NetScaler BLX の制限と使用ガイドライン
以下の制限事項と使用ガイドラインは NetScaler BLX に関連しています。
高可用性
-
高可用性は、Amazon Web Services (AWS) や Oracle Cloud Infrastructure (OCI) などのパブリック クラウド プラットフォームではサポートされていません。
-
nsinternal
ユーザー ログインが無効になっている場合、高可用性はサポートされません。 -
高可用性は専用モードでのみサポートされます。
NetScaler BLX クラスター
- INC モードはサポートされていません。
- CLAG ベースのトラフィック分散はサポートされていません。
NetScaler ゲートウェイ
- MAC および Linux SSO VPN クライアントはサポートされていません。
- RDP プロキシ機能はサポートされていません。
LA および LACP チャネル
-
LA/LACP チャネルは共有モードではサポートされません。
-
LA/LACP チャネルは、専用 NIC インターフェイスまたは DPDK NIC インターフェイス間でのみサポートされます。
-
LA/LACP チャネルは、
blx1
およびns1
仮想インターフェースではサポートされていません。
SNMP の
- SNMP は専用モードの BLX でのみサポートされます。
ウェブ アプリケーション ファイアウォール (WAF)
- Web アプリケーション ファイアウォール (WAF) は、専用モードの NetScaler BLX でのみサポートされます。
- Web アプリケーション ファイアウォール (WAF) が有効になっている場合、BLX ゲートウェイにアクセスできません。
DPDK ポートを備えた NetScaler BLX
-
Linux ホストが Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz や CPU E5504 @ 2.00 GHz などの古い CPU モデルで実行されている場合、DPDK ポートを備えた BLX の起動に失敗する可能性があります。
-
BLX の実行中に DPDK モジュールにバインドされた NIC ポートのバインドを解除すると、Linux ホストがクラッシュする可能性があります。
-
DPDK ポートを備えた BLX は、DPDK ポートを備えていない BLX よりも再起動に少し時間がかかります。
-
すべての DPDK バインド Linux ポートは自動的に BLX 専用となり、他の DPDK Linux アプリケーションには使用できません。
-
BLX でサポートされている VMXNET3 DPDK ポートの場合、ワーカー プロセスの数を 2 の累乗 (2ⁿ) で指定する必要があります。 たとえば、1、2、4、8 などです。
-
BLX は、DPDK ポートに対してのみトランク モードまたは VLAN タグ付けをサポートします。
Mellanox ポート
-
BLX は一度に 1 種類の DPDK ポートのみをサポートします。 たとえば、すべて Mellanox ポート、またはすべて Intel ポートのいずれかです。
-
BLX は Mellanox ポート用の MLX5 DPDK ドライバーのみをサポートします。
-
MLX5 DPDK ドライバーとその制限の詳細については、公式の MLX5 DPDK ドキュメントを参照してください。
-
Mellanox NIC とその制限事項の詳細については、公式の Mellanox ドキュメントを参照してください。
その他の制限とガイドライン
-
set ns hostname
コマンドを使用して BLX のホスト名を設定すると、Linux ホストのホスト名も変更されます。 -
BLX 管理対象ホスト機能が設定された BLX を再起動すると、Linux ホストへのアクティブな SSH セッションがすべて閉じられます。 接続を復元するには、ホストへの接続を再試行する必要があります。
-
専用モードでは、
blx.conf
ファイルで指定された管理 HTTP または HTTPS ポート (mgmt-http-port
またはmgmt-https-port
) は無視されます。 デフォルトでは、ポート番号 80 と 443 は HTTP および HTTPS 管理アクセス専用です。 専用モードで BLX のこれらのポートを変更するには、次の NetScaler CLI コマンドを使用する必要があります。set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)
例: 次のコマンドは、管理 HTTP ポートを 2080 に変更します。
set ns param -mgmthttpport 2080
-
Linux ホストでファイアウォールが有効になっている場合は、BLX 管理ポートと SYSLOG ポートの例外を追加する必要がある場合があります。
-
BLX の起動には最大 45 秒かかる場合があります。
-
BLX 設定は
/nsconfig/ns.conf
ファイルに保存されます。 構成をセッション間で利用できるようにするには、構成を変更するたびに構成を保存する必要があります。-
NetScaler CLIを使用して実行中の構成を表示するには
コマンドプロンプトで次のように入力します。
show ns runningConfig
-
NetScaler CLIを使用して設定を保存するには
コマンドプロンプトで次のように入力します。
save ns config
-
-
/nsconfig/ns.conf
ファイル内の BLX 構成は、/etc/blx/blx.conf
ファイル内の構成よりも優先されます。 -
割り当てられたメモリがワーカー プロセスごとに 1 GB 未満の場合、BLX は起動しません。
-
BLX をインストールすると、Linux ホスト上の
ip_forward
パラメータが 1 に設定されます。 -
BLX をアンインストールした後、設定ファイル (
blx.conf
) は保持され、blx.conf.rpmsave
としてバックアップされます。 このバックアップ構成ファイルを同じ Linux ホストに新しくインストールされた BLX に適用するには、ファイルの名前を手動でblx.conf
に変更する必要があります。 -
BLX ではパケットドロップ関連の問題が発生する可能性があるため、次の Ubuntu バージョンで BLX を実行することはお勧めしません。
Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic
-
BLX は最大 9 個の NIC ポート (DPDK NIC ポート、非 DPDK NIC ポート、またはその両方の組み合わせ) をサポートします。
-
次の条件が満たされる場合、BLX は起動しないか、正常に機能しない可能性があります。
-
SELinux
ポリシーが Linux ホストで有効になっています。 SELinux は、systemd
プロセスが一部の BLX システム ファイルを実行するのを防ぎます。回避策: Linux ホストで
SELinux
を無効にします。
注記:
NetScaler BLX 14.1-17.x 以降では、Red Hat ベースの Linux ホストに BLX をインストールすると、Linux ホストで SELinux モジュールが使用可能な場合は SELinux ポリシーが適用されます。 このポリシーにより、BLX を Linux ホスト上で実行できるようになります。 SELinux ポリシーの詳細については、 SELinux ポリシーを参照してください。
-
-
NetScaler BLX 14.1-25.x は、
pluginlist.xml
ファイルが/var/netscaler/gui/vpn
ディレクトリに存在しないため、フル トンネル モードで起動できません。
回避策: 次のコマンドを実行します。-
「」
enable ns feature RESPONDER
```
-
add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
-
「」
レスポンダーポリシー pluginlist_respond_pol “HTTP.REQ.URL.CONTAINS("pluginlist.xml")” pluginlist_respond を追加します ```
-
bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST <!--NeedCopy-->
- BLX を非ルート nsroot モードで起動すると、ルート nsroot ユーザー モードに戻ることはできません。 そのためには、BLX を再インストールする必要があります。
showtechsupport
コマンドを実行するには、ホストに root としてログインし、showtechsupport.pl
スクリプトを実行する必要があります。
-
NetScaler BLX でサポートされていない NetScaler 機能
- 管理パーティション
- コンテンツの最適化
- ハードウェア SSL オフロード
- 中間システム間 (IS-IS) ルーティング プロトコル
- IPSec
- ジャンボフレーム
- 高精度時間プロトコル (PTP)
- サービス品質 (QoS)
- ルーティング情報プロトコル (RIP)
- ルーティング情報プロトコル次世代 (RIPng)
- URLフィルタリング