Provisionnement d’instances Citrix ADC
Remarque
La connexion au service Citrix ADM est activée par défaut, après avoir installé ou mis à niveau l’appliance NetScaler SDX vers la version 12.1 build 58.xx et versions ultérieures. Pour plus de détails, consultez Gouvernance des données et Citrix ADM service connect.
Vous pouvez mettre en service une ou plusieurs instances Citrix ADC sur l’appliance SDX à l’aide du service de gestion. Le nombre d’instances que vous pouvez installer dépend de la licence que vous avez achetée. Si le nombre d’instances ajoutées est égal au nombre spécifié dans la licence, le service de gestion n’autorise pas le provisionnement d’autres instances Citrix ADC.
Provisioning d’une instance NetScaler VPX sur l’appliance SDX comprend les étapes suivantes.
- Définissez un profil d’administrateur à attacher à l’instance Citrix ADC. Ce profil spécifie les informations d’identification de l’utilisateur qui sont utilisées par le service de gestion pour provisionner l’instance Citrix ADC et les versions ultérieures, pour communiquer avec l’instance afin de récupérer les données de configuration. Vous pouvez également utiliser le profil d’administrateur par défaut.
- Téléchargez le fichier image .xva vers le service de gestion.
- Ajoutez une instance Citrix ADC à l’aide de l’assistant Provisionner Citrix ADC dans le service de gestion. Le service de gestion déploie implicitement l’instance Citrix ADC sur l’appliance SDX, puis télécharge les détails de configuration de l’instance.
Avertissement
Assurez-vous de modifier les interfaces réseau provisionnées ou les VLAN d’une instance à l’aide du service de gestion au lieu d’effectuer les modifications directement sur l’instance.
Créer un profil d’administrateur
Les profils d’administrateur spécifient les informations d’identification de l’utilisateur qui sont utilisées par le service de gestion lors du provisionnement des instances Citrix ADC, et ultérieurement lors de la communication avec les instances pour récupérer les données de configuration. Les informations d’identification utilisateur spécifiées dans un profil d’administrateur sont également utilisées par le client lors de la connexion aux instances Citrix ADC via l’interface de ligne de commande ou l’utilitaire de configuration.
Les profils d’administrateur vous permettent également de spécifier que le service de gestion et une instance VPX doivent communiquer entre eux uniquement via un canal sécurisé ou via HTTP.
Le profil d’administrateur par défaut d’une instance spécifie un nom d’utilisateur de nsroot
. Ce profil ne peut être ni modifié ni supprimé. Toutefois, vous devez remplacer le profil par défaut en créant un profil d’administrateur défini par l’utilisateur et en l’attachant à l’instance lorsque vous provisionnez l’instance. L’administrateur du service de gestion peut supprimer un profil d’administrateur défini par l’utilisateur s’il n’est associé à aucune instance Citrix ADC.
Important : Ne modifiez pas le mot de passe directement sur l’instance VPX. Dans ce cas, l’instance devient inaccessible à partir du service de gestion. Pour modifier un mot de passe, créez d’abord un profil d’administrateur, puis modifiez l’instance Citrix ADC, en sélectionnant ce profil dans la liste Profil d’administrateur.
Pour modifier le mot de passe des instances Citrix ADC dans une configuration haute disponibilité, modifiez d’abord le mot de passe sur l’instance désignée comme nœud secondaire, puis modifiez le mot de passe de l’instance désignée comme nœud principal. N’oubliez pas de modifier les mots de passe uniquement à l’aide du service de gestion.
Pour créer un profil d’administrateur
-
Dans l’onglet Configuration, dans le volet de navigation, développez Configuration Citrix ADC, puis cliquez sur Profils d’administration.
-
Dans le volet Profils d’administration, cliquez sur Ajouter.
-
La boîte de dialogue Créer un profil d’administrateur s’affiche.
Définissez les paramètres suivants :
- Nom du profil : nom du profil administrateur. Le nom du profil par défaut est
nsroot
. Vous pouvez créer des noms de profil définis par l’utilisateur. - Mot de passe : mot de passe utilisé pour se connecter à l’instance Citrix ADC. Longueur maximale : 31 caractères.
- Port SSH : définissez le port SSH. Le port par défaut est 22.
-
Cochez la case Utiliser les paramètres globaux pour la communication Citrix ADC si vous souhaitez que le paramètre soit défini dans les paramètres système pour la communication entre le service de gestion et l’instance Citrix ADC. Vous pouvez désactiver cette case et modifier le protocole en HTTP ou HTTPS.
- Sélectionnez l’option http pour utiliser le protocole HTTP pour la communication entre le service de gestion et l’instance Citrix ADC.
- Sélectionnez l’option https pour utiliser un canal sécurisé pour la communication entre le service de gestion et l’instance Citrix ADC.
4. Sous SNMP, sélectionnez la version. Si vous sélectionnez v2, passez à l’étape 5. Si vous sélectionnez v3, passez à l’étape 6.
5. Sous SNMP v2, ajoutez le nom de la communauté SNMP.
6. Sous SNMP v3, ajoutez le nom de sécurité et le niveau de sécurité.
7. Sous Paramètres du délaid’expiration, spécifiez la valeur.
8. Cliquez sur Créer, puis sur Fermer. Le profil d’administrateur que vous avez créé apparaît dans le volet Profils d’administrateur .
Si la valeur de la colonne Par défaut est true, le profil par défaut est le profil administrateur. Si la valeur est false, un profil défini par l’utilisateur est le profil administrateur.
Si vous ne souhaitez pas utiliser un profil d’administrateur défini par l’utilisateur, vous pouvez le supprimer du service de gestion. Pour supprimer un profil administrateur défini par l’utilisateur, dans le volet Profils d’administration, sélectionnez le profil que vous souhaitez supprimer, puis cliquez sur Supprimer.
Charger une image .xva Citrix ADC
Un fichier .xva est nécessaire pour ajouter une instance NetScaler VPX.
Téléchargez les fichiers .xva Citrix ADC SDA sur l’appliance SDX avant de provisionner les instances VPX. Vous pouvez également télécharger un fichier image .xva sur un ordinateur local en tant que sauvegarde. Le format de fichier image .xva est : NSVPX-XEN-ReleaseNumber-BuildNumber_NC.xva
Remarque : Par défaut, un fichier image .xva basé sur la version Citrix ADC 9.3 est disponible sur l’appliance SDX.
Dans le volet Citrix ADC XVA Files, vous pouvez afficher les détails suivants.
-
Nom
Nom du fichier image .xva. Le nom du fichier contient la version et le numéro de version. Par exemple, le nom de fichier NSVPX-XEN-9.3-25_NC.xva fait référence à la version 9.3 build 25.
-
Dernière modification
Date à laquelle le fichier image .xva a été modifié pour la dernière fois.
-
Taille
Taille, en Mo, du fichier image .xva.
Pour télécharger un fichier .xva Citrix ADC
- Dans l’onglet Configuration, dans le volet de navigation, développez Configuration Citrix ADC, puis cliquez sur Fichiers XVA.
- Dans le volet Citrix ADC XVA Files, cliquez sur Upload.
- Dans la boîte de dialogue Upload Citrix ADC instance XVA, cliquez sur Parcourir et sélectionnez le fichier image XVA que vous souhaitez télécharger.
- Cliquez sur Charger. Le fichier image XVA s’affiche dans le volet Fichiers XVA Citrix ADC après son chargement.
Pour créer une sauvegarde en téléchargeant un fichier Citrix ADC .xva
- Dans le volet Fichiers de génération Citrix ADC, sélectionnez le fichier que vous souhaitez télécharger, puis cliquez sur Télécharger.
- Dans la zone de message Téléchargement de fichier, cliquez sur Enregistrer.
- Dans la boîte de message Enregistrer sous, accédez à l’emplacement où vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer.
Ajouter une instance Citrix ADC
Lorsque vous ajoutez des instances Citrix ADC à partir du service de gestion, vous devez fournir des valeurs pour certains paramètres, et le service de gestion configure implicitement ces paramètres sur les instances Citrix ADC.
Nom : attribuez un nom à l’instance Citrix ADC.
Sélectionnez ensuite une adresse IPv4 ou IPv6 ou les deux adresses IPv4 et IPv6 pour accéder à l’instance NetScaler VPX à des fins de gestion. Une instance Citrix ADC ne peut avoir qu’une seule adresse IP de gestion (également appelée NSIP). Vous ne pouvez pas supprimer une adresse NSIP.
Attribuez un masque de réseau, une passerelle par défaut et l’étape suivante au service de gestion pour l’adresse IP.
Ajoutez ensuite le fichier XVA, le profil d’administration et une description de l’instance.
Remarque : Pour une configuration haute disponibilité (actif-actif ou actif-veille), Citrix vous recommande de configurer les deux instances NetScaler VPX sur des appliances SDX différentes. Assurez-vous que les instances de l’installation disposent de ressources identiques, telles que le processeur, la mémoire, les interfaces, les paquets par seconde (PPS) et le débit.
Allocation de licences
Dans cette section, spécifiez la licence que vous avez obtenue pour Citrix ADC. La licence peut être Standard, Enterprise et Platinum ou Secure Web Gateway.
Remarque :* indique les champs obligatoires.
Remarque
Achetez une licence distincte (Pack complémentaire 2 instances SDX pour Secure Web Gateway) pour les instances Citrix Secure Web Gateway (SWG) sur les appliances SDX. Ce pack d’instances est différent de la licence de plate-forme SDX ou du pack d’instances SDX.
Pour plus d’informations sur le déploiement d’une instance Citrix SWG sur une appliance SDX, consultez Déploiement d’une instance Citrix Secure Web Gateway sur une appliance SDX.
Si vous avez besoin d’une capacité de bande passante extensible, sélectionnez Extensible sous Mode d’allocation Pour plus d’informations, consultez la section Mesure de la bande passante dans SDX.
Allocation cryptographique
À partir de la version 12.1 48.13, l’interface de gestion de la capacité de chiffrement a changé. Pour plus d’informations, consultez Gérer la capacité de chiffrement.
Allocation des ressources
Sous Allocation de ressources, affectez la mémoire totale, les paquets par seconde et le processeur.
.
CPU : attribuez un ou plusieurs cœurs dédiés à l’instance, ou l’instance partage un cœur avec d’autres instances. Si vous sélectionnez Partagé, un cœur est affecté à l’instance, mais le cœur peut être partagé avec d’autres instances en cas de manque de ressources. Redémarrez les instances affectées si les cœurs de processeur sont réaffectés. Redémarrez les instances sur lesquelles les cœurs de processeur sont réaffectés pour éviter toute dégradation des performances.
À partir de la version SDX 11.1.x.x (MR4), si vous utilisez la plate-forme SDX 25000xx, vous pouvez attribuer un maximum de 16 cœurs à une instance. De plus, si vous utilisez la plate-forme SDX 2500xxx, vous pouvez affecter un maximum de 11 cœurs à une instance.
Remarque : Pour une instance, le débit maximal que vous configurez est de 180 Gbit/s.
Le tableau suivant répertorie le VPX pris en charge, la version d’image unique groupée et le nombre de cœurs que vous pouvez attribuer à une instance :
Plateforme | Nombre total de cœurs | Nombre total de cœurs disponibles pour le provisionnement d’instances VPX | Nombre maximum de cœurs pouvant être affectés à une seule instance |
---|---|---|---|
SDX 8015, SDX 8400 et SDX 8600 | 4 | 3 | 3 |
SDX 8900 | 8 | 7 | 7 |
SDX 11500, SDX 13500, SDX 14500, SDX 16500, SDX 18500 et SDX 20500 | 12 | 10 | 5 |
SDX 11515, SDX 11520, SDX 11530, SDX 11540 et SDX 11542 | 12 | 10 | 5 |
SDX 17500, SDX 19500 et SDX 21500 | 12 | 10 | 5 |
SDX 17550, SDX 19550, SDX 20550 et SDX 21550 | 12 | 10 | 5 |
SDX 14020, SDX 14030, SDX 14040, SDX 14060, SDX 14080 et SDX 14100 | 12 | 10 | 5 |
SDX 22040, SDX 22060, SDX 22080, SDX 22100 et SDX 22120 | 16 | 14 | 7 |
SDX 24100 et SDX 24150 | 16 | 14 | 7 |
SDX 14020 40 G, SDX 14030 40 G, SDX 14040 40 G, SDX 14060 40 G, SDX 14080 40G et SDX 14100 40 G | 12 | 10 | 10 |
FIPS SDX 14020, FIPS SDX 14030, FIPS SDX 14040, FIPS SDX 14060, FIPS SDX 14080 et FIPS SDX 14100 | 12 | 10 | 10 |
SDX 14040 40S, SDX 14060 40S, SDX 14080 40S et SDX 14100 40S | 12 | 10 | 10 |
SDX 25100A, 25160A, 25200A | 20 | 18 | 9 |
SDX 25100-40G, 25160-40G, 25200-40G | 20 | 18 | 16 (si la version est 11.1-51.x ou supérieure) ; 9 (si la version est 11.1-50.x ou inférieure ; toutes les versions de 11.0 et 10.5) |
SDX 26100, 26160, 26200, 26250 | 28 | 26 | 16 |
SDX 26100-50S, 26160-50S, 26200-50S, 26250-50S | 28 | 26 | 16 |
SDX 26100-100 G, 26160-100 G, 26200-100 G, 26250-100 G | 28 | 26 | 26 |
15000-50G | 16 | 14 | 14 |
Remarque
Les cœurs dédiés correspondent au nombre de moteurs de paquets exécutés sur l’instance. Pour une instance VPX créée avec des cœurs dédiés, un processeur supplémentaire est affecté à la gestion.
Administration des instances
Vous pouvez créer un utilisateur administrateur pour l’instance VPX en sélectionnant Add Instance Administration sous Administration de l’instance.
Ajoutez les informations suivantes :
Nom d’utilisateur : nom d’utilisateur de l’administrateur de l’instance Citrix ADC. Cet utilisateur dispose d’un accès superutilisateur mais n’a pas accès aux commandes réseau pour configurer les VLAN et les interfaces.
Mot de passe : mot de passe associé au nom d’utilisateur.
AccèsShell/Sftp/Scp : accès autorisé à l’administrateur de l’instance Citrix ADC. Cette option est sélectionnée par défaut.
Paramètres réseau
- Autorisez le mode L2 dans les paramètres réseau.
Vous pouvez autoriser le mode L2 sur l’instance Citrix ADC. Sélectionnez Autoriser le mode L2 sous Paramètres réseau. Avant de vous connecter à l’instance et d’activer le mode L2. Pour plus d’informations, consultez Autorisation du mode L2 sur une instance Citrix ADC.
Les.
Remarque : Si vous désactivez le mode L2 pour une instance à partir du service de gestion, vous devez vous connecter à l’instance et désactiver le mode L2 à partir de cette instance. Si vous ne le faites pas, tous les autres modes Citrix ADC risquent d’être désactivés après le redémarrage de l’instance.
Par défaut, les interfaces 0/1 et 0/2 sont sélectionnées pour la gestion LA.
Balise VLAN : spécifiez un ID VLAN pour l’interface de gestion.
Ajoutez ensuite des interfaces de données.
Remarque : Les ID d’interface des interfaces que vous ajoutez à une instance ne correspondent pas nécessairement à la numérotation d’interface physique sur l’appliance SDX. Par exemple, si la première interface que vous associez à l’instance 1 est l’interface SDX 1/4, elle apparaît comme interface 1/1 lorsque vous vous connectez à l’instance et affichez les paramètres d’interface, car il s’agit de la première interface que vous avez associée à l’instance 1.
-
VLAN autorisés : spécifiez une liste d’ID de VLAN pouvant être associés à une instance Citrix ADC.
-
Mode adresse MAC : attribuez une adresse MAC. Sélectionnez l’une des options suivantes :
- Par défaut : Citrix Hypervisor attribue une adresse MAC.
- Personnalisé : choisissez ce mode pour spécifier une adresse MAC qui remplace l’adresse MAC générée.
- Généré : générez une adresse MAC à l’aide de l’adresse MAC de base définie précédemment. Pour plus d’informations sur la définition d’une adresse MAC de base, reportez-vous à la section Attribution d’une adresse MAC à une interface.
-
Paramètres VMAC (VRID IPv4 et IPv6 pour configurer Virtual MAC)
- VRID IPV4 : VRID IPv4 qui identifie le VMAC. Valeurs possibles : 1—255. Pour plus d’informations, consultez Configuration de vMac sur une interface.
- VRID IPV6 : VRID IPv6 qui identifie le VMAC. Valeurs possibles : 1—255. Pour plus d’informations, consultez Configuration de vMac sur une interface.
Paramètres du VLAN de gestion
En règle générale, le service de gestion et l’adresse de gestion (NSIP) de l’instance VPX se trouvent dans le même sous-réseau, et la communication s’effectue via une interface de gestion. Toutefois, si le service de gestion et l’instance se trouvent dans des sous-réseaux différents, vous devez spécifier un ID de VLAN au moment du provisionnement d’une instance VPX, afin que l’instance puisse être atteinte via le réseau lorsqu’elle démarre. Si votre déploiement nécessite que le NSIP ne soit pas accessible via une interface autre que celle sélectionnée au moment du provisionnement de l’instance VPX, sélectionnez l’option NSVLAN.
Citrix vous recommande de ne pas sélectionner NSVLAN. Vous ne pouvez pas modifier ce paramètre après avoir provisionné l’instance Citrix ADC.
Remarque :
- Les battements de cœur HA sont envoyés uniquement sur les interfaces qui font partie du NSVLAN.
- Vous pouvez configurer un NSVLAN uniquement à partir de VPX XVA build 9.3—53.4 et versions ultérieures.
Important : Si NSVLAN n’est pas sélectionné, l’exécution de la commande « clear config full » sur l’instance VPX supprime la configuration du VLAN.
Cliquez sur Terminé pour provisionner l’appliance NetScaler VPX.
Modifier une instance Citrix ADC
Pour modifier les valeurs des paramètres d’une instance Citrix ADC provisionnée, dans le volet Instances Citrix ADC, sélectionnez l’instance que vous souhaitez modifier, puis cliquez sur Modifier. Dans l’Assistant Modification de ADC, modifiez les paramètres.
Remarque : Si vous modifiez les paramètres suivants : nombre de puces SSL, d’interfaces, de mémoire et de licence de fonctionnalité, l’instance Citrix ADC s’arrête et redémarre implicitement pour appliquer ces paramètres.
Vous ne pouvez pas modifier les paramètres Image et Nom d’utilisateur.
Si vous souhaitez supprimer une instance Citrix ADC provisionnée sur l’appliance SDX, dans le volet Instances Citrix ADC, sélectionnez l’instance que vous souhaitez supprimer, puis cliquez sur Supprimer. Dans la zone de message Confirmer, cliquez sur Oui pour supprimer l’instance Citrix ADC.
Restreindre les VLAN à des interfaces virtuelles spécifiques
L’administrateur de l’appliance SDX peut appliquer des VLAN 802.1Q spécifiques sur les interfaces virtuelles associées aux instances Citrix ADC. Cette fonctionnalité est particulièrement utile pour restreindre l’utilisation des VLAN 802.1Q par les administrateurs d’instance. Si deux instances appartenant à deux sociétés différentes sont hébergées sur une appliance SDX, vous pouvez empêcher les deux sociétés d’utiliser le même ID de VLAN, afin qu’une société ne voie pas le trafic de l’autre société. Si un administrateur d’instance, lors du provisionnement ou de la modification d’une instance VPX, essaie d’attribuer une interface à un VLAN 802.1Q, une validation est effectuée pour vérifier que l’ID de VLAN spécifié fait partie de la liste autorisée.
Par défaut, n’importe quel ID de VLAN peut être utilisé sur une interface. Pour restreindre les VLAN balisés sur une interface, spécifiez les ID de VLAN dans les paramètres réseau au moment du provisionnement d’une instance Citrix ADC, ou ultérieurement en modifiant l’instance. Pour spécifier une plage, séparez les ID par un trait d’union (par exemple 10 à 12). Si vous spécifiez initialement certains ID de VLAN, puis que vous les supprimez tous de la liste autorisée, vous pouvez utiliser n’importe quel ID de VLAN sur cette interface. En fait, vous avez rétabli le réglage par défaut.
Après avoir créé une liste de VLAN autorisés, l’administrateur SDX n’a pas besoin de se connecter à une instance pour créer les VLAN. L’administrateur peut ajouter et supprimer des VLAN pour des instances spécifiques à partir du service de gestion.
Important
Si le mode L2 est activé, l’administrateur doit veiller à ce que les ID de VLAN sur différentes instances Citrix ADC ne se chevauchent pas.
Pour spécifier les ID de VLAN autorisés
- Dans l’Assistant Provisionnement ADC ou l’Assistant Modification du CAN, sur la page Paramètres réseau, dans la zone de texte VLAN autorisés, spécifiez un ou plusieurs ID de VLAN autorisés sur cette interface. Utilisez un trait d’union pour spécifier une plage. Par exemple, 2—4094.
- Suivez les instructions de l’assistant.
- Cliquez sur Terminer, puis sur Fermer.
Pour configurer des VLAN pour une instance à partir du service de gestion
- Dans l’onglet Configuration, accédez à Citrix ADCInstances.
- Sélectionnez une instance, puis cliquez sur VLAN.
- Dans le volet d’informations, cliquez sur Ajouter.
- Dans la boîte de dialogue Créer un VLAN Citrix ADC, spécifiez les paramètres suivants :
- ID VLAN : nombre entier qui identifie de manière unique le VLAN auquel appartient une trame particulière. Le Citrix ADC prend en charge un maximum de 4094 VLAN. L’ID 1 est réservé au VLAN par défaut.
- Routage dynamique IPV6 : activez tous les protocoles de routage dynamique IPv6 sur ce VLAN. Remarque : Pour que le paramètre ENABLED fonctionne, vous devez vous connecter à l’instance et configurer les protocoles de routage dynamique IPv6 à partir de la ligne de commande VTYSH.
- Sélectionnez les interfaces qui doivent faire partie du VLAN.
- Cliquez sur Créer, puis sur Fermer.