NetScaler ADM als API-Proxyserver

February 5, 2024

Beitrag von:

Citrix Application Delivery Management (Citrix ADM) kann nicht nur NITRO REST-API-Anforderungen für eigene Verwaltungs- und Analysefunktionen empfangen, sondern auch als REST-API-Proxyserver für seine verwalteten Instanzen fungieren. Anstatt API-Anforderungen direkt an die verwalteten Instanzen zu senden, können REST-API-Clients die API-Anforderungen an Citrix ADM senden. Citrix ADM kann zwischen den API-Anforderungen, auf die es antworten muss, und den API-Anforderungen unterscheiden, die unverändert an eine verwaltete Instanz weitergeleitet werden müssen.

Citrix ADM bietet Ihnen als API-Proxyserver folgende Vorteile:

Validierung von API-Anfragen. Citrix ADM validiert alle API-Anforderungen anhand konfigurierter Sicherheits- und rollenbasierter Zugriffssteuerungsrichtlinien (RBAC). Citrix ADM ist ebenfalls mandantenfähig und stellt sicher, dass die API-Aktivität die Mandantengrenzen nicht überschreitet.
Zentralisiertes Audit. Citrix ADM verwaltet ein Überwachungsprotokoll aller API-Aktivitäten im Zusammenhang mit den verwalteten Instanzen.
Sitzungsverwaltung. NetScaler ADM befreit API-Clients von der Aufgabe, Sitzungen mit verwalteten Instanzen zu verwalten.

Funktionsweise von Citrix ADM als API-Proxyserver

Wenn NetScaler ADM eine Anforderung an eine verwaltete Instanz weiterleiten soll, konfigurieren Sie den API-Client so, dass er einen der folgenden HTTP-Header in die API-Anforderung einschließt:

Header-Werte	Beschreibung
_MPS_API_PROXY_MANAGED_INSTANCE_NAME	Name der verwalteten Instanz.
_MPS_API_PROXY_MANAGED_INSTANCE_IP	IP-Adresse der verwalteten Instanz.
_MPS_API_PROXY_MANAGED_INSTANCE_ID	ID der verwalteten Instanz.
_MPS_API_PROXY_TIMEOUT	Timeout-Wert für eine NITRO-API-Anfrage. Legen Sie den Timeout-Wert in Sekunden fest. Wenn Sie ein Proxy-Timeout festlegen, wartet ADM auf die angegebene Dauer, bevor die Anforderung abgegeben wird.
_MPS_API_PROXY_MANAGED_INSTANCE_USERNAME	Benutzername für den Zugriff auf die verwaltete ADC-Instanz.
_MPS_API_PROXY_MANAGED_INSTANCE_PASSWORD	Kennwort für den Zugriff auf die verwaltete ADC-Instanz.
_MPS_API_PROXY_MANAGED_INSTANCE_SESSID	Sitzungs-ID für den Zugriff auf die verwaltete Instanz.

Hinweis

Wenn Sie unter System > Administration > Systemkonfigurationen > Grundeinstellungendie Option Anmeldeinformationen für Instanzanmeldung auffordernauswählen, müssen Sie den Benutzernamen und das Kennwort einer verwalteten Instanz konfigurieren. Alternativ können Sie auch die Instanzsitzungs-ID angeben.

Das Vorhandensein eines dieser HTTP-Header hilft NetScaler ADM, eine API-Anforderung als eine Anforderung zu identifizieren, die an eine verwaltete Instanz weitergeleitet werden muss. Der Wert der Kopfzeile hilft Citrix ADM dabei, die verwaltete Instanz zu identifizieren, an die die Anforderung weitergeleitet werden muss.

Dieser Fluss ist in der folgenden Abbildung dargestellt:

Device-API

Wie in der obigen Abbildung gezeigt, verarbeitet NetScaler ADM die Anforderung wie folgt, wenn einer dieser HTTP-Header in einer Anforderung angezeigt wird:

Ohne Änderung der Anforderung leitet Citrix ADM die Anforderung an die Instanz-API-Proxy-Engine weiter.
Die Instanz-API-Proxy-Engine leitet die API-Anfrage an einen Validator weiter und protokolliert die Details der API-Anfrage im Audit-Protokoll.
Der Validator stellt sicher, dass die Anfrage nicht gegen konfigurierte Sicherheitsrichtlinien, RBAC-Richtlinien, Mandantengrenzen usw. verstößt. Es führt zusätzliche Prüfungen durch, z. B. eine Prüfung, um festzustellen, ob die verwaltete Instanz verfügbar ist.

Wenn die API-Anfrage gültig ist und an die verwaltete Instanz weitergeleitet werden kann, identifiziert NetScaler ADM eine Sitzung, die vom Instanz Session Manager verwaltet wird, und sendet dann die Anfrage an die verwaltete Instanz.

Hinweis:

Stellen Sie sicher, dass die Option Anmeldeinformationen für Instanzanmeldung anfordern deaktiviert ist. Vorgehensweise:

Navigieren Sie zu System > Administration.

Wählen Sie in Systemkonfigurationen die Optionen System, Zeitzone, Zulässige URLs und Meldung des Tages aus.

Verwenden von NetScaler ADM als API-Proxyserver

Die folgenden Beispiele zeigen REST-API-Anforderungen, die ein API-Client an einen Citrix ADM -Server mit der IP-Adresse 192.0.2.5 sendet. Citrix ADM ist erforderlich, um die Anforderungen unverändert an eine verwaltete Instanz mit der IP-Adresse 192.0.2.10 weiterzuleiten. Alle Beispiele verwenden den _MPS_API_PROXY_MANAGED_INSTANCE_IP-Header.

Bevor die API-Anforderungen von Citrix ADM gesendet werden, muss der API-Client Folgendes ausführen:

Anmelden bei Citrix ADM
Besorgen Sie sich eine Sitzungs-ID
Fügen Sie die Sitzungs-ID in nachfolgende API-Anfragen ein.

Die Anmelde-API-Anforderung hat das folgende Format:

    POST /nitro/v1/config/login
    Content-Type: application/json

    {
        "login": {
            "username":"nsroot",
            "password":"nsroot"
         }
    }
 

Citrix ADM antwortet auf die Anmeldeanforderung mit einer Antwort, die die Sitzungs-ID enthält. Der folgende Beispielantworttext zeigt eine Sitzungs-ID:

{

  "errorcode": 0,

  "message": "Done",

  "operation": "add",

  "resourceType": "login",

  "username": "***********",

  "tenant_name": "Owner",

  "resourceName": "nsroot",

  "login": [

    {

      "tenant_name": "Owner",

      "permission": "superuser",

      "session_timeout": "36000",

      "challenge_token": "",

      "username": "",

      "login_type": "",

      "challenge": "",

      "client_ip": "",

      "client_port": "-1",

      "cert_verified": "false",

      "sessionid": "##D2BF9C5F40E5B2E884A9C45C89F0ADE24DA8A8169BE6358D39F5D471B73D",

      "token": "b2f3f935e93db6a"
    }

  ]

}