在早期版本的 NetScaler 控制台中,可以从在主数据中心运行的 NetScaler 控制台管理和监控部署在远程数据中心的 NetScaler 实例。 NetScaler 实例将数据直接发送到主 NetScaler 控制台,从而消耗 WAN 带宽。 此外,分析数据的处理会利用主 NetScaler 控制台的 CPU 和内存资源。
您可以拥有遍布全球的数据中心。 代理在以下场景中发挥着至关重要的作用:
在远程数据中心安装代理,以减少 WAN 带宽消耗。
限制直接向主 NetScaler 控制台发送流量进行数据处理的实例数量。
笔记
建议但不强制为远程数据中心的实例安装代理。 如果需要,用户可以直接将 NetScaler 实例添加到主 NetScaler 控制台。
如果您已经为一个或多个远程数据中心安装了代理,那么代理和主站点之间的通信是通过浮动 IP 地址进行的。 有关更多信息,请参阅 端口。
您可以安装代理并将池许可证应用于一个或多个远程数据中心的实例。 在此场景中,主站点与一个或多个远程数据中心之间的通信是通过浮动 IP 地址进行的。
NetScaler Console 本地代理不支持池许可。
从 NetScaler Console 12.1 或更高版本开始,可以使用代理配置实例,以便与位于不同数据中心的主 NetScaler Console 进行通信。
代理充当主 NetScaler 控制台和跨不同数据中心发现的实例之间的中介。 安装代理的好处如下:
实例配置为代理,以便未处理的数据直接发送到代理而不是主 NetScaler 控制台。 代理执行第一级数据处理,并将处理后的数据以压缩格式发送到主 NetScaler 控制台进行存储。
代理和实例位于同一个数据中心,以便数据处理更快。
代理集群可在代理故障转移时重新分配 NetScaler 实例。 当站点中的一个代理发生故障时,来自 NetScaler 实例的流量将切换到同一站点中的另一个可用代理。
笔记
每个站点安装的代理数量取决于正在处理的流量。
下图显示了两个数据中心中的 NetScaler 实例和采用基于多站点代理的架构的 NetScaler Console 高可用性部署。
主站点已在高可用性配置中部署 NetScaler 控制台节点。 主站点中的 NetScaler 实例直接在 NetScaler 控制台中注册。
在辅助站点中,代理被部署并在主站点的 NetScaler 控制台服务器上注册。 这些代理在集群中工作,以便在发生代理故障转移时处理连续的流量。 辅助站点中的 NetScaler 实例通过位于该站点内的代理向主 NetScaler 控制台服务器注册。 实例直接将数据发送到代理而不是主 NetScaler 控制台。 代理处理从实例接收的数据并以压缩格式将其发送到主 NetScaler 控制台。 代理通过安全通道与 NetScaler 控制台服务器进行通信,并且通过该通道发送的数据经过压缩以提高带宽效率。
在数据中心安装代理
注册代理
将代理附加到站点
添加 NetScaler 实例
添加新实例
更新现有实例
您可以安装和配置代理,以实现主 NetScaler 控制台与另一个数据中心中托管的 NetScaler 实例之间的通信。
您可以在企业数据中心的以下虚拟机管理程序上安装代理:
Citrix Hypervisor
VMware ESXi
微软 Hyper-V
Linux KVM 服务器
笔记
仅 NetScaler 控制台高可用性部署支持多站点部署的本地代理。
在开始安装代理之前,请确保您拥有虚拟机管理程序必须为每个代理提供的所需虚拟计算资源。
| 成分 | 要求 |
|---|---|
| 内存 | 32 GB |
| 虚拟 CPU | 8 个 CPU |
| 存储空间 | 30 GB |
| 虚拟网络接口 | 1 |
| 吞吐量 | 1 Gbps |
为了进行通信,代理和 NetScaler Console 本地服务器之间必须打开以下端口。
| 类型 | 港口 | 细节 | 沟通方向 |
|---|---|---|---|
| TCP | 8443, 7443, 443 | 用于代理和 NetScaler Console 本地服务器之间的出站和入站通信。 | NetScaler 代理到 NetScaler 控制台 |
代理和 NetScaler 实例之间必须打开以下端口。
| 类型 | 港口 | 细节 | 沟通方向 |
|---|---|---|---|
| TCP | 80 | 用于代理和 NetScaler 实例之间的 NITRO 通信。 | NetScaler 控制台到 NetScaler 以及 NetScaler 到 NetScaler 控制台 |
| TCP | 22 | 用于代理和 NetScaler 实例之间的 SSH 通信。 用于在高可用性模式下部署的 NetScaler 控制台服务器之间的同步。 | NetScaler 控制台到 NetScaler 以及 NetScaler 代理到 NetScaler |
| UDP | 4739 | 用于代理和 NetScaler 实例之间的 AppFlow 通信。 | NetScaler 到 NetScaler 控制台 |
| ICMP | 无保留端口 | 检测 NetScaler 控制台与 NetScaler 实例或以高可用性模式部署的辅助 NetScaler 控制台服务器之间的网络可达性。 | |
| UDP | 161,162 | 从 NetScaler 实例到代理接收 SNMP 事件。 | 端口 161 - NetScaler 控制台至 NetScaler |
| 端口 162 - NetScaler 到 NetScaler 控制台 | |||
| UDP | 514 | 从 NetScaler 实例到代理接收系统日志消息。 | NetScaler 到 NetScaler 控制台 |
| TCP | 5557 | 用于代理和 NetScaler 实例之间的日志流通信。 | NetScaler 到 NetScaler 控制台 |
使用从 NetScaler 站点下载的代理映像文件并将其导入到您的虚拟机管理程序中。 代理映像文件的命名模式如下, MASAGENT-<HYPERVISOR>-<Version.no>. 例如: MASAGENT-XEN-13.0-xy.xva
从 Console 选项卡,使用初始网络配置配置 NetScaler Console。
输入 NetScaler 控制台主机名、IPv4 地址和网关 IPv4 地址。 选择选项 7 保存并退出配置。
注册成功后控制台提示登录。 使用 nsrecover/nsroot 作为凭证。
要注册代理,请输入 /mps/register_agent_onprem.py。 NetScaler 代理注册凭据如下图所示。
输入 NetScaler 控制台浮动 IP 地址和用户凭据。
注册成功后,代理重新启动以完成安装过程。
代理重启后,访问 NetScaler 控制台 GUI,从主菜单转到 基础设施 > 实例 > 代理 页面以验证代理的状态。 新添加的代理显示在 Up 状态。
笔记
NetScaler 控制台显示代理的版本并检查代理是否为最新版本。 下载图标表示代理不是最新版本,需要升级。 我们建议您将代理版本升级到 NetScaler 控制台版本。
选择代理并点击 附加站点。
在 附加站点 页面中,从列表中选择一个站点,或使用加号 (+) 按钮创建一个站点。
点击 保存。
笔记
默认情况下,所有新注册的代理都会添加到默认数据中心。
将代理与正确的站点关联起来非常重要。 如果代理发生故障,分配给该代理的 NetScaler 实例将自动切换到同一站点内的其他正常运行的代理。
您可以将各种操作应用于 基础设施 > 代理 > 选择操作下的代理。
在 选择操作下,您可以使用以下功能:
安装新证书:如果您需要不同的代理证书来满足您的安全要求,您可以添加一个。
更改默认密码:为了确保您的基础设施的安全,请更改代理的默认密码。
生成技术支持文件:为选定的 NetScaler 代理生成技术支持文件。 您可以下载此文件并将其发送给 Citrix 技术支持进行调查和故障排除。
实例是您想要通过代理从 NetScaler 控制台发现、管理和监控的 NetScaler 设备或虚拟设备。 您可以将以下 NetScaler 设备和虚拟设备添加到 NetScaler 控制台或代理:
NetScaler MPX
NetScaler VPX
NetScaler SDX
NetScaler CPX
NetScaler Gateway
Citrix SSL 正向代理
有关详细信息,请参阅 将实例添加到 NetScaler 控制台。
如果实例已添加到主 NetScaler 控制台,则可以通过编辑代理将其附加到代理。
导航到 基础设施 > 实例 并选择实例类型。 例如,NetScaler。
单击 编辑 编辑现有实例。
单击选择代理。
从 代理 页面中,选择您想要与实例关联的代理,然后单击 确定。
笔记
确保选择要与实例关联的 站点 。
添加实例并配置代理后,访问实例的 GUI 以检查是否配置了陷阱目标。
在 NetScaler 控制台中,导航到 Infrastructure > Instances。 在 Instances下,选择要访问的实例类型(例如,NetScaler VPX),然后单击特定实例的 IP 地址。
所选实例的 GUI 显示在弹出窗口中。
默认情况下,代理被配置为实例上的陷阱目标。 为了确认,请登录实例的 GUI 并检查陷阱目的地。
重要的
建议但不强制为远程数据中心的 NetScaler 实例添加代理。
如果您想将实例直接添加到主 MAS,请不要在添加实例时选择 代理 。
代理故障转移可能发生在具有两个或更多注册代理的站点中。 当站点中的代理变为非活动状态(DOWN 状态)时,NetScaler 控制台会将非活动代理的 NetScaler 实例与其他活动代理重新分配。
重要的
确保您的帐户已启用 代理故障转移 功能。 要启用此功能,请参阅 启用或禁用 NetScaler 控制台功能。
如果代理正在运行脚本,请确保站点中的所有代理上都存在该脚本。 因此,更改后的代理可以在代理故障转移后运行该脚本。
要在 NetScaler 控制台 GUI 中将站点连接到代理,请参阅 将代理连接到站点。
要实现代理故障转移,请逐个选择 NetScaler 代理并连接到同一站点。
例如,两个代理 10.106.1xx.2x 和 10.106.1xx.3x 已连接并在班加罗尔站点运行。 如果一个代理变为非活动状态,NetScaler 控制台会检测到它并将其状态显示为关闭。
当站点中的 NetScaler 代理变为非活动状态(关闭状态)时,NetScaler 控制台将等待五分钟,直到代理变为活动状态(启动状态)。 如果代理保持不活动状态,NetScaler 控制台会自动在同一站点中的可用代理之间重新分配实例。
NetScaler 控制台每 30 分钟触发一次实例重新分配,以平衡站点中活动代理之间的负载。
如果代理停机或在一定时间内无法联系,您可以通过电子邮件、Slack、PagerDuty 和 ServiceNow 获取代理状态通知。 在 基础设施 > 实例 > 代理中,单击 设置,指定 5 分钟到 60 分钟之间的持续时间,然后选择您想要接收通知的通知方法。
NetScaler 控制台代理和 NetScaler 控制台之间的安全通信适用于 14.1-34.x 或更高版本。 您可以通过验证控制台服务器 SSL 证书来启用此安全通信。 以前,NetScaler 控制台代理和 NetScaler 控制台本地服务器之间的通信未验证控制台服务器 SSL 证书,从而导致潜在的安全漏洞。
要启用此安全通信:
确保 Netscaler 控制台已配置 SSL 证书。
登录到 NetScaler 控制台代理。
将 CA 根证书放在 /mpsconfig/console_onprem_cacert。 这用于验证服务器证书。 CA 根证书的名称必须是 cacert.pem。
通过运行以下命令配置安全通信。 Configure_secure_communication_with_server.py
这将提示输入 Netscaler 控制台服务器的 FQDN(完全限定域名)或 IP 地址。
输入 FQDN 或 IP 地址以完成脚本的执行。
该脚本使用提供的 CA 根证书验证 FQDN 或 IP 地址所提供的服务器证书。 如果证书验证通过,则启用安全通信。
可以在代理向 NetScaler 控制台注册之前或之后调用此脚本。
笔记:
这仅适用于基于 VM 的代理。