Produktdokumentation
NetScaler VPX 14.1
14.1-Aktuelle Version 13.1 12.1
PDF anzeigen

Netzwerkarchitektur für NetScaler VPX-Instanzen in Microsoft Azure

June 8, 2026
Beitrag von: 
C C

In Azure Resource Manager (ARM) befindet sich eine NetScaler VPX Virtual Machine (VM) in einem virtuellen Netzwerk. Eine einzelne Netzwerkschnittstelle kann in einem bestimmten Subnetz des virtuellen Netzwerks erstellt und an die VPX-Instanz angehängt werden. Sie können den Netzwerkverkehr zu und von einer VPX-Instanz in einem virtuellen Azure-Netzwerk mit einer Netzwerksicherheitsgruppe filtern. Eine Netzwerksicherheitsgruppe enthält Sicherheitsregeln, die eingehenden oder ausgehenden Netzwerkverkehr zu oder von einer VPX-Instanz zulassen oder verweigern. Weitere Informationen finden Sie unter Sicherheitsgruppen.

Die Netzwerksicherheitsgruppe filtert die Anfragen an die NetScaler VPX-Instanz, und die VPX-Instanz sendet sie an die Server. Die Antwort von einem Server folgt dem gleichen Pfad in umgekehrter Reihenfolge. Die Netzwerksicherheitsgruppe kann so konfiguriert werden, dass sie eine einzelne VPX-VM filtert oder, mit Subnetzen und virtuellen Netzwerken, den Datenverkehr bei der Bereitstellung mehrerer VPX-Instanzen filtert.

Die NIC enthält Netzwerkkonfigurationsdetails wie das virtuelle Netzwerk, Subnetze, interne IP-Adresse und öffentliche IP-Adresse.

Bei ARM ist es gut, die folgenden IP-Adressen zu kennen, die für den Zugriff auf VMs verwendet werden, die mit einer einzelnen NIC und einer einzelnen IP-Adresse bereitgestellt werden:

  • Die öffentliche IP-Adresse (PIP) ist die dem Internet zugewandte IP-Adresse, die direkt auf der virtuellen NIC der NetScaler® VM konfiguriert ist. Dies ermöglicht Ihnen den direkten Zugriff auf eine VM aus dem externen Netzwerk.
  • Die NetScaler IP-Adresse (auch bekannt als NSIP) ist die interne IP-Adresse, die auf der VM konfiguriert ist. Sie ist nicht routingfähig.
  • Die virtuelle IP-Adresse (VIP) wird unter Verwendung der NSIP und einer Portnummer konfiguriert. Clients greifen über die PIP-Adresse auf NetScaler-Dienste zu, und wenn die Anfrage die NIC der NetScaler VPX™ VM oder den Azure Load Balancer erreicht, wird die VIP in die interne IP (NSIP) und interne Portnummer übersetzt.
  • Die interne IP-Adresse ist die private interne IP-Adresse der VM aus dem Adressraumpool des virtuellen Netzwerks. Diese IP-Adresse ist vom externen Netzwerk aus nicht erreichbar. Diese IP-Adresse ist standardmäßig dynamisch, es sei denn, Sie legen sie als statisch fest. Der Datenverkehr aus dem Internet wird gemäß den in der Netzwerksicherheitsgruppe erstellten Regeln an diese Adresse weitergeleitet. Die Netzwerksicherheitsgruppe integriert sich mit der NIC, um den richtigen Datenverkehrstyp selektiv an den richtigen Port auf der NIC zu senden, was von den auf der VM konfigurierten Diensten abhängt.

Die folgende Abbildung zeigt, wie der Datenverkehr von einem Client zu einem Server über eine in ARM bereitgestellte NetScaler VPX-Instanz fließt.

Datenverkehrsfluss von einem Client zu einem Server

Datenverkehrsfluss durch Netzwerkadressübersetzung

Sie können auch eine öffentliche IP-Adresse (PIP) für Ihre NetScaler VPX-Instanz (Instanzebene) anfordern. Wenn Sie diese direkte PIP auf VM-Ebene verwenden, müssen Sie keine eingehenden und ausgehenden Regeln definieren, um den Netzwerkverkehr abzufangen. Die eingehende Anfrage aus dem Internet wird direkt auf der VM empfangen. Azure führt eine Netzwerkadressübersetzung (NAT) durch und leitet den Datenverkehr an die interne IP-Adresse der VPX-Instanz weiter.

Die folgende Abbildung zeigt, wie Azure die Netzwerkadressübersetzung durchführt, um die interne NetScaler IP-Adresse zuzuordnen.

Datenverkehrsfluss durch NAT

In diesem Beispiel ist die der Netzwerksicherheitsgruppe zugewiesene öffentliche IP-Adresse 140.x.x.x und die interne IP-Adresse 10.x.x.x. Wenn die eingehenden und ausgehenden Regeln definiert sind, wird der öffentliche HTTP-Port 80 als der Port definiert, an dem die Clientanfragen empfangen werden, und ein entsprechender privater Port, 10080, wird als der Port definiert, an dem die NetScaler VPX-Instanz lauscht. Die Clientanfrage wird an der öffentlichen IP-Adresse (140.x.x.x) empfangen. Azure führt eine Netzwerkadressübersetzung durch, um die PIP der internen IP-Adresse 10.x.x.x auf Port 10080 zuzuordnen, und leitet die Clientanfrage weiter.

Hinweis:

NetScaler VPX-VMs in Hochverfügbarkeit werden von externen oder internen Lastenausgleichsmodulen gesteuert, die eingehende Regeln definiert haben, um den Lastenausgleichsverkehr zu steuern. Der externe Datenverkehr wird zuerst von diesen Lastenausgleichsmodulen abgefangen, und der Datenverkehr wird gemäß den konfigurierten Lastenausgleichsregeln umgeleitet, die Back-End-Pools, NAT-Regeln und Integritätstests auf den Lastenausgleichsmodulen definiert haben.

Richtlinien zur Portnutzung

Sie können weitere eingehende und ausgehende Regeln in der Netzwerksicherheitsgruppe konfigurieren, während Sie die NetScaler VPX-Instanz erstellen oder nachdem die virtuelle Maschine bereitgestellt wurde. Jede eingehende und ausgehende Regel ist einem öffentlichen Port und einem privaten Port zugeordnet.

Beachten Sie vor dem Konfigurieren von Netzwerksicherheitsgruppenregeln die folgenden Richtlinien bezüglich der Portnummern, die Sie verwenden können:

  1. Die NetScaler VPX-Instanz reserviert die folgenden Ports. Sie können diese nicht als private Ports definieren, wenn Sie die öffentliche IP-Adresse für Anfragen aus dem Internet verwenden.

    Ports 21, 22, 80, 443, 8080, 67, 161, 179, 500, 520, 3003, 3008, 3009, 3010, 3011, 4001, 5061, 9000, 7000.

    Wenn Sie jedoch möchten, dass internetfähige Dienste wie der VIP einen Standardport (z. B. Port 443) verwenden, müssen Sie eine Portzuordnung mithilfe der Netzwerksicherheitsgruppe erstellen. Der Standardport wird dann einem anderen Port zugeordnet, der auf dem NetScaler für diesen VIP-Dienst konfiguriert ist.

    Ein VIP-Dienst könnte beispielsweise auf Port 8443 auf der VPX-Instanz ausgeführt werden, aber auf den öffentlichen Port 443 abgebildet sein. Wenn der Benutzer also über die öffentliche IP-Adresse auf Port 443 zugreift, wird die Anfrage an den privaten Port 8443 weitergeleitet.

  2. Die öffentliche IP-Adresse unterstützt keine Protokolle, bei denen die Portzuordnung dynamisch geöffnet wird, wie z. B. passives FTP oder ALG.

  3. Hochverfügbarkeit funktioniert nicht für Datenverkehr, der eine öffentliche IP-Adresse (PIP) verwendet, die einer VPX-Instanz zugeordnet ist, anstatt einer auf dem Azure Load Balancer konfigurierten PIP.

Hinweis:

Im Azure Resource Manager ist eine NetScaler VPX-Instanz mit zwei IP-Adressen verknüpft – einer öffentlichen IP-Adresse (PIP) und einer internen IP-Adresse. Während der externe Datenverkehr eine Verbindung zur PIP herstellt, ist die interne IP-Adresse oder die NSIP nicht routingfähig. Um VIP in VPX zu konfigurieren, verwenden Sie die interne IP-Adresse und einen der verfügbaren freien Ports. Verwenden Sie die PIP nicht zur Konfiguration von VIP.

Netzwerkarchitektur für NetScaler VPX-Instanzen in Microsoft Azure
June 8, 2026
Beitrag von: 
C C
June 8, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.