On-Prem-Agents für Multisite-Bereitstellung konfigurieren
In früheren Versionen von NetScaler Console konnten NetScaler-Instanzen, die in Remote-Rechenzentren bereitgestellt wurden, von NetScaler Console, die in einem primären Rechenzentrum ausgeführt wird, verwaltet und überwacht werden. NetScaler-Instanzen sendeten Daten direkt an die primäre NetScaler Console, was zu einem Verbrauch von WAN-Bandbreite führte. Außerdem beansprucht die Verarbeitung von Analysedaten CPU- und Speicherressourcen der primären NetScaler Console.
Sie können Rechenzentren weltweit betreiben. Agents spielen in den folgenden Szenarien eine entscheidende Rolle:
-
Agents in Remote-Rechenzentren zu installieren, um den WAN-Bandbreitenverbrauch zu reduzieren.
-
Die Anzahl der Instanzen zu begrenzen, die Daten zur Verarbeitung direkt an die primäre NetScaler Console senden.
Hinweis
Die Installation von Agents für Instanzen in Remote-Rechenzentren wird empfohlen, ist aber nicht zwingend erforderlich. Bei Bedarf können Benutzer NetScaler-Instanzen direkt zur primären NetScaler Console hinzufügen.
Wenn Sie Agents für ein oder mehrere Remote-Rechenzentren installiert haben, erfolgt die Kommunikation zwischen den Agents und dem primären Standort über eine Floating-IP-Adresse. Weitere Informationen finden Sie unter Port.
Sie können Agents installieren und gepoolte Lizenzen auf die Instanzen in einem oder mehreren Remote-Rechenzentren anwenden. In diesem Szenario erfolgt die Kommunikation zwischen dem primären Standort und einem oder mehreren Remote-Rechenzentren über die Floating-IP-Adresse.
Der NetScaler Console On-Premises-Agent unterstützt keine gepoolte Lizenzierung.
Ab NetScaler Console 12.1 oder höher können Instanzen mit Agents konfiguriert werden, um mit der primären NetScaler Console in einem anderen Rechenzentrum zu kommunizieren.
Agents fungieren als Vermittler zwischen der primären NetScaler Console und den erkannten Instanzen in verschiedenen Rechenzentren. Die Installation von Agents bietet folgende Vorteile:
-
Die Instanzen werden für Agents konfiguriert, sodass die unverarbeiteten Daten direkt an die Agents statt an die primäre NetScaler Console gesendet werden. Agents führen die erste Stufe der Datenverarbeitung durch und senden die verarbeiteten Daten in komprimiertem Format zur Speicherung an die primäre NetScaler Console.
-
Agents und Instanzen befinden sich im selben Rechenzentrum, wodurch die Datenverarbeitung beschleunigt wird.
-
Das Clustering der Agents ermöglicht die Neuverteilung von NetScaler-Instanzen bei Agent-Failover. Wenn ein Agent an einem Standort ausfällt, wird der Datenverkehr von NetScaler-Instanzen auf einen anderen verfügbaren Agenten am selben Standort umgeleitet.
Hinweis
Die Anzahl der pro Standort zu installierenden Agents hängt vom verarbeiteten Datenverkehr ab.
Architektur
Die folgende Abbildung zeigt NetScaler-Instanzen in zwei Rechenzentren und die NetScaler Console-Bereitstellung mit hoher Verfügbarkeit unter Verwendung einer Multisite-Agent-basierten Architektur.
Der primäre Standort verfügt über NetScaler Console-Knoten, die in einer Hochverfügbarkeitskonfiguration bereitgestellt werden. Die NetScaler-Instanzen am primären Standort sind direkt bei der NetScaler Console registriert.
Am sekundären Standort werden Agents bereitgestellt und beim NetScaler Console-Server am primären Standort registriert. Diese Agents arbeiten in einem Cluster, um einen kontinuierlichen Datenfluss im Falle eines Agent-Failovers zu gewährleisten. Die NetScaler-Instanzen am sekundären Standort werden über Agents, die sich an diesem Standort befinden, beim primären NetScaler Console-Server registriert. Die Instanzen senden Daten direkt an die Agents statt an die primäre NetScaler Console. Die Agents verarbeiten die von den Instanzen empfangenen Daten und senden sie in komprimiertem Format an die primäre NetScaler Console. Agents kommunizieren mit dem NetScaler Console-Server über einen sicheren Kanal, und die über den Kanal gesendeten Daten werden zur Bandbreiteneffizienz komprimiert.
Erste Schritte
-
Agent in einem Rechenzentrum installieren
-
Agent registrieren
-
Agent einem Standort zuweisen
-
-
NetScaler-Instanzen hinzufügen
-
Neue Instanz hinzufügen
-
Bestehende Instanz aktualisieren
-
Agent in einem Rechenzentrum installieren
Sie können den Agent installieren und konfigurieren, um die Kommunikation zwischen der primären NetScaler Console und den verwalteten NetScaler-Instanzen in einem anderen Rechenzentrum zu ermöglichen.
Sie können einen Agent auf den folgenden Hypervisoren in Ihrem Unternehmensrechenzentrum installieren:
-
Citrix Hypervisor™
-
VMware ESXi
-
Microsoft Hyper-V
-
Linux KVM Server
Hinweis
On-Prem-Agents für die Multisite-Bereitstellung werden nur bei der NetScaler Console-Bereitstellung mit hoher Verfügbarkeit unterstützt.
Bevor Sie mit der Installation des Agents beginnen, stellen Sie sicher, dass Sie über die erforderlichen virtuellen Computerressourcen verfügen, die der Hypervisor für jeden Agent bereitstellen muss.
| Komponente | Anforderung |
|---|---|
| RAM | 32 GB |
| Virtuelle CPU | 8 CPUs |
| Speicherplatz | 30 GB |
| Virtuelle Netzwerkschnittstellen | 1 |
| Durchsatz | 1 Gbit/s |
Ports
Für Kommunikationszwecke müssen die folgenden Ports zwischen dem Agent und dem NetScaler Console On-Prem-Server geöffnet sein.
| Typ | Port | Details | Kommunikationsrichtung |
|---|---|---|---|
| TCP | 8443, 7443, 443 | Für ausgehende und eingehende Kommunikation zwischen Agent und dem NetScaler Console On-Prem-Server. | NetScaler-Agent zu NetScaler Console |
Die folgenden Ports müssen zwischen dem Agent und den NetScaler-Instanzen geöffnet sein.
| Typ | Port | Details | Kommunikationsrichtung |
|---|---|---|---|
| TCP | 80 | Für NITRO-Kommunikation zwischen Agent und NetScaler-Instanz. | NetScaler Console zu NetScaler und NetScaler zu NetScaler Console |
| TCP | 22 | Für SSH-Kommunikation zwischen Agent und NetScaler-Instanz. Für die Synchronisierung zwischen NetScaler Console-Servern, die im Hochverfügbarkeitsmodus bereitgestellt werden. | NetScaler Console zu NetScaler und NetScaler-Agent zu NetScaler |
| UDP | 4739 | Für AppFlow-Kommunikation zwischen Agent und NetScaler-Instanz. | NetScaler zu NetScaler Console |
| ICMP | Kein reservierter Port | Zur Erkennung der Netzwerkerreichbarkeit zwischen NetScaler Console und NetScaler-Instanzen oder dem sekundären NetScaler Console-Server, der im Hochverfügbarkeitsmodus bereitgestellt wird. | |
| UDP | 161, 162 | Zum Empfangen von SNMP-Ereignissen von der NetScaler-Instanz an den Agent. | Port 161 – NetScaler Console zu NetScaler |
| Port 162 – NetScaler zu NetScaler Console | |||
| UDP | 514 | Zum Empfangen von Syslog-Nachrichten von der NetScaler-Instanz an den Agent. | NetScaler zu NetScaler Console |
| TCP | 5557 | Für Logstream-Kommunikation zwischen Agent und NetScaler-Instanzen. | NetScaler zu NetScaler Console |
Agent registrieren
- Verwenden Sie die vom NetScaler-Standort heruntergeladene Agent-Imagedatei und importieren Sie diese in Ihren Hypervisor. Das Benennungsmuster der Agent-Imagedatei lautet wie folgt: MASAGENT-<HYPERVISOR>-<Version.no>. Beispiel: MASAGENT-XEN-13.0-xy.xva
- Konfigurieren Sie auf der Registerkarte Console die NetScaler Console mit den anfänglichen Netzwerkkonfigurationen.
-
Geben Sie den NetScaler Console-Hostnamen, die IPv4-Adresse und die Gateway-IPv4-Adresse ein. Wählen Sie Option 7, um die Konfiguration zu speichern und zu beenden.
- Nach erfolgreicher Registrierung fordert die Konsole zur Anmeldung auf. Verwenden Sie nsrecover/nsroot als Anmeldeinformationen.
- Um den Agent zu registrieren, geben Sie /mps/register_agent_onprem.py ein. Die Registrierungsdaten des NetScaler-Agents werden wie in der folgenden Abbildung gezeigt angezeigt.
-
Geben Sie die Floating-IP-Adresse der NetScaler Console und die Benutzeranmeldeinformationen ein.
Nach erfolgreicher Registrierung wird der Agent neu gestartet, um den Installationsvorgang abzuschließen.
Nach dem Neustart des Agents rufen Sie die NetScaler Console-GUI auf. Gehen Sie im Hauptmenü zur Seite Infrastructure > Instances > Agents, um den Status des Agents zu überprüfen. Der neu hinzugefügte Agent wird im Status Up angezeigt.
Hinweis
Die NetScaler Console zeigt die Version des Agents an und prüft auch, ob der Agent auf der neuesten Version ist. Das Download-Symbol zeigt an, dass der Agent nicht auf der neuesten Version ist und aktualisiert werden muss. Wir empfehlen Ihnen, die Agent-Version auf die NetScaler Console-Version zu aktualisieren.
Agent einem Standort zuweisen
- Wählen Sie den Agent aus und klicken Sie auf Attach Site (Standort zuweisen).
- Wählen Sie auf der Seite Attach site (Standort zuweisen) einen Standort aus der Liste aus oder erstellen Sie einen Standort über die Schaltfläche Plus (+).
-
Klicken Sie auf Save (Speichern).
Hinweis
-
Standardmäßig werden alle neu registrierten Agents dem Standard-Rechenzentrum hinzugefügt.
-
Es ist wichtig, den Agent dem richtigen Standort zuzuordnen. Im Falle eines Agent-Ausfalls werden die ihm zugewiesenen NetScaler-Instanzen automatisch auf andere funktionierende Agents am selben Standort umgeschaltet.
-
Agent-Aktionen
Sie können verschiedene Aktionen auf einen Agent unter Infrastructure > Agents > Select Actions (Aktionen auswählen) anwenden.
Unter Select Action (Aktion auswählen) können Sie die folgenden Funktionen verwenden:
-
Neues Zertifikat installieren: Wenn Sie ein anderes Agent-Zertifikat benötigen, um Ihre Sicherheitsanforderungen zu erfüllen, können Sie eines hinzufügen.
-
Standardpasswort ändern: Um die Sicherheit Ihrer Infrastruktur zu gewährleisten, ändern Sie das Standardpasswort eines Agents.
-
Technische Supportdatei generieren: Generieren Sie eine technische Supportdatei für einen ausgewählten NetScaler-Agent. Sie können diese Datei herunterladen und zur Untersuchung und Fehlerbehebung an den technischen Support von Citrix senden.
NetScaler-Instanzen hinzufügen
Instanzen sind NetScaler-Appliances oder virtuelle Appliances, die Sie über Agents von NetScaler Console aus erkennen, verwalten und überwachen möchten. Sie können die folgenden NetScaler-Appliances und virtuellen Appliances zu NetScaler Console oder Agents hinzufügen:
-
NetScaler MPX
-
NetScaler VPX
-
NetScaler SDX
-
NetScaler CPX
-
NetScaler Gateway
-
Citrix SSL Forward Proxy
Weitere Informationen finden Sie unter Instanzen zu NetScaler Console hinzufügen.
Bestehende Instanz dem Agent zuweisen
Wenn eine Instanz bereits zur primären NetScaler Console hinzugefügt wurde, können Sie sie einem Agent zuweisen, indem Sie einen Agent bearbeiten.
- Navigieren Sie zu Infrastructure > Instances und wählen Sie den Instanztyp aus. Zum Beispiel NetScaler.
- Klicken Sie auf Edit (Bearbeiten), um eine bestehende Instanz zu bearbeiten.
- Klicken Sie, um den Agent auszuwählen.
-
Wählen Sie auf der Seite Agent den Agent aus, dem Sie die Instanz zuweisen möchten, und klicken Sie dann auf OK.
Hinweis
Stellen Sie sicher, dass Sie den Standort auswählen, dem Sie die Instanz zuweisen möchten.
Auf die GUI einer Instanz zugreifen, um Ereignisse zu validieren
Nachdem die Instanzen hinzugefügt und der Agent konfiguriert wurde, greifen Sie auf die GUI einer Instanz zu, um zu überprüfen, ob das Trap-Ziel konfiguriert ist.
Navigieren Sie in NetScaler Console zu Infrastructure > Instances. Wählen Sie unter Instances den Typ der Instanz aus, auf die Sie zugreifen möchten (z. B. NetScaler VPX), und klicken Sie dann auf die IP-Adresse einer bestimmten Instanz.
Die GUI der ausgewählten Instanz wird in einem Pop-up-Fenster angezeigt.
Standardmäßig ist der Agent als Trap-Ziel auf der Instanz konfiguriert. Um dies zu bestätigen, melden Sie sich an der GUI der Instanz an und überprüfen Sie die Trap-Ziele.
Wichtig
Das Hinzufügen eines Agents für NetScaler-Instanzen in Remote-Rechenzentren wird empfohlen, ist aber nicht zwingend erforderlich.
Falls Sie die Instanz direkt zur primären MAS hinzufügen möchten, wählen Sie beim Hinzufügen von Instanzen keinen Agent aus.
NetScaler-Agent-Failover
Das Agent-Failover kann an einem Standort auftreten, der zwei oder mehr registrierte Agents hat. Wenn ein Agent an einem Standort inaktiv wird (Status DOWN), verteilt die NetScaler Console die NetScaler-Instanzen des inaktiven Agents auf andere aktive Agents um.
Wichtig
Stellen Sie sicher, dass die Funktion Agent Failover in Ihrem Konto aktiviert ist. Informationen zum Aktivieren dieser Funktion finden Sie unter NetScaler Console-Funktionen aktivieren oder deaktivieren.
Wenn ein Agent ein Skript ausführt, stellen Sie sicher, dass dieses Skript auf allen Agents am Standort vorhanden ist. So kann der gewechselte Agent das Skript nach einem Agent-Failover ausführen.
Informationen zum Zuweisen eines Standorts zu einem Agent in der NetScaler Console-GUI finden Sie unter Agent einem Standort zuweisen.
Um ein Agent-Failover zu erreichen, wählen Sie NetScaler-Agents einzeln aus und weisen Sie sie demselben Standort zu.
Beispielsweise sind zwei Agents 10.106.1xx.2x und 10.106.1xx.3x am Standort Bangalore zugewiesen und betriebsbereit. Wenn ein Agent inaktiv wird, erkennt die NetScaler Console dies und zeigt den Status als „down“ an.
Wenn ein NetScaler-Agent an einem Standort inaktiv wird (Status „Down“), wartet die NetScaler Console fünf Minuten, bis der Agent aktiv wird (Status „Up“). Bleibt der Agent inaktiv, verteilt die NetScaler Console die Instanzen automatisch auf die verfügbaren Agents am selben Standort um.
Die NetScaler Console löst alle 30 Minuten eine Instanzumverteilung aus, um die Last unter den aktiven Agents am Standort auszugleichen.
Schwellenwert und Benachrichtigung für unerreichbaren Agent konfigurieren
Wenn ein Agent für eine bestimmte Dauer ausgefallen oder nicht erreichbar ist, können Sie Benachrichtigungen über den Agent-Status per E-Mail, Slack, PagerDuty und ServiceNow erhalten. Klicken Sie unter Infrastructure > Instances > Agents auf Settings (Einstellungen), geben Sie die Dauer zwischen 5 und 60 Minuten an und wählen Sie die Benachrichtigungsmethode aus, über die Sie benachrichtigt werden möchten.
Sichere Kommunikation zwischen NetScaler® Console-Agents und NetScaler Console
Eine sichere Kommunikation zwischen NetScaler Console-Agents und NetScaler Console ist für Versionen 14.1-34.x oder höher verfügbar. Sie können diese sichere Kommunikation aktivieren, indem Sie das SSL-Zertifikat des Console-Servers überprüfen. Zuvor wurde bei der Kommunikation zwischen NetScaler Console-Agents und dem NetScaler Console On-Prem-Server das SSL-Zertifikat des Console-Servers nicht überprüft, was zu potenziellen Sicherheitslücken führte.
So aktivieren Sie diese sichere Kommunikation:
- Stellen Sie sicher, dass die NetScaler Console über konfigurierte SSL-Zertifikate verfügt.
- Melden Sie sich beim NetScaler Console-Agent an.
- Platzieren Sie das CA-Stammzertifikat unter /mpsconfig/console_onprem_cacert. Dies wird zur Validierung des Serverzertifikats verwendet. Der Name des CA-Stammzertifikats muss cacert.pem lauten.
- Konfigurieren Sie die sichere Kommunikation, indem Sie den folgenden Befehl ausführen. Configure_secure_communication_with_server.py
- Dies fordert zur Eingabe des FQDN (Fully Qualified Domain Name) oder der IP-Adresse des NetScaler Console-Servers auf.
-
Geben Sie den FQDN oder die IP-Adresse ein, um die Ausführung des Skripts abzuschließen.
- Das Skript überprüft das vom FQDN oder der IP-Adresse präsentierte Serverzertifikat unter Verwendung des bereitgestellten CA-Stammzertifikats. Die sichere Kommunikation wird aktiviert, wenn die Zertifikatsvalidierung erfolgreich ist.
- Dieses Skript kann entweder vor oder nach der Registrierung des Agents bei der NetScaler Console aufgerufen werden.
HINWEIS:
Dies gilt nur für VM-basierte Agents.