NetScalerインスタンスのプロビジョニング
注
NetScaler SDXアプライアンスをリリース13.1にインストールまたはアップグレードすると、NetScaler Consoleサービス接続はデフォルトで有効になります。詳しくは、「データガバナンスとNetScaler Consoleサービス接続」を参照してください。
管理サービスを使用して、SDXアプライアンスに1つ以上のNetScalerインスタンスをプロビジョニングできます。インストールできるインスタンスの数は、購入したライセンスによって異なります。追加されたインスタンスの数がライセンスで指定された数と等しい場合、管理サービスはそれ以上のNetScalerインスタンスのプロビジョニングを許可しません。
注:
基盤となるハードウェアプラットフォームとは無関係に、ネットワークインターフェイスに最大20個のVPXインスタンスを構成できます。
SDXアプライアンスでのNetScaler VPXインスタンスのProvisioning には、次の手順が含まれます。
- NetScalerインスタンスにアタッチする管理者プロファイルを定義します。このプロファイルは、Management Service が ADC インスタンスをプロビジョニングし、後でインスタンスと通信して構成データを取得するために使用するユーザー資格情報を指定します。デフォルトの管理者プロファイルを使用することもできます。
- .xva イメージファイルを管理サービスにアップロードします。
- 管理サービスのNetScalerプロビジョニングウィザードを使用してNetScalerインスタンスを追加します。管理サービスは、NetScalerインスタンスをSDXアプライアンスに暗黙的にデプロイし、インスタンスの構成の詳細をダウンロードします。
警告
インスタンスで直接変更を実行するのではなく、Management Service を使用して、プロビジョニングされたネットワークインターフェイスまたは VLAN を変更してください。
管理者プロフィールを作成する
管理者プロファイルは、NetScalerインスタンスをプロビジョニングするときに管理サービスが使用するユーザー認証情報を指定します。これらの認証情報は、後でインスタンスと通信して設定データを取得するときに使用されます。管理者プロファイルに指定されたユーザー資格情報は、クライアントがCLIまたはGUIを介してNetScalerインスタンスにログオンするときにも使用されます。
管理者プロファイルでは、Management ServiceとVPXインスタンスがセキュアなチャネルまたはHTTPを使用してのみ相互に通信するように指定することもできます。
インスタンスのデフォルト管理者プロファイルでは、デフォルトの管理者ユーザ名が指定されます。このプロファイルは変更も削除もできません。ただし、インスタンスのプロビジョニング時に、ユーザー定義の管理者プロファイルを作成してインスタンスにアタッチすることで、デフォルトプロファイルをオーバーライドする必要があります。管理サービス管理者は、NetScalerインスタンスにアタッチされていないユーザー定義の管理者プロファイルを削除できます。
重要
VPXインスタンスで直接パスワードを変更しないでください。これを行うと、管理サービスからインスタンスに到達できなくなります。パスワードを変更するには、まず管理者プロファイルを作成し、次にNetScalerインスタンスを変更して、管理者プロファイルリストからこのプロファイルを選択します。
高可用性セットアップでNetScalerインスタンスのパスワードを変更するには、まずセカンダリノードとして指定されたインスタンスのパスワードを変更します。次に、プライマリノードとして指定したインスタンスのパスワードを変更します。パスワードの変更は、管理サービスを使用する場合のみ行ってください。
管理者プロフィールを作成する
-
ナビゲーションペインの[ 構成 ]タブで[ NetScaler構成]を展開し、[ 管理者プロファイル]をクリックします。
-
[ 管理者プロファイル ] ペインで、[ 追加] をクリックします。
-
[ 管理者プロファイルの作成 ] ダイアログボックスが表示されます。
次のパラメーターを設定します:
- プロファイル名:管理者プロファイルの名前。デフォルトのプロファイル名は
nsrootです。ユーザ定義のプロファイル名を作成できます。 - パスワード:NetScaler インスタンスへのログオンに使用するパスワード。最大長:31 文字
- SSH ポート:SSH ポートを設定します。デフォルトのポートは 22 です。
-
NetScaler通信にグローバル設定を使用する: 管理サービスとNetScalerインスタンス間の通信の設定をシステム設定で定義するかどうかを選択します。このチェックボックスをオフにして、プロトコルを HTTP または HTTPS に変更できます。
-
管理サービスとNetScalerインスタンス間の通信にHTTPプロトコルを使用するには、httpオプションを選択します。
-
管理サービスとNetScalerインスタンス間の通信に安全なチャネルを使用するには、 httpsオプションを選択します 。
-
4. [ SNMP] で、バージョンを選択します。v2 を選択した場合は、手順 5 に進みます。v3 を選択した場合は、手順 6 に進みます。
5. [SNMP v2] で、SNMP コミュニティ名を追加します 。
6. [SNMP v3] で、[ セキュリティ名 ] と [ セキュリティレベル] を追加します。
7. [ タイムアウト設定]で、値を指定します。
8. [ 作成] をクリックし、[ 閉じる] をクリックします。作成した管理者プロファイルが [ 管理者プロファイル ] ペインに表示されます。
[ Default ] 列の値が true の場合、デフォルトのプロファイルは管理者プロファイルになります。値が false の場合、ユーザ定義プロファイルが管理者プロファイルになります。
ユーザー定義の管理者プロファイルを使用しない場合は、Management Service から削除できます。ユーザー定義の管理者プロファイルを削除するには、[ Admin Profiles ] ペインで削除するプロファイルを選択し、[ Delete] をクリックします。
NetScaler .xvaイメージをアップロードする
NetScaler VPXインスタンスを追加するには、.xvaファイルが必要です。
VPXインスタンスをプロビジョニングする前に、NetScaler SDX .xvaファイルをSDXアプライアンスにアップロードします。.xva イメージファイルをバックアップとしてローカルコンピューターにダウンロードすることもできます。.xvaイメージファイルフォーマットはNSVPX-XEN-ReleaseNumber-BuildNumber_nc.xva です。
NetScaler XVAファイルペインでは 、次の詳細を表示できます。
-
[名前]:.xva イメージファイルの名前。ファイル名にはリリースとビルド番号が含まれます。たとえば、ファイル名
NSVPX-XEN-12.1-56.22.xva.gzはリリース 12.1 ビルド 56.22を指します。 - 最終更新日:.xva イメージファイルが最後に変更された日付。
- サイズ:.xva イメージファイルのサイズ (MB 単位)。
NetScaler.xvaファイルをアップロードするには
- [ 構成 ]タブのナビゲーションペインで[ NetScaler 構成]を展開し、[ XVAファイル]をクリックします。
- NetScaler XVAファイルペインで 、[ アップロード]をクリックします。
- [ インスタンスXVAのアップロード ]ダイアログボックスで[ 参照 ]をクリックし、アップロードするXVAイメージファイルを選択します。
- [アップロード] をクリックします。XVAイメージファイルは、 アップロード後にNetScaler ADC XVAファイルペインに表示されます 。
NetScaler .xvaファイルをダウンロードしてバックアップを作成するには
- [ NetScaler ビルドファイル ]ペインで、ダウンロードするファイルを選択し、[ ダウンロード]をクリックします。
- [ ファイルのダウンロード ] メッセージボックスで、[ 保存] をクリックします。
- [ 名前を付けて保存 ] メッセージボックスで、ファイルを保存する場所を選択し、[ 保存] をクリックします。
NetScaler インスタンスを追加する
管理サービスからNetScalerインスタンスを追加する場合、一部のパラメーターに値を指定する必要があります。管理サービスは、NetScalerインスタンスでこれらの設定を暗黙的に構成します。
-
名前:NetScalerインスタンスに名前を割り当てます。
-
SDX Management ServiceとVPXインスタンス間の独立した内部常時接続を有効にするには、 内部ネットワーク経由で管理を選択します 。この機能は、SDXアプライアンスで実行されている13.0-36.27以降のバージョンのVPXインスタンスでサポートされています。
-
管理目的でNetScaler VPXインスタンスにアクセスするには、IPv4アドレスまたはIPv6アドレス、またはIPv4アドレスとIPv6アドレスの両方を選択します。NetScalerインスタンスは1つの管理IP(NSIP)のみを持つことができます。NSIPアドレスは削除できません。
-
IP アドレスのネットマスク、デフォルトゲートウェイ、ネクストホップを管理サービスに割り当てます。
-
VPXがバージョン13.0—88.9または13.1—37.8、およびそれら以降のバージョンでプロビジョニングされている場合、次のいずれかの条件下では、 ゲートウェイフィールドとNexhopto Management Serviceフィールドはオプションです 。
- 内部ネットワーク経由で管理が有効になっている場合 。
- 設定された IPv4 アドレスが管理サービス IP アドレスと同じサブネットにある場合。
次に、XVA ファイル、管理者プロファイル、およびインスタンスの説明を追加します。
注: 高可用性セットアップ(アクティブ/アクティブまたはアクティブ/スタンバイ)では、2つのNetScaler ADC VPXインスタンスを異なるSDXアプライアンスに構成することをお勧めします。セットアップ内のインスタンスに、CPU、メモリ、インターフェイス、1 秒あたりのパケット数 (PPS)、スループットなどのリソースが同じであることを確認します。
ライセンスの割り当て
このセクションでは、NetScaler用に取得したライセンスを指定します。ライセンスは、スタンダード、エンタープライズ、プラチナです。
注: アスタリスクは必須フィールドを示します。
帯域幅のバースト機能が必要な場合は、「 割り当てモード 」で「 バースブル」を選択します。詳しくは、 SDX での帯域幅メータリングを参照してください。
暗号配分
リリース 12.1 48.13 から、暗号キャパシティを管理するインターフェイスが変更されました。詳しくは、「 暗号容量の管理」を参照してください。
資源配分
SDX上で実行されるVPXインスタンスの場合、デフォルトでは管理CPUは1つだけです。リリース13.1ビルド53.x以降、専用コアが2つ以上ある場合は、VPXインスタンスをプロビジョニングまたは編集するときに管理CPUをもう1つ追加できます。この機能を使用するには、SDXとVPXの両方がソフトウェアバージョン13.1-53.x以降である必要があります。
[リソース割り当て] で、合計メモリ、1 秒あたりのパケット数、および CPU を割り当てます。
管理 CPU を追加するには:
- CPU リストから [ 専用 (2 コア) 以上] を選択します。
- [ 管理 CPU を増設する ] オプションを選択します。
CPU 専用コア (1 つまたは複数) をインスタンスに割り当てるか、インスタンスが他のインスタンスとコアを共有します。[shared] を選択すると、1 つのコアがインスタンスに割り当てられますが、リソースが不足している場合はコアが他のインスタンスと共有されることがあります。CPU コアが再割り当てされた場合、影響を受けるインスタンスを再起動します。パフォーマンスの低下を避けるため、CPU コアが再割り当てされているインスタンスを再起動します。
SDX リリース 11.1.x.x (MR4) から、SDX 25000xx プラットフォームを使用している場合、インスタンスに最大 16 個のコアを割り当てることができます。また、SDX 2500xxx プラットフォームを使用している場合は、インスタンスには最大 11 個のコアを割り当てることができます。
注: インスタンスの場合、設定する最大スループットは 180 Gbps です。
次の表に、サポートされているVPX、単一バンドルイメージのバージョン、およびインスタンスに割り当てることができるコアの数を示します。
| プラットフォーム名 | 総コア数 | VPXプロビジョニングで使用可能なコアの合計 | 1 つのインスタンスに割り当て可能な最大コア数 |
|---|---|---|---|
| SDX 8015、SDX 8400、SDX 8600 | 4 | 3 | 3 |
| SDX 8900 | 8 | 7 | 7 |
| SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500、SDX 20500 | 12 | 10 | 5 |
| SDX 11515、SDX 11520、SDX 11530、SDX 11540、SDX 11540、SDX 11542 | 12 | 10 | 5 |
| SDX 17500、SDX 19500、SDX 21500 | 12 | 10 | 5 |
| SDX 17550、SDX 19550、SDX 20550、SDX 21550 | 12 | 10 | 5 |
| SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080、SDX 14100 | 12 | 10 | 5 |
| SDX 22040、SDX 22060、SDX 22080、SDX 22100、SDX 22120 | 16 | 14 | 7 |
| SDX 24100とSDX 24150 | 16 | 14 | 7 |
| SDX 14020 40G, SDX 14030 40G, SDX 14040 40G, SDX 14060 40G, SDX 14080 40G, and SDX 14100 40G | 12 | 10 | 10 |
| SDX 14020 FIPS, SDX 14030 FIPS, SDX 14040 FIPS, SDX 14060 FIPS, SDX 14080 FIPS, and SDX 14100 FIPS | 12 | 10 | 5 |
| SDX 14040 40S、SDX 14060 40S、SDX 14080 40S、SDX 14100 40S | 12 | 10 | 10 |
| SDX 25100A、25160A、25200A | 20 | 18 | 9 |
| SDX 25100-40G、25160-40G、25200-40G | 20 | 18 | 16 (バージョンが11.1-51.x以上の場合); 9 (バージョンが11.1-50.x以下の場合、11.0および10.5のすべてのバージョン) |
| SDX 26100, 26160, 26200, 26250 | 28 | 26 | 16 |
| SDX 26100-50S, 26160-50S, 26200-50S, 26250-50S | 28 | 26 | 16 |
| SDX 26100-100G, 26160-100G, 26200-100G, 26250-100G | 28 | 26 | 25 |
| SDX 15000 | 16 | 14 | 14 |
| SDX 15000-50G | 16 | 14 | 14 |
| SDX 9100 | 10 | 9 | 9 |
| SDX 16000 | 32 | 30 | 16 |
注:
専用コアは、インスタンスで実行されているパケットエンジンの数に対応します。専用コアで作成されたVPXインスタンスには、管理用に追加のCPUが割り当てられます。
インスタンス管理
VPXインスタンスの管理者ユーザーを作成するには、[インスタンス管理] の [ **インスタンス管理の追加 ] を選択します。**
次の詳細を追加します。
ユーザー名: NetScalerインスタンス管理者のユーザー名。このユーザはスーパーユーザアクセスできますが、VLAN およびインターフェイスを設定するためのネットワークコマンドへのアクセス権がありません。
パスワード: ユーザー名のパスワード。
シェル/Sftp/Scpアクセス:NetScalerインスタンス管理者に許可されているアクセスです 。このオプションはデフォルトで選択されています。
ネットワーク設定
-
L2モードを許可: NetScalerインスタンスでL2モードを許可できます。[ ネットワーク設定 ] で [ L2 モードを許可] を選択します。インスタンスにログオンし、L2 モードを有効にする前に。詳しくは、「 NetScaler インスタンスでのL2モードの許可」を参照してください。
注:
- Management Service からインスタンスの L2 モードを無効にする場合は、インスタンスにログオンし、そのインスタンスから L2 モードを無効にする必要があります。これを行わないと、インスタンスの再起動後に他のNetScaler ADCモードがすべて無効になる場合があります。
- ADC インスタンスが SDX にプロビジョニングされた後は、ADC インスタンスからインターフェイスまたはチャネルを削除することはできません。ただし、ADC インスタンスにインターフェースまたはチャンネルを追加することはできます。
-
インターフェイス 0/1 と 0/2: デフォルトでは、インターフェイス 0/1 と 0/2 が管理 LA 用に選択されます。
-
VLAN タグ: 管理インターフェイスの VLAN ID を指定します。次に、データインターフェイスを追加します。
注記:
インスタンスに追加するインターフェイスのインターフェイス ID は、必ずしも SDX アプライアンスの物理インターフェイス番号と一致するわけではありません。インスタンス 1 に関連付ける最初のインターフェイスがインターフェイス 1/4 の場合、インスタンスのインターフェイス設定を表示すると、インターフェイス 1/1 として表示されます。インスタンス 1 に関連付けた最初のインターフェイスであるため、番号付けが変わります。
-
タグなしトラフィックを許可: [ タグなしトラフィックを許可 ]チェックボックスをオンにすると、NetScalerインスタンスがタグなしトラフィックを処理できるようになります。
注:
SDXアプライアンスのバージョンが13.1-24.x以降で、NetScalerインスタンスのバージョンが13.1~24.xより前の場合、[タグなしトラフィックを許可する]チェックボックスがオフになっていても、ADCインスタンスはMellanoxインターフェイスでタグなしトラフィックを処理します。
-
許可されるVLAN: NetScalerインスタンスに関連付けることができるVLAN IDのリストを指定します。
-
MAC アドレスモード: MAC アドレスを割り当てます。次のいずれかのオプションを選択します:
- デフォルト: Citrix HypervisorはMACアドレスを割り当てます。
- [Custom]: 生成された MAC アドレスを上書きする MAC アドレスを指定するには、このモードを選択します。
- 生成:以前に設定したベース MAC アドレスを使用して MAC アドレスを生成します 。ベース MAC アドレスの設定については、 インターフェイスへの MAC アドレスの割り当てを参照してください。
-
VMAC 設定(仮想 MAC を設定するための IPv4 および IPv6 VRID)
- VRID IPv4: VMACを識別するIPv4 VRID。可能な値:1 ~ 255 詳細については、「 インターフェイスでの VMC の設定」を参照してください。
- VRID IPV6: VMACを識別するIPv6 VRID。可能な値:1 ~ 255 詳細については、「 インターフェイスでの VMC の設定」を参照してください。
管理 VLAN 設定
通常、VPXインスタンスの管理サービスと管理アドレス (NSIP) は同じサブネットワーク内にあり、通信は管理インターフェイスを介して行われます。ただし、管理サービスとインスタンスが異なるサブネットワークにある場合、VPXインスタンスのプロビジョニング時にVLAN IDを指定する必要があります。この ID は、起動時にネットワーク経由でインスタンスに到達できるようにするために必要です。VPXインスタンスのプロビジョニング時に選択したインターフェイスからのみNSIPにアクセスできるようにする必要がある場合は、NSVLANオプションを選択します。
NSVLANオプションを選択した場合 、NetScalerインスタンスをプロビジョニングした後にこの設定を変更することはできません。
注:
- HA ハートビートは、NSVLAN の一部であるインターフェイスだけで送信されます。
- NSVLAN は、VPX XVA ビルド 9.3 53.4 以降からのみ設定できます。
重要: NSVLANが選択されていない場合は、VPXインスタンスで「clear config full」コマンドを実行すると、VLAN構成が削除されます。
[ 完了 ] をクリックして、NetScaler VPXアプライアンスをプロビジョニングします。
NetScalerインスタンスを変更する
プロビジョニングされたADCインスタンスのパラメーター値を変更するには、NetScalerインスタンスペインで変更するインスタンスを選択し、「変更」をクリックします。[Modify ADC ウィザード] で、パラメータを変更します。
メモ:
VPXインスタンスを編集して管理CPUをもう1つ追加できるのは、専用コアが2つ以上あり、VPXとSDXの両方がリリース13.1で、ビルド53.x以降である場合のみです。
リリースが13.1-53.xより前のVPXで [ 管理CPUを追加] オプションを選択すると、エラーが発生します 。この機能を使用するには、VPXインスタンスをリリース13.1-53.x以降にアップグレードしてください。
VPXインスタンスを13.1-53.xより前のビルドにダウングレードする前に、[ 追加の管理CPUを追加 ]オプションを無効にする必要があります。そうしないと、VPXインスタンスのパフォーマンスが影響を受けます。
管理CPUの追加オプションが無効になっていない状態で 、VPXインスタンスが13.1-53.xより前のバージョンにダウングレードされた場合、アラームが生成されます。
注意事項:
- SSLチップの数、インターフェイス、メモリ、機能ライセンスなどのパラメーターを変更すると、NetScalerインスタンスは暗黙的に停止して再起動し、これらのパラメーターを有効にします。
- [イメージ] パラメータと [ユーザ名] パラメータは変更できません。
- インターフェースやチャンネルを ADC インスタンスから削除することはできません。ただし、新しいインターフェースやチャンネルを ADC インスタンスに追加することはできます。
- SDXアプライアンスにプロビジョニングされたADCインスタンスを削除するには、NetScalerインスタンスペインで削除するインスタンスを選択し、「削除」をクリックします。[ 確認 ]メッセージボックスで[ はい ]をクリックしてNetScaler ADCインスタンスを削除します。
VLAN を特定の仮想インターフェイスに制限する
SDX アプライアンス管理者は、NetScaler インスタンスに関連付けられた仮想インターフェイスに特定の 802.1Q VLAN を強制できます。この機能は、インスタンス管理者による 802.1Q VLAN の使用を制限する場合に特に役立ちます。2 つの異なる会社に属する 2 つのインスタンスが 1 つの SDX アプライアンスでホストされている場合、2 つの会社が同じ VLAN ID を使用しないように制限できます。そうすることで、ある会社が他方の会社のトラフィックを見ることができなくなります。インスタンス管理者が 802.1Q VLAN にインターフェイスを割り当てようとすると、指定された VLAN ID が許可リストに含まれていることを確認する検証が実行されます。
デフォルトでは、インターフェイス上では任意の VLAN ID を使用できます。インターフェイス上のタグ付きVLANを制限するには、NetScalerインスタンスのプロビジョニング時にネットワーク設定でVLAN IDを指定します。また、後でインスタンスを変更して指定することもできます。範囲を指定するには、ID をハイフンで区切ります (10 ~ 12 など)。最初にいくつかの VLAN ID を指定し、あとで許可リストから削除した場合、そのインターフェイスでは任意の VLAN ID を使用できます。これで、デフォルト設定が復元されました。
許可 VLAN のリストを作成すると、SDX 管理者は VLAN を作成するためにインスタンスにログオンする必要がなくなります。管理者は、管理サービスから特定のインスタンスの VLAN を追加および削除できます。
重要:L2モードが有効になっている場合、管理者は異なるインスタンスのVLAN IDが重複しないように注意する必要があります。
許可された VLAN ID を指定するには
- ADC のプロビジョニングウィザードまたは ADC の変更ウィザードの [ネットワーク設定] ページの [ 許可された VLAN] で、このインターフェイスで許可される 1 つ以上の VLAN ID を指定します。範囲を指定するにはハイフンを使用します。たとえば、2 ~ 4094 と入力します。
- ウィザードの手順に従って処理を進めます。
- [ 完了] をクリックし、[ 閉じる] をクリックします。
管理サービスからインスタンスの VLAN を設定するには
- [ 構成 ] タブで、[NetScaler] > [インスタンス] に移動します。
- インスタンスを選択し、[ VLAN] をクリックします。
- 詳細ペインで、[ 追加] をクリックします。
- [ NetScaler VLANの作成 ]ダイアログボックスで、次のパラメーターを指定します。
- VLAN ID:特定のフレームが属する VLAN を一意に識別する整数。NetScaler 最大4094個のVLANをサポートします。ID 1 はデフォルト VLAN 用に予約されています。
- IPV6 ダイナミックルーティング:この VLAN 上のすべての IPv6 ダイナミックルーティングプロトコルを有効にします。注: ENABLED 設定を機能させるには、インスタンスにログオンし、VTYSH コマンドラインから IPv6 動的ルーティングプロトコルを設定する必要があります。
- VLAN に含める必要があるインターフェイスを選択します。
- [ 作成] をクリックし、[ 閉じる] をクリックします。