NetScaler SDX

配置 NetScaler 实例

注意:

在安装 NetScaler SDX 设备或将其升级到版本 13.1 后,Console Advisory Connect 默认处于启用状态。有关更多详细信息,请参阅“数据治理和 Console Advisory Connect”。

您可以使用管理服务在 SDX 设备上预置一个或多个 NetScaler 实例。您可以安装的实例数量取决于您购买的许可证。如果添加的实例数等于许可证中指定的数量,则管理服务不允许配置更多 NetScaler 实例。

注意:

您最多可以在独立于底层硬件平台的网络接口上配置 20 个 VPX 实例。

在 SDX 设备上预配 NetScaler VPX 实例包括以下步骤。

  1. 定义要连接到 NetScaler 实例的管理员配置文件。此配置文件指定管理服务用于置备 ADC 实例以及稍后与实例通信以检索配置数据的用户凭据。您还可以使用默认的管理员配置文件。
  2. 将.xva 映像文件上载到管理服务。
  3. 使用管理服务中的“配置 NetScaler”向导添加 NetScaler 实例。管理服务在 SDX 设备上隐式部署 NetScaler 实例,然后下载该实例的配置详细信息。

警告

请确保使用管理服务修改实例的预配置网络接口或 VLAN,而不是直接在实例上执行修改。

创建管理员配置文件

管理员配置文件指定了管理服务在配置 NetScaler 实例时使用的用户凭据。稍后在与实例通信以检索配置数据时会使用这些凭据。客户端通过 CLI 或 GUI 登录 NetScaler 实例时也使用管理员配置文件中指定的用户凭据。

管理员配置文件还允许您指定管理服务和 VPX 实例仅通过安全通道或使用 HTTP 进行通信。

实例的默认管理员配置文件指定默认管理员用户名。无法修改或删除此配置文件。但是,您必须通过创建用户定义的管理员配置文件并在置备实例时将其附加到实例来覆盖默认配置文件。如果用户定义的管理员配置文件未附加到任何 NetScaler 实例,则管理服务管理员可以删除该配置文件。

重要

请勿直接在 VPX 实例上更改密码。如果这样做,则无法从管理服务访问实例。要更改密码,请先创建管理员配置文件,然后修改 NetScaler 实例,从管理员配置文件列表中选择此配置文件。

要在高可用性设置中更改 NetScaler 实例的密码,请先更改指定为辅助节点的实例的密码。然后在指定为主节点的实例上更改密码。请记住,只能使用管理服务来更改密码。

创建管理员配置文件

  1. 配置选项卡的导航窗格中,展开 NetScaler 配置,然后单击管理员配置文件

  2. 在“管理员配置文件”窗格中,单击“添加”。

  3. 此时将显示“创建管理员配置文件”对话框。

管理员配置文件 SNMP

设置以下参数:

  • 配置文件名称:管理员配置文件的名称。默认配置文件名称为 nsroot。您可以创建用户定义的配置文件名称。
  • 密码:用于登录 NetScaler 实例的密码。最大长度:31 个字符。
  • SSH 端口:设置 SSH 端口。默认端口为22。
  • 使用 NetScaler 通信的全局设置: 如果要在“系统设置”中定义管理服务与 NetScaler 实例之间通信的设置,请选择此选项。您可以清除此复选框,然后将协议更改为 HTTP 或 HTTPS。

    • 选择 http 选项,使用 HTTP 协议在管理服务与 NetScaler 实例之间进行通信。

    • 选择 https 选项,使用安全通道在管理服务与 NetScaler 实例之间进行通信。

4. 在 SNMP下,选择版本。如果选择 v2,请转到步骤 5。如果选择 v3,请转到步骤 6。

5. 在 SNMP v2 下,添加 SNMP 团体 名称。

6. 在 SNMP v3 下,添加 安全名称安全级别

7. 在“超时设置”下,指定值。

8. 单击“创建”,然后单击“关闭”。您创建的管理员配置文件显示在“管理员配置文件”窗格中。

如果“默认”列中的值为 true,则默认配置文件为管理员配置文件。如果值为 false,则用户定义的配置文件就是管理员配置文件。

如果您不想使用用户定义的管理员配置文件,可以将其从管理服务中删除。要删除用户定义的管理员配置文件,请在“管理员配置文件”窗格中选择要删除的配置文件,然后单击“删除”。

上载 NetScaler .xva 图片

添加 NetScaler VPX 实例需要.xva 文件。

在配置 VPX 实例之前,将 NetScaler SDX .xva 文件上载到 SDX 设备。您还可以将.xva 映像文件下载到本地计算机作为备份。.xva 图像文件格式为: NSVPX-XEN-ReleaseNumber-BuildNumber_nc.xva。

NetScaler XVA 文件 窗格中,可以查看以下详细信息。

  • 名称:.xva 映像文件的名称。文件名包含发行版和内部版本号。例如,文件名 NSVPX-XEN-13.1-49.13_nc_64.xva.gz 指的是版本 13.1 Build 49.13。
  • 上次修改时间: 上次修改.xva 映像文件的日期。
  • 大小:.xva 图像文件的大小(以 MB 为单位)。

上载 NetScaler .xva 文件

  1. 在“配置”选项卡的导航窗格中,展开“NetScaler 配置”,然后单击“XVA 文件”。
  2. NetScaler XVA 文件 窗格中,单击 上载
  3. 在上 传 NetScaler 实例 XVA 对话框中,单击 浏览 ,然后选择要上载的 XVA 映像文件。
  4. 单击上载。上载后,XVA 映像文件将显示在 NetScaler XVA 文件 窗格中。

通过下载 NetScaler .xva 文件创建备份

  1. NetScaler“构建文件”窗格中,选择要下载的文件,然后单击“下载”。
  2. 在“文件下载”消息框中,单击“保存”。
  3. 在“另存为”消息框中,浏览到要保存文件的位置,然后单击“保存”。

添加 NetScaler 实例

从管理服务添加 NetScaler 实例时,需要为某些参数提供值。管理服务在 NetScaler 实例上隐式配置这些设置。

SDX 实例详细信息

  • 名称:为 NetScaler 实例指定一个名称。

  • 选择“通过内部网络管理”,在 SDX 管理服务与 VPX 实例之间启用独立的内部常开连接。在 SDX 设备上运行的 13.0-36.27 及更高版本的 VPX 实例支持此功能。

  • 出于管理目的,选择 IPv4 或 IPv6 地址或同时选择 IPv4 和 IPv6 地址来访问 NetScaler VPX 实例。一个 NetScaler 实例只能有一个管理 IP (NSIP)。无法删除 NSIP 地址。

  • 为该 IP 地址分配网络掩码、默认网关和 nexthop 给管理服务。

  • 在以下任一条件下,当 VPX 配置版本为 13.0—88.9 或 13.1—37.8 及其更高版本时,网关Nexthop 到管理服务字段是可选的:

    • 启用了“通过内部网络管理”时。
    • 当配置的 IPv4 地址与管理服务 IP 地址位于同一子网时。

VPX IP 详细信息

接下来,添加 XVA 文件、管理员配置文件和实例描述。

注意: 对于高可用性设置(主动-主动或活动-备用),Citrix 建议您在不同的 SDX 设备上配置两个 NetScaler VPX 实例。确保设置中的实例具有相同的资源,例如 CPU、内存、接口、每秒数据包数 (PPS) 和吞吐量。

许可证分配

在本节中,指定您为 NetScaler 购买的许可证。许可证可以是标准版、企业版和白金版。

注意: 星号表示必填字段。

SDX VPX 许可证分配

如果您需要带宽突增能力,请在分配模式下选择可突增。有关更多信息,请参阅 SDX 中的带宽计量

加密货币分配

从版本12.1 48.13开始,管理加密容量的接口已经改变。有关更多信息,请参阅 管理加密容量

资源分配

对于在 SDX 上运行的 VPX 实例,默认情况下您只有一个管理 CPU。自版本 14.1 Build 21.x 起,如果您有两个或更多专用内核,则可以在预置或编辑 VPX 实例时再添加一个管理 CPU。此功能要求 SDX 和 VPX 都使用软件版本 14.1-21.x 及更高版本。

在“资源分配”下,分配总内存、每秒数据包和 CPU。

要添加额外的管理 CPU,请执行以下操作:

  1. CPU 列表中选择专用(2 个内核) 或更多。
  2. 选择“添加额外的管理 CPU”选项。

SDX VPX 资源分配

CPU 为实例分配一个或多个专用内核,或者实例与其他实例共享一个核心。如果您选择 shared,则会将一个核心分配给实例,但如果资源短缺,该核心可能会与其他实例共享。如果重新分配 CPU 核心,请重启受影响的实例。重启已重新分配 CPU 核心的实例,以避免性能下降。

注意: 对于实例,您配置的最大吞吐量为 180 Gbps。

下表列出了受支持的 VPX、Single bundle 映像版本以及可以分配给实例的内核数:

平台名称 核心总数 可用于 VPX 预配的内核总数 可分配给单个实例的最大核心数
SDX 8015、SDX 8400 和 SDX 8600 4 3 3
SDX 8900 8 7 7
SDX 11500、SDX 13500、SDX 14500、SDX 16500、SDX 18500 和 SDX 20500 12 10 5
SDX 11515、SDX 11520、SDX 11530、SDX 11540 和 SDX 11542 12 10 5
SDX 17500、SDX 19500 和 SDX 21500 12 10 5
SDX 17550、SDX 19550、SDX 20550 和 SDX 21550 12 10 5
SDX 14020、SDX 14030、SDX 14040、SDX 14060、SDX 14080 和 SDX 14100 12 10 5
SDX 22040、SDX 22060、SDX 22080、SDX 22100 和 SDX 22120 16 14 7
SDX 24100 和 SDX 24150 16 14 7
SDX 14020 40G、SDX 14030 40G、SDX 14040 40G、SDX 14060 40G、SDX 14080 40G 和 SDX 14100 40G 12 10 10
SDX 14020 FIPS、SDX 14030 FIPS、SDX 14040 FIPS、SDX 14060 FIPS、SDX 14080 FIPS 和 SDX 14100 FIPS 12 10 5
SDX 14040 40S、SDX 14060 40S、SDX 14080 40S 和 SDX 14100 40S 12 10 10
SDX 25100A、25160A、25200A 20 18 9
SDX 25100-40G、25160-40G、25200-40G 20 18 16
SDX 26100、26160、26200、26250 28 26 16
SDX 26100-50S、26160-50S、26200-50S、26250-50 28 26 16
SDX 26100-100G、26160-100G、26200-100G、26250-100G 28 26 25
SDX 15000 16 14 14
SDX 15000-50G 16 14 14
SDX 9100 10 9 9
SDX 16000 32 30 16

注意:

专用内核映射到实例上运行的数据包引擎的数量。对于使用专用内核创建的 VPX 实例,将额外分配一个 CPU 用于管理。

实例管理

您可以通过选择“实例管理”下的“添加实例管理”来为 VPX 实例创建管理员用户。

实例管理员

添加以下详细信息:

用户名: NetScaler 实例管理员的用户名。此用户具有超级用户访问权限,但无权访问联网命令来配置 VLAN 和接口。

密码: 用户名的密码。

Shell/Sftp/Scp 访问权限: 允许 NetScaler 实例管理员的访问权限。此选项默认处于选中状态。

网络设置

  • 允许 L2 模式: 您可以在 NetScaler 实例上允许 L2 模式。在“网络连接设置”下选择“允许 L2 模式”。在登录实例并启用 L2 模式之前。有关更多信息,请参阅在 NetScaler 实例上允许 L2 模式

    网络设置

    注意:

    • 如果您通过管理服务禁用实例的 L2 模式,则必须登录该实例并从该实例禁用 L2 模式。如果不这样做,可能会导致在重启实例后禁用所有其他 NetScaler 模式
    • 在 SDX 上配置 ADC 实例后,您无法从 ADC 实例中删除接口或通道。但是,您可以向 ADC 实例添加接口或通道。
  • 接口 0/1 和 0/2: 默认情况下,为管理 LA 选择接口 0/1 和 0/2。

  • VLAN 标记: 为管理接口指定一个 VLAN ID。接下来,添加数据接口。

    注意

    添加到实例的接口的接口 ID 不一定与 SDX 设备上的物理接口编号相对应。如果您与实例 1 关联的第一个接口是接口 1/4,则当您查看实例上的接口设置时,它将显示为接口 1/1。编号会发生变化,因为它是您与实例 1 关联的第一个接口。

Add-data-interface

  • 允许未标记的流量: 选中“允许未标记流量”复选框以允许 NetScaler 实例处理未标记的流量。

    注意:

    当 SDX 设备版本为 13.1-24.x 或更高版本且 NetScaler 实例版本低于 13.1-24.x 时,即使清除“允许未标记流量”复选框,ADC 实例也会处理 Mellanox 接口上的未标记流量。

  • 允许的 VLAN: 指定可以与 NetScaler 实例关联的 VLAN ID 列表。

  • MAC 地址模式: 分配一个 MAC 地址。选择以下选项之一:

    • 默认值: Citrix Hypervisor 分配一个 MAC 地址。
    • 自定义: 选择此模式可指定覆盖生成的 MAC 地址的 MAC 地址。
    • 已生成: 使用先前设置的基本 MAC 地址生成 MAC 地址。有关设置基本 MAC 地址的信息,请参阅 为接口分配 MAC 地址。
  • VMAC 设置(用于配置虚拟 MAC 的 IPv4 和 IPv6 VRID)

    • VRID IPV4: 用于标识 VMAC 的 IPv4 VRID。可能的值:1—255。有关更多信息,请参阅在接口上配置 VMAC。
    • VRID IPV6: 用于标识 VMAC 的 IPv6 VRID。可能的值:1—255。有关更多信息,请参阅在接口上配置 VMAC。

管理 VLAN 设置

通常,VPX 实例的管理服务和管理地址 (NSIP) 位于同一个子网中,并且通过管理接口进行通信。但是,如果管理服务和实例位于不同的子网中,则必须在置备 VPX 实例时指定 VLAN ID。此 ID 是必需的,以便实例在启动时可以通过网络进行访问。如果您的部署要求只有在置备 VPX 实例时选择的接口才能访问 NSIP,请选择 NSVLAN 选项。

如果选择了 NSVLAN 选项,则在配置 NetScaler 实例后无法更改此设置。

VPX 管理 VLAN 设置

注意:

  • HA 检测信号仅在属于 NSVLAN 的接口上发送。

重要: 如果未选择 NSVLAN,则在 VPX 实例上运行“clear config full”命令会删除 VLAN 配置。

单击 完成 以配置 NetScaler VPX 设备。

编辑 NetScaler 实例

要编辑预置的 NetScaler 实例的参数值,请执行以下操作:

  1. 导航到 NetScaler > 实例
  2. 选择要编辑的实例,然后单击“编辑”。
  3. 在“配置 NetScaler”页面中,编辑这些值。

当 NetScaler 实例的网关字段为空时,您只能在以下条件之一下编辑该实例:

  • 当可以从管理服务访问 NetScaler 实例时。
  • 已启用“通过内部网络进行管理”。

施加这些条件是为了确保在编辑操作期间可以访问 NetScaler 实例。

备注:

  • 只有当您有两个或更多专用内核,并且 VPX 和 SDX 都在 14.1 版本和 Build 21.x 及更高版本时,才可以编辑 VPX 实例并再添加一个管理 CPU。

  • 为版本早于 14.1-21.x 的 VPX 选择“添加额外管理 CPU”选项会导致错误。将 VPX 实例升级到 14.1-21.x 及更高版本以使用此功能。

    Management CPU error

  • 在将 VPX 实例降级到 14.1-21.x 之前的版本之前,必须禁用“添加额外的管理 CPU”选项。否则,VPX 实例的性能会受到影响。

  • 如果未禁用“添加额外管理 CPU”选项,并且 VPX 实例降级到早于 14.1-21.x 的版本,则会生成警报。

注意事项:

  • 如果您修改以下参数:SSL 芯片数量、接口数量、内存和功能许可证,NetScaler 实例将隐式停止并重新启动以使这些参数生效。
  • 您无法修改“映像”和“用户名”参数。
  • 无法从 ADC 实例中删除接口或通道。但是,可以向 ADC 实例添加新的接口或通道。
  • 要删除在 SDX 设备上配置的 ADC 实例,请在 NetScaler 实例窗格中选择要删除的实例,然后单击“删除”。在 确认 消息框中,单击 以删除 NetScaler 实例。

将 VLAN 限制在特定的虚拟接口上

SDX 设备管理员可以在与 NetScaler 实例关联的虚拟接口上强制实施特定的 802.1Q VLAN。此功能在限制实例管理员使用 802.1Q VLAN 时特别有用。如果属于两个不同公司的两个实例托管在 SDX 设备上,则可以限制两家公司使用相同的 VLAN ID。这样,一家公司就看不到另一家公司的流量。如果实例管理员尝试将接口分配给 802.1Q VLAN,则会执行验证以验证指定的 VLAN ID 是否属于允许列表的一部分。

默认情况下,任何VLAN ID都可以在接口上使用。要限制接口上带标签的 VLAN,请在配置 NetScaler 实例时在网络设置中指定 VLAN ID。您也可以稍后通过修改实例来指定它。要指定范围,请用连字符分隔 ID(例如 10-12)。如果您最初指定了一些 VLAN ID,但后来又从允许列表中删除了所有这些 VLAN ID,则可以使用该接口上的任何 VLAN ID。实际上,您已经恢复了默认设置。

创建允许的 VLAN 列表后,SDX 管理员无需登录实例即可创建 VLAN。管理员可以在管理服务中为特定实例添加和删除 VLAN。

重要提示:如果启用了 L2 模式,管理员必须注意不同 NetScaler 实例上的 VLAN ID 不会重叠。

指定允许的 VLAN ID

  1. 在配置 ADC 向导或修改 ADC 向导中,在网络设置页面的 允许的 VLAN中,指定此接口上允许的一个或多个 VLAN ID。使用连字符指定范围。例如,2—4094。
  2. 按照向导中的说明进行操作。
  3. 单击“完成”,然后单击“关闭”。

从管理服务为实例配置 VLAN

  1. 配置 选项卡上,导航到 NetScaler > 实例。
  2. 选择一个实例,然后单击 VLAN
  3. 在详细信息窗格中,单击“添加”。
  4. 创建 NetScaler VLAN 对话框中,指定以下参数:
    • VLAN ID — 唯一标识特定帧所属的 VLAN 的整数。NetScaler 最多支持 4094 个 VLAN。ID 1 是为默认 VLAN 保留的。
    • IPV6 动态路由 — 在此 VLAN 上启用所有 IPv6 动态路由协议。注意:要使 ENABLED 设置生效,您必须登录实例并从 VTYSH 命令行配置 IPv6 动态路由协议。
  5. 选择必须是 VLAN 一部分的接口。
  6. 单击“创建”,然后单击“关闭”。
配置 NetScaler 实例