NetScaler BLX の制限と使用ガイドライン

以下の制限事項と使用ガイドラインは NetScaler BLX に関連しています。

高可用性

  • 高可用性は、Amazon Web Services (AWS) や Oracle Cloud Infrastructure (OCI) などのパブリック クラウド プラットフォームではサポートされていません。

  • nsinternal ユーザー ログインが無効になっている場合、高可用性はサポートされません。

  • 高可用性は専用モードでのみサポートされます。

NetScaler BLX クラスター

  • INC モードはサポートされていません。
  • CLAG ベースのトラフィック分散はサポートされていません。

NetScaler ゲートウェイ

  • MAC および Linux SSO VPN クライアントはサポートされていません。
  • RDP プロキシ機能はサポートされていません。

LA および LACP チャネル

  • LA/LACP チャネルは共有モードではサポートされません。

  • LA/LACP チャネルは、専用 NIC インターフェイスまたは DPDK NIC インターフェイス間でのみサポートされます。

  • LA/LACP チャネルは、 blx1 および ns1 仮想インターフェースではサポートされていません。

SNMP の

  • SNMP は専用モードの BLX でのみサポートされます。

ウェブ アプリケーション ファイアウォール (WAF)

  • Web アプリケーション ファイアウォール (WAF) は、専用モードの NetScaler BLX でのみサポートされます。
  • Web アプリケーション ファイアウォール (WAF) が有効になっている場合、BLX ゲートウェイにアクセスできません。

DPDK ポートを備えた NetScaler BLX

  • Linux ホストが Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz や CPU E5504 @ 2.00 GHz などの古い CPU モデルで実行されている場合、DPDK ポートを備えた BLX の起動に失敗する可能性があります。

  • BLX の実行中に DPDK モジュールにバインドされた NIC ポートのバインドを解除すると、Linux ホストがクラッシュする可能性があります。

  • DPDK ポートを備えた BLX は、DPDK ポートを備えていない BLX よりも再起動に少し時間がかかります。

  • すべての DPDK バインド Linux ポートは自動的に BLX 専用となり、他の DPDK Linux アプリケーションには使用できません。

  • BLX でサポートされている VMXNET3 DPDK ポートの場合、ワーカー プロセスの数を 2 の累乗 (2ⁿ) で指定する必要があります。 たとえば、1、2、4、8 などです。

  • BLX は、DPDK ポートに対してのみトランク モードまたは VLAN タグ付けをサポートします。

Mellanox ポート

  • BLX は一度に 1 種類の DPDK ポートのみをサポートします。 たとえば、すべて Mellanox ポート、またはすべて Intel ポートのいずれかです。

  • BLX は Mellanox ポート用の MLX5 DPDK ドライバーのみをサポートします。

  • MLX5 DPDK ドライバーとその制限の詳細については、公式の MLX5 DPDK ドキュメントを参照してください。

  • Mellanox NIC とその制限事項の詳細については、公式の Mellanox ドキュメントを参照してください。

その他の制限とガイドライン

  • set ns hostname コマンドを使用して BLX のホスト名を設定すると、Linux ホストのホスト名も変更されます。

  • BLX 管理対象ホスト機能が設定された BLX を再起動すると、Linux ホストへのアクティブな SSH セッションがすべて閉じられます。 接続を復元するには、ホストへの接続を再試行する必要があります。

  • 専用モードでは、 blx.conf ファイルで指定された管理 HTTP または HTTPS ポート (mgmt-http-port または mgmt-https-port) は無視されます。 デフォルトでは、ポート番号 80 と 443 は HTTP および HTTPS 管理アクセス専用です。 専用モードで BLX のこれらのポートを変更するには、次の NetScaler CLI コマンドを使用する必要があります。

    set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)

    : 次のコマンドは、管理 HTTP ポートを 2080 に変更します。

    set ns param -mgmthttpport 2080

  • Linux ホストでファイアウォールが有効になっている場合は、BLX 管理ポートと SYSLOG ポートの例外を追加する必要がある場合があります。

  • BLX の起動には最大 45 秒かかる場合があります。

  • BLX 設定は /nsconfig/ns.conf ファイルに保存されます。 構成をセッション間で利用できるようにするには、構成を変更するたびに構成を保存する必要があります。

    • NetScaler CLIを使用して実行中の構成を表示するには

      コマンドプロンプトで次のように入力します。

      show ns runningConfig

    • NetScaler CLIを使用して設定を保存するには

      コマンドプロンプトで次のように入力します。

      save ns config

  • /nsconfig/ns.conf ファイル内の BLX 構成は、 /etc/blx/blx.conf ファイル内の構成よりも優先されます。

  • 割り当てられたメモリがワーカー プロセスごとに 1 GB 未満の場合、BLX は起動しません。

  • BLX をインストールすると、Linux ホスト上の ip_forward パラメータが 1 に設定されます。

  • BLX をアンインストールした後、設定ファイル (blx.conf) は保持され、 blx.conf.rpmsaveとしてバックアップされます。 このバックアップ構成ファイルを同じ Linux ホストに新しくインストールされた BLX に適用するには、ファイルの名前を手動で blx.confに変更する必要があります。

  • BLX ではパケットドロップ関連の問題が発生する可能性があるため、次の Ubuntu バージョンで BLX を実行することはお勧めしません。

    Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic

  • BLX は最大 9 個の NIC ポート (DPDK NIC ポート、非 DPDK NIC ポート、またはその両方の組み合わせ) をサポートします。

  • 次の条件が満たされる場合、BLX は起動しないか、正常に機能しない可能性があります。

    • SELinux ポリシーが Linux ホストで有効になっています。 SELinux は、 systemd プロセスが一部の BLX システム ファイルを実行するのを防ぎます。

      回避策: Linux ホストで SELinux を無効にします。

    注記:

    NetScaler BLX 14.1-17.x 以降では、Red Hat ベースの Linux ホストに BLX をインストールすると、Linux ホストで SELinux モジュールが使用可能な場合は SELinux ポリシーが適用されます。 このポリシーにより、BLX を Linux ホスト上で実行できるようになります。 SELinux ポリシーの詳細については、 SELinux ポリシーを参照してください。

  • NetScaler BLX 14.1-25.x は、 pluginlist.xml ファイルが /var/netscaler/gui/vpn ディレクトリに存在しないため、フル トンネル モードで起動できません。
    回避策: 次のコマンドを実行します。

    1. 「」

      enable ns feature RESPONDER
      

      ```

    2. 
          add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
      
      
    3. 「」

      レスポンダーポリシー pluginlist_respond_pol “HTTP.REQ.URL.CONTAINS("pluginlist.xml")” pluginlist_respond を追加します ```

    4. 
      bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
      <!--NeedCopy-->
      
    5. BLX を非ルート nsroot モードで起動すると、ルート nsroot ユーザー モードに戻ることはできません。 そのためには、BLX を再インストールする必要があります。 showtechsupport コマンドを実行するには、ホストに root としてログインし、 showtechsupport.pl スクリプトを実行する必要があります。

NetScaler BLX でサポートされていない NetScaler 機能

  • 管理パーティション
  • コンテンツの最適化
  • ハードウェア SSL オフロード
  • 中間システム間 (IS-IS) ルーティング プロトコル
  • IPSec
  • ジャンボフレーム
  • 高精度時間プロトコル (PTP)
  • サービス品質 (QoS)
  • ルーティング情報プロトコル (RIP)
  • ルーティング情報プロトコル次世代 (RIPng)
  • URLフィルタリング
NetScaler BLX の制限と使用ガイドライン