befehl, um zu überprüfen, ob das NetScaler CPX-Image in Docker-Images installiert ist:
root@ubuntu:~# docker images | grep 'citrix-k8s-cpx-ingress'
quay.io/citrix/citrix-k8s-cpx-ingress 13.0-64.35 952a04e73101 2 months ago 469 MB
Sie können das neueste NetScaler CPX-Image aus der Quay-Container-Registrierungbereitstellen.
Bereitstellen der NetScaler CPX-Instanz mithilfe des Docker-Run-Befehls
Auf dem Host können Sie eine NetScaler CPX-Instanz im Docker-Container installieren, indem Sie das NetScaler CPX Docker-Image verwenden, das Sie auf den Host geladen haben. Installieren Sie mit dem Befehl docker run
die NetScaler CPX-Instanz mit der NetScaler CPX-Standardkonfiguration.
Wichtig:
Wenn Sie NetScaler CPX Express von CPX Expressheruntergeladen haben, lesen und verstehen Sie die Endbenutzer-Lizenzvereinbarung (EULA), verfügbar unter:CPX Express, und akzeptieren Sie die Endbenutzer-Lizenzvereinbarung, während Sie die NetScaler CPX-Instanz bereitstellen.
Installieren Sie die NetScaler CPX-Instanz im Docker-Container, indem Sie den folgenden Docker-Run-Befehl verwenden:
docker run -dt -P --privileged=true --net=host –e NS_NETMODE=”HOST” -e CPX_CORES=<number of cores> --name <container_name> --ulimit core=-1 -e CPX_NW_DEV='<INTERFACES>' -e CPX_CONFIG=’{“YIELD”:”NO”}’ -e LS_IP=<LS_IP_ADDRESS> -e LS_PORT=<LS_PORT> e PLATFORM=CP1000 -v <host_dir>:/cpx <REPOSITORY>:<TAG>
<!--NeedCopy-->
docker run -dt --privileged=true --net=host -e NS_NETMODE="HOST" -e CPX_NW_DEV='eth1 eth2' -e CPX_CORES=5 –e CPX_CONFIG='{"YIELD":"No"}' -e LS_IP=10.102.38.134 -e PLATFORM=CP1000 -v /var/cpx:/cpx --name cpx_host cpx:13.0-x.x
<!--NeedCopy-->
In diesem Beispiel wird ein Container erstellt, der auf dem NetScaler CPX Docker-Imagemycpx
basiert.
Der-P
Parameter ist zwingend erforderlich. Docker soll die Ports zuordnen, die vom NetScaler CPX Docker-Image im Container verfügbar sind. Das bedeutet, die Ports 9080, 22, 9443 und 161/UDP den Ports auf dem Docker-Host zuzuordnen, die zufällig aus dem benutzerdefinierten Bereich ausgewählt werden. Dieses Mapping wird durchgeführt, um Konflikte zu vermeiden. Wenn Sie später mehrere NetScaler CPX-Container auf demselben Docker-Host erstellen. Die Portzuordnungen sind dynamisch und werden bei jedem Start oder Neustart des Containers festgelegt. Die Ports werden wie folgt verwendet:
- 9080 wird für HTTP verwendet
- 9443 wird für HTTPs verwendet
- 22 für SSH verwendet
- 161/UDP wird für SNMP verwendet.
Wenn Sie statische Portzuordnungen wünschen, verwenden Sie den Parameter -p, um sie manuell festzulegen.
Die --privileged=true
Option wird verwendet, um den Container im privilegierten Modus auszuführen. Wenn Sie NetScaler CPX im Host-Bereitstellungsmodus ausführen, müssen Sie dem NetScaler CPX alle Systemberechtigungen bereitstellen.
Um den NetScaler CPX im Bridge-Modus mit einem oder mehreren Kernen auszuführen, können Sie die Option --cap-add=NET_ADMIN
anstelle des privilegierten Modus verwenden. Mit --cap-add=NET_ADMIN
dieser Option können Sie den NetScaler CPX-Container mit vollen Netzwerkberechtigungen ausführen. Verwenden Sie mit der Option --cap-add=NET_ADMIN
die Option --sysctl kernel.shmmax=1073741824 --sysctl net.ipv6.conf.default.accept_dad=0 --sysctl kernel.core_pattern=/var/crash/core.%e.%p.%s
im Befehl docker run, um die zusätzlichen Systemsteuerungseinstellungen manuell vorzunehmen. Diese zusätzlichen Systemsteuerungseinstellungen werden in nicht privilegierten Modi nicht automatisch vorgenommen.
Der**--net=host
ist eine standardmäßige Docker-Ausführungsbefehlsoption, die angibt, dass der Container im Host-Netzwerkstapel ausgeführt wird und Zugriff auf alle Netzwerkgeräte hat.
Hinweis
Ignorieren Sie diese Option, wenn Sie NetScaler CPX in einem Bridge- oder keinem Netzwerk ausführen.
Das -e NS_NETMODE="HOST"
ist eine NetScaler CPX-spezifische Umgebungsvariable, mit der Sie angeben können, dass der NetScaler CPX im Hostmodus gestartet wird. Sobald NetScaler CPX im Hostmodus gestartet wurde, konfiguriert es 4 Standard-iptables-Regeln auf einem Hostcomputer für den Verwaltungszugriff auf den NetScaler CPX. Es verwendet die folgenden Ports:
- 9995 für HTTP
- 9996 für HTTPS
- 9997 für SSH
- 9998 für SNMP
Wenn Sie verschiedene Ports angeben möchten, können Sie die folgenden Umgebungsvariablen verwenden:
- -e NS_HTTP_PORT=
- -e NS_HTTPS_PORT=
- -e NS_SSH_PORT=
- -e NS_SNMP_PORT=
Hinweis
Ignorieren Sie diese Umgebungsvariable, wenn Sie NetScaler CPX in einem Bridge- oder keinem Netzwerk ausführen.
Der-e CPX_CORES
ist eine optionale NetScaler CPX-spezifische Umgebungsvariable. Sie können damit die Leistung der NetScaler CPX-Instanz verbessern, indem Sie die Anzahl der Verarbeitungsmodule definieren, die der NetScaler CPX-Container starten soll.
Hinweis: NetScaler CPX kann 1 bis 16 Kerne unterstützen.
Hinweis
Stellen Sie für jede zusätzliche Verarbeitungsengine, die Sie hinzufügen, sicher, dass der Docker-Host die entsprechende Anzahl von vCPUs und die Menge an Arbeitsspeicher in GB enthält. Wenn Sie beispielsweise 4 Verarbeitungsmodule hinzufügen möchten, muss der Docker-Host 4 vCPUs und 4 GB Speicher enthalten.
Die-e EULA = yes
ist eine obligatorische NetScaler CPX-spezifische Umgebungsvariable, die erforderlich ist, um zu überprüfen, ob Sie die Endbenutzer-Lizenzvereinbarung (EULA) gelesen und verstanden haben, verfügbar unter:CPX Express.
Der-e PLATFORM=CP1000
Parameter gibt den NetScaler CPX-Lizenztyp an.
Wenn Sie Docker in einem Host-Netzwerk ausführen, können Sie dem NetScaler CPX-Container mithilfe der -e CPX_NW_DEV
Umgebungsvariablen dedizierte Netzwerkschnittstellen zuweisen. Sie müssen die Netzwerkschnittstellen durch ein Leerzeichen getrennt definieren. Die von Ihnen definierten Netzwerkschnittstellen werden vom NetScaler CPX-Container gespeichert, bis Sie den NetScaler CPX-Container deinstallieren. Wenn der NetScaler CPX-Container bereitgestellt wird, werden alle zugewiesenen Netzwerkschnittstellen dem NetScaler-Netzwerknamespace hinzugefügt.
Hinweis
Wenn Sie NetScaler CPX im Bridge-Netzwerk ausführen, können Sie das Container-Netzwerk ändern, z. B. eine andere Netzwerkverbindung zum Container konfigurieren oder ein vorhandenes Netzwerk entfernen. Stellen Sie dann sicher, dass Sie den NetScaler CPX-Container neu starten, um das aktualisierte Netzwerk zu verwenden.
docker run -dt --privileged=true --net=host -e NS_NETMODE="HOST" -e EULA=yes -e CPX_NW_DEV='eth1 eth2' -e CPX_CORES=5 -e PLATFORM=CP1000 --name cpx_host cpx:13.0-x.x
<!--NeedCopy-->
Das -e CPX_CONFIG
ist eine NetScaler CPX-spezifische Umgebungsvariable, mit der Sie die Durchsatzleistung des NetScaler CPX-Containers steuern können. Wenn das NetScaler CPX keinen eingehenden Datenverkehr zur Verarbeitung empfängt, liefert es die CPU während dieser Leerlaufzeit, was zu einer geringen Durchsatzleistung führt. In solchen Szenarien können Sie die CPX_CONFIG
Umgebungsvariable verwenden, um die Durchsatzleistung des NetScaler CPX-Containers zu steuern. Sie müssen der CPX_CONFIG
Umgebungsvariablen folgende Werte im JSON-Format angeben:
- Wenn Sie möchten, dass der NetScaler CPX-Container in Leerlaufszenarien CPU liefert, definieren Sie
{"YIELD” : “Yes”}
- Wenn Sie möchten, dass der NetScaler CPX-Container die CPU in Leerlaufszenarien nicht nachgibt, sodass Sie eine hohe Durchsatzleistung erzielen können, definieren Sie
{“YIELD” : “No”}
docker run -dt --privileged=true --net=host -e NS_NETMODE="HOST" -e EULA=yes -e CPX_CORES=5 –e CPX_CONFIG='{"YIELD":"No"}' -e PLATFORM=CP1000 --name cpx_host cpx:13.0-x.x
<!--NeedCopy-->
docker run -dt --privileged=true --net=host -e NS_NETMODE="HOST" -e EULA=yes -e CPX_CORES=5 –e CPX_CONFIG='{"YIELD":"Yes"}' -e PLATFORM=CP1000 --name cpx_host cpx:13.0-x.x
<!--NeedCopy-->
Der–v
Parameter ist ein optionaler Parameter, der den Bereitstellungspunkt des NetScaler CPX-Mount-Verzeichnisses angibt/cpx
. Ein Einhängepunkt ist ein Verzeichnis auf dem Host, in dem Sie das/cpx
Verzeichnis mounten. Das/cpx
Verzeichnis speichert die Protokolle, Konfigurationsdateien, SSL-Zertifikate und Core-Dump-Dateien. Im Beispiel ist der Bereitstellungspunkt/var/cpx
und das NetScaler CPX-Mount-Verzeichnis ist/cpx
.
Wenn Sie eine Lizenz erworben haben oder über eine Evaluierungslizenz verfügen, können Sie die Lizenz auf einen Lizenzserver hochladen und den Speicherort des Lizenzservers mit dem Befehl Docker Run angeben, indem Sie den-e LS_IP=<LS_IP_ADDRESS> -e LS_PORT=<LS_PORT>
Parameter verwenden. In diesem Fall müssen Sie die Endbenutzer-Lizenzvereinbarung nicht akzeptieren.
docker run -dt --privileged=true --net=host -e NS_NETMODE="HOST" -e CPX_CORES=5 –e CPX_CONFIG='{"YIELD":"No"}' -e LS_IP=10.102.38.134 -e PLATFORM=CP1000 --name cpx_host cpx:13.0-x.x
<!--NeedCopy-->
Ort:
-
LS_IP_ADDRESS
ist die IP-Adresse des Lizenzservers. -
LS_PORT
ist der Port des Lizenzservers.
Sie können die Images, die auf Ihrem System ausgeführt werden, und die Ports, die den Standardports zugeordnet sind, mithilfe des folgenden Befehls anzeigen: docker ps
Bereitstellen einer leichteren Version von NetScaler CPX mithilfe des Docker-Befehls run
NetScaler bietet eine leichtere Version von NetScaler CPX, die weniger Laufzeitspeicher verbraucht. Die leichtere Version von NetScaler CPX kann als Beiwagen in Service-Mesh-Bereitstellungen bereitgestellt werden.
Die leichtere Version von NetScaler CPX unterstützt die folgenden Funktionen:
- Verfügbarkeit der Anwendung
- L4-Loadbalancing und L7-Content Switching
- SSL Offloading
- IPv6-Protokollübersetzung
- Anwendungssicherheit
- L7 Rewrite und Responder
- Einfache Verwaltbarkeit
- Webprotokollierung
- AppFlow
Um die leichtere Version von NetScaler CPX zu instanziieren, legen Sie die NS_CPX_LITE
Umgebungsvariable fest, während Sie den Docker run
Befehl ausführen.
docker run -dt -P --privileged=true -e NS_CPX_LITE=1 -e EULA=yes --name <container_name> --ulimit core=-1 <REPOSITORY>:<TAG>
<!--NeedCopy-->
Im folgenden Beispiel wird ein Lightweight-Container basierend auf dem NetScaler CPX-Image erstellt.
docker run –dt -P --privileged=true -e NS_CPX_LITE=1 -e EULA=yes -–name lightweight --ulimit core=-1 cpx:latest
<!--NeedCopy-->
Standardmäßig newnslog
ist die Protokollierung mit in der leichteren Version von NetScaler CPX deaktiviert. Um es zu aktivieren, müssen Sie die NS_ENABLE_NEWNSLOG
Umgebungsvariable auf 1 setzen, während Sie die leichtere Version von NetScaler CPX aufrufen.
Das folgende Beispiel zeigt, wie Sie die newnslog
Protokollierung mithilfe der leichteren Version von NetScaler CPX aktivieren.
docker run -dt --privileged=true --ulimit core=-1 -e EULA=yes -e NS_CPX_LITE=1 -e NS_ENABLE_NEWNSLOG=1 cpx:<tag>
<!--NeedCopy-->
Hinweis: Die leichtere Version von CPX unterstützt nur Single-Core (CPX_CORES=1).
Bereitstellen von NetScaler CPX-Instanzen mithilfe von Docker Compose
Sie können das Compose-Tool von Docker verwenden, um eine einzelne NetScaler CPX-Instanz oder mehrere NetScaler CPX-Instanzen bereitzustellen. Um NetScaler CPX-Instanzen mithilfe von Docker Compose bereitzustellen, müssen Sie zuerst eine Compose-Datei schreiben. Diese Datei gibt das NetScaler CPX-Image, die Ports an, die Sie für die NetScaler CPX-Instanz öffnen möchten, und die Berechtigungen für Ihre NetScaler CPX-Instanz.
Wichtig!
Stellen Sie sicher, dass Sie das Docker Compose-Tool auf dem Host installiert haben.
So stellen Sie mehrere NetScaler CPX-Instanzen bereit:
- Schreiben Sie eine Compose-Datei, wobei:
- <service-name> ist der Name des Dienstes, den Sie bereitstellen möchten.
- image:: <repository><tag>bezeichnet das Repository und die Versionen des NetScaler CPX-Images.
- privileged: true bietet alle Rootrechte für die NetScaler CPX-Instanz.
- cap_add bietet Netzwerkberechtigungen für die NetScaler CPX-Instanz.
- ** <host_directory_path>bezeichnet das Verzeichnis auf dem Docker-Host, das Sie für die NetScaler CPX-Instanz mounten möchten.
- ** <number_processing_engine>ist die Anzahl der Verarbeitungsmodule, die die NetScaler CPX-Instanz starten soll. Stellen Sie für jede zusätzliche Verarbeitungsengine sicher, dass der Docker-Host die entsprechende Anzahl von vCPUs und die Menge an Arbeitsspeicher in GB enthält. Wenn Sie beispielsweise 4 Verarbeitungsmodule hinzufügen möchten, muss der Docker-Host 4 vCPUs und 4 GB Speicher enthalten.
Die Compose-Datei folgt im Allgemeinen einem Format ähnlich:
<service-name>:
container_name:
image: <repository>:<tag>
ports:
- 22
- 9080
- 9443
- 161/udp
- 35021-35030
tty: true
cap_add:
- NET_ADMIN
ulimits:
core: -1
volumes:
- <host_directory_path>:/cpx
environment:
- EULA=yes
- CPX_CORES=<number_processing_engine>
- CPX_CONFIG='{"YIELD":"Yes"}'
<!--NeedCopy-->
CPX_0:
image: quay.io/citrix/citrix-k8s-cpx-ingress:13.1-37.38
ports:
- 9443
- 22
- 9080
- 161/udp
tty: true
cap_add:
- NET_ADMIN
ulimits:
core: -1
volumes:
- /root/test:/cpx
environment:
- CPX_CORES=2
- EULA=yes
<!--NeedCopy-->