Lier des stratégies à l’aide d’une stratégie avancée
Après avoir défini une stratégie, la stratégie peut être appelée en la liant à un point de liaison et en spécifiant un niveau de priorité. Vous pouvez lier la stratégie à un seul point de liaison. Un point de liaison peut être global (s’appliquant à tous les serveurs virtuels configurés) ou un point de liaison peut être un serveur virtuel spécifique (serveur virtuel d’équilibrage de charge ou de commutation de contenu).
L’ordre dans lequel les stratégies sont évaluées détermine l’ordre dans lequel elles sont appliquées. Les fonctionnalités ADC évaluent généralement diverses banques de polices dans un ordre particulier. Cependant, d’autres caractéristiques peuvent parfois influer sur l’ordre d’évaluation. Dans une banque de stratégies, l’ordre d’évaluation dépend des valeurs de paramètres configurées dans les stratégies. La plupart des fonctionnalités appliquent toutes les actions associées à une stratégie si le résultat évalué correspond aux données en cours de traitement.
Remarque :
La fonctionnalité de mise en cache intégrée constitue une exception.
Différences spécifiques aux fonctionnalités dans les liaisons de stratégie
Vous pouvez lier des stratégies à des points de liaison globaux intégrés (ou à des banques), à des serveurs virtuels spécifiques ou à des étiquettes de stratégie.
Toutefois, les fonctionnalités de NetScaler diffèrent selon le type de liaisons disponibles. Le tableau suivant résume les liaisons de stratégies dans les fonctionnalités de NetScaler qui utilisent des politiques.
Nom de la fonctionnalité | Serveurs virtuels configurés dans la fonctionnalité | Stratégies configurées dans la fonctionnalité | Points de liaison configurés pour les stratégies | Utilisation des stratégies dans la fonctionnalité |
---|---|---|---|---|
DNS | aucun | Stratégies DNS | Global | Pour déterminer comment effectuer une résolution DNS pour les requêtes. |
Changement de contenu (Remarque : cette fonctionnalité peut prendre en charge les stratégies avancées, mais pas les deux.) | Commutation de contenu (CS) | Stratégies de changement de contenu | Serveur virtuel de commutation de contenu ou de redirection de cache ; étiquette de stratégie | Pour déterminer quel serveur ou groupe de serveurs est responsable du traitement des réponses, en fonction des caractéristiques d’une demande entrante. Les caractéristiques de la demande incluent le type de périphérique, la langue, les cookies, la méthode HTTP, le type de contenu et le serveur de cache associé. |
Mise en cache intégrée | aucun | Stratégies de mise en cache | Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL | Déterminer si les réponses HTTP peuvent être stockées et servies à partir du cache intégré de l’appliance NetScaler. |
Répondeur | aucun | Politiques de répondeur | Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL | Pour configurer le comportement de la fonction Responder. |
Réécriture | aucun | Stratégies de réécriture | Remplacement global, valeur par défaut globale, étiquette de stratégie, équilibrage de charge, commutation de contenu ou serveur virtuel de déchargement SSL | Pour identifier les données HTTP que vous souhaitez modifier avant de les transmettre. Les stratégies fournissent des règles pour la modification des données. Par exemple, vous pouvez modifier les données HTTP pour rediriger une demande vers un serveur sélectionné en fonction de l’adresse de la demande entrante ou pour masquer les informations du serveur dans une réponse à des fins de sécurité. |
Fonction Transformation d’URL dans la fonction Réécriture | aucun | Politiques de transformation | Remplacer globalement, Valeur par défaut globale, Étiquette de stratégie | Identifier les URL dans les transactions HTTP et les fichiers texte afin de déterminer si une URL doit être modifiée. |
NetScaler Gateway (fonctions VPN sans client uniquement) | serveur VPN | Politiques d’accès sans client | VPN Global, serveur VPN | Pour déterminer comment NetScaler Gateway exécute les fonctions d’authentification, d’autorisation, d’audit et autres, et pour définir des règles de réécriture pour l’accès Web général à l’aide de NetScaler Gateway. |
Lier les points et l’ordre d’évaluation
Pour qu’une stratégie prenne effet, vous devez vous assurer qu’elle est appelée à un moment donné au cours du traitement. Pour ce faire, vous associez la stratégie à un point de liaison. L’ensemble des stratégies liées à un point de liaison est connu sous le nom de banque de stratégies.
Voici les points de liaison que NetScaler évalue, répertoriés dans l’ordre d’évaluation typique d’une banque de politiques.
- Remplacer le moment de la demande. Lorsqu’une demande passe par une fonctionnalité, NetScaler évalue d’abord les politiques de dérogation au moment de la demande pour la fonctionnalité.
- Serveur virtuel d’équilibrage de charge au moment de la demande. Si l’évaluation des politiques ne peut pas être terminée une fois que toutes les politiques de remplacement du temps de demande ont été évaluées, NetScaler traite les politiques de délai de demande pour les serveurs virtuels d’équilibrage de charge.
- Serveur virtuel de commutation de contenu au moment de la demande. Si l’évaluation des politiques ne peut pas être terminée une fois que toutes les politiques de temps de demande pour les serveurs virtuels d’équilibrage de charge ont été évaluées, NetScaler traite les politiques de temps de demande pour les serveurs virtuels de commutation de contenu.
- Valeur par défaut au moment de la demande. Si l’évaluation des politiques ne peut pas être terminée après tout le temps de demande, les politiques spécifiques au serveur virtuel ont été évaluées, NetScaler traite les politiques avancées au moment de la demande.
- Remplacer le temps de réponse. Au moment de la réponse, NetScaler commence par des politiques liées au point de rupture du temps de réponse.
- Serveur virtuel d’équilibrage de charge du temps de réponse. Si l’évaluation des politiques ne peut pas être terminée une fois que toutes les politiques de remplacement du temps de réponse ont été évaluées, NetScaler traite les politiques de temps de réponse pour les serveurs virtuels d’équilibrage de charge.
- Serveur virtuel de commutation de contenu en temps de réponse. Si l’évaluation des politiques ne peut pas être terminée une fois que toutes les politiques ont été évaluées pour les serveurs virtuels d’équilibrage de charge, NetScaler traite les politiques de temps de réponse pour les serveurs virtuels de commutation de contenu.
- Défaut du temps de réponse. Si l’évaluation des politiques ne peut pas être terminée une fois que tous les temps de réponse spécifiques au serveur virtuel ont été évalués, NetScaler traite les politiques avancées en matière de temps de réponse.
Évaluation des stratégies pour toutes les fonctionnalités
Outre l’évaluation des stratégies au sein d’une fonctionnalité, si vous liez des stratégies à un serveur virtuel de commutation de contenu, il est important que ces stratégies soient évaluées avant d’autres stratégies. La liaison d’une politique à un serveur virtuel de commutation de contenu produit un résultat différent dans les versions 9.0.x et ultérieures de NetScaler par rapport aux versions 8.x. Dans NetScaler 9.0 et versions ultérieures, l’évaluation se déroule comme suit :
- Les stratégies de changement de contenu sont évaluées avant les autres stratégies. Si une stratégie de commutation de contenu est évaluée à TRUE, le serveur virtuel d’équilibrage de charge cible est sélectionné.
- Si toutes les stratégies de commutation de contenu ont la valeur FALSE, le serveur virtuel d’équilibrage de charge par défaut sous la VIP de commutation de contenu est sélectionné.
Une fois qu’un serveur virtuel d’équilibrage de charge cible est sélectionné par le processus de commutation de contenu, les stratégies sont évaluées dans l’ordre suivant :
- Les stratégies qui sont liées au point de liaison de remplacement global.
- Stratégies liées au serveur virtuel d’équilibrage de charge par défaut.
- Stratégies liées au serveur virtuel de commutation de contenu cible.
- Stratégies liées au point de liaison global par défaut.
Pour vous assurer que les stratégies sont évaluées dans l’ordre prévu, suivez ces instructions :
- Assurez-vous que le serveur virtuel d’équilibrage de charge par défaut n’est pas directement accessible depuis l’extérieur. Par exemple, l’adresse IP du serveur virtuel peut être 0.0.0.0.
- Pour éviter d’exposer des données internes sur le serveur virtuel par défaut d’équilibrage de charge, configurez une stratégie pour qu’elle réponde avec l’état « Service 503 non disponible » et liez-la au serveur virtuel d’équilibrage de charge par défaut.
Saisies dans une banque de polices
Chaque entrée d’une banque de polices comporte, au minimum, une stratégie et un niveau de priorité. Vous pouvez également configurer des entrées qui modifient l’ordre d’évaluation basé sur la priorité, et vous pouvez configurer des entrées qui appellent des banques de stratégies externes. La banque de stratégies est le groupe de stratégies qui sont liées à un point de liaison particulier et qui peuvent être évaluées pour un certain trafic. Si certaines stratégies sont liées à un vserver LB d’un type de protocole HTTP, le vserver LB est une banque de stratégies. De plus, les stratégies liées à cette banque de stratégies peuvent être évaluées pour le trafic HTTP. Si certaines stratégies de réécriture sont liées à la réécriture globale au point de liaison DNS_REQ_OVERRIDE, alors le point de liaison DNS_REQ_OVERRIDE sera une banque de stratégies dans laquelle certaines stratégies sont liées.
Puisque, dans l’étiquette de stratégie, nous pouvons lier un certain nombre de stratégies, l’étiquette de stratégie est également une banque de stratégies.
Les banques de politiques sont différenciées en fonction des protocoles, des conditions et des priorités. Supposons que vous disposez d’un serveur virtuel de 2 LB. L’un est de type HTTP et l’autre est de type DNS. De plus, différentes stratégies sont liées à ces serveurs virtuels. Par conséquent, les deux serveurs virtuels sont les banques de stratégies, mais les stratégies liées à l’une des banques de stratégies sont évaluées pour le trafic HTTP. Les stratégies liées à une autre banque de stratégies sont évaluées pour le trafic DNS. Pour chaque évaluation de stratégie, une règle est évaluée. Pour NOPOLICY également, une règle true est évaluée. Si un utilisateur souhaite invoquer une étiquette de stratégie pour tout le trafic, il peut utiliser NOPOLICY comme règle true.
Le tableau suivant récapitule chaque entrée d’une banque de stratégies.
Nom de la stratégie | Priority | Aller à Expression | Type d’appel | Banque de stratégies à invoquer |
---|---|---|---|---|
Le nom de la stratégie ou une stratégie « fictive ». | Un entier. | Facultatif. Si elle n’est pas configurée, ADC prend la valeur GoToPriorityExpression par défaut. Il identifie la prochaine stratégie à évaluer si la stratégie actuelle est évaluée à vrai, ou met fin à toute évaluation ultérieure. | Facultatif. Indique qu’une banque de stratégies externe est appelée. Le champ limite les choix à une étiquette de stratégie globale ou à un serveur virtuel. | Facultatif. Utilisé avec le type d’appel. Il s’agit de l’étiquette d’une banque de stratégies ou d’un nom de serveur virtuel. Le NetScaler retourne à la banque actuelle après avoir traité la banque externe. |
Si la politique est évaluée à TRUE, NetScaler enregistre l’action associée à la politique. Ajoutez la stratégie d’évaluation suivante en fonction de la valeur du gotoPriorityExpression
champ. Si la politique est évaluée à FALSE, NetScaler évalue la politique suivante. Si la politique n’est ni VRAIE ni FALSE, NetScaler utilise l’action Undef (non définie) associée.
Le type d’appel désigne un type de banque de stratégies. La valeur peut être l’une des suivantes :
- Demander un serveur virtuel : appelle les stratégies de temps de demande associées à un serveur virtuel.
- Response Vserver : appelle les stratégies de temps de réponse associées à un serveur virtuel.
- Libellé de stratégie : appelle une autre banque de stratégies, identifiée par l’étiquette de stratégie de la banque. Valeurs du champ GoToPriorityExpression :
- Aller à NEXT - Accédez à la stratégie avec la priorité supérieure suivante
- Goto END - Fin de l’évaluation
- Goto # : expression qui génère le numéro de priorité de la prochaine stratégie à évaluer. Le Goto ne peut aller de l’avant que dans une banque de polices.
- Goto USE_INCICATION_RESULT — Applicable si cette stratégie appelle une autre étiquette de stratégie. Si le dernier goto de l’étiquette de stratégie invoquée a la valeur END, l’évaluation s’arrête. Si la dernière étape est autre que END, l’étiquette de stratégie actuelle exécute un NEXT. Si vous omettez l’expression Goto, cela revient à spécifier END. Exemple de banque de stratégies qui utilise l’expression Goto :
Nom de la stratégie | Priority | Goto | Invocation | Policy Bank to be Invoked |
---|---|---|---|---|
ClientCertificatePolicy | 100 | 300 | Aucun | Aucun |
SubnetPolicy | 200 | Next | Aucun | Aucun |
NOPOLICY | 300 | USE INVOCATION RESULT | Request Server | My_Request_VServer |
NOPOLICY | 350 | USE INVOCATION RESULT | Policy Label | My_Policy_Label |
WorkingHoursPolicy | 400 | END | Aucun | Aucun |
Ordre d’évaluation au sein d’une banque de polices
Dans une banque de stratégies, l’ordre d’évaluation dépend des paramètres suivants :
-
Une priorité.
La quantité minimale d’informations sur l’ordre d’évaluation est un niveau de priorité numérique. Plus le nombre est bas, plus la priorité est élevée.
-
Une expression Goto.
Si elle est fournie, l’expression Goto indique la prochaine stratégie à évaluer, généralement au sein de la même banque de stratégies. Les expressions Goto ne peuvent avancer que dans une banque. Pour éviter le bouclage, une configuration de banque de stratégie n’est pas valide si un relevé Goto pointe vers l’arrière dans la banque.
-
Invocation d’autres banques de politiques.
N’importe quelle entrée peut appeler une banque de stratégies externe. NetScaler fournit une entité intégrée nommée NOPOLICY qui ne possède pas de règle. Vous pouvez ajouter une entrée NOPOLICY dans une banque de stratégies lorsque vous souhaitez appeler une autre banque de stratégies, mais que vous ne souhaitez pas traiter d’autres règles avant l’appel. Vous pouvez avoir plusieurs entrées NOPOLICY dans plusieurs banques de stratégies.
Les valeurs d’une expression Goto sont les suivantes :
-
SUIVANT.
Ce mot-clé sélectionne la stratégie avec le niveau de priorité supérieur suivant dans la banque de stratégies actuelle.
-
Un entier.
Si vous fournissez un nombre entier, il doit correspondre au niveau de priorité d’une autre stratégie de la banque de stratégies actuelle.
-
FIN.
Le mot clé interrompt l’évaluation après le traitement de la stratégie actuelle, et aucune stratégie supplémentaire de cette banque n’est traitée.
-
Blank.
Si l’expression Goto est vide, cela revient à spécifier END.
-
Une expression numérique.
Il s’agit d’une expression de stratégie avancée qui se résout en un numéro de priorité pour une autre stratégie de la banque actuelle.
-
USE_INVOCATION_RESULT.
L’expression ne peut être utilisée que si vous invoquez une banque de stratégies externe. La saisie de la phrase amène NetScaler à effectuer l’une des actions suivantes :
- Si le dernier Goto de la banque de stratégies invoquée a la valeur END ou est vide, le résultat de l’appel est END et l’évaluation s’arrête.
- Si l’expression Goto finale dans la banque de règles invoquée est autre que END, NetScaler exécute une commande NEXT.
Le tableau suivant illustre une banque de stratégies qui utilise des relevés Goto et des appels de banque de stratégies.
| Nom de la stratégie | Priority | Goto | Invocation | Banque de stratégies à invoquer |— | ——– | —- | —-| —- | | ClientCertificatePolicy (rule: does the request contain a client certificate?) | 100 | 300 | None | None | | SubnetPolicy (rule: is the client from a private subnet?) | 200 | NEXT | None | None | NOPOLICY | 300 | USE INVOCATION RESULT | Request virtual server | My_Request_VServer | NOPOLICY | 350 | USE INVOCATION RESULT | Policy Label | My_Policy_Label | | WorkingHoursPolicy (rule: is it working hours?) | 400 | END | None | None |
Tableau 3. Exemple d’une banque de politiques qui utilise des Gotos et des appels de banque externes
Comment se termine l’évaluation des politiques
L’évaluation d’une banque de règles prend fin lorsque l’appliance NetScaler exécute l’une des étapes suivantes :
-
Si une évaluation de stratégie est « TRUE », elle appelle une banque de stratégies externe et sa valeur d’instruction Goto est « USE_INVOCATION_RESULT », et si une autre stratégie de la banque de stratégies externe évalue également « TRUE » et que la valeur de l’instruction Goto est « END », alors après le retour de la stratégie externe banque de politiques, aucune autre politique ne sera évaluée.
-
Une banque de stratégies externe est appelée, son évaluation renvoie un END et l’instruction Goto utilise la valeur USE_INVOCATION_RESULT ou END. L’évaluation se poursuit avec la prochaine banque de stratégies pour cette fonctionnalité. Par exemple, si la banque actuelle est la banque de remplacement du temps de demande, NetScaler évalue ensuite les banques de politiques de délai de demande pour les serveurs virtuels.
-
NetScaler a parcouru toutes les banques de politiques de cette fonctionnalité, mais n’a pas trouvé de FIN.
S’il s’agit de la dernière entrée à être évaluée dans cette banque de règles, NetScaler passe à la fonctionnalité suivante.
Comment les fonctionnalités utilisent les actions après l’évaluation des stratégies
Après avoir évalué toutes les politiques pertinentes pour un point de données particulier (par exemple, une requête HTTP), NetScaler stocke toutes les actions associées à toute politique correspondant aux données.
Pour la plupart des fonctionnalités, toutes les actions issues des politiques correspondantes sont appliquées à un paquet de trafic lorsqu’il quitte NetScaler. La fonctionnalité de mise en cache intégrée n’applique qu’une seule action : CACHE ou NOCACHE. Cette action est associée à la stratégie ayant la valeur de priorité la plus faible dans la banque de stratégies de « priorité la plus élevée » (par exemple, les stratégies de remplacement au moment de la demande sont appliquées avant les stratégies spécifiques au serveur virtuel).
Dans cet article
- Différences spécifiques aux fonctionnalités dans les liaisons de stratégie
- Lier les points et l’ordre d’évaluation
- Évaluation des stratégies pour toutes les fonctionnalités
- Saisies dans une banque de polices
- Ordre d’évaluation au sein d’une banque de polices
- Comment se termine l’évaluation des politiques
- Comment les fonctionnalités utilisent les actions après l’évaluation des stratégies