启用 HDX Insight 数据收集
HDX Insight 是 NetScaler Application Delivery Management (ADM) 分析的一部分,为通过 NetScaler 实例的 ICA 流量提供前所未有的端到端可见性,使 IT 能够提供卓越的用户体验。HDX Insight 为网络、虚拟桌面、应用程序和应用程序结构提供引人注目且强大的商业智能和故障分析功能。HDX Insight 可以即时鉴别分类用户问题、收集有关虚拟桌面连接的数据、生成 AppFlow 记录并将其呈现为可视报告。
在 NetScaler 中启用数据收集的配置因设备在部署拓扑中的位置而异。
启用数据收集以监视在局域网用户模式下部署的 NetScaler
访问 Citrix Virtual Apps and Desktops 应用程序的外部用户必须在 NetScaler Gateway 上进行身份验证。但是,内部用户可能不需要重定向到 NetScaler Gateway。此外,在透明模式部署中,管理员必须手动应用路由策略,以便请求重定向至 NetScaler 设备。
要克服这些挑战,并让 LAN 用户直接连接到 Citrix Virtual Apps and Desktops 应用程序,您可以通过配置缓存重定向虚拟服务器(该服务器充当 NetScaler Gateway 设备上的 SOCTS 代理)以 LAN 用户模式部署 NetScaler 设备。
注意 NetScaler ADM 和 NetScaler Gateway 设备位于同一子网中。
要监视在此模式下部署的 NetScaler 设备,请先将 NetScaler 设备添加到 NetScaler Insight 清单,启用 AppFlow,然后在控制板上查看报告。
将 NetScaler 装置添加到 NetScaler ADM 清单后,必须为数据收集启用 AppFlow。
注意
要使用命令行界面在 NetScaler 装置上配置数据收集,请执行以下操作:
在命令提示窗口中执行以下操作:
-
登录设备。
-
添加转发代理缓存重定向虚拟服务器并提供代理 IP 和端口,指定服务类型为 HDX。
add cr vserver <name> <servicetype> [<ipaddress> <port>] [-cacheType <cachetype>] [ - cltTimeout <secs>] <!--NeedCopy-->
示例
add cr vserver cr1 HDX 10.12.2.2 443 –cacheType FORWARD –cltTimeout 180 <!--NeedCopy-->
注意: 如果您使用 NetScaler Gateway 设备访问局域网网络,请添加与 VPN 流量匹配的策略要应用的操作。
add vpn trafficAction <name> <qual> [-HDX ( ON or OFF )] add vpn trafficPolicy <name> <rule> <action> <!--NeedCopy-->
示例
add vpn trafficAction act1 tcp -HDX ON add vpn trafficPolicy pol1 "REQ.IP.DESTIP == 10.102.69.17" act1 <!--NeedCopy-->
-
将 NetScaler ADM 添加为 NetScaler 设备上的 AppFlow 收集器。
add appflow collector <name> -IPAddress <ip_addr> <!--NeedCopy-->
Example:
``` add appflow collector MyInsight -IPAddress 192.168.1.101 ```
-
创建 AppFlow 操作,并将收集器与该操作关联。
add appflow action <name> -collectors <string>
示例:
add appflow action act -collectors MyInsight
-
创建 AppFlow 策略以指定用于生成流量的规则。
add appflow policy <policyname> <rule> <action>
示例:
add appflow policy pol true act
-
将 AppFlow 策略绑定到全局绑定点。
bind appflow global <policyname> <priority> -type <type>
示例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT
注意
类型的值必须是 ICA 流量的 ICA_REQ_OVERRIDE 或 ICA_REQ_DEFAULT 才能应用于 ICA 流量。
-
将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。
set appflow param -flowRecordInterval 60
示例:
set appflow param -flowRecordInterval 60
-
保存配置。类型:
save ns config
为在单跃点模式下部署的 NetScaler Gateway 设备启用数据收集
在单跃点模式下部署 NetScaler Gateway 时,它位于网络的边缘。网关实例提供与桌面交付基础架构的代理 ICA 连接。单跃点是最简单、最常见的部署。如果外部用户尝试访问组织中的内部网络,单跃点模式可提供安全性。 在单跃点模式下,用户通过虚拟专用网络 (VPN) 访问 NetScaler 设备。
要开始收集报告,必须将 NetScaler Gateway 设备添加到 NetScaler Application Delivery Management (ADM) 清单中,然后在 ADM 上启用 AppFlow。
要从 NetScaler ADM 启用 AppFlow 功能,请执行以下操作:
-
在 Web 浏览器中,键入 NetScaler ADM 的 IP 地址(例如 http://192.168.100.1)。
-
在 User Name(用户名)和 Password(密码)中,输入管理员凭据。
-
导航到基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
选择 VPN 虚拟服务器,然后单击“启用分析”。
-
选择 HDX Insight,然后选择 ICA。
-
单击确定。
注意
在单跃点模式下启用 AppFlow 时,以下命令将在后台运行。此处显式指定这些命令是为了进行故障排除。
- add appflow collector <name> -IPAddress <ip_addr>
- add appflow action <name> -collectors <string>
- set appflow param -flowRecordInterval <secs>
- disable ns feature AppFlow
- enable ns feature AppFlow
- add appflow policy <name> <rule> <expression>
- set appflow policy <name> -rule <expression>
- bind vpn vserver <vsname> -policy <string> -type <type> -priority <positive_integer>
- set vpn vserver <name> -appflowLog ENABLED
- save ns config
EUEM 虚拟通道数据是 NetScaler ADM 从网关实例接收到的 HDX Insight 能分析数据的一部分。EUEM 虚拟通道提供有关 ICA RTT 的数据。如果未启用 EUEM 虚拟通道,则 NetScaler ADM 上仍会显示剩余的 HDX Insight 数据。
为在双跃点模式下部署的 NetScaler Gateway 设备启用数据收集
NetScaler Gateway 双跳模式为组织的内部网络提供额外的保护,因为攻击者需要穿透多个安全区域或非军事区域 (DMZ) 才能访问安全网络中的服务器。如果要分析 ICA 连接通过的跃点数(NetScaler Gateway 装置),以及有关每个 TCP 连接上延迟的详细信息,以及它如何与客户端感知到的总 ICA 延迟展开,则必须安装 NetScaler ADM,以便 NetScaler Gateway 设备报告这些生命统计数据。
第一个 DMZ 中的 NetScaler Gateway 处理用户连接并执行 SSL VPN 的安全功能。此 NetScaler Gateway 对用户连接进行加密,确定如何对用户进行身份验证,并控制对内部网络中服务器的访问。
第二个 DMZ 中的 NetScaler Gateway 充当 NetScaler Gateway 代理设备。此 NetScaler Gateway 使 ICA 流量能够遍历第二个 DMZ,从而完成用户与服务器场的连接。
NetScaler ADM 可以部署在属于第一个 DMZ 中 NetScaler Gateway 设备的子网中,也可以部署在属于 NetScaler Gateway 设备的第二个 DMZ 的子网中。在上图中,第一个 DMZ 中的 NetScaler ADM 和 NetScaler Gateway 部署在同一个子网中。
在双跃点模式下,NetScaler ADM 从一台装置收集 TCP 记录,从另一台装置收集 ICA 记录。将 NetScaler Gateway 设备添加到 NetScaler ADM 清单并启用数据收集后,每个设备都会通过跟踪跳数和连接链 ID 来导出报告。
为了让 NetScaler ADM 识别哪个装置正在导出记录,每个装置都会使用跳数指定,并使用连接链 ID 指定每个连接。跃点数表示流量从客户端流向服务器的 NetScaler Gateway 设备的数量。连接链 ID 表示客户端与服务器之间的端到端连接。
NetScaler ADM 使用跳数和连接链 ID 来关联来自两个 NetScaler Gateway 设备的数据并生成报告。
要监视在此模式下部署的 NetScaler Gateway 装置,必须首先将 NetScaler Gateway 添加到 NetScaler ADM 清单中,启用 NetScaler ADM 上的 AppFlow,然后在 NetScaler ADM 控制板上查看报告。
在用于最佳网关的虚拟服务器上配置 HDX Insight
在用于最佳网关的虚拟服务器上配置 HDX Insight 能分析的步骤:
-
导航到基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
选择为身份验证配置的 VPN 虚拟服务器,然后单击“启用分析”。
-
选择 HDX Insight,然后选择 ICA。
-
根据需要选择其他高级选项。
-
单击确定。
-
在另一个 VPN 虚拟服务器上重复步骤 3 到 6。
在 NetScaler ADM 上启用数据收集
如果启用 NetScaler ADM 开始从两个装置收集 ICA 详细信息,则收集的详细信息将是冗余的。即两个设备报告相同的指标。要克服这种情况,您必须在第一台 NetScaler Gateway 设备上启用 AppFlow for ICA,然后在第二台设备上启用 AppFlow for TCP。通过这样做,其中一个装置导出 ICA AppFlow 记录,另一个装置则导出 TCP AppFlow 记录。这还节省解析 ICA 通信的处理时间。
要从 NetScaler ADM 启用 AppFlow 功能,请执行以下操作:
-
在 Web 浏览器中,键入 NetScaler ADM 的 IP 地址(例如 http://192.168.100.1)。
-
在 User Name(用户名)和 Password(密码)中,输入管理员凭据。
-
导航到基础架构 > 实例,然后选择要启用分析的 NetScaler 实例。
-
从 Select Action(选择操作)列表中,选择 Configure Analytics(配置分析)。
-
选择 VPN 虚拟服务器,然后单击“启用分析”。
-
选择 HDX Insight,然后分别为 ICA 流量或 TCP 流量选择 ICA 或 TCP 流量。
注意
如果没有为 NetScaler 设备上的相应服务或服务组启用 AppFlow 日志记录,即使 Insight 列显示已启用,NetScaler ADM 控制板也不会显示记录。
-
单击确定。
配置 NetScaler Gateway 设备以导出数据
安装 NetScaler Gateway 设备后,必须在 NetScaler Gateway 设备上配置以下设置,以便将报告导出到 NetScaler ADM:
-
在第一个和第二个 DMZ 中配置 NetScaler Gateway 设备的虚拟服务器以相互通信。
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
-
允许其中一个 NetScaler Gateway 设备导出 ICA 记录
-
允许其他 NetScaler Gateway 设备导出 TCP 记录:
-
在两个 NetScaler Gateway 设备上启用连接链接。
使用命令行界面配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 虚拟服务器配置为与第二个 DMZ 中的 NetScaler Gateway 虚拟服务器进行通信。
add vpn nextHopServer <name> <nextHopIP> <nextHopPort> [-secure (ON or OFF)] [-imgGifToPng] add vpn nextHopServer nh1 10.102.2.33 8443 –secure ON
-
将第二个 DMZ 中的 NetScaler Gateway 虚拟服务器绑定到第一个 DMZ 中的 NetScaler Gateway 虚拟服务器。在第一个 DMZ 中的 NetScaler Gateway 上运行以下命令:
bind vpn vserver <name> -nextHopServer <name> bind vpn vserver vs1 -nextHopServer nh1
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点和 AppFlow。
set vpn vserver <name> [- doubleHop ( ENABLED or DISABLED )] [- appflowLog ( ENABLED or DISABLED )] set vpn vserver vpnhop2 –doubleHop ENABLED –appFlowLog ENABLED
-
在第二个 DMZ 中的 NetScaler Gateway 虚拟服务器上禁用身份验证。
set vpn vserver <name> [-authentication (ON or OFF)] set vpn vserver vs -authentication OFF
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>] bind vpn vserver vpn1 -policy appflowpol1 -priority 101 –type OTHERTCP_REQUEST
-
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
bind vpn vserver <name> [-policy <string> -priority <positive_integer>] [-type <type>] bind vpn vserver vpn2 -policy appflowpol1 -priority 101 -type ICA_REQUEST
-
在两个 NetScaler Gateway 设备上启用连接链接:
set appFlow param [-connectionChaining (ENABLED or DISABLED)] set appflow param -connectionChaining ENABLED
使用配置实用程序配置 NetScaler Gateway:
-
将第一个 DMZ 中的 NetScaler Gateway 配置为与第二个 DMZ 中的 NetScaler Gateway 进行通信,并将第二个 DMZ 中的 NetScaler Gateway 绑定到第一个 DMZ 中的 NetScaler Gateway。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开已发布的应用程序。
-
单击下一个跃点服务器并将下一个跃点服务器绑定到第二台 NetScaler Gateway 设备。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。
-
展开更多,选择双跃点,然后单击“确定”。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上禁用虚拟服务器上的身份验证。
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在基本设置 组中单击编辑图标。
-
展开“更多”,然后清除“启用身份验证”。
-
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击 + 图标,然后从“选择策略”列表中选择 AppFlow,然后从“选择类型”列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
启用其他 NetScaler Gateway 设备以导出 ICA 记录:
-
在 Configuration(配置)选项卡上,展开 NetScaler Gateway,并单击 Virtual Servers(虚拟服务器)。
-
在右窗格中,双击虚拟服务器,然后在高级组中 展开策略。
-
单击 + 图标,然后从“选择策略”列表中选择 AppFlow,然后从“选择类型”列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
在两个 NetScaler Gateway 设备上启用连接链接。
-
在 Configuration(配置)选项卡上,导航到 System(系统)> Appflow。
-
在右侧窗格的“设置”组中,双击“更改 AppFlow 设置”。
-
选择 Connection Chaining(连接链)并单击 OK(确定)。
-
-
将第一个 DMZ 中的 NetScaler Gateway 配置为与第二个 DMZ 中的 NetScaler Gateway 进行通信,并将第二个 DMZ 中的 NetScaler Gateway 绑定到第一个 DMZ 中的 NetScaler Gateway。
-
在“配 置”选项卡上,展 开NetScaler Gateway ,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在“高级”组中 展 开“已发布的应用程序”。
-
单击下一跳服务器并将下一跳服务器绑定到第二台 NetScaler Gateway 设备。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上启用双跃点。
-
在“配 置”选项卡上,展 开NetScaler Gateway ,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展开“更多”,选择“双跃点”,然后单击“确定”。
-
-
在第二个 DMZ 中的 NetScaler Gateway 上禁用虚拟服务器上的身份验证。
-
在“配置”选项卡上,展开 NetScaler Gateway,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在基本设置组中单击编辑图标。
-
展开“更多”,然后清除“启用身份验证”。
-
-
启用其中一个 NetScaler Gateway 设备以导出 TCP 记录。
-
在“配 置”选项卡上,展 开NetScaler Gateway ,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击+图标,从“选择策略”列表中选择 AppFlow,然后从“选择类型”列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
允许其他 NetScaler Gateway 设备导出 ICA 记录。
-
在“配 置”选项卡上,展 开NetScaler Gateway ,然后单击“虚拟服务器”。
-
在右窗格中,双击虚拟服务器,然后在高级组中展开策略。
-
单击+图标,从“选择策略”列表中选择AppFlow,然后从“选择类型”列表中选择“其他 TCP 请求”。
-
单击 继续。
-
添加策略绑定,并单击 Close(关闭)。
-
-
在两个 NetScaler Gateway 设备上启用连接链接。
启用数据收集以监视在透明模式下部署的 NetScaler
当以透明模式部署 NetScaler 时,客户端可以直接访问服务器,而无需干预虚拟服务器。如果 NetScaler 设备在 Citrix Virtual Apps and Desktops 环境中以透明模式部署,ICA 流量不会通过 VPN 传输。
将 NetScaler 添加到 NetScaler ADM 清单后,必须为数据收集启用 AppFlow。启用数据收集依赖于设备和模式。在这种情况下,您必须在每个 NetScaler 设备上添加 NetScaler ADM 作为 AppFlow 收集器,并且必须配置 AppFlow 策略以收集流经设备的所有或特定 ICA 流量。
注意
下图显示了在透明模式下部署 NetScaler ADM NetScaler 时的网络部署情况:
要使用命令行界面在 NetScaler 装置上配置数据收集,请执行以下操作:
在命令提示窗口中执行以下操作:
-
登录设备。
-
指定 NetScaler 设备侦听流量所用的 ICA 端口。
set ns param --icaPorts <port>...
示例:
set ns param -icaPorts 2598 1494
注意
- 可以使用此命令最多指定 10 个端口。
- 默认端口号为 2598。可以根据需要修改端口号。
-
将 NetScaler Insight Center 添加为 NetScaler 设备上的 AppFlow 收集器。
add appflow collector <name> -IPAddress <ip_addr>
示例:
add appflow collector MyInsight -IPAddress 192.168.1.101
注意: 要查看 NetScaler 设备上配置的 AppFlow 收集器,请使用 show appflow collector 命令。
-
创建 AppFlow 操作,并将收集器与该操作关联。
add appflow action <name> -collectors <string> ...
示例:
add AppFlow action act-collectors MyInsight
-
创建 AppFlow 策略以指定用于生成流量的规则。
add appflow policy <policyname> <rule> <action>
示例:
add appflow policy pol true act
-
将 AppFlow 策略绑定到全局绑定点。
bind appflow global <policyname> <priority> -type <type>
示例:
bind appflow global pol 1 -type ICA_REQ_DEFAULT
注意
type 的值必须是 ICA_REQ_OVERRIDE 或 ICA_REQ_DEFAULT 才能应用于 ICA 流量。
-
将 AppFlow 的 flowRecordInterval 参数值设置为 60 秒。
set appflow param -flowRecordInterval 60
示例:
set appflow param -flowRecordInterval 60
-
保存配置。类型:
save ns config
```