仮想サーバーを作成する
仮想サーバは、ユーザがログオンするアクセスポイントです。各仮想サーバには、独自の IP アドレス、証明書、およびポリシーセットがあります。仮想サーバーは、着信トラフィックを受け入れるIPアドレス、ポート、およびプロトコルの組み合わせで構成されます。仮想サーバーには、ユーザーがアプライアンスにログオンするときの接続設定が含まれています。仮想サーバーでは、次の設定を構成できます。
- 証明書
- 認証
- ポリシー
- ブックマーク
- アドレスプール (IP プールまたはイントラネット IP とも呼ばれます)
- NetScaler Gateway を使用したダブルホップDMZ展開
- Secure Ticket Authority
- SmartAccess ICA プロキシセッション転送
NetScaler Gateway ウィザードを実行すると、ウィザード中に仮想サーバーを作成できます。次の方法で、より多くの仮想サーバーを構成できます。
- 仮想サーバノードから。このノードは、構成ユーティリティのナビゲーションペインにあります。構成ユーティリティを使用して、仮想サーバーを追加、編集、および削除できます。
- クイック構成ウィザード。Citrix Endpoint Management、StoreFront、またはWeb Interfaceを環境に展開する場合は、クイック構成ウィザードを使用して、展開に必要な仮想サーバーとすべてのポリシーを作成できます。
ユーザーがログオンし、RADIUS などの特定の認証タイプを使用できるようにする場合は、仮想サーバを設定し、サーバに一意の IP アドレスを割り当てることができます。ユーザーがログオンすると、仮想サーバーに転送され、RADIUS 資格情報の入力を求められます。
また、ユーザーがNetScaler Gateway にログオンする方法を構成することもできます。セッションポリシーを使用して、ユーザーソフトウェアの種類、アクセス方法、およびログオン後にユーザーに表示されるホームページを構成できます。
仮想サーバーを作成するには
仮想サーバーを追加、変更、有効化、無効化、および削除するには、NetScaler Gateway GUIまたはクイック構成ウィザードを使用します。クイック構成ウィザードを使用した仮想サーバーの構成の詳細については、「 クイック構成ウィザードを使用した設定の構成」を参照してください。
注:
VPN 仮想サーバーは、デフォルトで DTLS バージョン 1.0 をサポートしています。DTLS バージョン 1.2 を有効にするには、「 SSL VPN 仮想サーバーを使用した DTLS VPN 仮想サーバーの設定」を参照してください。
HTTP QUIC VPN 仮想サーバー
リリース14.1ビルド8.x以降、NetScaler Gatewayは、ブラウザでHTML5を使用してQUICを使用してICAトラフィックを送信し、Citrix DaaSセッションを起動することをサポートしています。サービスタイプがHTTP QUICのVPN仮想サーバーを作成して、クライアントプラグインソフトウェアを使用せずに、HTML5クライアント上のQUICを介してCitrix DaaSアプリケーションを起動できます。以前は、Citrix DaaSアプリケーションは、Citrix Workspaceアプリクライアントプラグインソフトウェアを使用するブラウザーまたはWebSocketを使用するHTML5クライアントアプリ(クライアントレスアクセス)から起動する必要がありました。
HTML5 クライアントは Web トランスポートプロトコルをサポートしています。WebTransport プロトコルは HTTP3 over QUIC を使用して、クライアントとウェブサーバー間の通信を確立します。QUIC 経由の HTTP の詳細については、「QUIC プロトコル経由の HTTP」を参照してください。
GUI を使用して HTTP QUIC VPN 仮想サーバーを設定します
-
HTTP QUIC VPN 仮想サーバーを設定します。
-
構成 > NetScaler Gateway > 仮想サーバーに移動します。
-
[NetScaler Gateway 仮想サーバー ]ページで、[ 追加]をクリックします。
-
「 プロトコル」で、「 HTTP_QUIC」を選択します。
-
必要に応じて残りのフィールドを更新し、「 OK」をクリックします。
-
-
HTTP プロファイルで HTTP/3 ウェブトランスポートを有効にします。
- [ システム] > [プロファイル] > [HTTP プロファイル] に移動します。「HTTP/3」セクションで、「HTTP/3ウェブトランスポート」チェックボックスを有効にします。 HTTP プロファイルの詳細については、「 HTTP 設定」を参照してください。
CLI を使用して HTTP QUIC VPN 仮想サーバーを設定します
-
サービスタイプ
HTTP QUIC
の VPN 仮想サーバーを設定します。add vpn vserver <VPN server name> -service type <HTTP_QUIC> -dtls <off> -Listenpolicy <NONE> -httpProfileName <name of the HTTP QUIC profile> -deploymentType <ICA_STOREFRONT> -vserverFqdn <URL> <!--NeedCopy-->
-
HTTP プロファイルで HTTP/3 ウェブトランスポートを有効にします。
set httpprofile nshttp_default_http_quic_profile -http3webTransport ENABLED
次の show コマンドの出力には、パラメータHTTP/3 WebTransport: ENABLED
が表示されます。このパラメータは、サービスタイプHTTP QUIC
がクライアントと VPN 仮想サーバー間の WebTransport トラフィックの送信に使用されていることを示します。
sh httpprofile <name>
HTTP/2 Strict Cipher: ENABLED
HTTP/3: ENABLED
HTTP/3 maximum header field section size: 24576
HTTP/3 maximum header table size: 4096
HTTP/3 maximum header blocked streams: 100
HTTP/3 WebTransport: ENABLED
gRPC Buffer Limit: 131072
gRPC Buffer Timeout: 1000
gRPC Length Delimited Message: ENABLED
Apdex Client Response Threshold: 500
HTTP pipeline req buffer size: 131072
Reference count: 2
<!--NeedCopy-->
メモ:
- IPアドレスとポート番号は、SSL仮想サーバーとHTTP QUIC VPN仮想サーバーで同じである必要があります。ただし、共通の IP アドレスとポート番号で DTLS と HTTP_QUIC の両方を実行することはできないため、SSL VPN 仮想サーバーでは DTLS を無効にする必要があります。DTLS VPN 仮想サーバーの詳細については、「 SSL VPN 仮想サーバーを使用して DTLS VPN 仮想サーバーを構成する」を参照してください。
- 代替サービス値を
Altsvc=h3=":port number"
に設定して構成された HTTP プロファイルは、SSL VPN仮想サーバーにバインドする必要があります。代替サービスパラメータの詳細については、「 HTTP/2 for HTTP 負荷分散設定」を参照してください。
GUI を使用して仮想サーバーを作成するには
- 「 NetScaler Gateway」>「仮想サーバー」に移動します。
- 詳細ペインで、[ 追加] をクリックします。
- 要件に従って設定を構成します。
- [Create] をクリックしてから、[Close] をクリックします。
CLI を使用して仮想サーバーを作成するには
コマンドプロンプトで次を入力します:
add vpn vserver <name> <serviceType> [<IPAddress> <port>]
<!--NeedCopy-->
例:
add vpn vserver gatewayserver SSL 1.1.1.1 443
<!--NeedCopy-->
ネットプロファイルを VPN 仮想サーバーにバインドする際の注意点
ネットプロファイル(ネットワークプロファイル)を作成して、指定した送信元 IP アドレスを使用するようにアプライアンスを設定し、ネットプロファイルを VPN 仮想サーバーにバインドできます。ただし、ネットプロファイルを VPN 仮想サーバーにバインドする場合は、次の点に注意してください。
-
ネットプロファイルをNetScaler Gateway 仮想サーバーにバインドすると、ネットプロファイルは、バックエンドサーバーへのトラフィック用に仮想サーバーまたはサービスによって使用される特定のSNIPを選択しません。代わりに、Gateway Appliance はネットプロファイルバインディングを無視し、ラウンドロビン方式を使用して SNIP を選択します。
-
ネットプロファイルは、動的に生成されたサービス(STA、SF モニタ)では機能しません。STA およびその他の動的に生成されるサービスの場合、ネットプロファイルをそれらのモニタに直接バインドでき、その時点でそれらのモニタが使用されます。ただし、同じアプライアンスに複数のゲートウェイがある場合、すべてのゲートウェイは、設定されたモニタに対して同じネットプロファイルを使用します。
ネットプロファイルの詳細については、 バックエンド通信に指定されたソース IP を使用するを参照してください。
UDP起動用のDTLS VPN仮想サーバー構成のネットプロファイル送信元IPアドレス
リリース14.1ビルド17.38以降、DTLSリスナーで構成されたNetScaler Gatewayは、ネットプロファイルからソースIPアドレスを選択して、Virtual Delivery Agent(VDA)とのUDP接続を確立します。ネットプロファイルが SSL VPN 仮想サーバーにバインドされていることを確認します。
次の CLI コマンドを実行して、VPN 仮想サーバーでネットプロファイルを設定します:
add ip <IPAddress><netmask> -type SNIP
add netprofile net1 -srcIP <IPAddress>
set vpn vserver <name> -netProfile net1
<!--NeedCopy-->
選択した送信元 IP アドレスが使用されているかどうかを確認するには、 show connectiontable
CLI コマンドを実行します。
仮想サーバ上の現在のユーザーと接続しているユーザーの総数
現在のユーザー: 特定の仮想サーバーにログオンしているユーザーの数。CCU を追跡するために現在のユーザを監視することをお勧めします。
接続しているユーザーの合計: 特定の仮想サーバーを介して 1 つ以上のアクティブな接続を持つユーザーの数。接続しているユーザーの総数は、主にICAプロキシで使用されます。
接続ユーザーの合計数カウンタは、次のシナリオで使用できます。
-
ICA接続は確立されているが、対応する認証、承認、および監査セッションが確立されていないとします。このシナリオでは、ユーザーがアプリケーションまたはデスクトップを起動してブラウザを閉じ、起動したアプリケーションまたはデスクトップで作業を続行します。認証、承認、および監査セッションはタイムアウトしますが、接続はまだアクティブです。接続しているユーザーの合計数を使用して、まだ接続しているユーザーを識別できます。
-
HDX最適ルーティングでは、認証ゲートウェイとICAゲートウェイを異なるアプライアンス上に置くことができます。この場合の接続ユーザーの合計は、ICAゲートウェイ上の接続ユーザーの数を識別するために使用できます。
注意事項:
-
アクティブなセッションがある(まだタイムアウトしていない)が、これらのセッションにアクティブな接続がない場合、現在のユーザは合計接続ユーザ数を超えています。たとえば、ユーザーがアプリケーションまたはデスクトップを起動してすぐに閉じたものの、認証、承認、および監査セッションからログアウトしなかった場合などです。
-
認証、承認、および監査セッションがタイムアウトしても、ICA接続がアクティブな場合、接続しているユーザーの合計が現在のユーザーを超えています。
-
純粋なVPN設定(ICAは関与しない)では、現在のユーザー数と接続ユーザーの総数は等しくなります。
仮想サーバーで接続タイプを構成する
仮想サーバーを作成および構成するときに、次の接続オプションを構成できます:
- Citrix Workspace アプリとの接続は、SmartAccess、エンドポイント分析、またはネットワーク層トンネリング機能を使用せずに、Citrix Virtual Apps and Desktops にのみ接続します。
- Citrix Secure AccessクライアントとSmartAccessとの接続。これにより、SmartAccess、エンドポイント分析、およびネットワーク層トンネリング機能を使用できます。
- モバイルデバイスからNetScaler Gateway へのマイクロVPN接続を確立するSecure Hub との接続。
- 複数のデバイスからユーザーがICAセッションプロトコルを介して行われる並列接続。複数のユニバーサルライセンスを使用しないように、接続は 1 つのセッションに移行されます。
ユーザがユーザソフトウェアなしでログオンできるようにする場合は、クライアントレスアクセスポリシーを設定し、それを仮想サーバにバインドできます。
仮想サーバーで基本接続または SmartAccess 接続を構成するには
- [ NetScaler Gateway ]に移動し、[ 仮想サーバー]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [ 名前] に、仮想サーバーの名前を入力します。
- [ IP **アドレスとポート**] に、仮想サーバーのIPアドレスとポート番号を入力します。
- 次のいずれかを行います:
- ICA 接続のみを許可するには、[ 基本モード] をクリックします。
- Secure Hub、Citrix Secure Accessクライアント、およびSmartAccessを使用してユーザーがログオンできるようにするには、「SmartAccess モード」をクリックします。
- SmartAccessが複数のユーザー接続のICAプロキシセッションを管理できるようにするには、「 ICAプロキシセッション移行」をクリックします。
- 仮想サーバーのその他の設定を構成し、[ 作成]、[ 閉じる] の順にクリックします。
ワイルドカード仮想サーバー用のリッスンポリシーを構成する
NetScaler Gateway 仮想サーバーを構成して、仮想サーバーが特定のVLANでリッスンする機能を制限できます。指定された VLAN 上のトラフィックの処理に制限するリッスンポリシーを使用して、ワイルドカード仮想サーバを作成できます。
設定パラメータは次のとおりです。
パラメーター | 説明 |
---|---|
名前 | 仮想サーバーの名前。この名前は必須であり、仮想サーバーの作成後に名前を変更することはできません。名前は 127 文字を超えることはできません。また、最初の文字は数字または文字である必要があります。また、アットマーク (@)、アンダースコア (_)、ダッシュ (-)、ピリオド (.)、コロン (:)、シャープ記号 (#)、およびスペースを使用することもできます。 |
IP | 仮想サーバの IP アドレス。VLAN にバインドされたワイルドカード仮想サーバの場合、値は常に* です。 |
種類 | サービスの動作。選択肢は、HTTP、SSL、FTP、TCP、SSL_TCP、UDP、SSL_BRIDGE、NNTP、DNS、ANY、SIP-UDP、DNS-TCP、RTSPです。 |
ポート | 仮想サーバーがユーザー接続をリッスンするポート。ポート番号は 0 ~ 65535 の範囲で指定する必要があります。VLAN にバインドされたワイルドカード仮想サーバの場合、値は通常* です。 |
リスニング優先度 | リスニングポリシーに割り当てられている優先度。プライオリティは逆の順序で評価されます。数字が小さいほど、リッスンポリシーに割り当てられるプライオリティが高くなります。 |
リッスンポリシールール | 仮想サーバがリッスンする必要がある VLAN の識別に使用するポリシールール。ルールは CLIENT.VLAN.ID.EQ (<ipaddressat>) 。<ipaddressat> をVLAN に割り当てられたIDに置き換えてください。 |
リッスンポリシーを使用してワイルドカード仮想サーバーを作成するには
- ナビゲーションペインで[ NetScaler Gateway] を展開し、[ 仮想サーバー]をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [ 名前] に、仮想サーバーの名前を入力します。
- [ プロトコル] で、プロトコルを選択します。
- [ IP アドレス] に、仮想サーバーの IP アドレスを入力します。
- [ ポート] に、仮想サーバーのポートを入力します。
- [ 詳細設定 ] タブの [リッスンポリシー] の [ リッスン優先度] に、リッスンポリシーの優先度を入力します。
- [リッスンポリシールール] の横にある [ 構成] をクリックします。
- 「 式の作成 」ダイアログで、「 追加」をクリックして式を設定し、「 OK」をクリックします。
- [Create] をクリックしてから、[Close] をクリックします。