以下限制和使用指南与 NetScaler BLX 相关。
任何公共云平台(例如 Amazon Web Services (AWS) 和 Oracle Cloud Infrastructure (OCI))都不支持高可用性。
如果禁用 nsinternal
用户登录,则不支持高可用性。
仅在专用模式下支持高可用性。
共享模式下不支持 LA/LACP 通道。
LA/LACP 通道仅在专用 NIC 接口或 DPDK NIC 接口之间受支持。
blx1
和 ns1
虚拟接口不支持 LA/LACP 通道。
如果 Linux 主机运行的是某些较旧的 CPU 型号,例如 Intel(R) Xeon(R) CPU E5-2690 v4 @ 2.60 GHz 和 CPU E5504 @ 2.00 GHz,则带有 DPDK 端口的 BLX 可能无法启动。
如果在 BLX 运行时取消绑定到 DPDK 模块的 NIC 端口,Linux 主机可能会崩溃。
带有 DPDK 端口的 BLX 重新启动所需的时间比没有 DPDK 端口的 BLX 要长一点。
所有与 DPDK 绑定的 Linux 端口都会自动专用于 BLX,不能用于其他 DPDK Linux 应用程序。
对于 BLX 支持的 VMXNET3 DPDK 端口,您必须指定 2 的幂 (2ⁿ) 的工作进程数。 例如,1、2、4、8等等。
BLX 仅支持 DPDK 端口的中继模式或 VLAN 标记。
BLX 一次仅支持一种类型的 DPDK 端口。 例如,所有 Mellanox 端口或所有 Intel 端口。
BLX 仅支持 Mellanox 端口的 MLX5 DPDK 驱动程序。
有关 MLX5 DPDK 驱动程序及其限制的更多信息,请参阅官方 MLX5 DPDK 文档。
有关 Mellanox NIC 及其限制的更多信息,请参阅官方 Mellanox 文档。
当您使用 set ns hostname
命令设置 BLX 的主机名时,Linux 主机的主机名也会发生变化。
当您重新启动配置了 BLX 托管主机功能的 BLX 时,到 Linux 主机的所有活动 SSH 会话都将关闭。 要恢复连接,您必须重试连接到主机。
在专用模式下, blx.conf
文件中指定的管理 HTTP 或 HTTPS 端口(mgmt-http-port
或 mgmt-https-port
)将被忽略。 默认情况下,80 和 443 端口号专用于 HTTP 和 HTTPS 管理访问。 要在专用模式下更改 BLX 的这些端口,必须使用以下 NetScaler CLI 命令:
set ns param (-mgmthttpport <value> | -mgmthttpsport <value>)
示例:以下命令将管理 HTTP 端口更改为 2080。
set ns param -mgmthttpport 2080
如果 Linux 主机上启用了防火墙,则可能必须为 BLX 管理和 SYSLOG 端口添加例外。
BLX 可能需要最多 45 秒才能启动。
BLX 配置存储在 /nsconfig/ns.conf
文件中。 为了使配置在会话之间可用,您必须在每次配置更改后保存配置。
使用 NetScaler CLI 查看正在运行的配置
在命令提示符下,键入以下命令:
show ns runningConfig
使用 NetScaler CLI 保存配置
在命令提示符下,键入以下命令:
save ns config
/nsconfig/ns.conf
文件中的 BLX 配置优先于 /etc/blx/blx.conf
文件中的配置。
如果每个工作进程分配的内存少于 1 GB,则 BLX 将无法启动。
当您安装 BLX 时,Linux 主机上的 ip_forward
参数设置为 1。
卸载 BLX 后,配置文件(blx.conf
)将被保留并备份为 blx.conf.rpmsave
。 要将此备份配置文件应用于同一 Linux 主机上新安装的 BLX,您必须手动将文件重命名回 blx.conf
。
我们不建议在以下 Ubuntu 版本上运行 BLX,因为 BLX 可能会遇到一些与数据包丢失相关的问题。
Ubuntu version 16.04.5 with kernel version 4.4.0-131-generic
BLX 最多支持九个 NIC 端口(DPDK NIC 端口、非 DPDK NIC 端口或两者的组合)。
如果满足以下条件,BLX 可能无法启动或正常运行:
SELinux
策略在 Linux 主机上启用。 SELinux 阻止 systemd
进程运行某些 BLX 系统文件。
解决方法:在 Linux 主机上禁用 SELinux
。
笔记:
从 NetScaler BLX 14.1-17.x 开始,当您在基于 Red Hat 的 Linux 主机上安装 BLX 时,如果 Linux 主机上具有 SELinux 模块,它会应用 SELinux 策略。 此策略允许 BLX 在 Linux 主机上运行。 有关 SELinux 策略的更多信息,请参阅 SELinux 策略。
NetScaler BLX 14.1-25.x 无法在完整隧道模式下启动,因为 pluginlist.xml
文件不在 /var/netscaler/gui/vpn
目录中。
解决方法:运行以下命令:
enable ns feature RESPONDER
<!--NeedCopy-->
add responder action pluginlist_respond respondwith q{"HTTP/1.1 200 OK\r\nDate: Thu, 30 May 2024 12:00:51 GMT\r\nServer: Apache\r\nX-Frame-Options: SAMEORIGIN\r\nLast-Modified: Thu, 30 May 2024 11:45:52 GMT\r\nETag: \"60b-619aa68c07aea\"\r\nAccept-Ranges: bytes\r\nContent-Length: 1547\r\nFeature-Policy: camera 'none'; microphone 'none'; geolocation 'none'\r\nReferrer-Policy: no-referrer\r\nX-XSS-Protection: 1; mode=block\r\nX-Content-Type-Options: nosniff\r\nContent-Type: application/xml; charset=utf-8\r\nKeep-Alive: timeout=15, max=100\r\nConnection: Keep-Alive\r\nCache-Control: no-cache, no-store\r\nPlugin-Upgrade: epa_win:Never;epa_mac:Never;epa_linux:Never;vpn_win:Never;vpn_mac:Never;vpn_linux:Never;\r\n\r\n<repositories>\n\t<repository name=\"default\" >\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (32 bit)\" type=\"WIN-EPA\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Windows (64 bit)\" type=\"WIN-EPA64\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/nsepa_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Windows\" type=\"WIN-VPN\"\n\t\t\tversion=\"23.8.1.11\" path=\"/vpns/scripts/vista/AGEE_setup.exe\"\n\t\t\tcompatibleFrom=\"12.1.0.0\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Windows\" type=\"WIN-EPA-ENGINE\"\n\t\t\tversion=\"23.8.1.11\" path=\"/epa/scripts/win/epaPackage.exe\" opswatVersion=\"4.3.3635.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway EPA plug-in for Mac\" type=\"MAC-EPA\"\n\t\t\tversion=\"22.11.3\" path=\"/epa/scripts/mac/Citrix_Endpoint_Analysis.dmg\"\n\t\t\tcompatibleFrom=\"22.11.3\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway VPN plug-in for Mac\" type=\"MAC-VPN\"\n\t\t\tversion=\"4.4.8 (518)\" path=\"/vpns/scripts/mac/Citrix_Access_Gateway.dmg\"\n\t\t\tcompatibleFrom=\"4.4.8 (518)\" compatibleTill=\"\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"EPA scanning Engine (Opswat) for Mac\" type=\"MAC-EPA-ENGINE\"\n\t\t\tversion=\"1.3.5.7\" path=\"/epa/scripts/mac/MacLibs.zip\" opswatVersion=\"4.3.2138.0\"\n\t\t/>\n\n\t\t<plugin\n\t\t\tname=\"Netscaler Gateway RfWeb GUI\" type=\"RFWEB-GUI\"\n\t\t\tversion=\"23.8.1.11\" path=\"/logon/logonPoint/\"\n\t\t/>\n\t</repository>\n</repositories>\n"}
<!--NeedCopy-->
添加响应策略 pluginlist_respond_pol "HTTP.REQ.URL.CONTAINS(\"pluginlist.xml\")" pluginlist_respond
<!--NeedCopy-->
bind vpn vserver <VSERVER_NAME> -policy pluginlist_respond_pol -priority 1 -gotoPriorityExpression END -type AAA_REQUEST
<!--NeedCopy-->
showtechsupport
命令,您必须以 root 身份登录主机,然后运行 showtechsupport.pl
脚本。