Application Delivery Management

HDX Insight データ収集の有効化

HDX Insightを使用すると、NetScaler インスタンスを通過するICAトラフィックをこれまでになくエンドツーエンドで可視化でき、NetScaler Application Delivery Management(ADM)分析の一部となるため、IT部門は優れたユーザーエクスペリエンスを提供できます。HDX Insight は、ネットワーク、仮想デスクトップ、アプリケーション、アプリケーションファブリックに対して、魅力的で強力なビジネスインテリジェンスと障害分析機能を提供します。HDX Insightはユーザーの問題を優先度によってすぐに選別すると同時に、仮想デスクトップ接続に関するデータを収集し、AppFlowレコードを生成して、それらをビジュアルレポートとして提示します。

NetScaler でデータ収集を有効にする構成は、導入トポロジーにおけるアプライアンスの位置によって異なります。

LANユーザーモードで導入されたNetScalerを監視するためのデータ収集の有効化

Citrix 仮想アプリおよびデスクトップアプリケーションにアクセスする外部ユーザーは、NetScaler Gateway で自分自身を認証する必要があります。ただし、内部ユーザーはNetScaler Gateway にリダイレクトする必要がない場合があります。また、透過モードで展開する場合、管理者は、ルーティングポリシーを手動で適用して、要求をNetScalerアプライアンスにリダイレクトする必要があります。

これらの課題を克服し、LANユーザーがCitrix Virtual AppおよびDesktopアプリケーションに直接接続できるようにするには、NetScaler GatewayアプライアンスでSOCKSプロキシとして機能するキャッシュリダイレクト仮想サーバーを構成することで、NetScaler アプライアンスをLANユーザーモードで展開します。

LANユーザー・モードでADCを導入

注: NetScaler ADM とNetScaler Gateway アプライアンスは同じサブネットにあります。

このモードで展開されたNetScaler アプライアンスを監視するには、まずNetScaler アプライアンスをNetScaler Insightインベントリに追加し、AppFlow を有効にして、ダッシュボードにレポートを表示します。

NetScaler アプライアンスをNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。

  • ADC インスタンスでは、[ 設定] > [AppFlow] > [コレクター]に移動して、コレクター(NetScaler ADM)が稼働しているかどうかを確認できます。NetScaler インスタンスは、NSIPを使用してAppFlow レコードをNetScaler ADM に送信します。ただし、インスタンスはSNIPを使用してNetScaler ADM との接続を確認します。そのため、SNIP がインスタンスに設定されていることを確認してください。
  • NetScaler ADM構成ユーティリティを使用して、LANユーザーモードで展開されたNetScaler でデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

コマンドラインインターフェイスを使用してNetScaler アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います:

  1. アプライアンスにログオンします。

  2. プロキシIPおよびポートを指定してフォワードプロキシキャッシュリダイレクト仮想サーバーを追加します。また、サービスタイプとしてHDXを指定します。

    add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>]
    <!--NeedCopy-->
    

    add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180
    <!--NeedCopy-->
    

    注: NetScaler Gateway アプライアンスを使用してLANネットワークにアクセスする場合は、VPNトラフィックと一致するポリシーによって適用されるアクションを追加してください。

    add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )]
    
    add vpn trafficPolicy <name> <rule> <action>
    <!--NeedCopy-->
    

    add vpn trafficAction act1 tcp -HDX ON
    
    add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1
    <!--NeedCopy-->
    
  3. NetScaler ADMをAppFlow コレクタとしてNetScaler アプライアンスに追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    <!--NeedCopy-->
    

    Example:

    ``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string>
    

    例:

    add appflow action act -collectors MyInsight
    
  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    タイプの値は、ICAトラフィックに適用するには、ICA_REQ_OVERRIDEまたは ICA_REQ_DEFAULTである必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config

シングルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集の有効化

NetScaler Gateway をシングルホップモードで展開すると、ネットワークのエッジになります。Gateway インスタンスは、デスクトップ配信インフラストラクチャへのプロキシ ICA 接続を提供します。シングルホップは、最も単純で最も一般的な導入方法です。シングルホップモードは、外部ユーザーが組織内の内部ネットワークにアクセスしようとした場合にセキュリティを確保します。 シングルホップモードでは、ユーザーはVPN(Virtual Private Network:仮想プライベートネットワーク)経由でNetScalerアプライアンスにアクセスします。

レポートの収集を開始するには、NetScaler GatewayアプライアンスをNetScaler Application Delivery Management(ADM)インベントリに追加し、ADMでAppFlow を有効にする必要があります。

NetScaler ADM からAppFlow 機能を有効にするには:

  1. Webブラウザーで、NetScaler ADM のIPアドレス(たとえば http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするNetScalerインスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、「 アナリティクスを有効にする」をクリックします。

  6. [ HDX Insight ] を選択し、次に [ ICA] を選択します。

  7. [OK] をクリックします。

シングルホップモードで AppFlow を有効にすると、次のコマンドがバックグラウンドで実行されます。トラブルシューティングのため、こちらにそのコマンドを明記します。

-  add appflow collector <name> -IPAddress <ip_addr>

-  add appflow action <name> -collectors <string>

-  set appflow param -flowRecordInterval <secs>

-  disable ns feature AppFlow

-  enable ns feature AppFlow

-  add appflow policy <name> <rule> <expression>

-  set appflow policy <name> -rule <expression>

-  bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>

-  set vpn vserver <name> -appflowLog ENABLED

-  save ns config

EUEM仮想チャネルデータは、NetScaler ADM がゲートウェイインスタンスから受信するHDX Insight データの一部です。EUEM仮想チャネルは、ICA RTTに関するデータを提供します。EUEM仮想チャネルが有効になっていない場合でも、残りのHDX Insight データはNetScaler ADM に表示されます。

ダブルホップモードで展開されたNetScaler Gatewayアプライアンスのデータ収集の有効化

NetScaler Gateway のダブルホップモードでは、攻撃者が複数のセキュリティゾーンまたは非武装地帯(DMZ)に侵入してセキュアネットワークのサーバーに到達する必要があるため、組織の内部ネットワークをさらに保護できます。ICA接続が通過するホップ(NetScaler Gateway アプライアンス)の数と、各TCP接続のレイテンシーの詳細と、クライアントが認識するICAレイテンシーの合計とどのようにフェアーするかを分析する場合は、NetScaler ADMをインストールして、NetScaler Gatewayアプライアンスこれらの重要な統計を報告する。

分析を有効にする

最初のDMZのNetScaler Gatewayは、ユーザー接続を処理し、SSL VPNのセキュリティ機能を実行します。このNetScaler Gatewayは、ユーザー接続を暗号化し、ユーザーの認証方法を決定し、内部ネットワークのサーバーへのアクセスを制御します。

2つ目のDMZのNetScaler ゲートウェイは、NetScaler ゲートウェイのプロキシデバイスとして機能します。このNetScaler Gatewayを使用すると、ICAトラフィックが2番目のDMZを通過してサーバーファームへのユーザー接続を完了できます。

NetScaler ADMは、最初のDMZのNetScaler ゲートウェイアプライアンスに属するサブネット、またはNetScaler ゲートウェイアプライアンスの2番目のDMZに属するサブネットのいずれかに展開できます。上の画像では、最初のDMZのNetScaler ADMとNetScaler Gatewayが同じサブネットにデプロイされています。

ダブルホップモードでは、NetScaler ADM は1つのアプライアンスからTCPレコードを、もう1つのアプライアンスからICAレコードを収集します。NetScaler Gateway アプライアンスをNetScaler ADM インベントリに追加してデータ収集を有効にすると、各アプライアンスはホップカウントと接続チェーンIDを追跡してレポートをエクスポートします。

NetScaler ADMがレコードをエクスポートするアプライアンスを識別するために、各アプライアンスはホップ数で指定され、各接続は接続チェーンIDで指定されます。ホップカウントは、クライアントからサーバーへのトラフィックが流れるNetScaler Gatewayアプライアンスの数を表します。接続チェーンIDは、クライアントとサーバー間のエンドツーエンド接続を表します。

NetScaler ADMは、ホップカウントと接続チェーンIDを使用して、NetScaler Gatewayアプライアンスのデータを相互に関連付け、レポートを生成します。

このモードで展開されているNetScaler Gatewayアプライアンスを監視するには、まずNetScaler ゲートウェイをNetScaler ADMインベントリに追加し、NetScaler ADMでAppFlow を有効にして、NetScaler ADMダッシュボードでレポートを表示する必要があります。

オプティマルゲートウェイに使用される仮想サーバーでのHDX Insightの設定

最適なゲートウェイで使用する仮想サーバーでHDX Insight を設定する手順:

  1. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするNetScalerインスタンスを選択します。

  2. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  3. 認証用に設定された VPN 仮想サーバーを選択し、「 Analytics を有効にする」をクリックします。

  4. [ HDX Insight ] を選択し、次に [ ICA] を選択します。

  5. 必要に応じて他の詳細オプションを選択します。

  6. [OK] をクリックします。

  7. 他のVPN仮想サーバーで手順3~6を繰り返します。

NetScaler ADMでのデータ収集の有効化

両方のアプライアンスからICA詳細の収集を開始するようにNetScaler ADM を有効にすると、収集された詳細情報は冗長になります。これは、両方のアプライアンスが同じ測定基準を報告するためです。この状況を解決するには、最初のNetScaler Gatewayアプライアンスの1つでAppFlow for ICAを有効にしてから、2番目のアプライアンスでAppFlow for TCPを有効にする必要があります。これにより、一方のアプライアンスがICA AppFlow レコードをエクスポートし、もう一方のアプライアンスがTCP AppFlowレコードをエクスポートします。これにより、ICAトラフィックを解析するときの処理時間も短縮されます。

NetScaler ADM からAppFlow 機能を有効にするには:

  1. Webブラウザーで、NetScaler ADM のIPアドレス(たとえば http://192.168.100.1)を入力します。

  2. [User Name][Password] に管理者の資格情報を入力します。

  3. [ インフラストラクチャ] > [インスタンス] に移動し、分析を有効にするNetScalerインスタンスを選択します。

  4. [ アクションの選択 ] リストから、[ Analyticsの設定] を選択します。

  5. VPN 仮想サーバーを選択し、「 アナリティクスを有効にする」をクリックします。

  6. HDX Insightを選択し** ICAトラフィックまたはTCPトラフィックにはそれぞれICAまたはTCPを選択します** 。

    NetScaler アプライアンスのそれぞれのサービスまたはサービスグループでAppFlowロギングが有効になっていない場合、Insight列に「有効」と表示されていても、NetScaler ADM ダッシュボードにはレコードが表示されません。

  7. [OK] をクリックします。

データをエクスポートするためのNetScaler Gatewayアプライアンスの設定

NetScaler Gateway アプライアンスをインストールした後、NetScaler Gatewayアプライアンスで次の設定を構成して、レポートをNetScaler ADM にエクスポートする必要があります。

  • 最初のDMZと2番目のDMZのNetScaler Gatewayアプライアンスの仮想サーバーを相互に通信するように構成します。

  • 2番目のDMZのNetScaler ゲートウェイ仮想サーバーを最初のDMZのNetScaler ゲートウェイ仮想サーバーにバインドします。

  • 2番目のDMZのNetScaler Gatewayでダブルホップを有効にします。

  • 2番目のDMZのNetScaler Gateway仮想サーバーでの認証を無効にします。

  • いずれかのNetScaler ゲートウェイアプライアンスでICAレコードをエクスポートできるようにする

  • 他のNetScaler ゲートウェイアプライアンスを有効にして、TCPレコードをエクスポートします。

  • 両方のNetScaler Gatewayアプライアンスで、接続チェーンを有効にします。

コマンドラインインターフェイスを使用してNetScaler Gatewayを構成します。

  1. 最初のDMZのNetScaler Gateway仮想サーバーを構成して、2番目のDMZのNetScaler Gateway仮想サーバーと通信します。

    add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng]
    
    add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
    
  2. 2番目のDMZのNetScaler ゲートウェイ仮想サーバーを最初のDMZのNetScaler ゲートウェイ仮想サーバーにバインドします。最初のDMZのNetScaler ゲートウェイで次のコマンドを実行します。

    bind vpn vserver <name> -nextHopServer <name>
    
    bind vpn vserver vs1 -nextHopServer nh1
    
    
  3. 2つ目のDMZのNetScaler ゲートウェイでダブルホップとAppFlowを有効にします。

    set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )]
    
    set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
    
  4. 2番目のDMZのNetScaler Gateway仮想サーバーでの認証を無効にします。

    set vpn vserver <name> [-authentication (ON or OFF)]
    
    set vpn vserver vs -authentication OFF
    
  5. いずれかのNetScaler ゲートウェイアプライアンスでTCPレコードをエクスポートできるようにします。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
    
  6. 他のNetScaler GatewayアプライアンスでICAレコードをエクスポートできるようにします。

    bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>]
    
    bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
    
  7. NetScaler Gatewayアプライアンスの両方の接続チェーンを有効にします:

    set appFlow param [-connectionChaining (ENABLED or DISABLED)]
    
    set appflow param -connectionChaining ENABLED
    

構成ユーティリティを使用してNetScaler Gatewayを構成します。

  1. 最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。

    1. 「構成」タブで  NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [公開アプリケーション] を展開します。

    3. ネクストホップサーバー 」をクリックし、ネクストホップサーバーを2番目のNetScaler Gatewayアプライアンスにバインドします。

  2. 2番目のDMZのNetScaler Gatewayでダブルホップを有効にします。

    1. 「構成 」タブで NetScaler Gateway」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. さらに展開して「ダブルホップ」を選択し、「OK」をクリックします。

  3. 2つ目のDMZにあるNetScaler Gatewayの仮想サーバーでの認証を無効にします。

    1. [Configuration]タブで[NetScaler Gateway]を展開し、[Virtual Servers]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定 ] グループで編集アイコンをクリックします。

    3. [その他] を展開し、[認証を有効にする] をオフにします

  4. いずれかのNetScaler ゲートウェイアプライアンスでTCPレコードをエクスポートできるようにします。

    1. [Configuration]タブで[NetScaler Gateway]を展開し、[Virtual Servers]をクリックします。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. 「+」アイコンをクリックし、「ポリシーの選択 」リストから「AppFlow」を選択し、「 タイプの選択 」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  5. 他のNetScaler GatewayアプライアンスでICAレコードをエクスポートできるようにします。

    1. [Configuration]タブで[NetScaler Gateway]を展開し、[Virtual Servers]をクリックします。

    2. 右側のペインで仮想サーバーをダブルクリックし、[詳細設定 ] グループで [ポリシー] を展開します。

    3. 「+」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「タイプの選択」リストから「その他の TCP リクエスト」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  6. 両方のNetScaler Gatewayアプライアンスで、接続チェーンを有効にします。

    1. [Configuration]タブで、[System]>[Appflow]の順に選択します。

    2. 右側のペインの [設定 ] グループで、[Appflow 設定の変更] をダブルクリックします。

    3. [Connection Chaining]を選択し、[OK]をクリックします。

  7. 最初のDMZのNetScaler Gateway を構成して、2番目のDMZのNetScaler Gateway と通信し、2番目のDMZのNetScaler Gatewayを最初のDMZのNetScaler Gatewayにバインドします。

    1. 「構成」タブで 「 NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、「詳細設定」グループで「 公開 アプリケーション」を展開 します。

    3. ネクストホップサーバー」をクリックし、ネクストホップサーバーを2番目のNetScaler Gatewayアプライアンスにバインドします。

  8. 2番目のDMZのNetScaler Gatewayでダブルホップを有効にします。

    1. 「構成」タブで 「 NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. 「その他」を展開して「ダブルホップ」を選択し、「OK」をクリックします。

  9. 2つ目のDMZにあるNetScaler Gatewayの仮想サーバーでの認証を無効にします。

    1. 「構成」タブで 「 NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[基本設定] グループで編集アイコンをクリックします。

    3. [その他] を展開し、[認証を有効にする] をオフにします

  10. いずれかのNetScaler ゲートウェイアプライアンスでTCPレコードをエクスポートできるようにします。

    1. 「構成」タブで 「 NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のウィンドウで、仮想サーバーをダブルクリックし、[詳細設定] グループで [ポリシー] を展開します。

    3. +」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「 タイプの選択 」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  11. 他のNetScaler GatewayアプライアンスがICAレコードをエクスポートできるようにします。

    1. 「構成」タブで 「 NetScaler Gateway 」を展開 し、「仮想サーバー」をクリック します。

    2. 右側のペインで仮想サーバーをダブルクリックし、[詳細設定] グループで [ ポリシー] を展開 します。

    3. +」アイコンをクリックし、「ポリシーの選択」リストから「AppFlow」を選択し、「 タイプの選択」リストから「その他のTCP要求」を選択します。

    4. [続行] をクリックします。

    5. ポリシーのバインドを追加して、[Close]をクリックします。

  12. 両方のNetScaler Gatewayアプライアンスで、接続チェーンを有効にします。

トランスペアレントモードで導入されたNetScalerを監視するためのデータ収集を有効にする

NetScaler を透過モードで展開すると、クライアントは仮想サーバーを介さず、直接サーバーにアクセスできます。NetScaler アプライアンスがCitrix Virtual Apps and Desktop環境にトランスペアレントモードで展開されている場合、ICAトラフィックはVPN経由で送信されません。

NetScaler をNetScaler ADM インベントリに追加した後、データ収集のためにAppFlow を有効にする必要があります。データ収集を有効にできるかどうかは、デバイスとモードによって決まります。その場合は、NetScaler ADMをAppFlow コレクタとして各NetScaler アプライアンスに追加する必要があります。また、AppFlow ポリシーを構成して、アプライアンスを通過するすべてのICAトラフィックまたは特定のICAトラフィックを収集する必要があります。

  • NetScaler ADM構成ユーティリティを使用して、透過モードで展開されたNetScaler でデータ収集を有効にすることはできません。
  • コマンドとその使用法について詳しくは、「コマンドリファレンス」を参照してください。
  • ポリシー式については、「ポリシーと式」を参照してください。

次の図は、NetScaler が透過モードで展開された場合のNetScaler ADMのネットワーク展開を示しています。

透過モード

コマンドラインインターフェイスを使用してNetScaler アプライアンスでデータ収集を構成するには:

コマンドプロンプトで、次の操作を行います:

  1. アプライアンスにログオンします。

  2. NetScalerアプライアンスがトラフィックをリッスンするICAポートを指定します。

    set ns param --icaPorts <port>...
    

    例:

    set ns param -icaPorts 2598 1494
    

    • このコマンドでは、最大10個のポートを指定できます。
    • デフォルトのポート番号は2598です。ポート番号は、必要に応じて変更できます。
  3. NetScaler アプライアンスで、NetScaler Insight Center をAppFlow コレクタとして追加します。

    add appflow collector <name> -IPAddress <ip_addr>
    

    例:

    add appflow collector MyInsight -IPAddress 192.168.1.101
    

    注: NetScaler アプライアンスで構成されたAppFlowコレクタを表示するには、show appflow コレクタコマンドを使用します

  4. AppFlow アクションを作成し、コレクタをアクションに関連付けます。

    add appflow action <name> -collectors <string> ...
    

    例:

    AppFlow アクションアクションコレクターを追加する MyInsight

  5. AppFlow ポリシーを作成して、トラフィックを生成するためのルールを指定します。

    add appflow policy <policyname> <rule> <action>
    

    例:

    add appflow policy pol true act
    
  6. AppFlow ポリシーをグローバルバインドポイントにバインドします。

    bind appflow global <policyname> <priority> -type <type>
    

    例:

    bind appflow global pol 1 -type ICA_REQ_DEFAULT
    

    ICA トラフィックに適用するには、TYPE の値は ICA_REQ_OVERRIDE または ICA_REQ_DEFAULT である必要があります。

  7. AppFlow の flowRecordInterval パラメーターの値を 60 秒に設定します。

    set appflow param -flowRecordInterval 60
    

    例:

    set appflow param -flowRecordInterval 60
    
  8. 構成を保存します。種類:save ns config ```