Uploaded by loggan

CNS-218-3I Citrix ADC 12.x EssentialsRUS

advertisement
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Страница 1
CNS-218-3I Citrix ADC 12.x Essentials
Образование
CNS-218-3I Citrix ADC 12.x
Основы
Лабораторное руководство
Версия 3.00
1
Страница 2
CNS-218-3I Citrix ADC 12.x Essentials
Страница кредитов
заглавие
Архитектор
название
Джесси Уилсон
https://translate.googleusercontent.com/translate_f
1/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Менеджеры по продукту
Лиссетт Хименес
Разработчики технических решений
Ума Упрайти
Аман Шарма
Шрути В. Дхамале
Менеджер по предложениям
Учебный конструктор
Графический дизайнер
Издательские услуги
Равиндра Джи Хунашимарад
Амит Бен-Чанох
Джейшри Наир
Райан Флауэрс
Рахул Мохандас
2
Стр. 3
CNS-218-3I Citrix ADC 12.x Essentials
Содержание
Страница кредитов ................................................ .................................................. .................................................. ............... 2
Обзор лабораторного руководства ............................................... .................................................. .................................................. . 5
Обзор лабораторной среды ............................................... .................................................. .......................................... 6
Модуль 1. Начало работы ............................................. .................................................. .............................................. 9
Упражнение 1-1: Выполнение начальной настройки (GUI) ...................................... .................................................. .. 10
Упражнение 1-2: Выполнение базового администрирования (GUI) ....................................... .................................................. ..... 19
Упражнение 1-1: Выполнение начальной настройки (CLI) ...................................... .................................................. .. 23
Упражнение 1-2: Выполнение базового администрирования (CLI) ....................................... .................................................. ...... 31
Модуль 2: Основы работы в сети ............................................. .................................................. ......................................... 36
Упражнение 2-1: Настройка сети (GUI) ........................................ .................................................. .................. 38
Упражнение 2-1: Настройка сети (CLI) ........................................ .................................................. ................... 42
Модуль 4: Высокая доступность ............................................. .................................................. ........................................... 45
Упражнение 4-1: Настройка пары высокой доступности (GUI) ...................................... .................................................. ...................... 47
Упражнение 4-2: Управление парой высокой доступности (GUI) ...................................... .................................................. ........................ 53
Упражнение 4-1: Настройка пары HA (CLI) ...................................... .................................................. ....................... 56
Упражнение 4-2: Управление парой HA (CLI) ...................................... .................................................. .......................... 61
https://translate.googleusercontent.com/translate_f
2/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 5: Балансировка нагрузки ............................................. .................................................. ............................................ 63
Упражнение 5-1: Балансировка нагрузки HTTP (GUI) ....................................... .................................................. ........................ 65
Упражнение 5-2: DNS с балансировкой нагрузки (GUI) ...................................... .................................................. .......................... 77
Упражнение 5-3: Балансировка нагрузки LDAP (GUI) ....................................... .................................................. ....................... 82
Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (GUI) ...................................... .................................................. .... 85
Упражнение 5-1: Балансировка нагрузки HTTP (CLI) ....................................... .................................................. ......................... 95
Упражнение 5-2: DNS с балансировкой нагрузки (CLI) ....................................... .................................................. ........................ 102
Упражнение 5-3: Балансировка нагрузки LDAP (CLI) ....................................... .................................................. ....................... 105
Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (CLI) ..................................... .................................................. .... 109
Модуль 6: Разгрузка SSL ............................................. .................................................. ................................................ 114
Упражнение 6-1: Настройка сертификатов SSL (GUI) ....................................... .................................................. ........... 115
Упражнение 6-2: Настройка разгрузки SSL (GUI) ....................................... .................................................. ................. 121
Упражнение 6-3: Настройка сквозного шифрования (GUI) ................................... .................................................. ... 124
Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL-адреса перенаправления (GUI) ................................. ............... 127
Упражнение 6-1: Настройка сертификатов SSL (CLI) ....................................... .................................................. ............ 131
Упражнение 6-2: Настройка разгрузки SSL (CLI) ....................................... .................................................. .................. 134
Упражнение 6-3: Настройка сквозного шифрования (CLI) ................................... .................................................. .... 137
Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью URL-адреса перенаправления (CLI) .................................. .................... 139
3
Стр. 4
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 7: Защита Citrix ADC ........................................... .................................................. ............................... 141
Упражнение 7-1: Настройка локальной аутентификации и делегированного администрирования (GUI) .................................... ...... 143
Упражнение 7-2: Настройка внешней аутентификации с помощью LDAP (GUI) ..................................... ................................ 147
Упражнение 7-3: Разделы администратора (GUI) ........................................ .................................................. ........................... 150
Упражнение 7-1: Локальная аутентификация (CLI) ........................................ .................................................. ...................... 156
Упражнение 7-2: Внешняя аутентификация (CLI) ........................................ .................................................. ................. 160
Упражнение 7-3: Разделы администратора (CLI) ........................................ .................................................. ............................ 163
Модуль 8: Мониторинг и устранение неполадок ............................................ .................................................. ............... 168
Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (GUI) ................................... ...................................... 169
Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (GUI) .................................... ................................... 175
Упражнение 8-3: Настройка SNMP (GUI) ........................................ .................................................. ......................... 178
Упражнение 8-4: Устранение неполадок (GUI) ......................................... .................................................. .......................... 181
Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (CLI) ................................... ....................................... 194
Упражнение 8-2: Настройка внешнего системного журнала и политик аудита (CLI) .................................... .................................... 198
Упражнение 8-3: Настройка SNMP (CLI) ........................................ .................................................. .......................... 201
Упражнение 8-4: Устранение неполадок (CLI) ......................................... .................................................. ............................ 204
https://translate.googleusercontent.com/translate_f
3/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
4
Стр. 5
CNS-218-3I Citrix ADC 12.x Essentials
Обзор лабораторного руководства
В этом руководстве вы получите ценный практический опыт работы с Citrix ADC и его функциями. Это лабораторное руководство будет
позволяют работать с компонентами продукта и выполнять необходимые шаги для начальной настройки, Высокая
Доступность, балансировка нагрузки и разгрузка SSL.
Лабораторные упражнения представлены как для Citrix ADC Configuration Utility (GUI), так и для Citrix ADC CLI. Ученики
необходимо выполнить только один набор лабораторных работ, либо весь графический интерфейс, либо весь интерфейс командной строки для данного модуля. Другой комплекс упражнени
используется для справки. Определите, как подключиться к Citrix ADC для каждого набора лабораторных упражнений.
Мы рекомендуем вам использовать Chrome для подключения к Citrix ADC Configuration Utility при использовании графического интерфейса для
выполнять лабораторные работы
При тестировании веб-контента можно использовать любой браузер. Однако вам может быть проще сделать управление
подключений в одном браузере, например Chrome, и выполнять тестирование приложений в другом браузере, например Firefox.
При выполнении лабораторных упражнений из интерфейса командной строки вам потребуется подключиться к IP-адресам управления Citrix ADC (см. Выше)
используя SSH. В лабораторной среде PuTTY используется в качестве клиента SSH, а WinSCP - в качестве клиента SFTP / SCP.
Перед тем, как приступить к упражнениям в каждом модуле, определите, будете ли вы работать с этим модулем в графическом интерфейсе или в интерфейсе командной строки. Вы
рекомендуется изучить обе версии лабораторных упражнений, но упражнения составлены таким образом, что только один набор
упражнения (GUI или CLI) можно выполнять одновременно, но не одновременно.
Каждое упражнение будет определять, к какому Citrix ADC или Management IP подключаться и какую учетную запись использовать для входа в систему, если
не учетная запись по умолчанию (nsroot / nsroot). Мы также рекомендуем сохранять конфигурацию в конце каждого
упражнение, если в упражнении не указано иное.
5
Стр. 6
CNS-218-3I Citrix ADC 12.x Essentials
Обзор лабораторной среды
https://translate.googleusercontent.com/translate_f
4/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
ЛАБОРАТОРНАЯ ДИАГРАММА
СПИСОК СЕРВЕРОВ
Полное доменное имя домена виртуальной машины
Айпи адрес
Описание
NYC-ADS-001
Нью-Йорк-ADS001.workspacelab.com
192.168.30.11
Контроллер домена
(Workspacelab.com)
NYC-ADS-002
Нью-Йорк-ADS-
192.168.30.12
Контроллер домена 2
NYC-LMP-001
002.workspacelab.com
NYC-LMP-
192.168.30.61
(Workspacelab.com)
Сервер базы данных MYSQL
NYC-LMP-002
001.workspacelab.com
NYC-LMP-
192.168.30.62
Сервер базы данных MYSQL
NYC-WEB-RED
002.workspacelab.com
NYC-WEB-
192.168.30.51
Веб сервер
RED.workspacelab.com
6
Стр.7
CNS-218-3I Citrix ADC 12.x Essentials
NYC-WEB-BLU
NYC-WEB-
192.168.30.52
Веб сервер
NYC-WEB-GRN
BLUE.workspacelab.com
NYC-WEB-
192.168.30.53
Веб сервер
NYC-WEB-REMOTE
GREEN.workspacelab.com
NYC-WEB-
172.22.15.41
Веб сервер
Рабочий стол для студентов
REMOTE.workspacelab.com
-
192.168.10.254
Хост Hyper-V и рабочий стол.
Все лабораторные работы выполнены из этого
система.
Список Citrix ADC
Виртуальная машина Адрес NSIP
название
NYC-ADC-001
(Начальный)
IP-адрес подсети (SNIP)
192.168.100.1 / 16 НЕТ
Описание
Начальная настройка Citrix ADC запускается
как готовое устройство MPX
с адресом NSIP по умолчанию
указано. Это будет изменено в
первое упражнение.
NYC-ADC-001
192.168.10.101
https://translate.googleusercontent.com/translate_f
SNIP1: 192.168.10.111 (трафик)
СНиП2: 192.168.10.103 (mgmt)
NYC-ADC-001 является основным Citrix
ADC для большинства упражнений. Это будет в
5/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
пара
HA с управляться
NYC-ADC-002,
и
они будут
с помощью
общий SNIP 192.168.10.103.
NYC-ADC-002
192.168.10.102
Вторичный член пары HA с
NYC-ADC-001.
СПИСОК ПОЛНОМОЧИЙ: пользователи и группы домена обучения
Имя пользователя
Группы
пароль
Описание
администратор
Администраторы домена
Пароль1
Учетная запись администратора домена, которая может
использоваться для доступа к контроллерам домена.
В противном случае в классе не нужен.
trainNSAdmin
Training_NSAdmins
Пароль1
Учетная запись домена, используемая в Citrix ADC
делегированные административные упражнения.
поездNSOоператор
Обучение_NSПароль оператора1
Учетная запись домена, используемая в Citrix ADC
делегированные административные упражнения.
trainADUser
Пользователи домена
Пароль1
Учетная запись домена используется как LDAP BindDN
сервисный аккаунт.
Пароль1
Учетная запись домена доступна для Citrix ADC
обучение \ Подрядчики Подрядчики
демонстрации.
7
Стр. 8
CNS-218-3I Citrix ADC 12.x Essentials
СПИСОК УЧЕТА: Локальные учетные записи Citrix ADC
Имя пользователя
Делегированный администратор
пароль
Описание
Роль
nsroot
суперпользователь
nsroot
Встроенная учетная запись Citrix ADC, которая будет
тестовый пользователь
обычай
Пароль1
Тестовая учетная запись для делегированного администрирования.
padmin1
Администратор раздела
Пароль1
Тестовая учетная запись для разделов администратора
padmin2
Администратор раздела
Пароль1
используется для всех упражнений.
упражнение.
Тестовая учетная запись для разделов администратора
упражнение.
https://translate.googleusercontent.com/translate_f
6/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
8
Стр.9
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 1. Начало работы.
Обзор:
Компания ABC недавно установила два дополнительных Citrix ADC в своем основном офисе. Ваша работа как
Администратор должен завершить начальную настройку устройств и подготовить их к использованию в режиме HighКонфигурация доступности (реализована в более поздних модулях).
В этом модуле вы будете выполнять практические упражнения для выполнения начальной настройки Citrix ADC и
выполнение таких задач, как настройка NSIP, SNIP, DNS-сервера, имени хоста и синхронизации времени. Вы также
выполнять дополнительные административные задачи на Citrix ADC, такие как управление лицензированием, просмотр, редактирование и резервное копирование
настройте Citrix ADC.
После завершения этого лабораторного модуля вы сможете:
• Определите задачи, необходимые для завершения начальной настройки и основных сетевых настроек Citrix.
Устройство ADC.
• Обновите Citrix ADC.
• Управление лицензированием Citrix ADC.
• Управляйте конфигурациями Citrix ADC и сохраняйте их.
• Выполните резервное копирование конфигурации.
Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и Citrix ADC CLI.
• Упражнение 1-1: Выполнение начальной настройки
• Упражнение 1-2: Выполнение базового администрирования
Прежде чем вы начнете:
Приблизительное время для завершения этого лабораторного модуля: 20 минут
Виртуальные машины, необходимые для этого модуля
Для модуля 1 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что следующие виртуальные машины
бегут. Если какая-либо из виртуальных машин не запущена, включите их с помощью диспетчера Hyper-V. В противном случае,
Для остальной части модуля диспетчер Hyper-V не понадобится.
• NYC-ADC-001
• NYC-ADC-002
• NYC-ADS-001
. URL-адреса управления для Citrix ADC:
• NYC-ADC-001 NSIP (начальный):
http://192.168.100.1
• NYC-ADC-001 NSIP (окончательный):
http://192.168.10.101
• NYC-ADC-002 (NSIP):
http://192.168.10.102
• ADCMGMT SNIP (для NYC-ADC-001 и NYC-ADC-002): http://192.168.10.103.
9
Стр.10
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
7/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 1-1: Выполнение начальной настройки (GUI)
Введение:
В этом упражнении вы научитесь выполнять настройку Citrix ADC с помощью начальной
Мастер настройки и другие связанные задачи в графическом интерфейсе программы настройки Citrix ADC. После
В этой начальной конфигурации вы обновите существующий Citrix ADC до Citrix ADC
Citrix NYC-ADC-001 начинается с адреса NSIP по умолчанию 192.168.100.1 с маской подсети / 16.
Во время начальной настройки вы измените NSIP со значения по умолчанию на назначенное
Адрес NSIP для этой среды 192.168.10.101 с маской подсети / 24.
В этом упражнении вы будете выполнять следующие задачи:
• Настроить начальный NSIP и SNIP.
• Настроить DNS, имя хоста и синхронизацию времени
• Лицензировать Citrix ADC Appliance
• Обновление с Citrix ADC до Citrix ADC
Хотя обычно пароль для nsroot также должен быть изменен, этот пароль не будет
изменились в лабораторных упражнениях.
Шаг
1.
Действие
Откройте веб-браузер, чтобы подключиться к NYC-ADC-001, используя адрес NSIP по умолчанию. Просмотрите к
http://192.168.100.1.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Примечание :
Если вы получите запрос от Google Chrome на сохранение пароля, нажмите « Никогда» . NSIP по умолчанию
адрес будет изменен в этом упражнении. В результате URL-адрес подключения изменится на
постоянный IP-адрес на более поздних этапах.
2.
Щелкните Пропустить, чтобы выйти из программы улучшения взаимодействия с пользователем Citrix, если будет предложено.
3.
Откроется мастер начальной настройки. Это позволит новому администратору выполнять такие задачи, как
как изменение адреса NSIP и настройка IP-адреса подсети, имени хоста, DNS и других
настройки.
10
Стр. 11
CNS-218-3I Citrix ADC 12.x Essentials
4.
Щелкните IP-адрес NetScaler в разделе 1, чтобы изменить адрес NSIP:
• Введите 192.168.10.101 в поле IP-адрес NetScaler.
• Введите 255.255.255.0 в поле Маска сети.
• Снимите флажок изменить пароль администратора.
Нажмите " Перезагрузить" .
Изменение адреса NSIP вступит в силу только после перезапуска.
Примечание . В производственной среде настоятельно рекомендуется всегда менять пароль nsroot.
Мы пропустим этот шаг в этой лабораторной работе.
5.
Дождитесь завершения перезагрузки. Затем вам нужно будет подключиться к новому адресу NSIP, чтобы возобновить
https://translate.googleusercontent.com/translate_f
8/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
настройка Citrix ADC. Браузер не будет автоматически подключаться к новому адресу, когда
таймер перезапуска истекает, и вместо этого будет продолжаться попытка использования старого адреса.
Подключитесь к Citrix ADC Configuration Utility для NYC-ADC-001, используя новый адрес NSIP по адресу
http://192.168.10.101 .
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Примечание . Если появляется всплывающее окно с вопросом « Хотите ли вы, чтобы Google Chrome сохранил ваш пароль для этого сайта?»
Щелкните Сохранить.
Если появится всплывающее окно с просьбой войти в Chrome, нажмите Нет, спасибо.
11
Стр.12
CNS-218-3I Citrix ADC 12.x Essentials
6.
Щелкните IP-адрес подсети в разделе 2, чтобы назначить адрес SNIP:
• Введите 192.168.10.111 в поле IP-адрес подсети.
• Введите 255.255.255.0 в поле Маска сети.
Щелкните Готово .
Этот протокол SNIP будет использоваться для трафика приложений между Citrix ADC и внутренними серверами.
7.
Щелкните Имя хоста, IP-адрес DNS и Часовой пояс в разделе 3, чтобы настроить дополнительные параметры:
• Введите NYC-ADC-001 в поле Host Name.
• Введите 192.168.30.11 в поле IP-адрес DNS. Пусть часовой пояс будет по умолчанию.
Щелкните Готово .
8.
Щелкните Лицензии в разделе 4, чтобы загрузить файлы лицензий в Citrix ADC:
• Выберите Загрузить файлы лицензии.
• Щелкните Обзор, чтобы выбрать файл на локальном компьютере.
• Перейдите в папку C: \ Resources \ Citrix ADC License \
• Выберите CitrixADC_VPX1_PLT_Citrix_Education_Expires_20191201.lic и нажмите « Открыть» .
Нажмите Reboot и нажмите Yes, чтобы сохранить конфигурацию.
9.
Подождите, пока Citrix ADC перезапустится.
10.
Подключитесь к программе настройки Citrix ADC NYC-ADC-001 по адресу http://192.168.10.101 .
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
https://translate.googleusercontent.com/translate_f
9/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
12
Стр. 13
CNS-218-3I Citrix ADC 12.x Essentials
11.
Примечание. Если у вас возникли проблемы с часовым поясом, вы можете вручную установить часовой пояс в интерфейсе командной строки.
путем доступа через значок PuTTY.exe на рабочем столе HOST.
Используйте следующие команды ниже:
показать параметр ns | grep <city> -i # для городов с пробелами в названиях искать только часть или предполагать
разделенные знаком подчеркивания "_"
set ns param -timezone "<timezonestring>" # включить кавычки
Примеры:
США EST / EDT: GMT-05: 00-EST-America / New_York
США PST / PDT: GMT-08: 00-PST-America / Los_Angeles
Лондон GMT / BST: GMT + 00: 00-GMT-Европа / Лондон
12.
Убедитесь, что файл лицензии применен правильно.
Окно Лицензии должно отображаться по умолчанию и содержать список всех лицензионных функций, кроме
Позвони домой.
Закройте окно «Лицензии».
13.
Теперь отображается консоль конфигурации вместо мастера начальной настройки.
13
Стр. 14
https://translate.googleusercontent.com/translate_f
10/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
14.
Настройте маршрут и шлюз по умолчанию для сети 192.168.10.0 / 24:
• Перейдите в Система> Сеть> Маршруты .
• Щелкните Добавить .
Настроить маршрут:
• Введите 0.0.0.0 в поле «Сеть».
• Введите 0.0.0.0 в поле Маска сети.
• Выберите Нет для ПУСТОГО маршрута.
• Введите 192.168.10.254 в поле Шлюз.
• Щелкните " Создать" .
Примечание . Мы используем внутренний маршрут по умолчанию, потому что собираемся настраивать Mac.
На основе пересылки.
14
Стр. 15
CNS-218-3I Citrix ADC 12.x Essentials
15.
Настройте сервер NTP для синхронизации на Citrix ADC с помощью AD.workspacelab.com
(192.168.30.11) в качестве сервера NTP:
• Перейдите в раздел Система> Серверы NTP .
• Нажмите « Добавить» на панели «Серверы NTP».
Создайте NTP-сервер:
• Введите 192.168.30.11 в поле NTP-сервер.
• Щелкните " Создать" .
https://translate.googleusercontent.com/translate_f
11/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
16.
Установите предпочтительный сервер NTP:
• Выберите 192.168.30.11 на панели «Серверы NTP» и нажмите « Изменить» .
• Выберите « Установить как предпочтительный сервер NTP» .
• Щелкните ОК .
17.
Включить синхронизацию NTP:
• Щелкните правой кнопкой мыши 192.168.30.11 на панели «Серверы NTP» и выберите « Синхронизация NTP» .
• Выберите « Включено» для состояния синхронизации.
• Щелкните ОК .
18.
Измените параметры тайм-аута сеанса бездействия с 900 секунд (15 минут) по умолчанию на 43200
(24 часа).
• Перейдите в раздел Система> Настройки .
• Щелкните « Изменить глобальные параметры системы» .
• Найдите тайм-аут простоя сеанса в разделе интерфейса командной строки (CLI).
• Введите 43200 в поле Тайм-аут простоя (сек) в интерфейсе командной строки.
раздел.
• Щелкните OK (внизу страницы).
Примечание . Увеличение тайм-аута простоя сеанса может представлять угрозу безопасности. Это увеличивается в лаборатории
для упрощения конфигурации лаборатории во время упражнений. Не увеличивайте стоимость производства сверх
разумное окно для защиты от несанкционированного доступа через устаревшие консоли администратора.
15
Стр.16
CNS-218-3I Citrix ADC 12.x Essentials
19.
Сохраните конфигурацию Citrix ADC.
• Щелкните значок гибкого диска в правом верхнем углу Утилиты настройки, чтобы сохранить
рабочая конфигурация.
• Щелкните Да, чтобы подтвердить сохранение текущей конфигурации.
Примечание. В следующих шагах будет указано только: «Сохраните конфигурацию Citrix ADC и подтвердите».
(Необязательно) Установите время вручную на устройстве Citrix ADC
1.
Примечание . Если выбранный часовой пояс не сохранился, выполните следующие действия.
для ручной установки времени на Citrix ADC>
Подключитесь к NYC-ADC-001 через PuTTY, чтобы получить доступ к CLI.
Откройте сеанс PuTTY на NYC-ADC-001.
• Запустите значок PuTTY.exe с рабочего стола HOST.
• Выберите NYC-ADC-001 и нажмите « Открыть».
• Войдите, используя nsroot / nsroot
2.
Подтвердите текущие настройки даты и времени, введя следующие команды:
Оболочка
Дата
https://translate.googleusercontent.com/translate_f
12/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
16
Стр.17
CNS-218-3I Citrix ADC 12.x Essentials
3.
Вручную настройте время и дату на Citrix ADC в соответствии с выбранным часовым поясом.
Примечание. Чтобы изменить время на устройстве Citrix ADC, используйте команду date с
+ параметр val (значение), за которым следует полная дата и время.
ПРИМЕР: дата + значение ГГММДДЧЧММ
запрошенные дата и время - 09.10.18 в 15:47, команда будет выглядеть
следующим образом: date + val1810091547
Куда :
YY = год
MM = Месяц
DD = День
HH = час
MM = Минуты
Используйте следующую команду, заменив ГГММДДЧЧММ на дату и время.
информацию о зоне, которую вы выбрали.
date + val ГГММДДЧЧММ
4.
Подтвердите текущие настройки даты и времени, введя следующие команды:
Дата
Заметка:
5.
Вернитесь в графический интерфейс и сохраните конфигурацию Citrix ADC.
17
https://translate.googleusercontent.com/translate_f
13/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр.18
CNS-218-3I Citrix ADC 12.x Essentials
Обновите NetScaler до Citrix ADC
6.
Откройте браузер и подключитесь к утилите настройки NetScaler.
• NYC-ADC-001: http://192.168.10.101
7.
Определите, что на NetScaler установлена текущая версия прошивки. В графическом интерфейсе версия
отображается рядом с опцией выхода.
NetScaler NYC-ADC-001 находится на версии 12.0 51.24.nc
8.
В графическом интерфейсе NetScaler:
• Перейдите к системе .
• Щелкните Обновление системы .
• Щелкните стрелку вниз справа от кнопки « Обзор» и выберите « Устройство» .
• Дважды щелкните build-12.1-51.19_nc в каталоге / var / nsinstall /.
• Выберите build-12.1-51.19_nc_64.tgz и нажмите « Открыть» .
Настройте дополнительные параметры:
• Щелкните Еще .
• Отключите Включить CallHome .
• Щелкните « Обновить» .
Примечание. Это займет от 1 до 5 минут. Если процесс дольше зависает при извлечении
Процесс Python nitro Нажмите Stop, затем Close и снова нажмите Upgrade, чтобы завершить обновление.
процедура.
18
Стр.19
CNS-218-3I Citrix ADC 12.x Essentials
9.
Дождитесь завершения процесса обновления. Прогресс можно наблюдать во всплывающем окне.
• Когда консоль запрашивает root-доступ, что установка завершена. Требуется перезагрузка
чтобы изменения конфигурации вступили в силу , нажмите « Закрыть» в окне « Обновление системы» .
• Закройте снова.
• Нажмите « Перезагрузить» на панели « Информация о системе» .
• Снимите флажок « Сохранить конфигурацию» и нажмите « ОК» .
• Дождитесь завершения перезапуска.
• После перезагрузки закройте окно браузера.
https://translate.googleusercontent.com/translate_f
14/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
10.
Повторно подключитесь к NYC-ADC-001 NSIP (192.168.10.101).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Ключевые выводы :
• Мастер начальной настройки можно использовать для изменения адреса NSIP в любое время.
Эквивалент в интерфейсе командной строки - это команда config ns. Для изменения NSIP требуется
начать сначала.
• Сохраненная конфигурация Citrix ADC, файлы лицензирования и настройки синхронизации NTP.
хранятся во флэш-памяти в каталогах / nsconfig / и / nsconfig / licenses /.
Упражнение 1-2: Выполнение базового администрирования (GUI)
Введение:
19
Стр.20
CNS-218-3I Citrix ADC 12.x Essentials
В этом упражнении вы научитесь выполнять важные административные задачи с помощью Citrix ADC.
Графический интерфейс служебной программы настройки.
В этом упражнении вы будете выполнять следующие задачи:
• Включить функции Citrix ADC
• Просмотр текущих и сохраненных конфигураций и различий конфигураций
• Резервное копирование конфигурации Citrix ADC (/ nsconfig)
О Citrix ADC Configuration Management
Под текущей конфигурацией понимается конфигурация Citrix ADC в памяти. Конфигурация
изменения активны в момент их выполнения и являются частью текущей конфигурации.
Текущую конфигурацию можно просмотреть в узле Система> Диагностика или запустив
"показать ns runningConfig" в CLI. Применяются графический интерфейс утилиты настройки Citrix ADC и интерфейс командной строки.
изменения относительно текущей рабочей конфигурации.
Чтобы сохранить настройки, необходимо ввести команду сохранения конфигурации в графическом интерфейсе пользователя или в интерфейс
Команда configuration заставляет Citrix ADC записать текущую конфигурацию в файл. Этот файл
находится в /nsconfig/ns.conf (во флэш-памяти) и называется сохраненным файлом конфигурации. когда
Citrix ADC перезагружается, установленное ядро загружается в ОЗУ, а затем настройки из сохраненного
файл конфигурации применяется как новая рабочая конфигурация. Все несохраненные изменения теряются
во время перезапуска системы.
При изменении конфигурации текущую и сохраненную конфигурации можно сравнить с
посмотреть, какие настройки новые или еще не сохранены. Это может быть полезно при устранении неполадок.
В этом упражнении показано, как управлять сохраненной конфигурацией и сравнивать сохраненные и
рабочие конфигурации на Citrix ADC.
https://translate.googleusercontent.com/translate_f
15/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Включить функции Citrix ADC
Шаг
1.
Действие
Подключитесь к утилите настройки NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
20
Стр.21
CNS-218-3I Citrix ADC 12.x Essentials
2.
Включите функции Citrix ADC (Basic):
• Перейдите в раздел « Система»> «Настройки» на левой панели.
• Выберите « Настроить основные функции» на правой панели.
• Установите флажок и включите следующие функции:
Разгрузка SSL
Балансировки нагрузки
Фильтр содержимого
Переписать
HTTP-сжатие
Переключение контента
Щелкните ОК .
3.
Включите функции Citrix ADC (Дополнительно):
• Перейдите в раздел « Система»> «Настройки» на левой панели.
• Выберите « Настроить дополнительные функции» на правой панели.
• Выберите (отметьте) и включите следующую функцию:
Ответчик
Щелкните ОК .
4.
Не сохраняйте конфигурацию на этом этапе.
Просмотр запущенных и сохраненных конфигураций
Шаг
1.
Действие
Перейдите в Система> Диагностика .
ВАЖНО : Не сохраняйте конфигурацию, пока не получите инструкции в этом упражнении.
2.
Щелкните Сохраненная конфигурация, чтобы отобразить текущую сохраненную конфигурацию.
Обратите внимание, что нет команды «включить функцию ns» рядом с «включить режим ns» (строка 4) в
текущая сохраненная конфигурация.
3.
Щелкните Close .
4.
Щелкните Текущая конфигурация, чтобы отобразить текущую рабочую конфигурацию.
Обратите внимание, что на этот раз строка «enable ns feature» присутствует (строка 4) над «enable ns mode»
строка и включает в себя список функций, включенных в предыдущей задаче.
5.
Щелкните Close .
6.
Щелкните Saved v / s running, чтобы сравнить сохраненную и работающую конфигурации.
Убедитесь, что конфигурации идентичны, за исключением команды «enable ns feature».
7.
Щелкните Close .
8.
Сохраните конфигурацию Citrix ADC и подтвердите.
9.
Убедитесь, что сохраненная и текущая конфигурации совпадают:
• Перейдите в раздел Система> Диагностика .
• Щелкните Saved v / s running, чтобы сравнить сохраненную и работающую конфигурации.
• Убедитесь, что отображается сообщение «разница не обнаружена».
• Щелкните ОК .
• Щелкните " Закрыть" .
21 год
https://translate.googleusercontent.com/translate_f
16/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. 22
CNS-218-3I Citrix ADC 12.x Essentials
10.
Просмотр сведений о системе Citrix ADC:
• Перейдите к системе . (Выберите корневой узел.)
• Просмотр системной информации и информации об оборудовании на правой панели.
Выполнение резервного копирования конфигурации
Шаг
1.
Действие
Метод резервного копирования 1. Использование интерфейса командной строки и ручной команды tar.
Этот метод будет использовать tar для создания архива всего каталога / nsconfig.
Доступ к Citrix ADC CLI из программы настройки:
• Перейдите в раздел Система> Диагностика .
• Щелкните « Интерфейс командной строки» в разделе «Утилиты».
• Это позволяет получить доступ к сеансу CLI через SSH через окно веб-браузера.
В качестве альтернативы, SSH-соединение может быть выполнено с помощью PuTTY или другой программы для доступа к
CLI.
2.
Создайте архив. Введите следующую команду в поле команды и нажимайте Go после каждого
команда для отправки:
оболочка
tar -cvzf /var/tmp/backup.tgz / flash / nsconfig /
3.
Убедитесь, что резервная копия была создана:
Продолжайте использовать служебную программу интерфейса командной строки (CLI). Щелкните Go после каждой команды для отправки.
cd / var / tmp /
ls
4.
Щелкните Close .
5.
Используйте WinSCP для подключения к Citrix ADC NYC-ADC-001 (192.168.10.101):
• Откройте WinSCP с помощью ярлыка на рабочем столе.
• Дважды щелкните сохраненный сеанс NYC-ADC-001, чтобы подключиться к 192.168.10.101 .
• Войдите в систему с учетными данными, указанными ниже, и примите предупреждение системы безопасности, когда оно появится.
Имя пользователя: nsroot
Пароль: nsroot
6.
Скопируйте файл резервной копии с Citrix ADC на рабочий стол HOST:
• На правой панели перейдите в каталог / var / tmp / .
Используйте верхний значок, чтобы перейти на уровень каталога вверх, пока не дойдете до "/" (корень), затем перейдите к
/ var / tmp /.
• На левой панели перейдите к C: \ Resources \ на рабочем столе HOST.
• Скопируйте файл backup.tgz с Citrix ADC на рабочий стол HOST, перетащив файл из
правую панель в левую.
7.
Закройте WinSCP и нажмите OK для подтверждения.
22
Стр. 23
CNS-218-3I Citrix ADC 12.x Essentials
8.
Метод резервного копирования 2 - Использование функции резервного копирования и восстановления в графическом интерфейсе утилиты настройки.
• Перейдите в раздел Система> Резервное копирование и восстановление .
• Щелкните Резервное копирование.
Укажите файл резервной копии для создания:
• Введите backup1 в поле имени файла .
• Выберите « Полный» в раскрывающемся списке « Уровень» .
• Щелкните Резервное копирование .
Встроенная функция резервного копирования и восстановления выполняет двухуровневое резервное копирование: базовое или полное.
«Базовая» резервная копия создает резервные копии только файлов конфигурации в / nsconfig / и других файлов из выбранного
каталоги в / var / и / netscaler /. Он не включает сертификаты SSL или файлы лицензий. Полный"
https://translate.googleusercontent.com/translate_f
17/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
резервное копирование включает их. Подробную информацию см. В Руководстве администратора Citrix ADC .
Резервная копия создается в / var / ns_sys_backup / на Citrix ADC.
9.
Щелкните правой кнопкой мыши backup1.tgz и выберите Загрузить .
10.
Просмотрите загруженную папку.
• В зависимости от браузера у вас должна быть возможность выбрать файл для загрузки и выбрать Показать.
в папке .
• Или перейдите в каталог загрузок по умолчанию: C: \ users \ localuser \ Downloads .
• Убедитесь, что загрузка существует.
Ключевые выводы :
• Все изменения конфигурации применяются к текущей конфигурации в памяти. Несохраненный
настройки могут быть потеряны при перезапуске системы.
• Чтобы сохранить настройки, необходимо сохранить конфигурацию. Сохраненная конфигурация
находится во флэш-памяти в /flash/nsconfig/ns.conf.
• Следует выполнять резервное копирование конфигурации для резервного копирования сохраненной конфигурации и
другие важные настройки.
Упражнение 1-1: Выполнение начальной настройки (CLI)
Введение:
В этом упражнении вы будете выполнять задачи начальной настройки из интерфейса командной строки через SSH.
23
Стр. 24
CNS-218-3I Citrix ADC 12.x Essentials
Citrix ADC, NYC-ADC-001 начинается с адреса NSIP по умолчанию 192.168.100.1 с подсетью / 16
маска. Во время начальной настройки вы измените NSIP со значения по умолчанию на
назначенный NSIP-адрес для этой среды 192.168.10.101 с маской подсети / 24.
В этом упражнении вы будете выполнять следующие задачи:
• Настройте исходный NSIP и SNIP.
• Настройте DNS, имя хоста и синхронизацию времени.
• Лицензируйте устройство Citrix ADC.
Хотя обычно пароль для nsroot также должен быть изменен, этот пароль не будет
изменились в лабораторных упражнениях.
Шаг
1.
Действие
Подключитесь к NYC-ADC-001, используя NSIP-адрес по умолчанию (192.168.100.1), используя SSH (PuTTY):
• Используйте ярлык PuTTY на рабочем столе рабочего стола HOST ИЛИ
Пуск> Выполнить> шпатлевка 192.168.100.1
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Примечание . В этом упражнении будет изменен адрес NSIP по умолчанию. В результате URL-адрес подключения будет
измените на постоянный IP-адрес на более поздних этапах.
2.
Используйте команду config ns, чтобы начать начальную настройку Citrix ADC:
config ns
3.
Настройте NSIP, маску подсети и шлюз по умолчанию.
https://translate.googleusercontent.com/translate_f
18/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Используйте
config ns для
начального
адреса NSIP.
Затем он запросит маску подсети. + Изменить
значения по умолчанию
нанастройки
новые значения,
необходимые
для класса.
• Чтобы начать, введите вариант 1 :
• Введите IP-адрес Citrix ADC [192.168.100.1]: 192.168.10.101
• Введите маску сети (255.255.255.0): 255.255.255.0
• Введите опцию 7, чтобы применить изменения и выйти.
• Вы хотите сохранить новую конфигурацию? [Да]: введите Да
• Хотите перезагрузить систему сейчас? [НЕТ], введите « Да», чтобы перезагрузить сейчас.
Citrix ADC перезапустится. После перезапуска вступает в силу новый NSIP (192.168.10.101).
24
Стр.25
CNS-218-3I Citrix ADC 12.x Essentials
4.
Подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY):
• Используйте ярлык PuTTY на рабочем столе рабочего стола HOST ИЛИ
Пуск> Выполнить> шпатлевка 192.168.10.101
• При появлении запроса нажмите Да в предупреждении системы безопасности.
• Войдите в систему со следующими учетными данными:
Имя пользователя: nsroot
Пароль: nsroot
5.
Настройте маршрут и шлюз по умолчанию:
Добавьте шлюз по умолчанию в Citrix ADC для сети 192.168.10.0/24:
добавить маршрут 0.0.0.0 0.0.0.0 192.168.10.254
Примечание . Мы используем внутренний маршрут по умолчанию, потому что собираемся настраивать Mac.
На основе пересылки.
6.
Назначьте SNIP (192.168.10.111):
добавить ns ip 192.168.10.111 255.255.255.0 -тип SNIP
7.
Загрузите файл лицензии в Citrix ADC:
• Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001
(192.168.10.101).
• При необходимости нажмите Да в предупреждении системы безопасности.
• При необходимости войдите в систему с помощью nsroot / nsroot .
• На левой панели перейдите к C: \ Resources \ Citrix ADC License.
• На правой панели перейдите к / nsconfig / license /.
• Скопируйте файл лицензии CitrixADC_VPX1_PLT_Citrix_Education_Expires_20201201.lic из
C: \ Resources \ Citrix ADC license \ to / nsconfig / license / на Citrix ADC.
8.
Вернитесь в сеанс PuTTY и сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
9.
Выполните теплый перезапуск, чтобы применить изменения файла лицензии:
перезагрузка-теплая
При появлении запроса Вы действительно хотите перезапустить Citrix ADC (Да / Нет)? [N]:
введите Y
10. Повторно подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
https://translate.googleusercontent.com/translate_f
19/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
25
Стр. 26
CNS-218-3I Citrix ADC 12.x Essentials
11. Убедитесь, что лицензия была применена:
показать лицензию ns
Должны быть доступны почти все функции, включая балансировку нагрузки, разгрузку SSL, сжатие,
Ответчик и перезапись. Единственными недоступными функциями будут CallHome и Delta Compression.
12. Настройте имя хоста Citrix ADC:
установить ns hostname NYC-ADC-001
13. Настройте Citrix ADC с DNS-сервером (для разрешения имен):
добавить DNS-сервер 192.168.30.11
26
Стр. 27
CNS-218-3I Citrix ADC 12.x Essentials
14. Настройте синхронизацию времени NTP. Используйте контроллер домена ad.workspacelab.com
(192.168.30.11) в качестве сервера NTP.
Добавьте NTP-сервер:
добавить ntp сервер 192.168.30.11
Установить как предпочтительный сервер:
установить ntp server 192.168.30.11 -preferredNtpServer ДА
https://translate.googleusercontent.com/translate_f
20/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Включить синхронизацию NTP:
включить синхронизацию ntp
Примечание . Параметры синхронизации NTP находятся в файле /nsconfig/ntp.conf, а не в Citrix ADC.
запущенная или сохраненная конфигурация (/nsconfig/ns.conf).
15. Увеличьте тайм-аут простоя интерфейса командной строки.
Измените глобальный параметр (чтобы повлиять на всех пользователей):
установить системный параметр -timeout 43200
Измените параметры отображения режима CLI и тайм-аут сеанса (свойство пользователя для этого пользователя):
установить режим cli -color on -page off -timeout 43200
ВНИМАНИЕ: Этот шаг делается для упрощения управления подключением только в лабораторных целях.
Увеличение времени ожидания позволит сеансам CLI оставаться подключенными в течение более длительных периодов времени без
прекращение. Это позволит студентам продолжать сеансы SSH между лабораторными упражнениями. Этот
тайм-аут может быть неприемлемым в производственной среде, так как это может привести к безопасности
уязвимость, позволяя неавторизованным пользователям получить доступ к Citrix ADC через существующий
сеанс подключения администратора.
16. Отключите программу улучшения взаимодействия с пользователем Citrix:
установить системный параметр -doppler disabled
17. Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
Ручная установка времени на устройстве Citrix ADC
11.
Подключитесь к NYC-ADC-001 через PuTTY, чтобы получить доступ к CLI.
Откройте сеанс PuTTY на NYC-ADC-001.
• Запустите значок PuTTY.exe с рабочего стола HOST.
• Выберите NYC-ADC-001 и нажмите « Открыть».
• Войдите, используя nsroot / nsroot
27
Стр.28
CNS-218-3I Citrix ADC 12.x Essentials
12.
Подтвердите текущие настройки даты и времени, введя следующие команды:
Оболочка
Дата
13.
Вручную настройте время и дату на Citrix ADC в соответствии с выбранным часовым поясом.
Примечание. Чтобы изменить время на устройстве Citrix ADC, используйте команду date с
+ параметр val (значение), за которым следует полная дата и время.
ПРИМЕР: дата ГГММДДЧЧММ
запрошенные дата и время - 09.10.18 в 15:47, команда будет выглядеть
следующим образом: дата 1810091547
Куда :
YY = год
MM = Месяц
DD = День
HH = час
MM = Минуты
https://translate.googleusercontent.com/translate_f
21/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Используйте следующую команду, заменив ГГММДДЧЧММ на дату и время.
информация о зоне, которую вы выбрали, в 24-часовом формате
дата ГГММДДЧЧММ
14.
Подтвердите текущие настройки даты и времени, введя следующие команды:
Дата
15.
Сохраните конфигурацию Citrix ADC
28
Стр.29
CNS-218-3I Citrix ADC 12.x Essentials
Обновите NetScaler до Citrix ADC
16.
Откройте сеанс SSH с помощью PuTTY:
• Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
17.
NYC-ADC-001 - обновление Citrix ADC NYC-ADC-001
Извлечь файлы сборки:
Оболочка
cd /var/nsinstall/build-12.1-51.19_nc
ls
tar -zxvf build-12.1-51.19_nc_64.tgz
18.
После извлечения файлов запустите обновление:
./installns
После завершения установки выберите Y при появлении запроса на перезагрузку.
19.
Повторно подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Проверить версию:
показать версию ns
Ключевые выводы:
• Из интерфейса командной строки задачи начальной настройки обрабатываются как
отдельные задачи вместо использования универсального мастера, как в конфигурации графического интерфейса.
• NSIP можно настроить из интерфейса командной строки с помощью утилиты config ns. Изменение NSIP
требуется перезагрузка.
• Все команды в Citrix ADC активны и используются в тот момент, когда они настроены как
часть работающей конфигурации. При сохранении конфигурации сохраняются настройки и
https://translate.googleusercontent.com/translate_f
22/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
записывает их в файл. Сохранение конфигурации обязательно для сохранения текущих настроек.
29
Стр.30
CNS-218-3I Citrix ADC 12.x Essentials
• Сохраненная
конфигурация Citrix ADC, файлы лицензирования и параметры синхронизации NTP.
хранятся во флэш-памяти в каталогах / nsconfig / и / nsconfig / licenses /.
30
Стр.31
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 1-2: Выполнение базового администрирования (CLI)
Введение:
В этом упражнении вы научитесь выполнять важные административные задачи с помощью командной строки.
https://translate.googleusercontent.com/translate_f
23/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
интерфейс.
В этом упражнении вы будете выполнять следующие задачи:
• Включить функции.
• Просмотр текущих и сохраненных конфигураций и различий в конфигурациях.
• Создайте резервную копию конфигурации Citrix ADC (/ nsconfig).
О Citrix ADC Configuration Management
Под текущей конфигурацией понимается конфигурация Citrix ADC в памяти. Конфигурация
изменения вступают в силу в момент их настройки и являются частью текущей конфигурации. В
текущую конфигурацию можно просмотреть в узле Система> Диагностика или запустив "show
ns runningConfig "в интерфейсе командной строки. Применяются графический интерфейс программы настройки Citrix ADC и интерфейс кома
изменения относительно текущей рабочей конфигурации.
Чтобы сохранить настройки, необходимо ввести команду сохранения конфигурации в графическом интерфейсе пользователя или в интерфейс
Команда configuration заставляет Citrix ADC записать текущую конфигурацию в файл. Этот файл
находится в /nsconfig/ns.conf (во флэш-памяти) и называется сохраненным файлом конфигурации. когда
Citrix ADC перезагружается, установленное ядро загружается в ОЗУ, а затем настройки из сохраненного
файл конфигурации применяется как новая рабочая конфигурация. Все несохраненные изменения теряются
во время перезапуска системы.
При изменении конфигурации текущую и сохраненную конфигурации можно сравнить с
посмотреть, какие настройки новые или еще не сохраненные. Это может быть полезно в
исправление проблем.
В этом упражнении показано, как управлять сохраненной конфигурацией и сравнивать сохраненные и
рабочие конфигурации на Citrix ADC.
Шаг
1.
Действие
Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
ВАЖНО: Не сохраняйте конфигурацию, пока не получите инструкции в этом упражнении.
31 год
Стр.32
CNS-218-3I Citrix ADC 12.x Essentials
2.
Функции дисплея, лицензированные на Citrix ADC:
показать лицензию ns
3.
Функции отображения, включенные или отключенные на Citrix ADC:
показать нс особенность
https://translate.googleusercontent.com/translate_f
24/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
32
Стр. 33
CNS-218-3I Citrix ADC 12.x Essentials
4.
Включить функции Citrix ADC:
• Балансировка нагрузки (LB)
• Переключение контента (CS)
• Сжатие HTTP (CMP)
• Разгрузка SSL (SSL)
• Фильтрация содержимого (CF)
• Ответчик
• Переписать
включить функцию ns LB CS CMP SSL CF Responder Rewrite
5.
Просмотрите текущую рабочую конфигурацию:
показать ns runningConfig
Для просмотра или поиска текущей конфигурации можно использовать дополнительные команды:
показать ns runningConfig | Больше
показать ns runningConfig -withDefaults | Больше
Grep можно использовать для поиска в запущенной конфигурации. Grep обычно чувствителен к регистру; -я заставляет делонечувствительный поиск.
показать ns runningConfig | функция grep
показать ns runningConfig | grep route
показать ns runningConfig | grep "ns ip" –i
Примечание: если вам нужно получить результат, нажмите CTRL + C
6.
Просмотрите текущую сохраненную конфигурацию:
показать ns ns.conf
показать ns ns.conf | Больше
7.
Сравните текущую запущенную и сохраненную конфигурацию (вручную):
Запуск конфигурации:
показать ns runningConfig | функция grep
Сохраненная конфигурация:
показать ns ns.conf | функция grep
https://translate.googleusercontent.com/translate_f
25/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
33
Стр. 34
CNS-218-3I Citrix ADC 12.x Essentials
8.
Используйте команду diff для сравнения текущей и сохраненной конфигурации:
diff ns config -outtype cli
diff ns config -outtype cli | Больше
9.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
10.
Убедитесь, что нет разницы в запущенной и сохраненной конфигурации:
diff ns config -outtype cli
11.
Определите оборудование / тип продукта Citrix ADC:
показать оборудование ns
Результаты будут похожи на:
Платформа: Citrix ADC Virtual Appliance 450000
Дата выпуска: 17.02.2009
Процессор: 3500 мГц
Идентификатор хоста: XXXXXXXXXXX
Серийный номер: XXXXXXXXXXX
Закодированный серийный номер: XXXXXXXXXXXXXXXXXXXX
UUID Netscaler: xxxxxxxx-xxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx
12.
Метод резервного копирования 1. Использование интерфейса командной строки и ручной команды tar.
Этот метод будет использовать tar для создания архива всего каталога / nsconfig.
Доступ к оболочке BSD:
оболочка
Просмотрите каталог / flash / nsconfig /:
cd / flash / nsconfig /
ls
Создайте tar-архив каталога / flash / nsconfig / (и всех подкаталогов) в / var / tmp /
каталог:
tar -cvzf /var/tmp/backup.tgz / flash / nsconfig /
Примечание . Все команды, пути и имена файлов в BSD Shell чувствительны к регистру.
34
Стр. 35
CNS-218-3I Citrix ADC 12.x Essentials
13.
Убедитесь, что резервная копия была создана:
cd / var / tmp /
ls
https://translate.googleusercontent.com/translate_f
26/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
14.
Убедитесь,
существует
файл
с именем backup.tgz.
Выйдите изчто
Shell
и вернитесь
в CLI:
Выход
Примечание . Повторный запуск exit приведет к выходу из интерфейса командной строки и завершению сеанса SSH, закрыв PuTTY.
15.
Загрузите файл резервной копии из Citrix ADC с помощью WinSCP:
• Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001
(192.168.10.101) и войдите в систему с именем пользователя nsroot и паролем nsroot.
• На левой панели перейдите к C: \ Resources \.
• На правой панели перейдите к / var / tmp /.
• Скопируйте файл backup.tgz из / var / tmp / (правая панель) в C: \ Resources \ (левая панель). Копировать
файл, перетаскивая его с одной панели на другую.
Закройте WinSCP .
16.
Метод резервного копирования 2: Использование команды резервного копирования системы.
Этот метод аналогичен использованию утилиты резервного копирования и восстановления в графическом интерфейсе.
создать резервную копию системы backup1 - уровень полный
О резервном копировании и восстановлении Option выполняет двухуровневое резервное копирование: базовое или полное.
Basic выполняет резервное копирование только файлов конфигурации в / nsconfig / и других файлов из выбранных каталогов на
/ var / и / netscaler /. Он не включает сертификаты SSL или файлы лицензий. Полная резервная копия включает
эти. Подробные сведения см. В Руководстве администратора Citrix ADC .
Расположение резервной копии: / var / ns_sys_backup
17.
ДОПОЛНИТЕЛЬНО - Загрузите файл резервной копии из Citrix ADC с помощью WinSCP:
• Откройте WinSCP с помощью ярлыка на рабочем столе. Подключиться к NYC-ADC-001
(192.168.10.101).
• Войдите в систему с учетными данными nsroot / nsroot.
• На левой панели перейдите к C: \ Resources \
• На правой панели перейдите к / var / ns_sys_backup /
• Скопируйте файл backup1.tgz из / var / tmp / (правая панель) в C: \ Resources \ (левая панель).
Перетащите файл, чтобы скопировать его с одной панели на другую.
Закройте WinSCP.
Ключевые выводы:
• Все изменения конфигурации применяются к текущей конфигурации в памяти. Несохраненный
настройки могут быть потеряны при перезапуске системы.
• Чтобы сохранить настройки, необходимо сохранить конфигурацию. Сохраненная конфигурация
находится во флэш-памяти в /flash/nsconfig/ns.conf.
Резервное копирование конфигурации должно выполняться для резервного копирования сохраненной конфигурации и других
основные настройки.
35 год
Стр.36
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 2: Основы работы в сети.
Введение:
После первоначальной настройки Citrix ADC вам предстоит настроить Citrix ADC с
доступ к сети. Citrix ADC имеет встроенную конфигурацию с двумя интерфейсами.
Citrix ADC необходимо настроить со шлюзом по умолчанию для Citrix ADC Management.
сеть (192.168.10.0/24). Через сеть управления Citrix ADC также будет иметь
доступ к Backend сети (192.168.30.0/24). Виртуальные IP-адреса будут размещены в
Фронтенд-сеть (172.21.10.0/24).
В этой среде интерфейс 1/1 связан с сетью внешнего интерфейса, а интерфейс 1/2 связанные с сетями управления и серверной частью.
https://translate.googleusercontent.com/translate_f
27/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Рисунок 1: Упрощенная схема лабораторной сети
Во время сетевой конфигурации NYC-ADC-001 вам необходимо адресовать несколько
цели конфигурации.
Первоначальная работа в сети уже завершена в Модуле 1:
• Настройте SNIP для трафика приложений (192.168.10.111/24).
• Настройте маршрут по умолчанию для Citrix ADC Management Network (шлюз
192.168.10.1).
Требования для этого сценария:
• Проверьте возможность подключения к внутренней сети (192.168.30.0/24).
36
Стр. 37
CNS-218-3I Citrix ADC 12.x Essentials
• Внедрить
конфигурацию VLAN и предотвратить доступ к адресу NSIP из
Frontend Network и связанный интерфейс (1/1 ).
• Включите пересылку на основе MAC-адресов, чтобы трафик возвращался через тот же интерфейс, на котором он
был получен.
О конфигурации VLAN:
Этот Citrix ADC развертывается во встроенной конфигурации, где интерфейс 1/1 будет действовать как
интерфейс с доступом к сети 172.21.10.0/24 (Frontend) и интерфейс 1/2 будет
выступать в качестве внутреннего интерфейса с доступом к 192.168.10.0/24 (Управление) и
192.168.30.0/24 (Backend) сети.
NSIP будет по-прежнему связан с собственной VLAN (VLAN 1). Но интерфейс
интерфейс (1/1) будет связан с VLAN 2, что удалит его из собственной VLAN. Этот
изолирует интерфейс 1/1 от доступа к NSIP. Остался только один интерфейс
с VLAN 1 это эффективно изолирует NSIP (и другие управляющие SNIP), чтобы
доступный из VLAN 1 через интерфейс 1/2.
Дополнительные требования для этого сценария:
• Настройте VLAN 2 на Citrix ADC и ограничьте его только интерфейсом 1/1.
• Свяжите сеть с VLAN 2 и интерфейсом 1/1 для внешних ресурсов. Фронтенд
В сети будут размещаться только виртуальные IP-адреса, поэтому дополнительных IP-адресов подсети не будет.
потребуется. Вместо этого создайте начальный виртуальный IP-адрес 172.21.10.101 с
255.255.255.0 Netmask и привяжите ее к VLAN 2. Это ограничит доступ ко всем виртуальным IP-адресам.
адреса в сети 172.21.10.0 / 24, которые будут настроены в последующих упражнениях на
только интерфейс 1/1 и VLAN 2.
Сводка конфигурации VLAN:
VLAN
1
Интерфейс
1/2
IP-адрес и сетевая маска
<По умолчанию>
Детали
NSIP и SNIP в сети 192.168.10.0 / 24.
Доступен для серверных ресурсов
2
1/1
172.21.10.101 / 24
https://translate.googleusercontent.com/translate_f
Фронтенд VIP-сеть
28/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
После завершения этого лабораторного модуля вы сможете:
• Настроить интерфейс, IP-адрес и свойства маршрута на Citrix ADC.
• Свяжите IP-адреса и интерфейсы с VLAN для управления потоком трафика.
37
Стр.38
CNS-218-3I Citrix ADC 12.x Essentials
Этот модуль содержит следующее упражнение с использованием графического интерфейса Citrix ADC Configuration Utility и
интерфейс командной строки Citrix ADC:
• Упражнение 2-1: Настройка сети
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 10 минут.
Виртуальные машины, необходимые для этого модуля
Для модуля 2 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что следующие
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
Упражнение 2-1: Настройка сети (GUI)
Введение:
В этом упражнении вы научитесь настраивать виртуальный IP-адрес, виртуальные локальные сети и пересылку на базе Mac. Вы
будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Проверьте подключение к сети.
• Настройте VLAN 2 и ограничьте доступ к интерфейсу 1/1 и диапазону виртуальных IP-адресов.
• Включите режим пересылки на основе MAC.
Шаг
1.
Действие
Подключитесь к утилите настройки Citrix ADC NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя:
nsroot
Пароль:
nsroot
38
Стр. 39
CNS-218-3I Citrix ADC 12.x Essentials
2.
Протестируйте подключение от Citrix ADC к внутреннему сетевому адресу:
• Перейдите в раздел Система> Диагностика .
https://translate.googleusercontent.com/translate_f
29/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Ping (в разделе «Утилиты»).
Используйте следующие параметры:
• Введите 192.168.30.51 в поле Имя хоста .
• Тип 3 в Графе поле.
• Щелкните Выполнить .
Подождите несколько секунд, пока отобразится вывод ping, и подтвердите подключение к серверной части.
адреса (в сети 192.168.30.0/24).
• Нажмите « Закрыть» и « Закрыть», чтобы закрыть утилиту ping.
3.
Настройте диапазон виртуальных IP-адресов, используя виртуальный IP-адрес с маской подсети.
Добавьте виртуальный IP:
• Перейдите в раздел Система> Сеть> IP-адреса .
• Щелкните Добавить .
Создайте IP-адрес (VIP1):
• Введите 172.21.10.101 в поле IP-адрес .
• Введите 255.255.255.0 в поле Маска сети .
• Выберите Virtual IP из раскрывающегося списка IP Type .
• Снимите флажок «Включить контроль доступа к управлению» для поддержки перечисленных ниже приложений .
• Щелкните Да, чтобы подтвердить настройку.
• Щелкните " Создать" .
Примечание . Все виртуальные IP-адреса на этом узле Citrix ADC будут находиться в подсети 172.21.10.0 / 24.
В этом упражнении добавляется начальный VIP 172.21.10.101 и определяется подсеть. Подсеть находится
настроен для связи с VLAN в более позднем упражнении.
4.
Убедитесь, что следующие IP-адреса отображаются в списке IP-адресов IPV4 в разделе Система>
Сеть> IP-адреса :
• 192.168.10.101 (NSIP)
• 192.168.10.111 (SNIP)
• 172.21.10.101 (VIP)
5.
Создайте VLAN для Frontend Network, в которой находятся VIP, и свяжите ее с
внешний интерфейс 1/1.
• Перейдите в раздел Система> Сеть> VLAN .
• Щелкните Добавить .
39
Стр. 40
CNS-218-3I Citrix ADC 12.x Essentials
6.
Создайте VLAN 2 и привяжите его к интерфейсу 1/1 и IP-подсети 172.21.10.101 / 24:
• Введите 2 в поле VLAN ID .
• Установите флажок 1/1 на вкладке « Привязки интерфейса ». Tagged поле флажок
должен оставаться невыделенным.
• Щелкните вкладку « Привязки IP-адресов ».
• Установите флажок 172.21.10.101, чтобы связать VIP и его подсеть с VLAN.
• Щелкните " Создать" .
Примечание . При привязке интерфейса 1/1 к VLAN 2 он удаляется из VLAN 1 по умолчанию на Citrix ADC.
Связывание виртуального IP-адреса 172.21.10.101 / 24 с VLAN также приводит к принудительному использованию всех виртуальных IP-адресов в этой сети.
быть связанным только с MAC-адресом интерфейса 1/1.
Если к VLAN 2 привязан неправильный интерфейс или IP-адрес, учащиеся могут потерять доступ к Citrix.
Интерфейс управления АЦП. Используйте Hyper-V Manager для доступа к консоли NYC-ADC-001 и
удалите VLAN и заново настройте правильную VLAN с помощью интерфейса командной строки.
7.
Проверьте конфигурацию VLAN:
• Просмотрите сводку VLAN, выбрав Система> Сеть> VLAN .
• Убедитесь, что VLAN 1 связана с привязанными интерфейсами 0/1 и LO / 1.
• Убедитесь, что VLAN 2 связана с привязанным интерфейсом 1/1.
РЕЗУЛЬТАТ: NSIP, SNIP и VLAN 1 доступны из внутреннего интерфейса 0/1.
Все VIP и VLAN 2 доступны через интерфейс 1/1.
https://translate.googleusercontent.com/translate_f
30/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
8.
Включите режим пересылки на основе MAC-адресов (MBF):
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить режимы» .
• Установите флажок Пересылка на основе MAC .
• Оставьте выбранными существующие режимы.
• Щелкните ОК .
Примечание . Мы включаем переадресацию на базе Mac, чтобы упростить нашу таблицу маршрутизации. MBF должен быть
используется в определенных средах и определенных сетевых настройках. Некоторые функции, такие как PBR, не будут
работа с МБФ.
9.
Протестируйте подключение от Citrix ADC к внутреннему сетевому адресу:
• Перейдите в раздел Система> Диагностика .
• Щелкните Ping (в разделе «Утилиты»).
Используйте следующие параметры:
• Введите 192.168.30.51 в поле Host Name .
• Тип 3 в Графе поле.
• Щелкните R un .
Подождите несколько секунд, пока отобразится вывод ping, и подтвердите подключение к серверной части.
адреса (в сети 192.168.30.0/24).
• Нажмите « Закрыть» и « Закрыть», чтобы выйти из утилиты ping.
10.
Сохраните конфигурацию Citrix ADC и подтвердите.
Ключевые выводы :
40
Стр. 41
CNS-218-3I Citrix ADC 12.x Essentials
• Указан маршрут по умолчанию, чтобы гарантировать доступ к NSIP и управлению
сеть.
• IP-адреса на Citrix ADC принадлежат всем интерфейсам (по умолчанию). Чтобы ограничить доступ
для определенных IP-адресов и определенного интерфейса используйте VLAN.
• NSIP связан с NSLAN. По умолчанию NSVLAN является собственной VLAN на
устройство, VLAN 1. Хотя NSVLAN можно изменить, желательно оставить ее включенной.
VLAN1. Поскольку все интерфейсы также связаны с VLAN 1, NSIP доступен из
все интерфейсы по умолчанию.
• Интерфейс может одновременно участвовать только в одной VLAN на основе порта. Связывая
интерфейс с VLAN, вы можете ограничить, какие интерфейсы имеют или не имеют доступ к
родной VLAN. В результате доступ к NSIP может быть ограничен только определенными интерфейсами, как
соответствующий.
https://translate.googleusercontent.com/translate_f
31/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
41 год
Стр. 42
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 2-1: Настройка сети (CLI)
Введение:
В этом упражнении вы научитесь настраивать виртуальный IP-адрес, виртуальные локальные сети и пересылку на основе MAC-адресов. Вы
будет использовать интерфейс командной строки для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Проверьте подключение к сети.
• Настройте VLAN 2 и ограничьте доступ к интерфейсу 1/1 и диапазону виртуальных IP-адресов.
• Включите режим пересылки на основе MAC.
Шаг
1.
Действие
Подключитесь к NYC-ADC-001, используя новый NSIP (192.168.10.101), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Проверить подключение:
пинг -c 3 192.168.30.51
3.
Добавьте виртуальный IP-адрес в Citrix ADC:
добавить ns ip 172.21.10.101 255.255.255.0 -тип VIP
Примечание . Все виртуальные IP-адреса, которые будет размещен Citrix ADC, будут находиться в подсети 172.21.10.0 / 24.
В этом упражнении добавляется начальный VIP 172.21.10.101 и определяется подсеть. Подсеть находится
настроен для связи с VLAN в более позднем упражнении.
42
Стр. 43
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
32/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
4.
Настройте VLAN:
• Создайте VLAN: (для внешней сети)
добавить vlan 2
• Привяжите VLAN к внешнему интерфейсу:
привязать vlan 2 -ifnum 1/1
• Привяжите IP-адрес подсети к этой VLAN (для источника трафика от Citrix ADC к
бэкэнд-серверы):
привязать vlan 2 -ipAddress 172.21.10.101 255.255.255.0
РЕЗУЛЬТАТ: NSIP, SNIP и VLAN 1 доступны из «внутреннего» интерфейса (1/2).
Все VIP доступны через интерфейс "внешнего интерфейса" (1/1).
Примечание . При привязке интерфейса 1/1 к VLAN 2 он удаляется из VLAN 1 по умолчанию на Citrix ADC.
Связывание виртуального IP-адреса 172.21.10.101 / 24 с VLAN также приводит к принудительному использованию всех виртуальных IP-адресов в этом
сеть должна быть связана только с MAC-адресом интерфейса 1/1.
Если к VLAN 2 привязан неправильный интерфейс или IP-адрес, студенты могут потерять доступ к Citrix.
Интерфейс управления АЦП. В этом случае используйте Hyper-V Manager для доступа к консоли для NYCADC-001, удалите VLAN и переконфигурируйте правильную VLAN с помощью интерфейса командной строки.
5.
Проверьте конфигурацию VLAN:
показать влан
Убедитесь, что интерфейсы 1/2 и интерфейс обратной связи (LO / 1) по-прежнему являются частью VLAN 1.
Убедитесь, что интерфейс 1/1 и IP-адрес подсети связаны с VLAN 2.
6.
Включите пересылку на основе MAC:
включить режим ns mbf
или
включить пересылку на основе MAC-адресов в режиме ns
Примечание . Мы включаем переадресацию на базе Mac, чтобы упростить нашу таблицу маршрутизации. MBF должен быть
используется в определенных средах и определенных сетевых настройках. Некоторые функции, такие как PBR, не будут
работа с МБФ.
7.
Протестируйте конфигурацию:
пинг -c 3 192.168.30.51
8.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
Ключевые выводы:
• Указан маршрут по умолчанию, чтобы гарантировать доступ к NSIP и управлению
сеть.
43
Стр.44
CNS-218-3I Citrix ADC 12.x Essentials
• IP-адреса в Citrix ADC принадлежат всем интерфейсам (по умолчанию). Чтобы ограничить доступ
для определенных IP-адресов и определенного интерфейса используйте VLAN.
• NSIP связан с NSLAN. По умолчанию NSVLAN является собственной VLAN на
устройство, VLAN. 1. Хотя NSVLAN можно изменить, мы рекомендуем оставить его
на VLAN1. Поскольку все интерфейсы также связаны с VLAN 1, NSIP доступен.
со всех интерфейсов по умолчанию.
• Интерфейс может одновременно участвовать только в одной VLAN на основе порта. Связывая
интерфейс с VLAN, вы можете ограничить, какие интерфейсы имеют или не имеют доступ к
родной VLAN. В результате доступ к NSIP может быть ограничен только определенными интерфейсами, как
соответствующий.
https://translate.googleusercontent.com/translate_f
33/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
44
Стр.45
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 4: Высокая доступность.
Введение:
Теперь, когда NYC-ADC-001 настроен с адресом NSIP, лицензированием и полностью настроен на
сети, ваша задача - настроить NYC-ADC-001 и NYC-ADC-002 в пару с высокой доступностью.
с NYC-ADC-001 в качестве основного Citrix ADC.
В этом модуле вы будете выполнять практические упражнения по созданию пары высокой доступности.
Требования для этого сценария:
• Настройте пару HA с помощью NYC-ADC-001 (192.168.10.101) и NYC-ADC-002
(192.168.10.102).
• Используйте NYC-ADC-001 в качестве авторитетного Citrix ADC во время первоначального создания HA.
пара, чтобы ее настройки использовались в качестве основной конфигурации.
• Настройте управляющий SNIP для пары HA, который можно использовать для администрирования
текущий основной Citrix ADC в паре. Ограничьте этот SNIP только доступом для управления.
Цель упражнения по высокой доступности - позволить студентам не просто настраивать HA.
Сопряжение, но также продолжить работу и администрирование пары высокой доступности на протяжении всего остального
курс. Оба члена останутся активными членами пары HA во время предстоящих учений.
(за исключением упражнения по устранению неполадок). Вам не нужно будет разрывать пару HA во время
курс.
После завершения этого лабораторного модуля вы сможете:
• Настройте пару высокой доступности и укажите, какой Citrix ADC является основным.
• Настройте параметры высокой доступности для управления переключением при отказе, синхронизацией и распространением.
• Управляйте парой высокой доступности, используя общий адрес SNIP.
Модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и
интерфейс командной строки Citrix ADC:
https://translate.googleusercontent.com/translate_f
34/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Упражнение: настройка пары высокой доступности.
• Упражнение: управление парой HA
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 30 минут.
Виртуальные машины, необходимые для этого модуля
45
Стр. 46
CNS-218-3I Citrix ADC 12.x Essentials
Для модуля 4 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
• NYC-ADC-002
46
Стр. 47
https://translate.googleusercontent.com/translate_f
35/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 4-1: Настройка пары высокой доступности (GUI)
Введение:
В этом упражнении вы научитесь настраивать пару HA. NYC-ADC-001 имеет начальные конфигурации
связанных с сетями, которые необходимо сохранить. Процедура этого упражнения будет
продемонстрировать, как создать пару HA и контролировать, какая система определена как первичная в
начальная конфигурация. Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC.
упражнение.
В этом упражнении вы выполните следующие задачи для настройки пары высокой доступности:
• Подготовка: убедитесь, что у обоих Citrix ADC настроен адрес NSIP и что они
должным образом лицензирован. Также убедитесь, что все Citrix ADC относятся к одной и той же платформе (VPX, MPX,
или экземпляр SDX), модель и версию прошивки Citrix ADC.
• Установите для предполагаемого вторичного Citrix ADC значение StaySecondary до создания пары HA.
• На предполагаемом первичном Citrix ADC настройте пару HA и укажите на вторичный
NSIP Citrix ADC. Через графический интерфейс дополнительный Citrix ADC также настраивается для присоединения
пара.
• Убедитесь, что оба Citrix ADC входят в пару HA и что синхронизация HA прошла успешно.
• Выполните обновление прошивки пары HA
• Удалите опцию StaySecondary с вторичного Citrix ADC и восстановите ее до
нормальное участие в HA (статус HA включен).
• Тестируйте аварийное переключение, чтобы подтвердить работу высокой доступности.
• Сохраните конфигурацию.
В конце этого упражнения оба члена будут постоянными участниками в HA.
пара и аварийное переключение могут происходить свободно. Для следующей пары упражнений обратите внимание на то,
подключены к первичному или вторичному члену пары высокой доступности. Устройство Citrix ADC в
Вторичное состояние всегда будет выдавать следующее всплывающее окно, когда пользователь входит в систему:
47
Стр. 48
CNS-218-3I Citrix ADC 12.x Essentials
Во время этого упражнения команды настройки будут выданы двум разным Citrix ADC. Платить
внимание к системе, к которой относится каждый лабораторный шаг или группа шагов. Для достижения наилучших результатов откройте два
https://translate.googleusercontent.com/translate_f
36/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
разные окна браузера и расположите их рядом или так, чтобы вы могли легко переключаться обратно
и далее между Citrix ADC.
Шаг
1.
Действие
Откройте два разных окна веб-браузера:
• В первом браузере подключитесь к программе настройки Citrix ADC NYC-ADC-001 по адресу
http://192.168.10.101 .
Войдите в систему как nsroot / nsroot.
• Во втором браузере подключитесь к утилите настройки Citrix ADC NYC-ADC-002 по адресу
3.
Войдите в систему как nsroot / nsroot.
Примечание . Если появится всплывающее окно для сохранения пароля в Google Chrome, нажмите « Сохранить» .
2.
NYC-ADC-002 - нажмите « Пропустить», чтобы выйти из программы Citrix User Experience Improvement Program.
3.
NYC-ADC-002 - отображается мастер начальной настройки, поскольку некоторые важные настройки не
пока не настроил. Обойти мастера:
• Щелкните IP-адрес подсети (раздел 2) и щелкните Сделать позже .
• Щелкните Имя хоста, IP-адрес DNS и Часовой пояс, а затем щелкните Сделать позже .
• Нажмите « Продолжить», чтобы перейти к программе настройки Citrix ADC.
48
Стр. 49
CNS-218-3I Citrix ADC 12.x Essentials
4.
NYC-ADC-001 - Подготовьтесь к HA, просмотрев начальные настройки:
Определите текущие IP-адреса, принадлежащие Citrix ADC:
• Перейдите в раздел Система> Сеть> IP-адреса .
• Обратите внимание на уже настроенные NSIP, SNIP и VIP.
Просмотрите текущее состояние узла для автономного Citrix ADC:
• Перейдите в раздел Система> Высокая доступность> Узлы .
• Убедитесь, что в списке указан только один узел (узел 0) и ему назначен NSIP NYC-ADC001 (192.168.10.101).
5.
NYC-ADC-002 - Подготовьтесь к HA, просмотрев начальные настройки:
Определите текущие IP-адреса, принадлежащие Citrix ADC:
• Перейдите в раздел Система> Сеть> IP-адреса .
• Обратите внимание, что NSIP - единственный настроенный IP-адрес.
Просмотрите текущее состояние узла для автономного Citrix ADC:
• Перейдите в раздел Система> Высокая доступность> Узел.
• Убедитесь, что в списке указан только один узел (узел 0) и ему назначен NSIP NYC-ADC002 (192.168.10.102).
6.
NYC-ADC-002 - Настройте Citrix ADC NYC-ADC-002 на StaySecondary:
• Перейдите в раздел Система> Высокая доступность .
• Выберите узел 0 (192.168.10.102) и нажмите « Изменить» .
• Выберите STAY SECONDARY (Оставаться в режиме прослушивания) в раскрывающемся списке High Availability Status список вниз.
• Щелкните ОК .
Состояние узла отображается Остаться вторичным .
Параметр StaySecondary используется перед присоединением к паре высокой доступности, чтобы гарантировать, что эта система не будет
стать полноправным участником конфигурации и перезаписать настройки от NYC-ADC001. Если интерфейс не работает на предполагаемом основном сервере, неправильный Citrix ADC может взять на себя управление и
может возникнуть неожиданная конфигурация. При настройке StaySecondary, если предполагаемый основной
не принимает на себя основную роль, то Citrix ADC не выполняет ее, пока проблема не будет решена.
В качестве альтернативы администратор может выбрать настройку статуса высокой доступности NYCADC-001 как ПЕРВИЧНЫЙ
https://translate.googleusercontent.com/translate_f
37/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
49
Стр.50
CNS-218-3I Citrix ADC 12.x Essentials
7.
NYC-ADC-001 - настройте пару HA, добавив NYC-ADC-002 к NYC-ADC-001
конфигурации.
• Перейдите в раздел Система> Высокая доступность> Узел.
• Щелкните Добавить .
Создать узел высокой доступности:
• Введите 192.168.10.102 в поле IP-адрес удаленного узла. (Это NSIP Нью-ЙоркаАЦП-002).
• Установите флажок Настроить удаленную систему для участия в настройке высокой доступности .
• Установите флажок « Отключить HA Monitor интерфейс / каналы, которые не работают» .
• Снимите флажок Включить режим INC (независимая конфигурация сети) при самостоятельной проверке узла.
коробка.
• Введите nsroot в поле « Имя пользователя» ( в разделе « Учетные данные для входа в удаленную систему»).
• Введите nsroot в поле Пароль .
• Щелкните " Создать" .
В графическом интерфейсе мастер создания узла высокой доступности может настроить партнерскую систему за один шаг, когда
Включен параметр «Настроить удаленную систему для участия». Из интерфейса командной строки для этого требуется "добавить
ha node ", которая должна выполняться на каждом Citrix ADC отдельно.
8.
Проверьте исходный статус высокой доступности.
На сводной странице высокой доступности узел 1 (192.168.10.102) изначально отображается как Неизвестный.
Нажмите « Обновить», чтобы обновить отображение.
Убедитесь, что NYC-ADC-002 (192.168.10.102) указан как:
• Состояние магистра: среднее
• Состояние узла: Остаться вторичным
9.
NYC-ADC-002 - Проверка партнерской системы.
Обновите отображение экрана Система> Высокая доступность. Проверьте следующее:
• В списке перечислены оба узла в паре высокой доступности.
• Узел 0: 192.168.10.102 (NYC-ADC-002) указан как Остаться вторичным.
• Узел 1: 192.168.10.101 (NYC-ADC-001) указан как основной.
50
https://translate.googleusercontent.com/translate_f
38/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. 51
CNS-218-3I Citrix ADC 12.x Essentials
10.
NYC-ADC-002 - Убедитесь, что настройки высокой доступности синхронизированы:
Посмотреть особенности:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
• Убедитесь, что все функции из предыдущей конфигурации NYC-ADC-001 включены.
• Щелкните ОК .
Просмотр режимов:
• Щелкните « Настроить режимы» .
• Убедитесь, что режим переадресации на основе MAC включен, если он не включен.
• Щелкните ОК .
Посмотреть маршруты:
• Перейдите в Система> Сеть> Маршруты .
• Убедитесь, что присутствует маршрут по умолчанию: 0.0.0.0 0.0.0.0 192.168.10.254
Просмотр IP-адресов, принадлежащих Citrix ADC:
• Перейдите в раздел Система> Сеть> IP-адреса .
• Убедитесь, что NSIP по-прежнему уникален: 192.168.10.102.
• Убедитесь, что NYC-ADC-002 имеет VIP и SNIP от NYC-ADC-001.
11.
NYC-ADC-001 - Тестовое аварийное переключение (попытка 1)
• Перейдите в раздел Система> Высокая доступность> Узлы .
• Выберите узел 0 192.168.10.101
• Щелкните Действие> Принудительное переключение при отказе .
• Щелкните Да для подтверждения.
Подтвердить: была получена ошибка: «Операция невозможна из-за недопустимого состояния однорангового узла».
Причина: узел, для которого установлено значение StaySecondary, не может выступать в качестве основного Citrix ADC, даже если
принудительно выполнить команду аварийного переключения. Следовательно, текущий первичный сервер не будет добровольно переключаться на отказ.
12.
NYC-ADC-002 - отключите STAYSECONDARY и включите нормальное участие HA.
• Перейдите в раздел Система> Высокая доступность> Узел.
• Выберите узел 0 (192.168.10.102) и нажмите « Изменить» .
• Выберите Enabled (Участвуйте в HA) в High Availability Status раскрывающемся
список.
• Щелкните ОК .
13.
NYC-ADC-002 - Тестовое аварийное переключение (попытка 2)
• Выберите узел 0 (192.168.10.102)
• Щелкните Действие> Принудительное переключение при отказе .
• Щелкните ДА, чтобы подтвердить аварийное переключение.
• Нажмите OK в сообщении об успешном запуске отработки отказа.
Примечание . Команду Force Failover можно выполнить с любого Citrix ADC, независимо от текущего состояния.
роль в качестве основного или дополнительного. Команда всегда будет делать текущую вторичную запись новой.
Первичный, если состояние узла или работоспособность узла не препятствует отработке отказа.
51
Стр.52
CNS-218-3I Citrix ADC 12.x Essentials
14.
Проверьте аварийное переключение:
• Обновите утилиту настройки Citrix ADC на обоих Citrix ADC, чтобы проверить состояние аварийного переключения.
• Либо Citrix ADC укажет 192.168.10.102 (NYC-ADC-002) в качестве текущего основного члена
пары HA.
15.
NYC-ADC-001 - повторно выполните аварийное переключение, чтобы восстановить роль NYC-ADC-001 в основной роли:
• Перейдите в раздел Система> Высокая доступность> Узлы .
• Выберите узел 0 (192.168.10.102) и нажмите « Изменить» .
• Щелкните Действие> Принудительное переключение при отказе .
• Щелкните Да, чтобы подтвердить отработку отказа.
• Нажмите OK в сообщении об успешном запуске отработки отказа.
Убедитесь, что 192.168.10.101 (NYC-ADC-001) восстановлен как основной Citrix ADC в паре HA.
16.
NYC-ADC-001 - Сохраните конфигурацию Citrix ADC и подтвердите.
Щелкните правой кнопкой мыши значок Сохранить в правом углу графического интерфейса Citrix ADC.
https://translate.googleusercontent.com/translate_f
39/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
При появлении запроса нажмите Да .
Примечание. Команда сохранения конфигурации будет распространена на дополнительную систему, сохраняя
конфигурации на обоих АЦП Citrix.
Ключевые выводы :
• Настройка пары HA приведет к созданию двух Citrix ADC с общей конфигурацией, которая может
управляться как единое целое из Primary Citrix ADC.
• Использование StaySecondary при создании пары HA может помочь администраторам гарантировать
какой член является авторитетным в паре и предотвращает неожиданные отказы из-за
непредвиденные проблемы на начальном этапе настройки.
• Попав в пару HA, изменения конфигурации будут распространяться от первичного к вторичному,
включая такие команды, как save ns config. В результате администраторы должны обращать внимание
к которому Citrix ADC является основным при выполнении администрирования с помощью NSIP
адреса.
52
Стр. 53
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 4-2: Управление парой HA (GUI)
Введение:
В этом упражнении вы научитесь добавлять SNIP в пару Citrix ADC HA и ограничивать SNIP до
только управленческая коммуникация. Это полезно, потому что Management SNIP - это общий IP-адрес.
адрес в паре HA и всегда подключается к текущему первичному узлу. Вы будете использовать Citrix
Графический пользовательский интерфейс ADC Configuration Utility для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте SNIP в паре HA для трафика управления (192.168.10.103/24).
• Включите управляющую связь по этому протоколу SNIP. Разрешите HTTP, HTTPS и SSH.
• Управляйте
парой HA с помощью этого протокола SNIP в дальнейшем, чтобы обеспечить подключение к основному
Citrix ADC.
Шаг
1.
Действие
Держите оба браузера открытыми для утилит настройки Citrix ADC обоих Citrix ADC.
• NYC-ADC-001: http://192.168.10.101
• NYC-ADC-002: http://192.168.10.102
2.
NYC-ADC-001 (основной) - добавьте второй протокол SNIP для доступа к управлению.
• Перейдите в раздел Система> Сеть> IP-адреса .
• Щелкните Добавить .
Создать IP-адрес:
• Введите 192.168.10.103 в поле IP-адрес.
https://translate.googleusercontent.com/translate_f
40/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Введите 255.255.255.0 в поле Маска сети.
• Убедитесь, что IP-адрес подсети выбран в поле Тип IP.
В разделе « Контроль доступа к приложениям» (внизу):
• Включите « Включить доступ для управления», чтобы поддержать перечисленные ниже приложения.
• Отключить Telnet. Отключить FTP .
• Включите SSH .
• Включите SNMP .
• Включить графический интерфейс .
• Включите Разрешить доступ только к управляющим приложениям .
• Щелкните " Создать" .
Сохраните конфигурацию и подтвердите.
53
Стр.54
CNS-218-3I Citrix ADC 12.x Essentials
3.
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью управляющего протокола SNIP (ADCMGMT
СНиП) по адресу http://192.168.10.103 .
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Если вы получаете всплывающее окно с вопросом , хотите ли вы, чтобы Google Chrome сохранил пароль для этого сайта?
Щелкните Сохранить.
4.
Определите, на каком Citrix ADC активен управляющий SNIP:
Метод1
• Перейдите на страницу системы в разделе информации о системе.
• Проверьте IP-адрес NetScaler.
Способ 2:
• Перейдите в раздел Система> Высокая доступность> узлы .
• Определите, какой Citrix ADC является узлом 0 (самостоятельным узлом).
SNIP NSMGMT всегда активен на текущем основном элементе пары HA. В настоящее время,
это NYC-ADC-001 (192.168.10.101).
5.
Принудительное переключение при отказе:
• Перейдите в раздел Система> Высокая доступность> Узел.
• Щелкните Действие> Принудительное переключение при отказе .
• Щелкните Да для подтверждения.
• Щелкните ОК .
6.
Щелкните значок « Обновить» рядом со значком сохранения.
Нажмите ОК в случае ошибки.
7.
SNIP NSMGMT (192.168.10.103) теперь активен на НОВОМ первичном сервере (NYC-ADC-002). Как
В результате ваш существующий сеанс управления истек, и вы должны войти в новую консоль.
Повторно подключитесь к Citrix ADC Configuration Utility с помощью NSMGMT SNIP:
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Если вы получаете всплывающее окно с вопросом , хотите ли вы, чтобы Google Chrome сохранил пароль для этого сайта? Нажмите
Сохранить.
54
https://translate.googleusercontent.com/translate_f
41/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр.55
CNS-218-3I Citrix ADC 12.x Essentials
8.
Определите, на каком Citrix ADC активен управляющий SNIP:
• Перейдите в раздел Система> Высокая доступность> Узел.
• Определите, какой Citrix ADC является узлом 0 (самостоятельным узлом).
Способ 2:
• Перейдите к системному узлу (корневой узел)
• Обратите внимание, что IP-адрес Citrix ADC - 192.168.10.102.
SNIP ADCMGMT теперь активен на NYC-ADC-002 (192.168.10.102).
9.
Выполните окончательную отработку отказа HA для восстановления NYC-ADC-001 (192.168.10.101) в качестве основного Citrix ADC.
• Перейдите в Система> Высокая доступность> Узел (если это еще не сделано).
• Щелкните Действие> Принудительное переключение при отказе .
• Щелкните Да для подтверждения.
• Щелкните ОК .
10.
Повторно подключитесь к Citrix ADC Configuration Utility с помощью ADCMGMT SNIP:
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
11.
Сохраните конфигурацию Citrix ADC и подтвердите.
ВАЖНО: Citrix
ADC NYC-ADC-001 и NYC-ADC-002 останутся в паре HA для
остальная часть этого курса. Причина в том, чтобы позволить студентам управлять парой HA, как если бы они
производство. Хотя NYC-ADC-001 должен быть основным Citrix ADC до конца курса, этот
не может быть гарантирован. В результате вам нужно будет использовать SNIP общего управления.
(NSMGMT SNIP: 192.168.10.103) при подключении к Citrix ADC GUI или CLI для остальной части
упражнения, если не указано иное.
Ключевые выводы:
• SNIP могут быть настроены для управления коммуникациями в дополнение к трафику приложений или
они могут быть ограничены только доступом управления.
• Если управляющий SNIP настроен и ограничен только управляющей связью,
тогда также необходимо настроить дополнительный SNIP или SNIP для трафика приложений.
• SNIP - это общие IP-адреса в конфигурации высокой доступности, поэтому они всегда активны на
Основной Citrix ADC. В результате предпочтительным методом является выделенный протокол управления SNIP.
для внесения изменений в конфигурацию, находясь в паре HA, поскольку это гарантирует администратору
всегда подключен к текущему первичному Citrix ADC.
• Параметры,
специфичные для узла, по-прежнему следует применять при подключении к определенному адресу NSIP.
55
Стр.56
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 4-1: Настройка пары высокой доступности (CLI)
Введение:
В этом упражнении вы научитесь настраивать пару HA. NYC-ADC-001 имеет начальные конфигурации
связанных с сетями, которые необходимо сохранить. Процедура этого упражнения будет
продемонстрировать, как создать пару HA и контролировать, какая система определена как первичная в
начальная конфигурация. Для выполнения этого упражнения вы будете использовать интерфейс командной строки.
В этом упражнении вы выполните следующие задачи для настройки пары высокой доступности:
https://translate.googleusercontent.com/translate_f
42/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Подготовка: убедитесь, что оба Citrix ADC имеют настроенный адрес NSIP и правильно настроены.
лицензированный. Также убедитесь, что все Citrix ADC относятся к одной и той же платформе (VPX, MPX или SDX
экземпляр), модель и версию прошивки Citrix ADC.
• Установите для предполагаемого вторичного Citrix ADC значение StaySecondary до создания пары HA.
• На предполагаемом первичном Citrix ADC настройте пару HA и укажите на NSIP
вторичный Citrix ADC. Через графический интерфейс вторичный Citrix ADC также настроен на
присоединиться к паре.
• Убедитесь, что оба Citrix ADC входят в пару HA и что синхронизация HA прошла успешно.
• Удалите параметр StaySecondary с вторичного Citrix ADC и восстановите его до
нормальное участие в HA (статус HA включен).
• Тестируйте аварийное переключение, чтобы подтвердить работу высокой доступности.
• Сохраните конфигурацию.
В конце этого упражнения оба члена будут продолжены, участвуя в паре HA.
и переключение при отказе могло происходить свободно. Для следующей пары упражнений обратите внимание, насколько вы
подключен к первичному или вторичному члену пары высокой доступности.
Примечание . Citrix ADC во вторичном приглашении HA всегда будет выдавать следующее всплывающее окно, когда
пользователь входит в систему, чтобы указать, что это вторичное устройство в паре высокой доступности, и изменения конфигурации
не следует выполнять на этом устройстве
56
Стр.57
CNS-218-3I Citrix ADC 12.x Essentials
Во время настройки этого упражнения команды будут отправлены на два разных Citrix ADC. Платить
внимание к системе, к которой относится каждый лабораторный шаг или группа шагов. Для достижения наилучших результатов откройте два
Сеансы SSH с использованием PuTTY и располагайте их бок о бок или так, чтобы вы могли легко переключиться обратно
и далее между Citrix ADC.
Шаг
1.
Действие
Откройте два сеанса SSH с помощью PuTTY:
• Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
• Подключитесь к Citrix ADC NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
Для достижения наилучших результатов в этом упражнении расположите окна PuTTY бок о бок, чтобы можно было переключаться обратно.
легко переходите между сеансами и при необходимости сравнивайте настройки.
2.
NYC-ADC-001 - Подготовьтесь к HA, просмотрев начальные настройки HA:
показать узел ha
Убедитесь, что NYC-ADC-001 находится в автономной конфигурации, поскольку это единственный узел, идентифицированный (
NSIP).
Определите, какие интерфейсы присутствуют в Citrix ADC, а какие являются критически важными.
Обратите внимание, что текущее состояние узла и главное состояние - UP и Primary.
3.
NYC-ADC-001 - Подготовьтесь к HA, просмотрев исходные IP-адреса, принадлежащие Citrix ADC:
показать ns ip
Определите текущую конфигурацию для:
https://translate.googleusercontent.com/translate_f
43/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• NSIP
• СНИП (ы), если таковые имеются
• VIP (а), если есть
4.
NYC-ADC-001 - Подготовьтесь к HA, проверив версию:
показать версию ns
5.
NYC-ADC-002 - Подготовьтесь к HA, просмотрев начальные настройки HA:
показать узел ha
Убедитесь, что NYC-ADC-002 находится в автономной конфигурации, поскольку это единственный узел, идентифицированный (
NSIP).
Определите, какие интерфейсы присутствуют в Citrix ADC, а какие являются критически важными.
Обратите внимание, что текущее состояние узла и главное состояние - UP и Primary.
57
Стр.58
CNS-218-3I Citrix ADC 12.x Essentials
6.
NYC-ADC-002 - Подготовьтесь к HA, просмотрев исходные IP-адреса, принадлежащие Citrix ADC:
показать ns ip
Определите текущую конфигурацию для:
• NSIP
• СНИП (ы), если таковые имеются
• VIP (а), если есть
7.
NYC-ADC-002 - Подготовьтесь к HA, проверив версию:
показать версию ns
Убедитесь, что версия такая же, как NYC-ADC-001.
8.
NYC-ADC-002 - Установите для узла значение STAYSECONDARY:
установить узел ha -haStatus STAYSECONDARY
Проверить состояние узла:
показать узел ha
Параметр StaySecondary используется перед присоединением к паре высокой доступности, чтобы гарантировать, что эта система не будет
стать полноправным участником конфигурации и перезаписать настройки из NYC-ADC-001.
Если интерфейс не работает на предполагаемом основном сервере, неправильный Citrix ADC может взять на себя управление и
может возникнуть неожиданная конфигурация. При настройке StaySecondary, если предполагаемый основной
не принимает на себя основную роль, то Citrix ADC не возьмет на себя роль, пока проблема не будет решена.
9.
NYC-ADC-001 - Настройте основного члена пары высокой доступности и определите его партнерскую систему:
добавить узел ha 1 192.168.10.102
Просмотр статуса HA:
показать узел ha
Проверить статус узла:
• Убедитесь, что идентификатор узла 0 (192.168.10.101) указан как основной.
• Обратите внимание, что идентификатор узла 1 (192.168.10.102) все еще неизвестен. Статус не изменится, пока
NYC-ADC-002 также настроен для участия в паре HA.
10.
NYC-ADC-002 - Присоединяйтесь к паре HA в качестве дополнительного участника:
добавить узел ha 1 192.168.10.101
Просмотр статуса HA:
показать узел ha
Убедитесь, что статус получен для обоих узлов (собственный узел, узел 0) и узла-партнера (узел 1):
• NS_VPX_0 (192.168.10.101) указан как основной.
• NS_VPX_1 (192.168.10.102) указан как вторичный с состоянием узла, установленным на
ПРЕБЫВАНИЕ.
Состояние синхронизации может отображаться как «Выполняется» до тех пор, пока оно не будет успешно завершено, и в этом случае
показывает успех.
https://translate.googleusercontent.com/translate_f
44/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
58
Стр.59
CNS-218-3I Citrix ADC 12.x Essentials
11.
NYC-ADC-001 - Подтвердите, что конфигурация HA прошла успешно:
показать узел ha
12.
Убедитесь, что настройки высокой доступности синхронизированы.
NYC-ADC-001 - Выполните следующие команды для просмотра деталей конфигурации:
показать ns ip
NYC-ADC-002 - Выполните следующие команды, чтобы убедиться, что детали конфигурации синхронизированы:
показать ns ip
Убедитесь, что NYC-ADC-002 сохраняет свой уникальный адрес NSIP (192.168.10.102), но все остальные SNIP
VIP унаследованы от конфигурации NYC-ADC-001.
NYC-ADC-001 - Выполните следующие команды для просмотра функций:
показать нс особенность
NYC-ADC-002 - Выполните следующие команды, чтобы убедиться, что функции синхронизированы:
показать нс особенность
Убедитесь, что NYC-ADC-002 имеет тот же список включенных функций, что и NYC-ADC-001.
13.
Проверить отказоустойчивость HA.
В настоящее время NYC-ADC-001 является основным. NYC-ADC-002 - StaySecondary.
NYC-ADC-001 - Попытка принудительного переключения при отказе:
force ha failover -force
Подтвердить - получена следующая ошибка
14.
NYC-ADC-002 - Удалите параметр StaySecondary и верните узел к нормальному участию HA:
установить узел ha -hastatus ENABLED
Подтвердите настройки:
показать узел ha
Убедитесь, что NYC-ADC-002 (192.168.10.102) теперь идентифицируется с состояниями узла UP и Master State
Вторичный.
59
Стр. 60
CNS-218-3I Citrix ADC 12.x Essentials
15.
Проверить отказоустойчивость HA (2).
На этот раз NYC-ADC-001 по-прежнему остается первичным. NYC-ADC-002 - вторичный.
NYC-ADC-001 - Попытка принудительного переключения при отказе:
force ha failover -force
Подтвердить - переключение происходит успешно без ошибок.
https://translate.googleusercontent.com/translate_f
45/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Проверьте состояние HA:
показать узел ha
NYC-ADC-001 (192.168.10.101) теперь является вторичным; синхронизация может быть в процессе.
NYC-ADC-002 (192.168.10.102) теперь является основным.
16.
Повторите отработку отказа, чтобы вернуть NYC-ADC-001 в основную роль:
NYC-ADC-001 - Принудительное переключение при отказе:
force ha failover -force
Подтвердить - переключение происходит успешно без ошибок.
Проверьте состояние HA:
показать узел ha
NYC-ADC-001 (192.168.10.101) теперь является основным.
NYC-ADC-002 (192.168.10.102) теперь является вторичным.
17.
Сохраните конфигурацию Citrix ADC.
NYC-ADC-001 (192.168.10.101) в качестве основного:
сохранить конфигурацию ns
Примечание. Команда сохранения конфигурации будет распространена на дополнительную систему, сохраняя
конфигурации на обоих АЦП Citrix.
Ключевые выводы:
• Настройка пары HA приведет к созданию двух Citrix ADC с общей конфигурацией, которая может
управляться как единое целое из Primary Citrix ADC.
• Использование параметра Staysecondary при создании пары HA может помочь администраторам
гарантировать, какой член является авторитетным в паре, и предотвратить неожиданные
отработки отказа из-за непредвиденных проблем на этапе начальной настройки.
• Попав в пару HA, изменения конфигурации будут распространяться от первичного к вторичному,
включая такие команды, как save ns config. В результате администраторы должны обращать внимание
к которому Citrix ADC является основным при выполнении администрирования с помощью NSIP
адреса.
60
Стр.61
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 4-2: Управление парой HA (CLI)
Введение:
В этом упражнении вы научитесь добавлять SNIP в пару Citrix ADC HA и ограничивать SNIP до
только управленческая коммуникация. Это полезно, потому что Management SNIP - это общий IP-адрес.
адрес в паре HA и всегда подключается к текущему первичному узлу. Вы будете использовать
интерфейс командной строки для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте SNIP в паре HA для трафика управления (192.168.10.103/24).
• Включите связь управления по этому протоколу SNIP. Разрешите HTTP, HTTPS и SSH.
• Управляйте парой HA, используя этот протокол SNIP, чтобы обеспечить подключение к основному
Citrix ADC.
Шаг
1.
Действие
Откройте два отдельных сеанса SSH с помощью PuTTY:
• Подключитесь к Citrix ADC NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
• Подключитесь к Citrix ADC NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
Для достижения наилучших результатов в этом упражнении расположите окна PuTTY бок о бок, чтобы можно было переключаться обратно.
легко переходите между сеансами и при необходимости сравнивайте настройки.
2.
Определите, какой Citrix ADC является основным.
показать узел ha
https://translate.googleusercontent.com/translate_f
46/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Подтвердите, что это NYC-ADC-001.
3.
NYC-ADC-001 (основной) - добавьте второй протокол SNIP, который будет включен для доступа к управлению:
добавить ns ip 192.168.10.103 255.255.255.0 -тип SNIP -mgmtAccess enabled restrictAccess включен -telnet отключен -ftp отключен
4.
Подключитесь к Citrix ADC HA Pair, используя управляющий SNIP (ADCMGMT SNIP) на
192.168.10.103 с использованием SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
5.
Определите, к какому Citrix ADC подключен сеанс:
показать узел ha
Сеанс подключен к текущему первичному члену пары HA. (Нью-Йорк-ADC001: 192.168.10.101).
61
Стр.62
CNS-218-3I Citrix ADC 12.x Essentials
6.
Принудительное переключение HA при отказе:
force ha failover -force
7.
Повторно подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH
(PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
8.
Убедитесь, что вы подключены к НОВОМУ первичному Citrix ADC (NYC-ADC-002: 192.168.10.102):
показать узел ha
9.
Выполните последнее аварийное переключение HA, чтобы вернуть NYC-ADC-001 в основную роль:
force ha failover -force
После принудительного переключения при отказе вам необходимо повторно подключиться:
10.
Из ADCMGMT SNIP сохраните конфигурацию:
сохранить конфигурацию ns
ВАЖНО :
Citrix ADC NYC-ADC-001 и NYC-ADC-002 останутся в паре HA для
оставшуюся часть этого курса, чтобы студенты могли управлять парой HA, как в
производство. Хотя NYC-ADC-001 должен быть основным Citrix ADC до конца курса, этот
не может быть гарантирован. В результате вам нужно будет использовать SNIP общего управления.
(ADCMGMT SNIP: 192.168.10.103) при подключении к Citrix ADC GUI или CLI для остальной части
упражнения, если не указано иное.
Ключевые выводы:
• SNIP могут быть настроены для управленческой связи в дополнение к трафику приложений,
или они могут быть ограничены только доступом управления.
• Если управляющий SNIP настроен и ограничен только управляющей связью,
тогда также необходимо настроить дополнительный SNIP или SNIP для трафика приложений.
• SNIP - это общие IP-адреса в конфигурации высокой доступности, поэтому они всегда активны на
Основной Citrix ADC. В результате предпочтительным методом является выделенный протокол управления SNIP.
для внесения изменений в конфигурацию в паре высокой доступности, поскольку это гарантирует, что администратор
всегда подключен к текущему основному ADC Citrix.
• Параметры, специфичные для узла, по-прежнему следует применять при подключении к определенному адресу NSIP.
https://translate.googleusercontent.com/translate_f
47/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
62
Стр.63
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 5: Балансировка нагрузки.
Обзор :
Компания ABC готова использовать Citrix ADC HA Pair, чтобы обеспечить балансировку нагрузки для четырех различных
приложения в среде. Ваша задача как администратора - настроить балансировку нагрузки для
веб-приложение, DNS-серверы, аутентификация LDAP и база данных MYSQL.
Упражнения в этом модуле демонстрируют основные концепции балансировки нагрузки на Citrix ADC:
• Объекты балансировки нагрузки: серверы, службы, группы служб, виртуальные серверы балансировки нагрузки,
и мониторы для конкретных приложений.
• Настройки балансировки нагрузки: методы балансировки нагрузки и постоянство.
• Дополнительные параметры: резервное копирование виртуальных серверов и перенаправление URL-адресов.
В этом модуле вы будете выполнять практические упражнения по настройке балансировки нагрузки для Интернета.
приложение, DNS, LDAP и база данных MySQL. Вы настроите нагрузку для конкретного приложения
методы балансировки, постоянство и настройки монитора для каждого приложения.
После завершения этого лабораторного модуля вы сможете:
• Настроить балансировку нагрузки для любого приложения с использованием серверов, служб, групп служб и
виртуальные серверы.
• Настройте методы балансировки нагрузки и параметры сохранения.
• Настройте мониторы для конкретных условий применения.
Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и
интерфейс командной строки Citrix ADC:
• Упражнение: балансировка нагрузки HTTP
• Упражнение: балансировка нагрузки DNS
• Упражнение: балансировка нагрузки LDAP
• Упражнение: балансировка нагрузки баз данных MYSQL
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 60 минут.
Виртуальные машины, необходимые для этого модуля
Для модуля 5 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
• NYC-WEB-BLU
• NYC-ADC-002
• NYC-WEB-RED
63
Стр.64
CNS-218-3I Citrix ADC 12.x Essentials
• NYC-WEB-GRN
• Ad.workspacelab.com
• AD02.workspacelab.com
• NYC-LMP-001
• NYC-LMP-002
https://translate.googleusercontent.com/translate_f
48/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
64
Стр.65
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-1: Балансировка нагрузки HTTP (GUI)
Введение:
В этом упражнении вы научитесь балансировать нагрузку HTTP-приложения, создавая серверы, службы,
и виртуальный сервер балансировки нагрузки. Вы будете использовать графический интерфейс Citrix ADC Configuration Utility для
выполните это упражнение.
В этом упражнении вы будете выполнять следующие задачи:
• Создавать серверы для HTTP.
• Создавать сервисы для HTTP.
• Создать виртуальный сервер балансировки нагрузки для HTTP.
• Протестируйте виртуальный сервер с балансировкой нагрузки.
• Настроить и протестировать постоянство.
• Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP.
Упражнения по балансировке нагрузки для веб-приложений HTTP в этом модуле используются для
продемонстрировать каждую из сущностей и основных принципов балансировки нагрузки ниже.
О серверах:
Серверные объекты в Citrix ADC используются для представления пунктов назначения трафика. Эти
https://translate.googleusercontent.com/translate_f
49/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
назначения определяются IP-адресом. Объекты сервера идентифицируют IP-адрес, на который
Citrix ADC будет направлять трафик при балансировке нагрузки. Серверы могут быть созданы как именованные объекты на
Citrix ADC, как это сделано в этом упражнении, или они могут быть созданы и названы по месту назначения
Айпи адрес. На одном сервере может размещаться несколько приложений, поэтому его можно использовать с
несколько услуг.
Об услугах:
Службы представляют собой приложение, работающее на сервере. Сервис - это способ для Citrix ADC
для представления типа трафика с балансировкой нагрузки путем определения IP-адреса, порта и
протокол трафика. Службу можно определить, указав на существующий именованный объект сервера.
на Citrix ADC (для IP-адреса / назначения трафика) или сервис может быть определен
предоставление IP-адреса. Виртуальные серверы Citrix ADC с балансировкой нагрузки распределяют трафик между
Сервисы. Таким образом, сервисы воплощают концепцию типа трафика с балансировкой нагрузки.
Различные типы трафика (протоколы), которые можно идентифицировать на Citrix ADC, используются для
обеспечивают обработку трафика для конкретных приложений.
В этом упражнении вы выполните балансировку нагрузки HTTP. В последующих упражнениях вы изучите LDAP,
Типы трафика DNS и MYSQL. Каждая служба представляет собой уникальную комбинацию IP: Порт: Протокол. А
65
Стр.66
CNS-218-3I Citrix ADC 12.x Essentials
данный сервер может использоваться для размещения нескольких приложений, поэтому могут быть
создается для каждого приложения, что позволяет индивидуально балансировать нагрузку на сервисы.
О виртуальных серверах с балансировкой нагрузки:
Виртуальные серверы с балансировкой нагрузки - это виртуальные сущности, которые распределяют трафик для
сопутствующие услуги. Виртуальные серверы с балансировкой нагрузки - это объект на стороне клиента, который получает
запросы от клиента.
Виртуальные серверы с балансировкой нагрузки определяются виртуальным IP-адресом, протоколом и портом, которые
получает исходные запросы. Указанный метод балансировки нагрузки и параметры сохраняемости
определить, как трафик распределяется по доступным сервисам. Различная балансировка нагрузки
методы и настройки подходят для разных приложений. Каждая виртуальная машина с балансировкой нагрузки
server представляет собой уникальный IP-адрес: комбинация портов. Несколько виртуальных серверов с балансировкой нагрузки
могут использовать один и тот же IP-адрес, если они настроены на разных портах, что позволяет
приложения (порты) должны быть сбалансированы по нагрузке независимо друг от друга.
Сервисы привязаны к виртуальным серверам с балансировкой нагрузки. Citrix ADC действует наоборот
прокси, виртуальный сервер балансировки нагрузки представляет соединение на стороне клиента и определяет
точка входа для трафика, тип трафика и параметры подключения на стороне клиента. Виртуальная балансировка нагрузки
Сервер также является механизмом распределения трафика. Используя методы балансировки нагрузки и постоянство,
Виртуальный сервер балансировки нагрузки определяет, куда направляется трафик. Сервис представляет собой серверпобочное соединение между Citrix ADC и конечным сервером, выполняющим запрос.
О мониторах балансировки нагрузки:
Мониторы - это зонды или условия, которые Citrix ADC использует, чтобы определить, находится ли служба в рабочем состоянии.
Мониторы привязаны к службам, а не к серверам. Поэтому многие мониторы зависят от конкретного приложения.
Мониторы позволяют Citrix ADC выполнять интеллектуальную балансировку нагрузки и отправлять трафик только на
сервис, который может выполнить запрос. В базовом мониторинге монитор привязан к службе с
установить условие, которое необходимо выполнить, и подробные данные, определяющие частоту зондирования, и другие детали. Если
зонд завершается успешно и условие выполнено, служба работает; если зонд выходит из строя, то сервис
ВНИЗ. При необходимости с мониторами можно использовать более сложные критерии.
Это упражнение укрепит эти концепции с помощью конфигурации балансировки нагрузки HTTP. Другие
затем упражнения будут применять эти концепции с дополнительными вариантами использования для конкретных приложений и
передовые концепции балансировки нагрузки.
https://translate.googleusercontent.com/translate_f
50/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
66
Стр.67
CNS-218-3I Citrix ADC 12.x Essentials
Создать серверы для HTTP
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Примечание. Если появляется всплывающее окно с вопросом « Хотите ли вы, чтобы Google Chrome сохранил ваш пароль для этого сайта?»
Щелкните Сохранить.
Если вы увидите всплывающее окно с просьбой войти в Google Chrome, нажмите Нет, спасибо.
2.
Убедитесь, что функция балансировки нагрузки включена:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
• Выберите « Балансировка нагрузки», если он не выбран.
• Щелкните ОК .
3.
Создайте объект сервера Citrix ADC, представляющий NYC-WEB-RED по адресу 192.168.30.51 в
Окружающая среда.
Создать сервер для NYC-WEB-RED:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» .
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер ».
• Введите srv_red в поле Имя .
• Введите 192.168.30.51 в поле IP- адрес .
• Щелкните " Создать" .
4.
Создайте объект сервера Citrix ADC, представляющий NYC-WEB-BLU по адресу 192.168.30.52 в
Окружающая среда.
Создать сервер для NYC-WEB-BLU:
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер ».
• Введите srv_blue в поле Имя .
• Введите 192.168.30.52 в поле IP- адрес .
• Щелкните " Создать" .
5.
Создайте объект сервера Citrix ADC, представляющий NYC-WEB-GRN по адресу 192.168.30.53 в
Окружающая среда.
Создать сервер для NYC-WEB-GRN:
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер ».
• Введите srv_green в поле Имя .
• Введите 192.168.30.53 в поле IP- адрес .
• Щелкните " Создать" .
67
Стр.68
CNS-218-3I Citrix ADC 12.x Essentials
Создать службы для HTTP
Шаг
1.
Действие
Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-RED. Использовать названный сервер
https://translate.googleusercontent.com/translate_f
51/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
объект, созданный в предыдущей задаче при создании служебного объекта в Citrix ADC.
Создать службу для NYC-WEB-RED (HTTP):
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ».
• Введите svc_red в поле « Имя службы» .
• Выберите существующий сервер.
• Выберите srv_red (192.168.30.51) в меню « Сервер» .
• Убедитесь , что HTTP выбран для протокола .
• Убедитесь, что для порта выбрано 80 .
• Щелкните OK, затем щелкните Готово .
Убедитесь, что после создания служба отображается в рабочем состоянии.
2.
Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-BLU, используя именованный сервер.
из предыдущего задания.
Создать службу для NYC-WEB-BLU (HTTP):
• Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ».
• Введите svc_blue в поле « Имя службы» .
• Выберите существующий сервер.
• Выберите srv_blue (192.168.30.52) в меню « Сервер» .
• Убедитесь , что HTTP выбран для протокола .
• Убедитесь, что для порта выбрано 80 .
• Щелкните OK, затем щелкните Готово .
Убедитесь, что после создания служба отображается в рабочем состоянии.
3.
Создайте службу для веб-контента (HTTP) на сервере NYC-WEB-GRN, используя именованный сервер.
из предыдущего задания.
Создать службу для NYC-WEB-GRN (HTTP):
• Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ».
• Введите svc_green в поле « Имя службы» .
• Выберите существующий сервер.
• Выберите srv_green (192.168.30.53) в меню « Сервер» .
• Убедитесь , что HTTP выбран для протокола .
• Убедитесь, что для порта выбрано 80 .
• Щелкните OK, затем щелкните Готово .
Убедитесь, что после создания служба отображается в рабочем состоянии.
68
Стр.69
CNS-218-3I Citrix ADC 12.x Essentials
Создание виртуальных серверов балансировки нагрузки для HTTP
Шаг
1.
Действие
Настройте виртуальный сервер балансировки нагрузки для HTTP-трафика, который может распределять трафик по
услуги для ресурсов NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN. Балансировка нагрузки с помощью
циклический метод балансировки нагрузки.
Создайте виртуальный сервер балансировки нагрузки:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно Виртуальный сервер балансировки нагрузки: основные параметры.
• Введите lb_vsrv_rbg в поле «Имя».
• Убедитесь, что для протокола выбран HTTP .
• Убедитесь, что для порта выбрано 80 .
• Введите 172.21.10.101 в поле IP-адрес.
• Щелкните ОК .
2.
Привязка служб связывает службы с виртуальным сервером и определяет, где находится виртуальный сервер.
будет распределять трафик на.
Привязать службы к виртуальному серверу балансировки нагрузки:
• Щелкните " Нет привязки службы виртуального сервера балансировки нагрузки" в разделе "Службы и служба".
Раздел "Группы". Откроется диалоговое окно «Привязка службы».
• Щелкните « Щелкните, чтобы выбрать» в разделе «Выбор службы», чтобы привязать существующую службу.
(Знак «+» позволит вам создать новую услугу.)
• Выберите svc_red , svc_blue и svc_green .
https://translate.googleusercontent.com/translate_f
52/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Выбрать .
• Щелкните « Привязать» .
Щелкните Продолжить .
Не закрывайте диалоговое окно Виртуального сервера балансировки нагрузки для lb_vsrv_rbg.
3.
Установите метод балансировки нагрузки:
• Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель). Это добавляет категорию в
область конфигурации (левая панель).
• Выберите ROUNDROBIN из раскрывающегося списка Метод балансировки нагрузки .
• Нажмите « ОК» в разделе « Метод», чтобы применить настройки.
4.
Нажмите Готово, чтобы закрыть свойства виртуального сервера балансировки нагрузки виртуального сервера.
диалог для lb_vsrv_rbg.
ИНФОРМАЦИЯ : Использование
графического интерфейса Citrix ADC для настройки и изменения виртуального сервера балансировки нагрузки
свойства.
При создании виртуального сервера с балансировкой нагрузки (или другого) графический интерфейс Citrix ADC 12 разделяет
конфигурацию в отдельные задачи, группируя определенные параметры вместе в графическом интерфейсе. Как результат,
создание виртуального сервера балансировки нагрузки разделено на несколько задач, тогда как в CLI
его можно создать с помощью одной команды. Таким образом, графический интерфейс представляет создание загрузки:
балансировка виртуального сервера в формате мастера. Администраторы должны предоставить начальную конфигурацию
настройки, а затем продолжить связывание служб перед остальными свойствами виртуального сервера
доступны.
69
Стр.70
CNS-218-3I Citrix ADC 12.x Essentials
В графическом интерфейсе начальная процедура создания виртуального сервера балансировки нагрузки включает в себя следующее:
• Сначала отображается меню основных настроек. Это позволяет основным свойствам быть
настроено: имя виртуального сервера, VIP, протокол и порт, а также другие базовые параметры.
• Затем отображается опция привязки служб или групп служб. Теперь это можно настроить,
или пропустите его и настройте позже.
• Наконец, все свойства виртуального сервера доступны для редактирования или настройки сейчас или позже.
Первоначальные задачи должны быть выполнены до того, как остальные свойства виртуального сервера будут
отображается.
После создания виртуального сервера графический интерфейс Citrix ADC 12 разделяет многие из
свойства в категории: мониторы, защита, метод и постоянство. После нажатия
продолжить, отобразится полный список свойств. Сконфигурированные настройки по умолчанию будут отображаться слева
панель. Доступные настройки, которые еще не настроены, доступны по категориям в расширенных настройках
на правой панели.
Категории настроек можно отображать или скрывать по мере необходимости. Скрытие категории путем удаления ее из
левая панель не удаляет настроенные параметры и не сбрасывает значения по умолчанию. Однако,
при настройке или изменении настроек в определенной категории изменения должны применяться
щелкнув блок ОК в этом разделе категории, или изменение не применяется. Это возможно
для нескольких категорий, чтобы отображать свои собственные блоки ОК одновременно. Помните, что изменения для каждого
Категория должна применяться индивидуально, нажав OK. Переход от свойств
нажав кнопку Готово в нижней части свойств виртуального сервера или нажав Назад, чтобы вернуться
в сводном представлении виртуального сервера будут отменены все непримененные изменения.
Графический интерфейс пользователя был разработан для организации настроек, чтобы администраторы могли видеть только эти настройки.
настроенные и / или настройки, конкретно интересующие администратора. Другие узлы могут быть
скрыто от глаз.
Если вы впервые работаете с Citrix ADC 12.0 (или более поздней версии), легко не применять настройки как
ожидается. Вы должны ознакомиться с навигацией по графическому интерфейсу и подумать о том, как
GUI представляет настройки для успешной работы.
Напротив, с помощью интерфейса командной строки все свойства виртуального сервера можно редактировать сразу. Многие из
изменения конфигурации, внесенные в графический интерфейс в несколько этапов, можно было выполнить за один
Команда CLI.
https://translate.googleusercontent.com/translate_f
53/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
70
Стр.71
CNS-218-3I Citrix ADC 12.x Essentials
Протестируйте виртуальный сервер балансировки нагрузки
Шаг
1.
Действие
Убедитесь, что lb_vsrv_rbg указан как состояние, так и эффективное состояние как UP . (Обновите Citrix
Графический интерфейс ADC, если все еще ВНИЗ.)
2.
Тестовая конфигурация балансировки нагрузки:
• Откройте браузер и перейдите по адресу http://172.21.10.101/home.php. Для достижения наилучших результатов мы
Рекомендуем использовать Chrome для изменения конфигурации и тестирования веб-содержимого в Firefox.
• Обновите страницу несколько раз, чтобы проверить активность балансировки нагрузки. С круговой системой
указанный как метод балансировки нагрузки, содержимое должно вращаться через красный, синий,
и зеленые домашние страницы.
ВАЖНО : Веб-серверы в бэкэнде работают на веб-серверах Apache в Linux. Как
результат, все пути чувствительны к регистру:
• http://172.21.10.101/home.php будет работать.
• http://172.21.10.101/Home.php работать не будет.
Обратите особое внимание на URL-адреса, указанные в упражнении, поскольку ошибки с регистром вызовут проблемы.
3.
Вернитесь в служебную программу настройки Citrix ADC (http://192.168.10.103). Посмотреть балансировку нагрузки
статистика, чтобы убедиться, что трафик исходит от всех трех служб.
• Выберите lb_vsrv_rbg и щелкните Статистика .
• Отображается панель статистики для этого виртуального сервера.
Прокрутите вниз и убедитесь, что обращения и запросы службы равномерно распределяются по
все три связанные услуги.
4.
Выйдите из представления статистики, чтобы вернуться на панель виртуальных серверов с помощью навигации по хлебным крошкам.
след над панелью статистики.
• Щелкните Виртуальные серверы в навигационном следе:
Управление трафиком> Балансировка нагрузки> Виртуальные серверы> Статистика.
Настроить и протестировать постоянство
Шаг
1.
Действие
Настройте постоянство на виртуальном сервере балансировки нагрузки.
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg и нажмите « Изменить» .
• Щелкните « Постоянство» в разделе «Дополнительные параметры», чтобы добавить его в область конфигурации.
• Выберите COOKIEINSERT.
• Щелкните ОК, затем Готово .
2.
Тестовая конфигурация балансировки нагрузки:
• Откройте браузер и перейдите по адресу http://172.21.10.101/home.php.
• Обновите страницу несколько раз, чтобы проверить активность балансировки нагрузки. С настойчивостью
включен, должен отображаться только один цвет сервера.
71
Стр.72
CNS-218-3I Citrix ADC 12.x Essentials
3.
Вернитесь в утилиту настройки Citrix ADC (http://192.168.10.103). Посмотреть балансировку нагрузки
статистика для проверки того, что трафик исходит от одной службы.
https://translate.googleusercontent.com/translate_f
54/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Выберите lb_vsrv_rbg и щелкните Статистика .
• Отображается панель статистики для этого виртуального сервера.
Прокрутите вниз и проверьте статистику обращений к службе и запросов. Движение
от одной службы должно быть значительно выше, чем от других служб. Между
обновляется, должен увеличиваться только трафик от одного сервиса.
4.
По завершении выйдите из представления « Статистика» и вернитесь в узел « Балансировка нагрузки»> «Виртуальные серверы» .
5.
Измените постоянство на отсутствие:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg и нажмите « Изменить» .
• Щелкните значок « Изменить» (карандаш) в поле « Постоянство» .
• Выберите ДРУГИЕ и НЕТ раскрывающегося списка.
• Щелкните ОК, затем Готово .
6.
Сохраните конфигурацию Citrix ADC и подтвердите.
Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
72
Стр.73
CNS-218-3I Citrix ADC 12.x Essentials
2.
Создайте HTTP-монитор балансировки нагрузки для служб RBG. Этот монитор проверяет, что веб-сервер
обеспечивает получение ответа 200 OK для запрошенного содержимого. Это обеспечивает основные
проверка того, что веб-контент создается, путем изучения кода ответа, полученного в
заголовок.
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить .
Создать монитор:
• Введите mon_rbg_http в поле имени.
• Выберите HTTP из раскрывающегося списка Тип .
• Щелкните " Создать" .
Этот монитор будет использовать значения по умолчанию, настроенные параметры приведены ниже для
Справка:
Стандартные параметры: (оставить значения по умолчанию)
• Интервал : 5 сек.
• Тайм-аут ответа : 2 секунды
• Время простоя : 30 сек.
• Повторных попыток : 3
• Успешных попыток : 1
• Включено
Специальные параметры (оставить значения по умолчанию)
https://translate.googleusercontent.com/translate_f
55/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• HTTP-запрос : HEAD /
• Коды ответа : 200
3.
Создайте монитор HTTP-ECV с балансировкой нагрузки для служб RBG. Этот монитор подтверждает, что конкретный
значение создается в теле ответа, обеспечивая более подробную проверку того, что веб-контент
полностью генерируется.
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить .
Создать монитор:
• Введите mon_rbg_httpecv в название поля.
• Выберите HTTP-ECV из раскрывающегося списка Тип .
• Щелкните « Дополнительные параметры» .
• Введите Get /home.php в поле « Строка отправки» .
• Введите serverinfo в поле Строка получения .
• Щелкните " Создать" .
4.
Создайте HTTP-ECV-монитор балансировки нагрузки для служб RBG, которые не работают:
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить .
Создать монитор:
• Тип mon_rbg_httpecv_bad в название поля.
• Выберите HTTP-ECV из раскрывающегося списка Тип .
• Щелкните « Специальные параметры» .
• Введите Get /home.php в поле « Строка отправки» .
• Введите badstring в поле Receive String .
• Щелкните " Создать" .
Ожидается, что этот монитор выйдет из строя при привязке к службе, поскольку он ищет строку, которая не
присутствует на странице. Это будет использоваться для имитации сбоя службы из-за монитора.
73
Стр.74
CNS-218-3I Citrix ADC 12.x Essentials
5.
Привяжите HTTP-монитор к сервису Red:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Выберите svc_red и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе «Мониторы».
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_rbg_http и нажмите Выбрать .
• Щелкните « Привязать», затем щелкните « Закрыть» .
Щелкните Готово .
6.
Убедитесь, что svc_red остается в состоянии UP после привязки монитора.
7.
Привяжите монитор HTTP-ECV к службе Blue:
• Выберите svc_blue и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_rbg_httpecv и нажмите Выбрать .
• Щелкните « Привязать», затем щелкните « Закрыть» .
Щелкните Готово .
8.
Просмотр состояния монитора для службы:
• Выберите svc_blue и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе «Мониторы». Это отобразит все
привязанные мониторы.
• Просмотр состояния монитора.
Примечание . Когда ответ HTTP-ECV завершается успешно, он возвращает сообщение «Успех - Шаблон».
найдено в ответе ".
9.
Сменить монитор для svc_blue:
• Выберите mon_rbg_httpecv и нажмите « Отменить привязку» . Щелкните Да для подтверждения. (Монитор по умолчанию
автоматический отскок; игнорируй это.)
• Щелкните Добавить привязку .
• Щелкните Щелкните, чтобы выбрать в разделе « Выбрать монитор» .
• Выберите mon_rbg_httpecv_bad и нажмите Выбрать .
• Щелкните « Привязать», затем щелкните « Закрыть» .
• Щелкните Готово .
10.
Подождите несколько секунд, пока будут отправлены зонды. Svc_blue должен появиться в неактивном состоянии. (Ты можешь
необходимо несколько раз обновить Citrix ADC Configuration Utility.)
11.
Просмотр состояния монитора для службы:
• Выберите svc_blue и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» .
• Просмотр состояния монитора.
https://translate.googleusercontent.com/translate_f
56/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните " Закрыть и готово".
Примечание . В случае сбоя ответа HTTP-ECV он возвращает причину «Ошибка - шаблон не найден.
в ответ."
74
Стр.75
CNS-218-3I Citrix ADC 12.x Essentials
12.
Открыть живые HTTP-заголовки:
• В Firefox откройте заголовки Live HTTP: Инструменты> Заголовки Live HTTP .
• Убедитесь, что на вкладке « Заголовки » включен захват .
• Щелкните Очистить, чтобы при необходимости очистить окна захвата.
Вы также можете запустить Live HTTP Headers из Chrome:
• Щелкните значок синего облака рядом с адресной строкой, чтобы открыть заголовки Live HTTP в
вкладка браузера.
• Убедитесь, что в выбранных параметрах вверху включен захват.
• Самые последние объекты отображаются вверху.
• Щелкните Очистить, чтобы при необходимости очистить окна захвата.
Надстройки Live HTTP-заголовки будут использоваться с Firefox во время этого упражнения. Для удобства,
Live HTTP-заголовки также добавляются в браузер Chrome в лабораторных условиях; однако лабораторные шаги не будут
явно укажите эту конфигурацию.
Для достижения наилучших результатов используйте один браузер для доступа к графическому интерфейсу Citrix ADC и внесения изменений в конфигурацию.
и отдельный тип браузера для тестирования веб-страниц и просмотра информации заголовка.
13.
Балансировка тестовой нагрузки:
• Откройте браузер и перейдите по адресу http://172.21.10.101/home.php.
• Обновите несколько раз.
• Откройте браузер и перейдите по адресу http://172.21.10.101/.
• Обновите несколько раз.
Ни один из тестов не будет отображать контент из svc_blue (нет баннеров сервера синего цвета).
В зависимости от браузера вы можете видеть или не видеть чередование красного / зеленого на странице /home.php.
14.
Просмотрите вывод заголовка в Live HTTP Headers.
• Каждый ответ содержит настраиваемый заголовок Served-By, указывающий на исходный сервер.
который обслуживает контент.
• Убедитесь, что ни один из недавних запросов не содержит синего цвета, пока служба находится в DOWN.
Примечание : « Served-на » заголовок был специальный заголовок , настроенный на красный, синий, зеленый веб
серверы для лабораторных демонстрационных целей.
15.
Просмотр статистики виртуального сервера:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg .
• Щелкните Статистика .
• Просмотрите сводку связанных услуг внизу. Количество обращений за услугами увеличивается для
svc_red и svc_green. На svc_blue не отправляется трафик, поэтому количество обращений не увеличивается
пока монитор помечает сервис ВНИЗ .
75
Стр.76
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
57/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
16.
Отключите монитор, чтобы восстановить доступ к svc_blue:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Выберите svc_blue и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» . Это отобразит все
привязанные мониторы.
• Выберите mon_rbg_httpecv_bad и нажмите « Отменить привязку» .
• Щелкните Да, затем щелкните Закрыть .
• Щелкните Готово .
17.
Привяжите HTTP-монитор к сервису Blue (чтобы он соответствовал сервису Red):
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Выберите svc_blue и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_rbg_http и нажмите Выбрать .
• Щелкните « Привязать», затем щелкните « Закрыть» .
• Щелкните Готово.
18.
Привяжите HTTP-монитор к зеленой службе (чтобы согласованность с красной и синей службами):
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Выберите svc_green и нажмите « Изменить» .
• Щелкните 1 Служба для привязки монитора балансировки нагрузки в разделе « Мониторы» .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_rbg_http и нажмите Выбрать .
• Щелкните « Привязать», затем щелкните « Закрыть» .
• Щелкните Готово .
19.
Сохраните конфигурацию Citrix ADC и подтвердите.
Ключевые выводы:
• Понять, как создавать сервер, службы и виртуальные серверы с балансировкой нагрузки.
• Мониторы уровня 7, такие как HTTP и HTTP-ECV, почти всегда лучше подходят для использования.
с веб-приложениями, чем мониторы TCP.
• Методы балансировки нагрузки и постоянство зависят от приложения и элемента управления.
• Просмотр результатов монитора полезен для выявления проблем со службами.
• Графический интерфейс Citrix ADC предоставляет инструменты для просмотра свойств серверов, служб и виртуальных
серверы, которые полезны для диагностики проблем и понимания Citrix
Конфигурация АЦП.
76
Стр.77
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-2: DNS с балансировкой нагрузки (GUI)
Введение:
В этом упражнении вы научитесь балансировать нагрузку на DNS-серверы, создавая сервисные группы DNS, DNS.
мониторы и виртуальный сервер балансировки нагрузки DNS (UDP). Вы будете использовать Citrix ADC
Графический интерфейс служебной программы настройки для выполнения этого упражнения.
О балансировке нагрузки DNS:
Балансировка нагрузки DNS позволяет администраторам балансировать нагрузку DNS-запросов через несколько DNS.
серверы. Метод балансировки нагрузки обычно циклический, и постоянство не требуется. А
Монитор ping может использоваться для базового обнаружения активного состояния. Однако монитор Citrix ADC DNS
позволяет администраторам определять доступность DNS-сервера на основе того,
возвращает успешный результат. Монитор должен быть настроен на поиск разрешения имен для
компонент, который всегда будет присутствовать и чей IP-адрес вряд ли изменится.
https://translate.googleusercontent.com/translate_f
58/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Хотя это не показано в упражнении, когда Citrix ADC настроен как загрузка DNS
балансировщик (также известный как DNS-прокси), Citrix ADC также будет кэшировать DNS-запросы.
В этом упражнении настраивается балансировка нагрузки DNS с использованием протокола DNS, который поддерживает DNS.
(UDP: 53) ответы меньше 512 байт. Citrix ADC также может поддерживать пакеты DNS (TCP: 53).
с использованием протокола DNS_TCP, который поддерживает ответы размером более 512 байт. Нагрузка DNS
балансировка может быть настроена как с виртуальным сервером DNS, так и с виртуальным сервером DNS_TCP в процессе производства
таким же образом можно настроить веб-приложение для HTTP и HTTPS. DNS_TCP не
продемонстрировано в этом упражнении.
О группах услуг:
Это упражнение также знакомит с использованием групп обслуживания.
Службы представляют собой тип приложения, работающего на данном сервере; услуги определяются как
IP-адрес и протокол назначения: порт, указывающий тип трафика в пункте назначения. В предыдущем
В упражнении для HTTP был создан уникальный сервис для каждого сервера Red, Blue, Green. Каждая услуга
хотя пришлось индивидуально настраивать сервисные настройки и мониторы.
Сервисная группа позволяет управлять всеми настройками связанной группы сервисов сразу на
уровень сервисной группы. Отдельные члены группы обслуживания определяют тип приложения и
назначения трафика (IP: Протокол: Порт). Свойства и мониторы можно привязать один раз в
уровень обслуживания группы, но применяется к каждому члену в группе.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте сервисную группу для DNS.
• Создайте виртуальный сервер балансировки нагрузки для DNS.
77
Стр.78
CNS-218-3I Citrix ADC 12.x Essentials
• Проверить балансировку нагрузки DNS.
• Настроить мониторы для балансировки нагрузки DNS.
Создайте сервисную группу для DNS
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте группу обслуживания для DNS-серверов. Сервисная группа идентифицирует два домена
контроллеры, использующие DNS в качестве членов сервисной группы:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» .
• Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки: основные параметры ».
3.
Настройте основные параметры группы служб балансировки нагрузки:
• Введите svcg_domain_dns в поле Имя .
• Выберите DNS из раскрывающегося списка « Протокол» .
• Щелкните ОК .
4.
Привяжите участников к сервисной группе:
• Щелкните Нет участника группы обслуживания .
• Выберите IP-адрес .
• Введите 192.168.30.11-12 в поле IP-адрес / Диапазон IP-адресов .
• Введите 53 в поле Порт .
• Щелкните " Создать", затем " ОК" .
• Щелкните Готово .
IP-адреса 192.168.30.11-12 - это IP-адреса двух контроллеров домена, на которых запущен DNS.
услуги в лабораторной среде. Оба добавляются в сервисную группу в качестве участников по IP.
адрес (вместо создания именованных серверов).
5.
Нажмите « Обновить» и убедитесь, что группа служб svcg_domain_dns находится в рабочем состоянии (зеленый), указывая всех участников.
находятся в состоянии UP .
6.
Выберите svcg_domain_dns и нажмите « Управление участниками», чтобы просмотреть индивидуальный статус участника.
https://translate.googleusercontent.com/translate_f
59/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
7.
Щелкните Close .
Создание виртуального сервера балансировки нагрузки для DNS
Шаг
1.
Действие
Создайте виртуальный сервер балансировки нагрузки для DNS-серверов AD.workspacelab.com и
AD02.workspacelab.com. Настройте балансировку нагрузки, используя метод циклического перебора.
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки .
78
Стр.79
CNS-218-3I Citrix ADC 12.x Essentials
2.
Настройте основные параметры виртуального сервера балансировки нагрузки для виртуального сервера DNS.
• Введите lb_vsrv_dns в поле « Имя» .
• Выберите DNS из раскрывающегося списка « Протокол» .
• Введите 172.21.10.102 в поле IP-адрес .
• Убедитесь, что порт 53 .
• Щелкните ОК .
3.
Привяжите группу служб для служб DNS к виртуальному серверу балансировки нагрузки:
• Щелкните Нет привязки группы служб виртуального сервера балансировки нагрузки .
• Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» .
• Выберите svcg_domain_dns и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Продолжить .
Не закрывайте диалоговое окно свойств виртуального сервера балансировки нагрузки .
4.
Настройте метод балансировки нагрузки:
• Щелкните « Метод» в разделе «Дополнительные параметры» (правая панель).
• Выберите ROUNDROBIN в раскрывающемся списке Метод балансировки нагрузки.
• Нажмите « ОК» в разделе « Метод», чтобы применить настройки.
5.
Щелкните Готово .
Тестирование балансировки нагрузки DNS
Шаг
1.
Действие
Откройте запрос CMD на рабочем столе HOST: найдите CMD, затем щелкните его, чтобы начать: Пуск>
Командная строка .
2.
Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки:
nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102
Убедитесь, что получен успешный ответ и разрешает NYC-WEB-RED.workspacelab.com
IP-адрес 192.168.30.51.
3.
Вернитесь в утилиту настройки Citrix ADC (http://192.168.10.103).
4.
Просмотрите статистику балансировки нагрузки:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_dns и щелкните Статистика .
• Убедитесь, что запросы DNS балансируются по нагрузке.
Примечание . Возможно, вам придется быстро повторить команду nslookup 6-8 раз, чтобы сгенерировать данные для просмотра.
на этом этапе. Запросы DNS очень короткие по продолжительности, а статистика быстро истекает.
И вам нужно углубиться в членов группы обслуживания.
Для достижения наилучших результатов расположите окна так, чтобы можно было повторять команды nslookup в CMD.
Подсказка. Затем переключите фокус на экран «Статистика» в Citrix ADC Configuration Utility. Нажмите
Refresh кнопка для обновления дисплея быстро.
79
Стр. 80
https://translate.googleusercontent.com/translate_f
60/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
Настройка мониторов для балансировки нагрузки DNS
Шаг
1.
Действие
Создайте DNS-монитор с балансировкой нагрузки:
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить . Откроется диалоговое окно « Создать монитор ».
2.
Настройте тип монитора и стандартные параметры:
• Введите mon_dns в поле Имя .
• Выберите DNS из раскрывающегося списка Тип .
Сохраните значения по умолчанию для основных параметров. Основные настройки приведены ниже:
• Интервал : 5 сек.
• Тайм-аут ответа : 2 секунды
• Время простоя : 30 сек.
• Повторных попыток : 3
• Успешных попыток : 1
• Включено
3.
Настройте специальные параметры монитора:
• Щелкните вкладку Основные параметры .
• Введите NYC-WEB-RED.workspacelab.com в поле запроса .
• Проверить адрес выбран в раскрывающемся списке Тип запроса .
• Введите 192.168.30.51 в поле IP-адреса и нажмите «+», чтобы добавить его в настроенный список.
• Щелкните " Создать" .
Монитор DNS функционирует, определяя DNS-запрос, который должен выполнять монитор, и IP-адрес.
адрес или адреса, которые должен возвращать DNS-сервер. Если ответа не получено, или
возвращенный IP-адрес не соответствует списку возвращаемых значений в мониторе, зонд не работает.
4.
Привяжите монитор к сервисной группе:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» .
• Выберите svcg_domain_dns и нажмите « Изменить» .
• Щелкните Мониторы в разделе « Дополнительные настройки» (правая панель).
• В разделе « Мониторы» выберите « Нет группы служб для отслеживания привязки» .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Перейдите на страницу 2 списка.
• Выберите mon_dns и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
5.
Убедитесь в том, что группа обслуживания svcg_domain_dns остается UP после связывания нового монитора.
80
Стр. 81
CNS-218-3I Citrix ADC 12.x Essentials
6.
Просмотр состояния монитора для членов группы обслуживания. Порядок действий немного отличается от
автономных сервисов.
• Выберите svcg_domain_dns в узле « Группы служб» и нажмите « Изменить» .
• Щелкните « 2 члена группы обслуживания» в категории « Члены группы обслуживания» .
• Выберите 192.168.30.11 в списке участников группы служб и щелкните Сведения о мониторе .
• Закройте окно и нажмите Готово .
Это суммирует количество отправленных зондов, общее количество неудачных зондов и статус последнего ответа для
каждый член группы обслуживания.
7.
Сохраните конфигурацию Citrix ADC и подтвердите.
8.
Убедитесь, что балансировка нагрузки DNS по-прежнему работает после смены монитора:
• Откройте запрос CMD на рабочем столе HOST: найдите CMD, затем щелкните его, чтобы начать: Пуск>
Командная строка.
9.
Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки:
nslookup NYC-WEB-BLUE.workspacelab.com 172.21.10.102
https://translate.googleusercontent.com/translate_f
61/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Убедитесь, что получен успешный ответ и разрешает NYC-WEB-BLU.workspacelab.com как
IP-адрес 192.168.30.52.
10.
Используйте nslookup для проверки разрешения DNS с помощью виртуального сервера балансировки нагрузки:
nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102
Убедитесь, что получен успешный ответ и разрешает NYC-WEB-RED.workspacelab.com
IP-адрес 192.168.30.51.
Ключевые выводы:
• Группы служб могут использоваться вместо отдельных служб при балансировке нагрузки.
Все свойства, которые влияют на отдельные службы, могут управляться единовременно в группе обслуживания.
уровень. Мониторы можно привязать один раз на уровне группы и использовать для всех участников
Сервисы.
• Просмотр свойств, статуса участников и результатов мониторинга в группах услуг незначительно
отличается от просмотра деталей службы в графическом интерфейсе; однако все та же информация
подарок.
• Мониторы DNS используются для проверки успешного DNS-запроса и разрешения IP-адреса. В
монитор должен быть настроен с DNS-именем и IP-адресом для объекта в
среда, которая вряд ли будет часто меняться.
• Балансировка нагрузки DNS требует создания серверов, служб или групп служб, а также загрузки
балансировка виртуальных серверов, как и балансировка нагрузки HTTP. Процесс такой же, но
детали, такие как методы балансировки нагрузки и постоянство, могут варьироваться в зависимости от
применение.
81 год
Стр.82
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-3: Балансировка нагрузки LDAP (GUI)
Введение:
В этом упражнении вы научитесь балансировать нагрузку на серверы аутентификации LDAP (контроллеры домена).
путем создания сервисных групп LDAP, мониторов LDAP и виртуального сервера балансировки нагрузки LDAP. Вы
будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения.
О балансировке нагрузки LDAP:
Балансировка нагрузки LDAP используется для обеспечения избыточности служб аутентификации. Это упражнение
фокусируется на аутентификации LDAP с использованием контроллеров домена Microsoft Active Directory, но
балансировку нагрузки аутентификации можно настроить для других служб аутентификации, таких как
Радиус. Если контроллер домена отключен, запросы проверки подлинности могут быть направлены другому
контроллер домена.
Виртуальный сервер балансировки нагрузки LDAP будет использоваться в последующих упражнениях, когда внешний
проверка подлинности интегрирована с проверкой подлинности системы Citrix ADC как часть делегированной
конфигурация администрирования.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте сервисную группу для LDAP.
• Создайте виртуальный сервер балансировки нагрузки для LDAP.
• Настроить мониторы для балансировки нагрузки LDAP.
Создайте сервисную группу для LDAP
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
https://translate.googleusercontent.com/translate_f
62/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте группу служб для аутентификации LDAP, используя контроллеры домена в качестве службы.
Участники группы:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» .
• Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки : основные параметры ».
82
Стр. 83
CNS-218-3I Citrix ADC 12.x Essentials
3.
Настройте основные параметры группы служб балансировки нагрузки:
• Введите svcg_domain_ldap в поле Имя .
• Выберите TCP в раскрывающемся меню Протокол .
• Щелкните ОК .
4.
Привяжите участников к сервисной группе:
• Щелкните Нет участников группы обслуживания .
• Выберите IP-адрес .
• Введите 192.168.30.11-12 в поле IP-адрес / Диапазон IP-адресов .
• Введите 389 в поле Порт .
• Щелкните " Создать", затем " ОК" .
• Щелкните Готово .
5.
Щелкните Обновить и убедитесь, что группа служб svcg_domain_ldap находится в состоянии UP (зеленый), что означает
все участники находятся в состоянии UP.
6.
Выберите svcg_domain_ldap и нажмите « Управление участниками», чтобы просмотреть индивидуальный статус участника.
7.
Щелкните Close .
Создайте виртуальный сервер балансировки нагрузки для LDAP
Шаг
1.
Действие
Создайте виртуальный сервер балансировки нагрузки для серверов LDAP AD.workspacelab.com и
AD02.workspacelab.com. Настройте балансировку нагрузки с помощью метода циклического перебора.
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки .
2.
Настройте основные параметры виртуального сервера балансировки нагрузки:
• Введите lb_vsrv_ldap в поле Имя .
• Выберите TCP из раскрывающегося списка « Протокол» .
• Введите 172.21.10.103 в поле IP-адрес .
• Введите 389 в поле Порт .
• Щелкните ОК .
3.
Привяжите сервисную группу к виртуальному серверу балансировки нагрузки:
• Щелкните Нет привязки группы служб виртуального сервера балансировки нагрузки .
• Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» .
• Выберите svcg_domain_ldap и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Продолжить .
Не закрывайте диалоговое окно Виртуальный сервер балансировки нагрузки .
4.
Настройте метод балансировки нагрузки:
• Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель).
• Выберите ROUNDROBIN из раскрывающегося списка Метод балансировки нагрузки .
• Нажмите « ОК» в разделе « Метод», чтобы применить настройки.
5.
Щелкните Готово .
83
https://translate.googleusercontent.com/translate_f
63/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 84
CNS-218-3I Citrix ADC 12.x Essentials
Настройка мониторов для балансировки нагрузки LDAP
Шаг
1.
Действие
Создайте монитор LDAP с балансировкой нагрузки, чтобы убедиться, что службы аутентификации работают на
целевой сервер LDAP:
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить . Откроется диалоговое окно « Создать монитор ».
2.
Настройте тип монитора и стандартные параметры:
• Введите mon_ldap в поле Имя .
• Выберите LDAP в раскрывающемся списке Тип .
Сохраните значения по умолчанию для стандартных параметров. Основные настройки приведены ниже:
• Интервал : 5 сек.
• Тайм-аут ответа : 2 секунды
• Время простоя: 30 сек.
• Повторных попыток: 3
• Успешных попыток: 1
• Включено
3.
Настройте специальные параметры монитора:
• Щелкните вкладку « Дополнительные параметры ».
• Выберите nsldap.pl из раскрывающегося списка « Имя сценария» .
• Введите dc = workspacelab, dc = com в поле Base DN .
• Введите trainADUser@workspacelab.com в поле Bind DN .
• Введите cn = Builtin в поле Filter .
• Введите memberOf в поле Атрибут .
• Введите Пароль1 в поле Пароль .
• Щелкните " Создать" .
Монитор выполняет аутентификацию LDAP, используя предоставленную учетную запись службы, чтобы проверить
если сервер LDAP отвечает на запросы. Учетная запись должна существовать в каталоге LDAP.
оказание услуг.
Примечание . Этот монитор не сработает, если используемая учетная запись службы отключена или изменится пароль.
Параметр filter используется для ограничения количества объектов, возвращаемых запросом монитора. Этот
действие помогает избежать задержки ответа монитора в средах с большим количеством
объекты служб каталогов.
84
Стр.85
CNS-218-3I Citrix ADC 12.x Essentials
4.
Измените количество объектов монитора для отображения на странице в списке мониторов.
• Нажмите « Обновить», чтобы обновить представление Citrix ADC.
• Выберите 250 на страницу из раскрывающегося списка объектов на странице внизу
панель. По умолчанию 25.
• Это предпочтение сохранится.
Примечание . Графический интерфейс Citrix ADC по умолчанию показывает только 25 мониторов на странице, и теперь это 26- е место.
монитор в списке. Используйте параметр «следующая страница» или измените максимальное количество отображаемых на странице элементов на
посмотреть остальную часть доступного монитора. Вы также можете использовать опцию поиска для фильтрации по мониторам
начиная с mon_. Значение элементов на странице запоминается как предпочтение сайта (через файл cookie).
и будет сохраняться между сеансами.
5.
Привяжите монитор к сервисной группе:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» .
• Выберите svcg_domain_ldap и нажмите « Изменить» .
• Щелкните Мониторы в разделе « Дополнительные настройки» (правая панель).
https://translate.googleusercontent.com/translate_f
64/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• В разделе « Мониторы» выберите « Нет группы служб для отслеживания привязки» .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_ldap и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
6.
Убедитесь, что группа служб svcg_domain_ldap остается в рабочем состоянии после привязки нового монитора.
Это подтверждает, что параметры аутентификации в мониторе работают правильно. В
виртуальный сервер аутентификации будет протестирован в ходе следующих лабораторных упражнений.
7.
Сохраните конфигурацию Citrix ADC и подтвердите.
Ключевые выводы:
• Citrix ADC не имеет предопределенного типа приложения для LDAP, поэтому настройка нагрузки
балансировка виртуальных серверов и служб или групп служб, поскольку TCP: 389 будет работать для LDAP
общение.
• Пользовательский монитор LDAP может использоваться для проверки состояния UP серверов аутентификации.
путем выполнения тестового запроса аутентификации. Учетная запись службы должна иметь как минимум
разрешения пользователей домена для перечисления объектов в домене.
Упражнение 5-4: Балансировка нагрузки баз данных MYSQL (GUI)
85
Стр.86
CNS-218-3I Citrix ADC 12.x Essentials
Введение:
В этом упражнении вы научитесь настраивать базовую балансировку нагрузки для серверов баз данных MYSQL.
Конфигурация балансировки нагрузки в этом упражнении основана на базе данных только для чтения, в которой все
запросы могут активно распределяться по обоим серверам баз данных. База данных балансировки нагрузки
трафик также требует настройки учетной записи базы данных. Для мониторинга базы данных требуется
настройка SQL-запросов. Вы будете использовать графический интерфейс программы настройки Citrix ADC для выполнения
это упражнение.
Упражнение начинается с настройки балансировки нагрузки «активный-активный» на двух серверах баз данных,
аналогично другим упражнениям по балансировке нагрузки в этом модуле. Затем упражнение демонстрирует
настройка конфигурации активной / пассивной балансировки нагрузки для серверов баз данных с помощью
Пример основного виртуального сервера с резервным виртуальным сервером.
В этом упражнении вы будете выполнять следующие задачи:
• Создание объектов пользователя и сервера базы данных для MYSQL.
• Создавать сервисы для MYSQL.
• Создать виртуальный сервер балансировки нагрузки для MYSQL.
• Протестируйте балансировку нагрузки MYSQL.
• Настроить мониторы для балансировки нагрузки MYSQL.
• Настроить балансировку нагрузки базы данных с помощью резервного виртуального сервера.
Создать пользователя базы данных и объекты сервера для MYSQL
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
https://translate.googleusercontent.com/translate_f
65/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте пользователя базы данных на Citrix ADC:
• Перейдите в раздел Система> Администрирование пользователей> Пользователи базы данных .
• Щелкните Добавить . Откроется диалоговое окно « Создать пользователя базы данных ».
• Введите netscalerql в поле «Имя пользователя».
• Введите netscaler в поле «Пароль» и «Подтвердите пароль». - → пароль как
citrixadc?
• Щелкните " Создать" .
86
Стр. 87
CNS-218-3I Citrix ADC 12.x Essentials
3.
Создайте сервер для NYC-LMP-001:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» .
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер ».
• Введите srv_NYC-LMP-001 в поле « Имя» .
• Введите 192.168.30.61 в поле IP-адреса .
• Снимите флажок Включить после создания, чтобы отключить сервер.
• Щелкните " Создать" .
ВАЖНО : Создавайте объекты сервера в отключенном состоянии до тех пор, пока не будут отключены службы с мониторами PING.
настроен. Это позволяет избежать сценария, в котором зонд монитора TCP по умолчанию создает
ошибка на серверах MYSQL, когда серверы видят только трехстороннее рукопожатие и обрабатывают
зонд как ошибка подключения. Серверы будут включены после того, как мониторы будут правильно настроены.
настроен.
4.
Создайте сервер для NYC-LMP-002:
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер ».
• Введите srv_NYC-LMP-002 в поле « Имя» .
• Введите 192.168.30.62 в поле IP-адрес .
• Снимите флажок Включить после создания, чтобы отключить сервер.
• Щелкните " Создать" .
5.
Убедитесь, что объекты сервера для NYC-LMP-001 и NYC-LMP-002 отключены.
Если вы пропустили шаг по отключению серверов при их создании, отключите их сейчас, чтобы предотвратить
проблемы с подключением позже. Серверы NYC-LMP-001 и NYC-LMP-002 можно перезапустить в Hyper-V.
При необходимости, менеджер во время последующих упражнений.
Чтобы отключить серверы:
• Выберите srv_NYC-LMP-001 , srv_NYC-LMP-002 или оба в списке серверов .
• Щелкните « Действие»> «Отключить» .
Создать сервисы для MYSQL
Шаг
1.
Действие
Создать сервис для NYC-LMP-001 (MySQL):
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Щелкните Добавить . Откроется диалоговое окно « Служба балансировки нагрузки: основные параметры ».
• Введите svc_NYC-LMP-001 в поле « Имя службы» .
• Выберите существующий сервер.
• Выберите srv_NYC-LMP-001 (192.168.30.61) в меню « Сервер» .
• Выберите MYSQL для протокола .
• Выберите 3306 в качестве порта .
• Щелкните OK, чтобы завершить основные настройки.
Не закрывайте диалоговое окно свойств службы балансировки нагрузки .
87
https://translate.googleusercontent.com/translate_f
66/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр.88
CNS-218-3I Citrix ADC 12.x Essentials
2.
Привяжите к сервису ping-монитор:
• Щелкните 1 Служба для привязки монитора балансировки нагрузки .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите ping из списка Monitors Name и нажмите Select .
Не используйте ping-default.
• Щелкните « Привязать», затем щелкните « Закрыть» .
• Щелкните Готово .
3.
Создать службу для NYC-LMP-002 (MySQL):
• Щелкните Добавить . Нагрузки - основные настройки: Balancing Service открывает диалоговое окно.
• Введите svc_NYC-LMP-002 в поле « Имя службы» .
• Выберите существующий сервер.
• Выберите srv_NYC-LMP-002 (192.168.30.62) в меню « Сервер» .
• Выберите MYSQL для протокола .
• Выберите 3306 в качестве порта .
• Щелкните OK, чтобы завершить основные настройки.
Не закрывайте диалоговое окно свойств службы балансировки нагрузки .
4.
Привяжите к сервису ping-монитор:
• Щелкните 1 Служба для привязки монитора балансировки нагрузки .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите команду ping из списка мониторинга и нажмите Выбрать .
Не используйте ping-default.
• Щелкните « Привязать», затем щелкните « Закрыть» .
• Щелкните Готово .
5.
Включите объекты сервера для NYC-LMP-001 и NYC-LMP-002:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» .
• Выберите как srv_NYC-LMP-001, так и srv_NYC-LMP-002 в списке серверов .
• Щелкните Действие> Включить .
• Щелкните Да, чтобы подтвердить.
Теперь, когда монитор ping должен заменить монитор tcp_default, серверы могут
быть включенным.
6.
Подтвердите, что сервисы работают:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Убедитесь, что состояние svc_NYC-LMP-001 и svc_NYC-LMP-002 - UP .
Создайте виртуальный сервер балансировки нагрузки для MYSQL
Шаг
1.
Действие
Создайте vServer с балансировкой нагрузки, который будет связан с NYC-LMP-001 и NYC-LMP-002.
серверы баз данных. Балансировка нагрузки служб с использованием метода балансировки нагрузки наименьшего количества подключений.
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно Виртуальный сервер балансировки нагрузки: основные параметры .
88
Стр.89
CNS-218-3I Citrix ADC 12.x Essentials
2.
Настройте основные параметры виртуального сервера балансировки нагрузки:
• Введите lb_vsrv_mysql в поле « Имя» .
• Выберите MYSQL из раскрывающегося списка « Протокол» .
• Введите 172.21.10.104 в поле IP-адрес .
• Введите 3306 в поле Порт .
• Щелкните ОК .
3.
Привяжите службы к виртуальному серверу балансировки нагрузки:
• Щелкните Без привязки службы виртуального сервера балансировки нагрузки .
• Нажмите кнопку Нажмите , чтобы выбрать под Select Service .
• Выберите svc_NYC-LMP-001 .
• Выберите svc_NYC-LMP-002 .
https://translate.googleusercontent.com/translate_f
67/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Выбрать .
• Щелкните « Привязать» .
• Щелкните Продолжить .
Не закрывайте диалоговое окно свойств виртуального сервера балансировки нагрузки .
4.
Установите метод балансировки нагрузки:
• Щелкните « Метод» в разделе « Дополнительные параметры» (правая панель).
• Выберите LEASTCONNECTION из раскрывающегося списка Метод балансировки нагрузки . Это
метод балансировки нагрузки по умолчанию, если он не настроен.
• Нажмите « ОК» в разделе « Метод», чтобы применить настройки.
5.
Щелкните Готово, чтобы закрыть диалоговое окно свойств виртуального сервера балансировки нагрузки для lb_vsrv_mysql.
6.
Сохраните конфигурацию Citrix ADC и подтвердите.
89
Стр. 90
CNS-218-3I Citrix ADC 12.x Essentials
Тестирование балансировки нагрузки MYSQL
Шаг
1.
Действие
Тестирование балансировки нагрузки MySQL
• Откройте HeidiSQL с помощью ярлыка на рабочем столе (если появится всплывающее окно для обновления
HeidiSQL, нажмите Пропустить, чтобы продолжить упражнение ..)
• Выберите MySQLTest на левой панели.
• Щелкните " Открыть" .
• HeidiSQL должен успешно подключиться к базе данных с помощью балансировки нагрузки.
виртуальный сервер.
Настройки подключения MySQLTest: (для справки)
• MySQL (TCP / IP)
• Имя хоста / IP : 172.21.10.104 (это VIP для lb_vsrv_mysql)
• Пользователь : netscalerql.
• Пароль : netscaler
• Базы данных : imdb
2.
Проверить подключение к базе данных:
На панели подключения отобразится MySQLTest> imdb . Таблицы базы данных отображаются слева
панель.
• Выберите imdb на левой панели. Выберите вкладку « Запрос » на правой панели.
• Введите следующий запрос на панели запросов, чтобы проверить соединение:
выберите * из актеров, где актеры.last_name = "Tazova"
• Нажмите кнопку « Воспроизвести» на панели задач (над панелью запроса).
• Убедитесь, что запрос возвращает 1 запись для актера.
Не закрывайте Heidi SQL и повторно используйте это соединение для последующих тестов. Вы воспроизведете этот запрос несколько раз
раз.
https://translate.googleusercontent.com/translate_f
68/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Настройка мониторов для балансировки нагрузки MySQL
Шаг
1.
Действие
Создайте монитор MySQL с балансировкой нагрузки:
• Перейдите в Управление трафиком> Балансировка нагрузки> Мониторы .
• Щелкните Добавить . Откроется диалоговое окно создания монитора.
2.
Настройте тип монитора и стандартные параметры (которые теперь разделены на базовые и
Расширенные параметры):
• Введите mon_mysql в поле Имя .
• Выберите MYSQL-ECV из раскрывающегося списка « Тип» (прокрутите ВВЕРХ, чтобы щелкнуть « Выбрать» ).
Сохраните значения по умолчанию для стандартных параметров.
• Интервал : 5 сек.
• Тайм-аут ответа : 2 секунды
• Время простоя : 30 сек.
• Повторных попыток : 3
• Успешных попыток : 1
• Включено
90
Стр.91
CNS-218-3I Citrix ADC 12.x Essentials
3.
Настроить специальные параметры монитора (теперь в разделе «Основные параметры» после выбора «Монитор»).
Тип):
•
• Введите netscalerql в поле « Имя пользователя» .
• Введите imdb в поле « База данных» .
• Введите следующее выражение в поле « Выражение» (вы можете ввести вручную или использовать
Редактор выражений для построения выражения):
MYSQL.RES.ATLEAST_ROWS_COUNT (1)
• Щелкните " Создать" .
Примечание . Убедитесь, что выражение правильное, прежде чем переходить к следующему шагу.
Выражение основано на синтаксисе политики по умолчанию Citrix ADC и используется для проверки того, что SQL
запрос возвращает по крайней мере 1 строку как способ определить, что база данных работает. Политика
синтаксис будет подробно объяснен позже. Выражение можно ввести вручную
с помощью встроенного редактора, который будет предоставлять параметры синтаксиса каждый раз, когда вводится точка ("."). За
более структурированный подход, щелкните Редактор выражений и создайте выражение с помощью выпадающего
вниз списки.
При правильном вводе окончательное выражение будет выглядеть так, как показано выше.
Пояснение:
Этот монитор будет выполнять запрос (Select * from users…) к базе данных (IMDB) и
затем использует выражение (MYSQL.RES.ATLEAST_ROWS_COUNT (1)), чтобы определить,
выполнен и вернул действительный ответ, который в данном случае представляет собой как минимум одну возвращенную строку.
Однако в этой сборке параметр Query нельзя настроить в графическом интерфейсе, и он будет добавлен в
следующий шаг.
4.
ПРИМЕЧАНИЕ. Из-за ошибки графического интерфейса в сборке 12.1.49.23 поле параметра запроса не отображается.
отображается для монитора MYSQL-ECV, это значение необходимо установить через интерфейс командной строки:
Откройте Putty, получив доступ к значку PuTTY.exe на рабочем столе HOST и подключитесь к
ADC_HA_MGMT (192.168.30.103) как nsroot / nsroot:
Выполните следующую команду в интерфейсе командной строки, чтобы установить дополнительный параметр монитора для установки запроса
Параметр:
установить lb monitor mon_mysql mysql-ecv -sqlquery 'выбрать * из
актеры, где актеры.last_name = "Тазова" '
Введите следующий запрос в поле Query : (Это тот же запрос, который использовался в тесте HeidiSQL, поэтому
скопируйте запрос:
выберите * из актеров, где актеры.last_name = "Tazova"
https://translate.googleusercontent.com/translate_f
69/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
91
Стр.92
CNS-218-3I Citrix ADC 12.x Essentials
5.
Привяжите монитор MYSQL и отключите монитор ping для службы NYC-LMP-002:
• Выберите svc_NYC-LMP-002 и нажмите « Изменить» .
• Щелкните 1 Привязка монитора балансировки нагрузки службы в разделе « Мониторы» .
• Щелкните Добавить привязку .
• Щелкните « Щелкните для выбора» в разделе « Выбор монитора» .
• Выберите mon_mysql и нажмите Выбрать.
• Щелкните « Привязать» .
• Выберите ping , нажмите « Отменить привязку» и « Да» для подтверждения.
• Щелкните Закрыть> Готово.
6.
Тестирование балансировки нагрузки MySQL (тест 2)
• Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены.
• Нажмите « Воспроизвести», чтобы повторить следующий запрос , при необходимости повторно введите его:
выберите * из актеров, где актеры.last_name = "Tazova"
• Убедитесь, что запрос возвращает 1 запись для актера.
Настройка балансировки нагрузки базы данных с помощью резервного виртуального сервера
Шаг
1.
Действие
Настройте балансировку нагрузки vServer lb_vsrv_mysql, чтобы он указывал на одну первичную базу данных (NYC-LMP001).
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_mysql и нажмите « Изменить» .
• Щелкните 2 «Привязки служб виртуального сервера балансировки нагрузки» в разделе « Службы и службы».
Группы.
• Выберите svc_NYC-LMP-002 и нажмите « Отменить привязку» .
• Щелкните Да .
• Убедитесь, что svc_NYC-LMP-001 все еще привязан, и нажмите « Закрыть» .
• Щелкните Готово .
2.
Создайте новый виртуальный сервер балансировки нагрузки, указывающий на резервную базу данных (NYC-LMP-002).
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки .
3.
Настройте основные параметры виртуального сервера балансировки нагрузки:
• Введите lb_vsrv_mysql_backup в поле « Имя» .
• Выберите MYSQL из раскрывающегося списка « Протокол» .
• Выберите « Безадресный» в раскрывающемся списке Тип IP-адреса .
• Щелкните ОК .
Неадресуемый виртуальный сервер не имеет назначенного VIP или порта. Это внутренняя организация на
Citrix ADC.
92
Стр.93
CNS-218-3I Citrix ADC 12.x Essentials
4.
Привяжите службы к виртуальному серверу балансировки нагрузки:
• Щелкните Без привязки службы виртуального сервера балансировки нагрузки .
• Нажмите кнопку Нажмите , чтобы выбрать под Select Service .
• Выберите svc_NYC-LMP-002 и нажмите « Выбрать» .
• Щелкните « Привязать» .
• Щелкните Продолжить .
• Щелкните Готово .
5.
Настройте lb_vsrv_mysql_backup в качестве резервного виртуального сервера для lb_vsrv_mysql (основного).
https://translate.googleusercontent.com/translate_f
70/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Выберите lb_vsrv_mysql и нажмите « Изменить» .
• Щелкните Защита в разделе « Дополнительные параметры» (правая панель).
• Выберите lb_vsrv_mysql_backup из раскрывающегося списка Backup Virtual Server и
нажмите ОК .
• Щелкните Готово .
6.
Отключите сервер NYC-LMP-001 для имитации сбоя:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» .
• Выберите srv_NYC-LMP-001 и нажмите « Действие»> «Отключить» .
• Щелкните ОК .
7.
Проверьте состояние lb_vsrv_mysql и lb_vsrv_mysql_backup:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• lb_vsrv_mysql государство является DOWN , но эффективное государство является UP .
• lb_vsrv_msyql_backup государства является UP и эффективное государство является UP .
8.
Тестирование балансировки нагрузки MySQL (Тест 3)
• Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены.
• Нажмите « Воспроизвести», чтобы повторить следующий запрос, при необходимости введите его повторно:
выберите * из актеров, где актеры.last_name = "Tazova"
• Убедитесь, что запрос возвращает 1 запись для актера.
9.
Включите сервер svc_NYC-LMP-001:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Серверы» .
• Выберите srv_NYC-LMP-001 и нажмите « Действие»> «Включить» .
• Щелкните Да для подтверждения.
10.
Сохраните конфигурацию Citrix ADC и подтвердите.
11.
Закройте HeidiSQL. Если вы получили всплывающее окно для сохранения содержимого вкладки «Запрос *»? Щелкните Нет .
Если нет, переходите к следующему шагу.
Ключевые выводы:
• Балансировка нагрузки базы данных позволяет мультиплексировать TCP-соединение для трафика базы данных, аналогичного TCP.
мультиплексирование соединений для HTTP-трафика.
• Для подключения к базам данных MYSQL (и MSSQL) требуется, чтобы Citrix ADC был настроен с действительным
учетная запись базы данных. Даже если не используется конкретный монитор базы данных, Citrix ADC аутентифицируется на
установить допустимое соединение для службы. Имена учетных записей пользователей базы данных и пароли оба регистра
чувствительный.
93
Стр.94
CNS-218-3I Citrix ADC 12.x Essentials
• Свойство резервного виртуального сервера виртуального сервера с балансировкой нагрузки вызывается, когда основной виртуальный
сервер находится в состоянии DOWN, потому что службы недоступны. Настроенный резервный виртуальный сервер в UP
может привести к тому, что основное рабочее состояние виртуального сервера останется в рабочем состоянии и обеспечит плавное переключение при отказе для
трафик направляется на основной виртуальный сервер.
https://translate.googleusercontent.com/translate_f
71/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
94
Стр.95
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-1: Балансировка нагрузки HTTP (CLI)
Введение:
В этом упражнении вы научитесь балансировать нагрузку HTTP-приложения, создавая серверы, службы,
и виртуальные серверы с балансировкой нагрузки. Вы будете использовать интерфейс командной строки для выполнения
это упражнение.
В этом упражнении вы будете выполнять следующие задачи:
• Настроить серверы, службы и виртуальные серверы балансировки нагрузки для HTTP.
• Настроить и протестировать постоянство.
• Настроить и протестировать мониторы для использования с балансировкой нагрузки HTTP.
Упражнения по балансировке нагрузки для веб-приложений HTTP в этом модуле используются для
продемонстрировать сущности и основные принципы балансировки нагрузки.
О серверах:
Серверные объекты в Citrix ADC используются для представления пунктов назначения трафика. Эти
назначения определяются IP-адресом. Объекты сервера идентифицируют IP-адрес, на который
Citrix ADC будет направлять трафик при балансировке нагрузки. Серверы могут быть созданы как именованные объекты на
Citrix ADC, как это сделано в этом упражнении, или они могут быть созданы и названы по месту назначения
Айпи адрес. На одном сервере может размещаться несколько приложений, поэтому его можно использовать с
несколько услуг.
Об услугах:
Службы представляют собой приложение, работающее на сервере. Сервис - это способ для Citrix ADC
для представления типа трафика с балансировкой нагрузки путем определения IP-адреса, порта и
протокол трафика. Службу можно определить, указав на существующий именованный объект сервера.
на Citrix ADC (для IP-адреса / назначения трафика) или сервис может быть определен
предоставление IP-адреса. Виртуальные серверы Citrix ADC с балансировкой нагрузки распределяют трафик между
Сервисы. Таким образом, сервисы воплощают концепцию типа трафика с балансировкой нагрузки.
Различные типы трафика (протоколы), которые можно идентифицировать на Citrix ADC, используются для
обеспечивают обработку трафика для конкретных приложений.
В этом упражнении будет выполняться балансировка нагрузки HTTP. В следующих упражнениях мы рассмотрим LDAP,
Типы трафика DNS и MYSQL. Каждая служба представляет собой уникальную комбинацию IP: Порт: Протокол. А
данный сервер может использоваться для размещения нескольких приложений. Таким образом, разные сервисы могут быть
создается для каждого приложения, что позволяет индивидуально балансировать нагрузку на сервисы.
О виртуальных серверах с балансировкой нагрузки:
https://translate.googleusercontent.com/translate_f
72/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
95
Стр.96
CNS-218-3I Citrix ADC 12.x Essentials
Виртуальные серверы с балансировкой нагрузки - это виртуальные объекты, которые выполняют распределение трафика для
сопутствующие услуги. Виртуальный сервер балансировки нагрузки - это объект на стороне клиента, который получает
запросы от клиента.
Виртуальные серверы с балансировкой нагрузки определяются виртуальным IP-адресом, протоколом и портом, которые
получает исходные запросы. Указанный метод балансировки нагрузки и параметры сохраняемости
определить, как трафик распределяется по доступным сервисам. Различная балансировка нагрузки
методы и настройки подходят для разных приложений. Каждая виртуальная машина с балансировкой нагрузки
server представляет собой уникальную комбинацию IP-адрес: порт. Несколько виртуальных серверов с балансировкой нагрузки
могут использовать один и тот же IP-адрес, если они настроены на разных портах, что позволяет
приложения (порты) должны быть сбалансированы по нагрузке независимо друг от друга.
Сервисы привязаны к виртуальным серверам с балансировкой нагрузки. Citrix ADC действует наоборот
прокси, виртуальный сервер балансировки нагрузки представляет соединение на стороне клиента и определяет
точка входа для трафика, тип трафика и параметры подключения на стороне клиента. Виртуальная балансировка нагрузки
Сервер также является механизмом распределения трафика. Используя методы балансировки нагрузки и постоянство,
Виртуальный сервер балансировки нагрузки определяет, куда направляется трафик. Сервис представляет собой серверпобочное соединение между Citrix ADC и конечным сервером, выполняющим запрос.
О мониторах балансировки нагрузки:
Мониторы - это зонды или условия, которые Citrix ADC использует для определения того, находится ли служба в состоянии ВВЕРХ или ВНИ
Мониторы привязаны к сервисам (не серверам). Поэтому многие мониторы являются прикладными.
конкретный. Мониторы позволяют Citrix ADC выполнять интеллектуальную балансировку нагрузки и отправлять только
трафик к службе, которая может выполнить запрос. При базовом мониторинге монитор привязан к
сервис с установленным условием, которое должно быть выполнено, и детали, определяющие, как часто проверять, и другие
Детали. Если зонд завершается успешно и условие выполняется, служба работает; если зонд выходит из строя, то
служба ВЫКЛЮЧЕНА. При необходимости с мониторами можно использовать более сложные критерии.
Это упражнение укрепит эти концепции с помощью конфигурации балансировки нагрузки HTTP. Другие
затем упражнения будут применять эти концепции с дополнительными вариантами использования для конкретных приложений и
передовые концепции балансировки нагрузки .
Настройка серверов, служб и виртуальных серверов балансировки нагрузки для HTTP
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Включите функцию балансировки нагрузки:
включить функцию ns LB
96
Стр.97
CNS-218-3I Citrix ADC 12.x Essentials
3.
Создайте объекты сервера, представляющие каждый из целевых веб-серверов в среде:
NYC-WEB-RED (192.168.30.51), NYC-WEB-BLU (192.168.30.52) и NYC-WEB-GRN
(192.168.30.53)
Создайте серверы для NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN:
добавить сервер srv_red 192.168.30.51
https://translate.googleusercontent.com/translate_f
73/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
добавить сервер srv_blue 192.168.30.52
добавить сервер srv_green 192.168.30.53
4.
Создавайте службы для веб-содержимого (HTTP) на NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN
серверы. При создании служб используйте именованные серверные объекты, созданные в предыдущей задаче.
Эти службы представляют собой тип трафика, для которого выполняется балансировка нагрузки.
Создайте службы HTTP для NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN:
добавить службу svc_red srv_red http 80
добавить службу svc_blue srv_blue http 80
добавить службу svc_green srv_green http 80
5.
Настройте виртуальный сервер балансировки нагрузки для HTTP-трафика, который может распределять трафик по
услуги для ресурсов NYC-WEB-RED, NYC-WEB-BLU и NYC-WEB-GRN. Балансировка нагрузки с помощью
циклический метод балансировки нагрузки.
Создайте виртуальный сервер балансировки нагрузки:
добавить lb vserver lb_vsrv_rbg HTTP 172.21.10.101 80 -lbMethod ROUNDROBIN
Свяжите Услуги:
привязать lb vserver lb_vsrv_rbg svc_red
привязать lb vserver lb_vsrv_rbg svc_blue
привязать lb vserver lb_vsrv_rbg svc_green
6.
Тестовая конфигурация балансировки нагрузки:
• Откройте браузер и найдите http://172.21.10.101/.
• Обновите страницу пару раз и обратите внимание на результат.
• В браузере найдите http://172.21.10.101/home.php.
• Обновите страницу пару раз и обратите внимание на результат.
Примечание . Попробуйте использовать Chrome в режиме инкогнито и обновите страницу, чтобы увидеть поведение без
никакого кеширования.
7.
Просмотрите статистику балансировки нагрузки:
stat lb vserver
stat lb vserver lb_vsrv_rbg
Настроить и протестировать постоянство
Шаг
Действие
97
Стр.98
CNS-218-3I Citrix ADC 12.x Essentials
1.
Включить постоянство:
установить lb vserver lb_vsrv_rbg -persistenceType COOKIEINSERT -timeout 2
2.
Тестовая конфигурация балансировки нагрузки:
• Откройте браузер и найдите http://172.21.10.101/.
• Обновите страницу несколько раз и обратите внимание на результат.
• В браузере найдите http://172.21.10.101/home.php.
• Обновите страницу несколько раз и обратите внимание на результат.
В Firefox и Chrome в лаборатории установлены LiveHTTPHeaders, которые позволят вам просматривать
заголовки, такие как Persistence Cookie, который устанавливается Citrix ADC (и Served by Header)
В IE это плагин DisplayIEHeaders.
3.
Просмотрите статистику балансировки нагрузки:
stat lb vserver
stat lb vserver lb_vsrv_rbg
Обратите внимание, что при использовании постоянства налогом облагается только одна служба, а не все три.
4.
Отключите постоянство на vServer с балансировкой нагрузки:
установить lb vserver lb_vsrv_rbg -persistenceType NONE
5.
Сохраните конфигурацию:
сохранить конфигурацию ns
Настройка и тестирование мониторов для использования с балансировкой нагрузки HTTP
https://translate.googleusercontent.com/translate_f
74/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Создайте HTTP-монитор балансировки нагрузки для служб RBG:
добавить lb monitor mon_rbg_http HTTP -respCode 200
-httpRequest "Head /" -LRTM DISABLED -interval 5 SEC
-respTimeout 2 секунды -downTime 30 секунд-retries 3
Этот монитор проверяет, предоставляет ли веб-сервер ответ 200 OK для запрошенного содержимого.
Это обеспечивает базовую проверку того, что веб-контент создается путем изучения ответа.
код получен в шапке.
2.
Создайте HTTP-ECV-монитор балансировки нагрузки для RBG Services:
добавить lb monitor mon_rbg_httpecv HTTP-ECV
-send "Get /home.php" -recv "serverinfo"
-LRTM Disabled -interval 5 SEC -respTimeout 2 SEC
-downTime 30 сек -повторяет 3
Этот монитор подтверждает, что в теле ответа генерируется определенное значение, обеспечивая более
детальная проверка того, что веб-контент полностью генерируется.
98
Стр. 99
CNS-218-3I Citrix ADC 12.x Essentials
3.
Создайте HTTP-ECV-монитор балансировки нагрузки для службы RBG, которая завершится ошибкой:
добавить lb monitor mon_rbg_httpecv_bad HTTP-ECV
-send "Get /home.php" -recv "badstring"
-LRTM Disabled -interval 5 SEC -respTimeout 2 SEC
-downTime 30 сек -повторяет 3
4.
Привяжите HTTP-монитор к сервису Red:
привязать службу svc_red -monitorName mon_rbg_http
5.
Убедитесь, что служба Red продолжает работать после смены мониторов:
показать сервис svc_red
Проверьте состояние службы.
Проверьте состояние монитора, отправленные зонды и сбой зондов.
6.
Привяжите монитор HTTP-ECV к службе Blue:
привязать службу svc_blue -monitorName mon_rbg_httpecv
7.
• Убедитесь, что служба Blue продолжает работать после смены мониторов:
показать сервис svc_blue
• Проверьте состояние службы.
• Проверьте состояние монитора, отправленные датчики и сбой датчиков.
8.
• Откройте веб-браузер и найдите http://172.21.10.101/home.php.
• Обновите страницу несколько раз и убедитесь, что вы видите контент со всех трех серверов:
Красный, синий и зеленый.
9.
Отключите монитор HTTP-ECV от службы Blue:
отвязать службу svc_blue -monitorName mon_rbg_httpecv
10.
Привяжите плохой монитор к сервису Blue:
привязать службу svc_blue -monitorName mon_rbg_httpecv_bad
11.
• Убедитесь, что синий сервис ВЫКЛЮЧЕН:
показать сервис svc_blue
• Проверьте состояние службы и состояние монитора, отправленные и неисправные зонды.
Возможно, вам придется повторить команду несколько раз, поскольку начальные датчики не работают и монитор
состояние сообщается как Неизвестное до того, как будет выполнено минимальное количество повторных попыток, и монитор не будет
уценен вместе с услугой.
12.
Просмотрите статистику виртуального сервера с балансировкой нагрузки:
stat lb vserver lb_vsrv_rbg
https://translate.googleusercontent.com/translate_f
75/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
99
Стр. 100
CNS-218-3I Citrix ADC 12.x Essentials
13.
Открыть живые HTTP-заголовки:
• В Firefox откройте заголовки Live HTTP: Инструменты> Заголовки Live HTTP .
• Убедитесь, что на вкладке «Заголовки» включен захват .
• Щелкните Очистить, чтобы при необходимости очистить окна захвата.
Live HTTP-заголовки также можно запускать из Chrome:
• Щелкните значок синего облака рядом с адресной строкой, чтобы открыть заголовки Live HTTP в
вкладка браузера.
• Убедитесь, что в выбранных параметрах вверху включен захват.
• Самые последние объекты отображаются вверху.
• Щелкните Очистить, чтобы при необходимости очистить окна захвата.
Надстройки Live HTTP-заголовки будут использоваться с Firefox во время этого упражнения. Для удобства,
Live HTTP-заголовки также добавляются в браузер Chrome в лабораторных условиях; однако лабораторные шаги не будут
явно укажите эту конфигурацию.
Для достижения наилучших результатов используйте один браузер для доступа к графическому интерфейсу Citrix ADC и внесения изменений в конфигурацию.
и отдельный тип браузера для тестирования веб-страниц и просмотра информации заголовка.
14.
Откройте веб-браузер и найдите: http://172.21.10.101/home.php.
Обновите страницу несколько раз. Обратите внимание, что вы не видите контент с сервера Blue.
Откройте веб-браузер и найдите: http://172.21.10.101/.
Обновите страницу несколько раз. Обратите внимание, что вы не видите контент с сервера Blue.
Ни один из тестов не будет отображать контент из svc_blue (нет баннеров сервера синего цвета).
В зависимости от браузера вы можете видеть или не видеть чередование красного / зеленого на /home.php.
страница.
15.
Просмотрите вывод заголовка в Live HTTP Headers.
• Каждый ответ содержит настраиваемый заголовок Served-By, указывающий на исходный сервер.
• Убедитесь, что ни один из недавних запросов не содержит синего цвета, пока служба находится в DOWN.
Примечание . Заголовок «Обслужено» был настраиваемым заголовком, настроенным для красного, синего и зеленого цветов.
серверы для лабораторных демонстрационных целей.
16.
Просмотрите статистику виртуального сервера с балансировкой нагрузки:
stat lb vserver lb_vsrv_rbg
Убедитесь, что и красный, и зеленый сервисы увеличили количество попаданий по сравнению с предыдущим показателем.
команда. Убедитесь, что для службы Blue не записывается никаких дополнительных обращений, пока она находится в DOWN.
17.
Отвяжите плохой монитор от сервиса Blue:
отвязать службу svc_blue -monitorName mon_rbg_httpecv_bad
100
Стр.101
CNS-218-3I Citrix ADC 12.x Essentials
18.
Обновите службы для синего и зеленого, чтобы использовать монитор HTTP (то же самое, что и красный):
Привяжите mon_rbg_http к svc_blue:
привязать службу svc_blue -monitorName mon_rbg_http
https://translate.googleusercontent.com/translate_f
76/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Привяжите mon_rbg_http к svc_green:
привязать службу svc_green -monitorName mon_rbg_http
19.
Сохраните конфигурацию Citrix ADC.
сохранить конфигурацию ns
Ключевые выводы:
• Балансировка нагрузки состоит из создания сервера, служб и виртуальных серверов с балансировкой нагрузки.
• Мониторы уровня 7, такие как HTTP и HTTP-ECV, почти всегда лучше подходят для использования.
с веб-приложениями, чем мониторы TCP.
• Методы балансировки нагрузки и постоянство зависят от приложения и элемента управления.
• Команды stat и show полезны для просмотра балансировки нагрузки, обслуживания и
мониторинг статистики для проверки распределения трафика по сервисам.
101
Стр.102
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-2: DNS с балансировкой нагрузки (CLI)
Введение:
В этом упражнении вы научитесь балансировать нагрузку на DNS-серверы, создавая сервисные группы DNS, DNS.
мониторы и виртуальный сервер балансировки нагрузки DNS (UDP). Вы будете использовать командную строку
интерфейс для выполнения этого упражнения.
О балансировке нагрузки DNS:
Балансировка нагрузки DNS позволяет администраторам балансировать нагрузку DNS-запросов через несколько DNS.
серверы. Метод балансировки нагрузки обычно циклический, и постоянство не требуется. А
Монитор ping может использоваться для определения базового состояния UP. Однако монитор Citrix ADC DNS
позволяет администраторам определять доступность DNS-сервера на основе того,
возвращает успешный результат. Монитор должен быть настроен на поиск разрешения имен для
компонент, который всегда будет присутствовать и чей IP-адрес вряд ли изменится.
Хотя это не показано в упражнении, когда Citrix ADC настроен как загрузка DNS
балансировщик (также известный как DNS-прокси), Citrix ADC также будет кэшировать DNS-запросы.
В этом упражнении настраивается балансировка нагрузки DNS с использованием протокола DNS, который поддерживает DNS.
https://translate.googleusercontent.com/translate_f
77/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
(UDP: 53) ответы меньше 512 байт. Citrix ADC также может поддерживать DNS.
(TCP: 53) пакетов с использованием протокола DNS_TCP, который поддерживает ответы более 512
байтов размером. Балансировку нагрузки DNS можно настроить как с виртуальным сервером DNS, так и с DNS_TCP.
в производстве почти так же, как веб-приложение может быть настроено для HTTP и
HTTPS. DNS_TCP в этом упражнении не демонстрируется.
О группах услуг:
Это упражнение также знакомит с использованием групп обслуживания.
Службы представляют собой тип приложения, работающего на данном сервере; услуги определяются как
IP-адрес и протокол назначения: порт, указывающий тип трафика в пункте назначения. В предыдущем
В упражнении для HTTP был создан уникальный сервис для каждого сервера Red, Blue, Green. Каждая услуга,
однако необходимо было индивидуально настроить параметры службы и мониторы.
Сервисная группа позволяет управлять всеми настройками связанной группы сервисов сразу на
уровень сервисной группы. В то время как отдельные члены группы обслуживания определяют тип приложения
и назначения трафика (IP: Протокол: Порт), мониторы можно привязать один раз к группе услуг
уровень, но применимо к каждому члену в группе.
Шаг
Действие
102
Стр.103
CNS-218-3I Citrix ADC 12.x Essentials
1.
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте сервисную группу для контроллеров домена для DNS:
• AD.workspacelab.com: 192.168.30.11
• AD02.workspacelab.com: 192.168.30.12
Группы служб могут ссылаться на существующие именованные серверные объекты или могут указывать на безымянные серверы посредством
Айпи адрес. Для этого упражнения создайте сервисную группу, ссылаясь на серверы по IP-адресу.
вместо имени объекта сервера.
Создайте сервисную группу:
добавить serviceGroup svcg_domain_dns DNS
Привяжите направления трафика к сервисной группе:
привязать serviceGroup svcg_domain_dns 192.168.30.11 53
привязать serviceGroup svcg_domain_dns 192.168.30.12 53
Альтернативный метод: привяжите несколько последовательных пунктов назначения трафика к группе услуг в одном
шаг с использованием ранжированной нотации (для последовательных диапазонов IP-адресов):
привязать serviceGroup svcg_domain_dns 192.168.30. [11-12] 53
3.
Просмотр конфигурации сервисной группы:
показать serviceGroup svcg_domain_dns
Просмотреть команды настройки группы сервисов:
показать ns runningconfig | grep svcg_domain_dns -i
4.
Создайте vserver с балансировкой нагрузки для сервисной группы DNS:
добавить lb vserver lb_vsrv_dns DNS 172.21.10.102 53 -lbMethod ROUNDROBIN
Привязать сервисную группу:
привязать lb vserver lb_vsrv_dns svcg_domain_dns
5.
Тестовая балансировка нагрузки DNS:
Откройте командную строку CMD на рабочем столе HOST. Используйте nslookup для проверки поиска DNS по DNS
виртуальный сервер. Выполните следующую команду:
nslookup NYC-WEB-RED.workspacelab.com 172.21.10.102
Предоставляя виртуальный сервер DNS виртуального сервера в запросе, nslookup направляет поиск по
этот конкретный DNS-сервер, а не другой DNS-сервер, доступный для рабочего стола HOST.
https://translate.googleusercontent.com/translate_f
78/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
6.
Вернитесь к сеансу SSH для Citrix ADC.
103
Стр.104
CNS-218-3I Citrix ADC 12.x Essentials
7.
Просмотрите статистику виртуального сервера DNS:
показать lb vserver lb_vsrv_dns
stat lb vserver lb_vsrv_dns
8.
Создайте монитор DNS:
Этот монитор выполняет поиск в DNS по отслеживаемым службам, используя значение в запросе.
параметр и подтверждает, что ответ получен и что он соответствует результатам IP
адресный параметр. Если ответа не получено или возвращенный IP-адрес не соответствует
список возвращаемых значений в мониторе, зонд не работает.
добавить lb monitor mon_dns DNS -query NYC-WEB-RED.workspacelab.com
-queryType Address -IPAddress 192.168.30.51 -LRTM DISABLED -interval 5 SEC respTimeout 2 SEC -downTime 30 SEC
- повторений 3
9.
Привяжите Монитор к сервисной группе:
привязать serviceGroup svcg_domain_dns -monitorName mon_dns
10.
Просмотрите группу обслуживания и участников, чтобы убедиться, что монитор работает:
показать serviceGroup svcg_domain_dns
Обратите внимание, как монитор связан с каждым членом группы обслуживания.
Кроме того, убедитесь, что оба члена службы DNS работают из-за монитора и не дают сбоев.
11.
Тестовая балансировка нагрузки DNS:
Откройте командную строку CMD на рабочем столе HOST. Используйте nslookup для проверки поиска DNS по DNS
виртуальный сервер. Выполните следующую команду:
nslookup NYC-WEB-BLUE.workspacelab.com 172.21.10.102
Указав в запросе VIP-адрес DNS vserver, nslookup направит поиск по этому адресу.
конкретный DNS-сервер, а не другой DNS-сервер, доступный для рабочего стола HOST.
12.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
Ключевые выводы:
• Группы служб могут использоваться вместо отдельных служб при балансировке нагрузки.
Все свойства, которые влияют на отдельные службы, могут управляться единовременно в группе обслуживания.
уровень. Мониторы можно привязать один раз на уровне группы и использовать для всех участников
Сервисы.
• Просмотр свойств, статуса участников и результатов мониторинга в группах обслуживания незначительно
отличается от просмотра деталей службы в графическом интерфейсе; однако все та же информация
подарок.
104
Стр.105
CNS-218-3I Citrix ADC 12.x Essentials
• Мониторы DNS используются для проверки успешного DNS-запроса и разрешения IP-адреса. В
https://translate.googleusercontent.com/translate_f
79/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
монитор должен быть настроен с DNS-именем и IP-адресом для объекта в
среда, которая вряд ли будет часто меняться.
• Балансировка нагрузки DNS требует создания серверов, служб или групп служб, а также загрузки
балансировка виртуальных серверов, как и балансировка нагрузки HTTP. Процесс такой же, но
детали, такие как методы балансировки нагрузки и постоянство, могут варьироваться в зависимости от
применение.
Упражнение 5-3: Балансировка нагрузки LDAP (CLI)
105
Стр.106
CNS-218-3I Citrix ADC 12.x Essentials
Введение:
В этом упражнении вы научитесь балансировать нагрузку на серверы аутентификации LDAP (контроллеры домена).
путем создания сервисных групп LDAP, мониторов LDAP и виртуального сервера балансировки нагрузки LDAP. Вы
будет использовать интерфейс командной строки для выполнения этого упражнения.
О балансировке нагрузки LDAP:
Балансировка нагрузки LDAP используется для обеспечения избыточности служб аутентификации. Это упражнение
фокусируется на аутентификации LDAP с использованием контроллеров домена Microsoft Active Directory, но
балансировку нагрузки аутентификации можно настроить для других служб аутентификации, таких как
Радиус. Если контроллер домена отключен, запросы проверки подлинности могут быть направлены другому
контроллер домена.
Виртуальный сервер балансировки нагрузки LDAP будет использоваться в последующих упражнениях, когда внешний
проверка подлинности интегрирована с проверкой подлинности системы Citrix ADC как часть делегированной
конфигурация администрирования.
В этом упражнении вы будете выполнять следующие задачи:
https://translate.googleusercontent.com/translate_f
80/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Создайте сервисную группу для LDAP.
• Создайте виртуальный сервер балансировки нагрузки для LDAP.
• Настроить мониторы для балансировки нагрузки LDAP.
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте сервисную группу для контроллеров домена для аутентификации LDAP. Сервисная группа для
Аутентификация LDAP отделена от сервисной группы для DNS, хотя они
ссылаясь на те же места назначения сервера. Каждая группа услуг предназначена для отдельного приложения (сервер
IP-адрес, протокол и порт).
Создать группу обслуживания:
добавить serviceGroup svcg_domain_ldap TCP
Привязать члена сервисной группы (индивидуально):
привязать serviceGroup svcg_domain_ldap 192.168.30.11 389
привязать serviceGroup svcg_domain_ldap 192.168.30.12 389
Или привяжите членов группы обслуживания (используя ранжированную нотацию):
привязать serviceGroup svcg_domain_ldap 192.168.30. [11-12] 389
106
Стр.107
CNS-218-3I Citrix ADC 12.x Essentials
3.
Просмотр конфигурации сервисной группы:
показать serviceGroup svcg_domain_ldap
Просмотреть команды настройки группы сервисов:
показать ns runningConfig | grep svcg_domain_ldap
4.
Создайте vserver балансировки нагрузки для сервисной группы LDAP:
добавить lb vserver lb_vsrv_ldap TCP 172.21.10.103 389 -lbMethod ROUNDROBIN
Привязать сервисную группу:
привязать lb vserver lb_vsrv_ldap svcg_domain_ldap
5.
Создайте монитор LDAP:
добавить lb monitor mon_ldap LDAP -scriptName nsldap.pl
-baseDN "dc = workspacelab, dc = com"
-bindDN trainADUser@workspacelab.com -filter cn = Встроенный
-attribute memberOf -password Password1 -LRTM ОТКЛЮЧЕН
Этот монитор попытается подключиться к серверу аутентификации LDAP с помощью предоставленной службы.
Счет. Учетная запись должна существовать в службе каталогов LDAP.
ПРИМЕЧАНИЕ: этот монитор выйдет из строя, если используемая учетная запись службы отключена или пароль изменится.
Параметр filter используется для ограничения количества объектов, возвращаемых запросом монитора, до
избежать проблем с откликом монитора, который требуется слишком долго для возврата в средах с большим
количество объектов справочной службы.
Если не указано, значения по умолчанию:
Интервал измерения : 5 сек.
Тайм-аут ответа : 2 секунды
Время простоя : 30 сек.
Повторные попытки : будет использовано 3 попытки
6.
Привяжите монитор LDAP к сервисной группе:
привязать serviceGroup svcg_domain_ldap -monitorName mon_ldap
7.
Просмотрите сервисную группу и участников, чтобы убедиться, что монитор работает:
показать serviceGroup svcg_domain_ldap
Аутентификация LDAP с помощью LDAP vServer будет продемонстрирована позже.
8.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
https://translate.googleusercontent.com/translate_f
81/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Выводы:
• Citrix ADC не имеет предопределенного типа приложения для LDAP, поэтому настройка виртуального распределения нагрузки
серверы и службы / группы служб как TCP: 389 будут работать для связи LDAP.
107
Стр.108
CNS-218-3I Citrix ADC 12.x Essentials
• Настраиваемый монитор LDAP можно использовать для проверки состояния UP серверов аутентификации путем выполнения
тестовый запрос аутентификации. Учетная запись службы должна иметь минимум разрешений пользователя домена, чтобы
для перечисления объектов в домене.
108
Стр.109
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
82/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 5-4: Базы данных MYSQL с балансировкой нагрузки (CLI)
Введение:
В этом упражнении вы научитесь настраивать базовую балансировку нагрузки для серверов баз данных MYSQL. Балансировка нагрузки
Конфигурация в этом упражнении основана на базе данных только для чтения, в которой все запросы могут активно распределяться
на обоих серверах баз данных. Трафик базы данных балансировки нагрузки также требует настройки учетной записи базы данных.
Для мониторинга базы данных требуется настройка SQL-запросов. Вы будете использовать интерфейс командной строки для выполнения
это упражнение.
Упражнение начинается с настройки балансировки нагрузки «активный-активный» на двух серверах баз данных, аналогично другим.
упражнения по балансировке нагрузки в этом модуле. Затем в упражнении демонстрируется настройка активно-пассивной нагрузки.
балансировка конфигурации для серверов баз данных с использованием основного виртуального сервера с примером резервного виртуального сервера.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте пользователя базы данных, службы и виртуальный сервер балансировки нагрузки для MYSQL.
• Настроить балансировку нагрузки базы данных с помощью резервного виртуального сервера.
Создание пользователя базы данных, служб и виртуального сервера балансировки нагрузки для MYSQL
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте учетную запись SQL в качестве учетных данных пользователя БД на Citrix ADC:
добавить пользователя db netscalerql -password netscaler
3.
Создайте серверные объекты для серверов MySQL:
• NYC-LMP-001: 192.168.30.61
добавить сервер srv_NYC-LMP-001 192.168.30.61 -state DISABLED
• NYC-LMP-002: 192.168.30.62
добавить сервер srv_NYC-LMP-002 192.168.30.62 -state DISABLED
ВАЖНО : Создавайте объекты сервера в отключенном состоянии до тех пор, пока не будут отключены службы с мониторами PING.
настроен. Это позволяет избежать сценария, в котором зонд монитора TCP по умолчанию создает
ошибка на серверах MYSQL, потому что серверы видят только трехстороннее рукопожатие и обрабатывают
зонд как ошибка подключения. Серверы будут включены после того, как мониторы будут правильно настроены.
настроен для служб.
109
Стр.110
CNS-218-3I Citrix ADC 12.x Essentials
4.
Создайте службы для NYC-LMP-001 и NYC-LMP-002:
добавить службу svc_NYC-LMP-001 srv_NYC-LMP-001 MYSQL 3306
добавить службу svc_NYC-LMP-002 srv_NYC-LMP-002 MYSQL 3306
Эти серверы работают под управлением MySQL, а не MSSQL.
5.
Создайте vserver балансировки нагрузки для служб MySQL:
добавить lb vserver lb_vsrv_mysql MYSQL 172.21.10.104 3306
-lbmethod наименьшее соединение
Привяжите службы к vServer с балансировкой нагрузки:
привязать lb vserver lb_vsrv_mysql svc_NYC-LMP-001
привязать lb vserver lb_vsrv_mysql svc_NYC-LMP-002
6.
Привязать ping-мониторы к сервисам лампы:
привязать службу svc_NYC-LMP-001 -monitorName ping
привязать службу svc_NYC-LMP-002 -monitorName ping
https://translate.googleusercontent.com/translate_f
83/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
7.
Включите объекты сервера:
включить сервер srv_NYC-LMP-001
включить сервер srv_NYC-LMP-002
Теперь, когда монитор ping должен заменить монитор tcp_default, серверы могут
быть включенным.
8.
Убедитесь, что службы работают:
показать сервис svc_NYC-LMP-001
показать сервис svc_NYC-LMP-002
9.
Проверьте балансировку нагрузки MySQL:
• Откройте HeidiSQL с помощью ярлыка на рабочем столе.
• Выберите MySQLTest на левой панели.
• Щелкните " Открыть" .
• HeidiSQL должен успешно подключиться к базе данных с помощью балансировки нагрузки.
виртуальный сервер.
Настройки подключения MySQLTest (для справки):
• MySQL (TCP / IP)
• Имя хоста / IP : 172.21.10.104 (это VIP для lb_vsrv_mysql)
• Пользователь : netscalerql.
• Пароль : netscaler
• Базы данных : imdb
110
Стр. Решебника 111
CNS-218-3I Citrix ADC 12.x Essentials
10.
Проверить подключение к базе данных:
На панели подключения отобразится MySQL> imdb. Таблицы базы данных отображаются на левой панели.
• Выберите imdb на левой панели. Выберите вкладку « Запрос » на правой панели.
• Введите следующий запрос на панели запросов, чтобы проверить соединение:
выберите * из актеров, где актеры.last_name = "Tazova"
• Нажмите кнопку « Воспроизвести» на панели задач (над панелью запроса).
• Убедитесь, что запрос возвращает 1 запись для актера.
Не закрывайте Heidi SQL и повторно используйте это соединение для последующих тестов. Вы воспроизведете этот запрос несколько раз
раз.
11.
Верните SSH-соединение к NSMGMT SNIP (192.168.10.103).
12.
Создайте монитор MySQL:
добавить lb monitor mon_mysql_ecv MYSQL-ECV -userName netscilersql -lrTM disABLED -database
imdb -sqlQuery 'выберите * из актеров, где акторы.last_name = "Tazova"' -evalRule
"mysql.RES.ATLEAST_ROWS_COUNT (1)"
13.
Привязать MYSQL Monitor к службам.
Привязать монитор к сервису svc_NYC-LMP-001:
привязать службу svc_NYC-LMP-001 -monitorName mon_mysql_ecv
Привязать монитор к сервису svc_NYC-LMP-002:
привязать службу svc_NYC-LMP-002 -monitorName mon_mysql_ecv
14.
Отключить PING Monitor от сервисов.
Привязать монитор к сервису svc_NYC-LMP-001:
отвязать службу svc_NYC-LMP-001 -monitorName ping
Привязать монитор к сервису svc_NYC-LMP-002:
отвязать службу svc_NYC-LMP-002 -monitorName ping
15.
Убедитесь, что монитор правильный:
показать lb vserver lb_vsrv_mysql
Убедитесь, что в списке служб работают обе службы.
16.
Тестирование балансировки нагрузки MySQL (тест 2):
• Повторно подключитесь к MySQLTest и базе данных imdb, если они еще не подключены.
https://translate.googleusercontent.com/translate_f
84/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Play, чтобы повторить следующий запрос. (При необходимости войдите повторно.)
выберите * из актеров, где актеры.last_name = "Tazova"
• Убедитесь, что запрос возвращает 1 запись для актера.
17.
Вернитесь к сеансу SSH для NSMGMT SNIP (192.168.10.103).
18.
Просмотреть статистику балансировки нагрузки:
stat lb vserver lb_vsrv_mysql
Настройка балансировки нагрузки базы данных с помощью резервного виртуального сервера
111
Стр.112
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Отключите svc_NYC-LMP-002 от lb_vsrv_mysql:
отвязать lb vserver lb_vsrv_mysql svc_NYC-LMP-002
Lb_vsrv_mysql теперь привязан к одной службе svc_NYC-LMP-001.
3.
Создайте новый виртуальный сервер с балансировкой нагрузки в качестве резервного виртуального сервера для базы данных.
подключение.
добавить lb vserver lb_vsrv_mysql_backup mysql
Это неадресный виртуальный сервер. VIP или ПОРТ не назначены. Это будет действовать как Citrix ADC.
только для внутреннего использования.
4.
Привяжите svc_NYC-LMP-002 к виртуальному серверу балансировки нагрузки в качестве резервной базы данных.
привязать lb vserver lb_vsrv_mysql_backup svc_NYC-LMP-002
5.
Проверьте конфигурацию виртуального сервера балансировки нагрузки:
показать lb vserver lb_vsrv_mysql
показать lb vserver lb_vsrv_mysql_backup
Убедитесь, что каждая виртуальная служба имеет только одну привязку службы (svc_NYC-LMP-001 и svc_NYCLMP-002 соответственно).
6.
Настройте резервный виртуальный сервер на lb_vsrv_mysql:
установить lb vserver lb_vsrv_mysql -backupvServer lb_vsrv_mysql_backup
7.
Тестирование балансировки нагрузки MySQL (Тест 3):
• Повторно подключитесь к MySQLTest и базе данных imdb, если они еще не подключены.
• Щелкните Play, чтобы повторить следующий запрос. (При необходимости войдите повторно.)
выберите * из актеров, где актеры.last_name = "Tazova"
• Убедитесь, что запрос возвращает 1 запись для актера.
Повторите запрос несколько раз.
8.
Проверить обращения к сервису:
stat lb vserver lb_vsrv_mysql
stat lb vserver lb_vsrv_mysql_backup
Статистика для svc_NYC-LMP-001 сообщается на lb_vsrv_mysql. Статистика (совпадения) для
svc_NYC-LMP-002 на lb_vsrv_mysql_backup.
9.
Отключите сервер NYC-LMP-001 для имитации сбоя:
отключить сервер srv_NYC-LMP-001
112
Стр.113
https://translate.googleusercontent.com/translate_f
85/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
10.
Убедитесь, что виртуальный сервер балансировки нагрузки указывает:
показать lb vserver lb_vsrv_mysql
Убедитесь, что на lb_vsrv_mysql указано состояние DOWN, а эффективное состояние UP :
показать lb vserver lb_vsrv_mysql_backup
Убедитесь, что lb_vsrv_mysql_backup находится в состоянии UP.
11.
Тестирование балансировки нагрузки MySQL (Тест 4):
• Повторно подключитесь к MySQLTest и базе данных imdb , если еще не подключены.
• Нажмите « Воспроизвести», чтобы повторить следующий запрос: (При необходимости введите заново.)
выберите * из актеров, где актеры.last_name = "Tazova"
• Убедитесь, что запрос возвращает 1 запись для актера.
Этот тест был обработан svc_NYC-LMP-002 через lb_vsrv_mysql_backup. HeidiSQL
подключение к 172.21.10.104 (lb_vsrv_mysql) даже не нужно было закрывать и повторно открывать.
12.
Проверить обращения к сервису:
stat lb vserver lb_vsrv_mysql
stat lb vserver lb_vsrv_mysql_backup
Статистика для svc_NYC-LMP-002 представлена на lb_vsrv_mysql_backup. Нет новой статистики (хитов)
происходит для svc_NYC-LMP-001 на lb_vsrv_mysql.
13.
Сохраните конфигурацию Citrix ADC
сохранить конфигурацию ns
Ключевые выводы:
• Балансировка нагрузки базы данных позволяет мультиплексировать TCP-соединения для трафика базы данных.
аналогично мультиплексированию TCP-соединения для HTTP-трафика.
• Для подключения к базам данных MYSQL (и MSSQL) требуется настройка Citrix ADC.
с действующей учетной записью в базе данных. Даже если не используется монитор для конкретной базы данных,
Citrix ADC выполняет аутентификацию, чтобы установить действительное соединение для службы. Пользователь базы данных
Имена учетных записей и пароли чувствительны к регистру.
Свойство резервного виртуального сервера виртуального сервера с балансировкой нагрузки вызывается, когда
первичный виртуальный сервер находится в ВЫКЛЮЧЕННОМ состоянии, поскольку службы недоступны. Настроенный
резервный виртуальный сервер в состоянии UP может привести к изменению рабочего состояния основного виртуального сервера.
оставаться в рабочем состоянии и обеспечивать плавное переключение при отказе для трафика, направленного на основной виртуальный серв
113
Стр. Решебника 114
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 6: Разгрузка SSL.
Обзор:
Компании ABC необходимо настроить доступ к веб-приложению через HTTPS. Ваша работа как
администратор будет использовать инструменты сертификата Citrix ADC для создания исходного сертификата SSL.
и закрытый ключ для нового веб-приложения. Настройте разгрузку SSL с использованием только внешнего SSL и
затем обновите конфигурацию до сквозной конфигурации SSL. Наконец, настройте перенаправление
для всего HTTP-трафика на виртуальный сервер HTTPS с помощью виртуального сервера балансировки нагрузки с
URL перенаправления.
После завершения этого лабораторного модуля вы сможете:
https://translate.googleusercontent.com/translate_f
86/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Настраивать и управлять сертификатами SSL.
• Настройте разгрузку SSL и сквозное шифрование с помощью виртуальных серверов с балансировкой нагрузки.
• Настройте HTTP-запросы для перенаправления на HTTPS.
Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и
интерфейс командной строки Citrix ADC:
• Упражнение: настройка сертификатов SSL.
• Упражнение: настройка разгрузки SSL
• Упражнение: настройка сквозного шифрования
• Упражнение: настройка перенаправления HTTP на HTTPS с использованием URL-адреса перенаправления.
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 30 минут.
Виртуальные машины, необходимые для этого модуля
Для модуля 6 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
• NYC-ADC-002
• NYC-WEB-BLU
• NYC-WEB-RED
• NYC-WEB-GRN
114
Стр.115
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-1: Настройка сертификатов SSL (GUI)
Введение:
В этом упражнении вы научитесь использовать инструменты самозаверяющего сертификата Citrix ADC для создания SSL.
ключи, запросы на подпись сертификатов и файлы сертификатов. Это упражнение также продемонстрирует, как
создать объект сертификата SSL (пара сертификат-закрытый ключ), чтобы сделать сертификат доступным
для использования в Citrix ADC. Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC.
упражнение.
Все операции SSL будут выполняться, пока Citrix ADC находится в активной паре высокой доступности. В качестве
в результате также будет продемонстрирована синхронизация файлов сертификатов и конфигураций SSL.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте ключ RSA.
• Создайте запрос на подпись сертификата.
• Просмотр запроса на сертификат (для отправки в центр сертификации).
• Создать сертификат.
• Настройте пару сертификат-ключ.
Создание ключа RSA
Шаг
1.
Действие
Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
https://translate.googleusercontent.com/translate_f
87/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
2.
Создайте ключ RSA:
• Перейдите в Управление трафиком> SSL .
• Щелкните Мастер сертификатов сервера на панели SSL в разделе « Приступая к работе» .
• Откроется диалоговое окно « Создать ключ ».
3.
Выберите RSA. Введите colors.key в поле Key Filename .
Примечание . Файл ключей RSA создается в каталоге / nsconfig / ssl / default, если путь не указан. Все
имена файлов и пути в Citrix ADC чувствительны к регистру. Обязательно укажите имя, используемое в
этот шаг в будущих задачах.
4.
Введите 2048 в поле Размер ключа (биты) .
5.
Выберите F4 из раскрывающегося списка Public Exponent Value .
6.
Выберите PEM из раскрывающегося списка Key Format .
7.
Выберите AES256 в качестве алгоритма кодирования PEM .
115
Стр.116
CNS-218-3I Citrix ADC 12.x Essentials
8.
Введите Password1 в PEM идентификационной фразы и Confirm PEM PassPhrase поля.
Примечание . Для лабораторных целей пароли и парольные фразы, используемые для большинства учетных записей, упрощены.
к Password1. Всегда используйте надежные пароли и безопасные парольные фразы при защите доступа к
Закрытые ключи SSL.
9.
Щелкните " Создать" .
Создание запроса на подпись сертификата
Шаг
1.
Действие
Создайте запрос на подпись сертификата:
• Откроется шаг 2 мастера создания запроса на выдачу сертификата (CSR) .
Эта задача будет ссылаться на ключ RSA, сгенерированный в предыдущей задаче.
2.
Введите параметры CSR:
3.
Выберите закрытый ключ (colors.key) в поле имени файла ключа :
• Введите colors.csr в поле « Имя файла запроса» . (Это выходной файл для этой задачи.)
• Разверните « Обзор» и щелкните « Устройство» .
• Выберите colors.key и нажмите « Открыть» .
4.
Выберите PEM в разделе « Формат ключа» .
5.
Введите Password1 в поле PEM Passphrase .
6.
Выберите SHA256 в разделе " Метод дайджеста".
7.
Заполните поля отличительного имени для запроса сертификата. Это указывает на
Центр сертификации сведения о сертификате для выдачи:
• Страна : США
• Штат или провинция : Калифорния
• Название организации : Обучение цветам
• Общее название: colors.workspacelab.com
8.
Введите Пароль1 в Пароль запроса (для CSR).
9.
Щелкните " Создать" .
Создание сертификата SSL
Шаг
1.
Действие
Далее следует мастер создания сертификата .
• Введите colors.cer в поле « Имя файла сертификата» .
Это будет сертификат, созданный Citrix ADC в конце этой задачи.
2.
3.
4.
• Выберите PEM в разделе « Формат сертификата» .
• В поле Тип аудита должен быть указан Сервер.
Поле имени файла запроса сертификата уже должно содержать colors.csr .
Отображается полный путь к файлу: /nsconfig/ssl/colors.csr.
116
https://translate.googleusercontent.com/translate_f
88/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр.117
CNS-218-3I Citrix ADC 12.x Essentials
5.
Выберите центр сертификации, выдающий сертификат. Это будет собственный корневой центр сертификации Citrix ADC.
файл сертификата.
• В разделе « Имя файла сертификата ЦС» нажмите « Выбрать файл» и выберите « Устройство» .
• Выберите ns-root.cert и нажмите « Открыть» .
6.
Выберите файл ключа центра сертификации для корневого центра сертификации Citrix ADC:
• В разделе « Имя файла ключа CA» нажмите « Выбрать файл» и выберите « Устройство» .
• Выберите ns-root.key и нажмите « Открыть» .
• Проверьте PEM в формате имени файла ключа CA.
• Оставьте кодовую фразу PEM <пустым> .
117
Стр. Решебника 118
CNS-218-3I Citrix ADC 12.x Essentials
7.
Выберите последовательный файл центра сертификации для корневого центра сертификации Citrix ADC:
• В разделе « Последовательное имя файла CA» нажмите « Выбрать файл» .
• Выберите ns-root.srl и нажмите « Открыть» .
См. Пример:
https://translate.googleusercontent.com/translate_f
89/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Нажмите " Создать".
118
Стр. Решебника 119
CNS-218-3I Citrix ADC 12.x Essentials
Создание пары сертификат-ключ
Шаг
1.
Действие
Шаг 4 Установите мастер сертификатов .
ПРИМЕЧАНИЕ. Откроется диалоговое окно «Установить сертификат». Это диалоговое окно можно использовать для создания ssl certkey
объекты (пары сертификат-закрытый ключ) из файлов сертификатов и закрытых ключей, уже загруженных в
Citrix ADC или его можно использовать для загрузки файлов с локальной рабочей станции в Citrix ADC. любой
загруженные сертификаты и файлы ключей хранятся в каталоге / nsconfig / ssl /. Действия с сертификатом
выполнение из графического интерфейса (и соответствующих команд CLI) автоматически запускает файл
синхронизация с партнером Citrix ADC в паре высокой доступности.
2.
• Введите colors.workspacelab.com в поле « Имя пары сертификат-ключ» .
3.
• Введите Пароль1 в поле Пароль .
Примечание . Если поле «Пароль *» не отображается, щелкните стрелку вниз под « Имя файла ключа» и выберите
Appliance , кнопку colors.key и щелкните Открыть .
4.
• Щелкните " Создать" .
5.
• Щелкните Готово .
6.
Синхронизируйте файлы HA:
• Перейдите в Управление трафиком> SSL .
• Щелкните Запустить сертификат SSL, синхронизация файла ключа для высокой доступности в разделе Инструменты на правой панели.
• Проверять сертификаты и ключи SSL выбран.
• Щелкните ОК .
Явная синхронизация файлов сертификатов между Citrix ADC в паре высокой доступности помогает избежать ожидания
следующее событие синхронизации.
7.
Сохраните конфигурацию Citrix ADC и подтвердите.
Просмотр запроса на сертификат (для отправки в центр сертификации) ДОПОЛНИТЕЛЬНО
Шаг
https://translate.googleusercontent.com/translate_f
Действие
90/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
1.
2.
3.
• Щелкните Управление сертификатами / ключами / CSR на панели SSL (в разделе « Инструменты» ).
• Выберите файл colors.csr и нажмите « Просмотр» .
Отображается запрос на подпись сертификата.
Примечание . Утилиту настройки Citrix ADC можно использовать для просмотра, выгрузки или загрузки сертификатов.
и CSR прямо из Citrix ADC. Просматривая CSR, вы можете скопировать содержимое
запрос для вставки в форму запроса сертификата. CSR также можно загрузить с сайта Citrix.
ADC для доставки в центр сертификации.
В этом упражнении мы продолжим создание подписанного сертификата из встроенного SSL Citrix ADC.
Инструменты в виде самозаверяющего сертификата. В производстве эту утилиту можно использовать для загрузки CSR в
завершите процесс запроса сертификата с помощью ЦС домена или другого стороннего общедоступного ЦС в качестве
соответствующий.
• Щелкните Close, чтобы закрыть диалоговое окно CSR View File .
4.
• Нажмите « Закрыть», чтобы закрыть панель « Управление сертификатами» .
119
Стр. Решебника 120
CNS-218-3I Citrix ADC 12.x Essentials
Ключевые выводы:
• Управление задачами сертификата SSL с помощью графического интерфейса Citrix ADC автоматически приведет к
необходимые файлы сертификатов и настройки SSL распространяются или синхронизируются с
вторичный Citrix ADC в паре высокой доступности.
• При необходимости может быть запущена ручная синхронизация файлов для сертификатов и ключей SSL.
• Citrix ADC содержит полный набор инструментов SSL для генерации RSA и DSA.
закрытые ключи, запросы на подпись сертификатов и файлы сертификатов SSL. Эти инструменты могут быть
используется для создания самозаверяющих сертификатов Citrix ADC или как часть сертификата
процесс запроса с использованием доменных или сторонних центров сертификации.
120
https://translate.googleusercontent.com/translate_f
91/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 121
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-2: Настройка разгрузки SSL (GUI)
Введение:
В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для разгрузки SSL.
(только интерфейс SSL). Для выполнения этого вы будете использовать графический интерфейс программы настройки Citrix ADC.
упражнение.
Во время конфигурации SSL Offload создается виртуальный сервер балансировки нагрузки типа SSL и
привязаны к службам HTTP. Это позволит поддерживать связь между клиентом и Citrix ADC (VIP).
зашифрованным, но оставит незашифрованную связь Citrix ADC (SNIP) с сервером.
Citrix ADC является точкой завершения SSL для трафика и, как результат, расшифровывает и может
затем проверьте или даже измените запросы. Citrix ADC может обеспечивать повышенную безопасность
проверки и фильтрация трафика с использованием таких функций, как брандмауэр приложений, ответчик, перезапись,
Переключение контента и фильтрация контента. Citrix ADC также может выполнять такие оптимизации, как
сжатие и кеширование.
Чтобы настроить разгрузку SSL, функция SSL должна быть включена и сертификат должен быть
привязан к виртуальному серверу.
Наконец, в упражнении показано, как отключить SSLv3 на уровне виртуального сервера, поскольку он включен.
по умолчанию. Отключение SSLv3 - это рекомендация по безопасности, чтобы избежать связанных уязвимостей.
с протоколом SSLv3.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте виртуальный сервер балансировки нагрузки для SSL и привяжите его к службам HTTP.
• Привяжите сертификат SSL к виртуальному серверу.
• Протестируйте соединение SSL.
Шаг
1.
Действие
Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте виртуальный сервер балансировки нагрузки для разгрузки SSL (Frontend SSL; Backend HTTP).
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки .
121
Стр. Решебника 122
CNS-218-3I Citrix ADC 12.x Essentials
3.
Настройте основные параметры виртуального сервера балансировки нагрузки:
• Введите ssl_vsrv_rbg в поле Имя .
• Выберите SSL в раскрывающемся списке « Протокол» .
• Введите 172.21.10.105 в поле IP-адрес .
• Введите 443 в поле Порт .
• Щелкните ОК .
Примечание . Этот виртуальный сервер SSL будет использоваться вместе с отдельным виртуальным сервером HTTP, чем
lb_vsrv_rbg (172.21.10.105) в более поздних упражнениях.
4.
Привяжите службы HTTP к виртуальному серверу балансировки нагрузки SSL:
• Щелкните Без привязки службы виртуального сервера балансировки нагрузки .
• Щелкните « Щелкните для выбора» в разделе « Выбор службы» .
https://translate.googleusercontent.com/translate_f
92/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Выберите svc_red .
• Выберите svc_blue .
• Выберите svc_green .
• Щелкните Выбрать .
• Щелкните « Привязать» .
• Щелкните Продолжить .
5.
Привяжите сертификат SSL к vServer:
• Щелкните Нет сертификата сервера в разделе Сертификаты .
• Щелкните « Щелкните для выбора» и в разделе « Выбрать сертификат сервера» .
• Выберите colors.workspacelab.com и нажмите Выбрать .
• Щелкните « Привязать» .
• Нажмите OK, если вы получите предупреждающее сообщение о том, что распространение команды не выполнено.
вторичный. (См. Примечание ниже).
• Щелкните Продолжить .
Примечание . Если в паре высокой доступности не удается применить передачу команды от основного к дополнительному
вторичной системе генерируется предупреждение. В результате Citrix ADC принудительно выполняет синхронизацию.
чтобы убедиться, что произошла синхронизация файлов для каталога / nsconfig / ssl /, а затем
полная рабочая конфигурация отправлена в партнерскую систему. В лаборатории это не означает
проблема, поскольку процесс синхронизации по-прежнему обеспечивает репликацию команд.
Если вы обеспокоены, убедитесь, что синхронизация завершилась успешно: Убедитесь, что SSL
сертификаты находятся в каталоге / nsconfig / ssl на вторичном Citrix ADC. Убедитесь, что SSL
certkey присутствует в конфигурации на вторичном Citrix ADC. Убедитесь, что сертификат
привязан к виртуальному серверу балансировки нагрузки на вторичном Citrix ADC.
ВАЖНО : Не прерывайте пару HA, если вы получаете ошибку распространения. Курс предполагает
что NYC-ADC-001 и NYC-ADC-002 остаются в паре HA для остальных упражнений. Нарушение
пара HA без соблюдения надлежащих процедур может привести к конфликтам IP-адресов и другим
вопросы.
122
Стр. 123
CNS-218-3I Citrix ADC 12.x Essentials
6.
Отключить SSLv3:
• Щелкните Изменить рядом с параметрами SSL.
• Снимите флажок SSLv3 .
• Щелкните ОК .
• Щелкните Готово, чтобы закрыть виртуальный сервер балансировки нагрузки виртуального сервера балансировки нагрузки.
свойства.
Убедитесь в том, что ssl_vsrv_rbg балансировки нагрузки виртуального сервера UP .
7.
Сохраните конфигурацию Citrix ADC и подтвердите.
8.
Тестовая разгрузка SSL:
• Откройте веб-браузер и найдите https://172.21.10.105/home.php .
Вы получите предупреждение о том, что сертификат не является надежным или что полное доменное имя не соответствует
Сертификат. Скажите браузеру, что нужно все равно продолжить подключение.
• В Chrome: нажмите « Дополнительно» и выберите «Все равно продолжить подключение» .
• В Firefox: нажмите « Дополнительно» и выберите « Добавить исключение» .
Обновите веб-сайт несколько раз. Выполняется балансировка нагрузки с красным, синим и зеленым содержимым.
Связь между клиентом и Citrix ADC защищена через SSL. Citrix ADC-to-Server
связь по-прежнему HTTP.
Ключевые выводы:
• Связь SSL может быть интегрирована с балансировкой нагрузки, переключением контента, SSLVPN,
и виртуальные серверы управления трафиком на Citrix ADC. Процедуры привязки
Сертификат SSL для виртуального сервера с балансировкой нагрузки можно использовать с другими виртуальными серверами.
на Citrix ADC.
• SSL Offload обеспечивает повышение производительности за счет того, что Citrix ADC обрабатывает все
задачи шифрования и дешифрования на стороне клиента, оставляя на стороне сервера
https://translate.googleusercontent.com/translate_f
93/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
коммуникация незашифрованная. Хотя это обеспечивает безопасность между клиентом и
Citrix ADC, это может не подходить для всех типов трафика, если используется сквозное шифрование.
требуется.
• Сертификаты SSL и файлы закрытых ключей, связанные с активными объектами сертификатов, должны быть
присутствует на вторичном Citrix ADC в паре HA. В противном случае в случае HA
аварийного переключения, любые зависимые объекты SSL будут отключены, если требуемые сертификаты
отсутствует.
• SSlv3
представляет собой угрозу безопасности и может быть отключен на каждом виртуальном сервере. Нет глобального
настройка отключения использования SSv3 .
123
Стр. Решебника 124
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-3: Настройка сквозного шифрования (GUI)
Введение:
В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для сквозного SSL.
(внешний и внутренний SSL). Вы будете использовать графический интерфейс программы настройки Citrix ADC для выполнения
это упражнение.
В этом случае существующий виртуальный сервер SSL из предыдущего упражнения будет обновлен для использования SSL.
сервисы на бэкэнде. Это позволит сохранить все коммуникации между клиентом и Citrix ADC (VIP) и Citrix.
ADC (SNIP) - зашифрованный на сервере.
Citrix ADC по-прежнему будет точкой завершения SSL, поэтому сертификат для трафика все еще
требуется на Citrix ADC для виртуального сервера балансировки нагрузки. Хотя это не дает
те же преимущества в производительности, что и SSL Offload, мультиплексирование TCP по-прежнему возможно. Сквозной SSL
обеспечивает расширенную обработку трафика в Citrix ADC при сохранении сквозной безопасности.
По-прежнему можно использовать такие функции, как брандмауэр приложений, ответчик, перезапись, сжатие и другие.
то же, что и в сценарии разгрузки SSL.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте сервисную группу SSL для веб-серверов Red, Blue, Green.
• Обновите виртуальный сервер балансировки нагрузки для использования группы служб SSL.
• Протестируйте
виртуальный сервер с балансировкой нагрузки .
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте группу служб SSL для красного, синего и зеленого цветов:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Группы служб» .
• Щелкните Добавить . Откроется диалоговое окно « Группа служб балансировки нагрузки» .
3.
Настройте основные параметры группы служб балансировки нагрузки:
• Введите svcg_rbg_ssl в поле Имя .
• Выберите SSL в раскрывающемся списке « Протокол» .
• Щелкните ОК .
https://translate.googleusercontent.com/translate_f
94/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
124
Стр. Решебника 125
CNS-218-3I Citrix ADC 12.x Essentials
4.
Привяжите участников к сервисной группе:
• Щелкните Нет участника группы обслуживания .
• Выберите на основе сервера . (Именованные серверы для красного, синего и зеленого уже существуют.)
• Щелкните « Щелкните для выбора» в разделе « Выбор сервера» .
• Выберите srv_red , srv_blue , srv_green и нажмите Выбрать .
• Введите 443 в поле Порт .
• Щелкните " Создать", затем " ОК" .
• Щелкните Готово .
5.
Нажмите Refresh и убедитесь , что Service Group svcg_rbg_ssl является UP (зеленый), что указывает на все
участники находятся в состоянии UP .
6.
Обновите виртуальный сервер балансировки нагрузки ssl_vsrv_rbg, чтобы использовать группу служб SSL вместо
HTTP-сервисы для сквозного шифрования SSL.
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите ssl_vsrv_rbg и нажмите Edit .
Откроется диалоговое окно виртуального сервера балансировки нагрузки .
7.
Отключите существующие HTTP-сервисы от ssl_vsrv_rbg:
• Щелкните 3 Привязки службы виртуального сервера балансировки нагрузки в разделе Службы и службы.
Группы.
• Выберите svc_red , svc_blue и svc_green и нажмите « Отменить привязку» .
• Щелкните Да, затем щелкните Закрыть .
8.
Привяжите сервисную группу к виртуальному серверу балансировки нагрузки:
• Щелкните Привязка группы служб виртуального сервера без балансировки нагрузки в разделе Службы и
Группы услуг .
• Щелкните Щелкните, чтобы выбрать в разделе « Выбор имени группы служб» .
• Выберите svcg_rbg_ssl и нажмите Выбрать .
• Щелкните « Привязать» .
9.
• Щелкните Готово .
Убедитесь, что состояние ssl_vsrv_rbg все еще в рабочем состоянии.
10.
Сохраните конфигурацию Citrix ADC и подтвердите.
11.
Протестируйте сквозную балансировку нагрузки SSL:
• Откройте веб-браузер и найдите https://172.21.10.105/home.php .
Обновите веб-сайт несколько раз. Выполняется балансировка нагрузки с красным, синим и зеленым содержимым.
Теперь связь между клиентом и Citrix ADC и Citrix ADC с сервером защищена через
SSL.
Ключевые выводы:
• Для сквозного SSL требуется настройка как виртуальных серверов с балансировкой нагрузки SSL, так и SSL.
Сервисы.
• Конфигурации сквозного SSL не обеспечивают такого же уровня повышения производительности, как
Разгрузка SSL, так как внутренние серверы по-прежнему должны выполнять шифрование и дешифрование
операции. Однако возможность поддерживать шифрование для всех точек связи
для конфиденциального трафика смягчает любое влияние на производительность, связанное с SSL на
бэкэнд-серверы.
125
Стр. Решебника 126
CNS-218-3I Citrix ADC 12.x Essentials
• Citrix ADC по-прежнему можно использовать для выполнения функций оптимизации и фильтрации трафика на
трафик, поскольку он по-прежнему является точкой завершения SSL. Такие функции, как брандмауэр приложений, перезапись,
Можно использовать переключение контента, сжатие и другие.
https://translate.googleusercontent.com/translate_f
95/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
126
Стр. 127
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью
URL-адрес перенаправления (GUI)
Введение:
В этом упражнении вы научитесь перенаправлять запросы, отправленные с HTTP, на HTTPS. Вы будете использовать Citrix
Графический пользовательский интерфейс ADC Configuration Utility для выполнения этого упражнения.
Виртуальный сервер с балансировкой нагрузки прослушивает определенную комбинацию IP: Port. Когда вы настроили
виртуальный сервер балансировки нагрузки SSL (ssl_vsrv_rbg), текущая конфигурация виртуального сервера будет
отвечать только на запросы, отправленные на HTTPS: 443. Если пользователь пытается подключиться к HTTP вместо
HTTPS для этого веб-сайта, их запрос не будет выполнен. Чтобы решить эту проблему, вы создадите
дополнительный виртуальный сервер балансировки нагрузки на HTTP: 80, который будет перенаправлять пользователей на HTTPS.
В этом упражнении будет использоваться виртуальный сервер с балансировкой нагрузки DOWN по HTTP в качестве слушателя для перенапр
трафик на HTTPS. В этом случае незашифрованные сообщения не принимаются, но пользователи, которые забывают
включение https: // в URL-адрес не приведет к ошибочным соединениям.
Свойство URL-адреса перенаправления виртуального сервера используется только тогда, когда виртуальный сервер находится в DOWN
штат. В последующих упражнениях будет продемонстрирован альтернативный метод обработки перенаправления HTTP на HTTPS.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте виртуальный сервер балансировки нагрузки для HTTP-трафика без привязанных служб.
https://translate.googleusercontent.com/translate_f
96/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Настройте URL-адрес перенаправления.
• Протестируйте перенаправление HTTP на HTTPS.
Шаг
1.
Действие
Создайте новый виртуальный сервер балансировки нагрузки для HTTP-трафика, используя VIP: 172.21.10.105:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Щелкните Добавить . Откроется диалоговое окно виртуального сервера балансировки нагрузки .
2.
Настройте основные параметры виртуального сервера балансировки нагрузки:
• Введите lb_vsrv_rbg_sslredirect в поле Имя .
• Выберите HTTP из раскрывающегося списка « Протокол» .
• Введите 172.21.10.105 в поле IP- адрес .
• Введите 80 в поле Порт .
• Щелкните ОК .
• Щелкните Продолжить .
• Щелкните Готово .
Этот виртуальный сервер не будет иметь связанных с ним служб, поэтому он останется в состоянии DOWN .
127
Стр. Решебника 128
CNS-218-3I Citrix ADC 12.x Essentials
3.
Откройте веб-браузер и попробуйте найти http://172.21.10.105/home.php.
Ожидаемый результат: запрос не будет выполнен. Время ожидания браузера истечет, если нет ответа от
всервер.
4.
Настройте URL-адрес перенаправления для отправки трафика на HTTPS:
• Выберите lb_vsrv_rbg_sslredirect и нажмите « Изменить» .
• Щелкните Защита в разделе « Дополнительные параметры», чтобы добавить категорию параметров защиты в
левая панель.
• Введите https://172.21.10.105/home.php в поле URL-адрес перенаправления .
• Щелкните ОК .
• Щелкните Готово .
Примечание . Перенаправления на HTTPS должны выполняться с использованием полного доменного имени вместо IP-адреса, чтобы
соединение будет соответствовать полному доменному имени сертификата SSL, что позволяет доверять перенаправлению на HTTPS.
В данном упражнении это пропускается.
https://translate.googleusercontent.com/translate_f
97/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
128
Стр. 129
CNS-218-3I Citrix ADC 12.x Essentials
5.
Проверьте URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса:
• http://172.21.10.105/
• http://172.21.10.105/home.php
• http://172.21.10.105/remote.php?a1=b1&a2=b2
Ожидаемый результат: все три тестовых URL будут перенаправлены на https://172.21.10.105/home.php. В
путь перенаправления "/home.php" переопределяет пути, указанные в исходном HTTP-запросе.
129
Стр.130
CNS-218-3I Citrix ADC 12.x Essentials
6.
Измените URL-адрес перенаправления, чтобы при перенаправлении сохранялись исходный путь и запрос запроса.
параметры:
• Выберите lb_vsrv_rbg_sslredirect и нажмите « Изменить» .
• Щелкните значок « Изменить» (карандаш) рядом с полем «Защита», чтобы изменить настройки защиты.
• Введите https://172.21.10.105 в URL-адрес перенаправления .
• Щелкните ОК .
• Щелкните ГОТОВО .
https://translate.googleusercontent.com/translate_f
98/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
В этом примере важно, чтобы URL-адрес перенаправления содержал только протокол и серверную часть.
URL-адреса. Не включайте элементы пути, включая конечную косую черту "/".
7.
Протестируйте измененный URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса:
• http://172.21.10.105/
• http://172.21.10.105/home.php
• http://172.21.10.105/remote.php?a1=b1&a2=b2
Ожидаемый результат: все ссылки успешно перенаправлены на HTTPS. На этот раз весь трафик перенаправляется на
тот же путь и запрос, что и в исходном запросе на https://172.21.10.105/.
8.
Сохраните конфигурацию Citrix ADC.
Ключевые выводы:
• URL-адреса перенаправления - это один из двух методов резервного копирования, связанных с виртуальными серверами. Перенаправит
URL-адреса можно использовать только с виртуальными серверами типа HTTP и HTTPS.
• URL-адрес перенаправления используется только в том случае, если состояние виртуального сервера и эффективное состояние - ВНИЗ.
При использовании URL-адреса перенаправления для перенаправления HTTP на HTTPS виртуальный сервер HTTP
в состоянии ВНИЗ.
• В примере HTTP на HTTPS URL-адрес перенаправления должен быть настроен с
абсолютный путь к https: // <FQDN>. При перенаправлении на HTTPS: // полностью квалифицированный
доменное имя, которое может разрешить клиент, необходимо, чтобы клиент не делал
ненадежное соединение с сервером, не совпадающим с полным доменным именем сертификата.
• Если URL-адрес перенаправления настроен без части пути URL-адреса, перенаправление будет
сохранить исходный путь и элементы запроса запроса в новом перенаправлении
место назначения.
130
Стр.131
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-1: Настройка сертификатов SSL (CLI)
Введение:
В этом упражнении вы научитесь использовать инструменты самозаверяющего сертификата Citrix ADC для создания SSL.
ключи, запросы на подпись сертификатов и файлы сертификатов. Это упражнение также продемонстрирует, как
создать объект сертификата SSL (пара сертификат-закрытый ключ), чтобы сделать сертификат доступным
для использования в Citrix ADC. Для выполнения этого упражнения вы будете использовать интерфейс командной строки.
Все операции SSL будут выполняться, пока Citrix ADC находится в активной паре высокой доступности. В качестве
в результате также будет продемонстрирована синхронизация файлов сертификатов и конфигураций SSL.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте ключ RSA.
• Создайте запрос на подпись сертификата.
• Просмотр запроса на сертификат (для отправки в центр сертификации).
• Создать сертификат.
• Настройте пару сертификат-ключ.
Создание закрытого ключа SSL, запроса на подпись сертификата и файлов сертификата
https://translate.googleusercontent.com/translate_f
99/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте закрытый ключ RSA со следующими данными:
• Имя файла : colors.key
• Размер ключа : 2048
• Тип ключа : RSA
• Алгоритм кодирования : AES256
создать ssl rsakey colors.key 2048 -exponent F4 -keyform PEM –aes256 -password
Пароль1
3.
Создайте запрос на подпись сертификата (CSR) со следующими данными:
• Имя файла (вывод): colors.csr
• Имя команды: colors.workspacelab.com
создать ssl certReq colors.csr -keyFile colors.key -keyform PEM -PEMPassPhrase Password1 countryName US -stateName California -organizationName "Colors Training" -commonName
colors.workspacelab.com -challengePassword Password1
131
Стр. Решебника 132
CNS-218-3I Citrix ADC 12.x Essentials
4.
Используйте WinSCP для загрузки или просмотра запроса на сертификат.
• Откройте WinSCP и подключитесь к 192.168.10.103. Войдите в систему как nsroot / nsroot.
• На правой панели перейдите к / nsconfig / ssl .
• Дважды щелкните файл colors.csr, чтобы открыть.
• Нажмите CTRL + A, чтобы выделить все содержимое файла, и CTRL + C, чтобы скопировать содержимое.
файла.
• Закройте редактор.
Если запрос на подпись сертификата необходимо отправить в отдельный центр сертификации,
Вышеупомянутая процедура позволит вам скопировать и вставить содержимое CSR в запрос сертификата.
форму (например, с интегрированными центрами сертификации Active Directory) или файл CSR можно загрузить и
отправлено в соответствующий CA.
5.
Создайте сертификат SSL с помощью встроенных в Citrix ADC инструментов сертификатов SSL:
создать ssl cert colors.cer colors.csr SRVR_CERT -days 1825 -CACert ns-root.cert -CAKey
ns-root.key -CASerial ns-root.srl
При использовании сертификата create ssl (и других команд управления сертификатами), если путь не указан
В зависимости от предоставленных закрытых ключей, CSR или файлов сертификатов предполагается, что путь по умолчанию / nsconfig / ssl /.
Установка сертификата и настройка пары сертификат-ключ
Шаг
1.
Действие
Просмотрите файлы сертификатов в Citrix ADC:
оболочка
cd / nsconfig / ssl /
ls
2.
Убедитесь, что были созданы следующие файлы:
• colors.key
• colors.csr
• colors.cer
3.
Выйдите из оболочки, чтобы вернуться в интерфейс командной строки:
Выход
4.
Создайте SSL Certkey (пара закрытый ключ-сертификат):
добавить ssl certkey colors.workspacelab.com -cert colors.cer -key colors.key -password
Пароль1
Примечание . Certkey - это объект CLI Citrix ADC, который действует как указатель на закрытый ключ и сертификат.
в файловой системе. Сущности в Citrix ADC могут быть связаны с сертификатом, который, в свою очередь,
ссылается на соответствующую пару закрытого ключа и сертификата.
5.
Показать объект сертификата ssl:
показать ssl certkey
https://translate.googleusercontent.com/translate_f
100/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Ключевые выводы:
132
Стр. Решебника 133
CNS-218-3I Citrix ADC 12.x Essentials
• Создание сертификатов SSL с помощью команд сертификата в интерфейсе командной строки (создать ssl rsakey,
команды create ssl dsakey, create ssl certreq и create ssl cert) будут автоматически
привести к распространению или синхронизации необходимых файлов сертификатов на вторичный
Citrix ADC в паре высокой доступности.
• Ручная загрузка сертификатов в каталог Citrix ADC / nsconfig / ssl с помощью
SCP / SFTP не запускает автоматическую синхронизацию файлов, а вместо этого синхронизирует файлы ssl.
команду может потребоваться запустить вручную, чтобы обеспечить синхронизацию
Появляется узел / nsconfig / ssl.
• Citrix ADC содержит полный набор инструментов SSL для генерации RSA и DSA.
закрытые ключи, запросы на подпись сертификатов и файлы сертификатов SSL. Эти инструменты могут быть
используется для создания самозаверяющих сертификатов Citrix ADC или как часть сертификата
процесс запроса с использованием доменных или сторонних центров сертификации. В CLI используйте
Команды "create ssl <object>" как оболочки для встроенных инструментов OpenSSL.
133
Стр. Решебника 134
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-2: Настройка разгрузки SSL (CLI)
https://translate.googleusercontent.com/translate_f
101/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Введение:
В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для разгрузки SSL.
(только интерфейс SSL). Для выполнения этого упражнения вы будете использовать интерфейс командной строки.
Во время конфигурации SSL Offload создается виртуальный сервер балансировки нагрузки типа SSL и
привязаны к службам HTTP. Это позволит поддерживать связь между клиентом и Citrix ADC (VIP).
зашифрованным, но оставит незашифрованную связь Citrix ADC (SNIP) с сервером.
Citrix ADC - это конечная точка SSL для трафика, которая в результате расшифровывает и может
затем проверьте или даже измените запросы. Citrix ADC может обеспечивать повышенную безопасность
проверки и фильтрация трафика с использованием таких функций, как брандмауэр приложений, ответчик, перезапись,
Переключение контента и фильтрация контента. Citrix ADC также может выполнять такие оптимизации, как
сжатие и кеширование.
Чтобы настроить разгрузку SSL, функция SSL должна быть включена и сертификат должен быть
привязан к виртуальному серверу.
Наконец, в упражнении показано, как отключить SSLv3 на уровне виртуального сервера, поскольку он включен.
по умолчанию. Отключение SSLv3 - это рекомендация по безопасности, чтобы избежать связанных уязвимостей.
с протоколом SSLv3.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте виртуальный сервер балансировки нагрузки для SSL и привяжите его к службам HTTP.
• Привяжите сертификат SSL к виртуальному серверу.
• Протестируйте
соединение SSL .
Шаг
1.
Действие
Создайте виртуальный сервер балансировки нагрузки для разгрузки SSL (только интерфейс SSL):
добавить lb vserver ssl_vsrv_rbg SSL 172.21.10.105 443
2.
Привяжите HTTP-сервисы для красного, синего, зеленого к виртуальному серверу балансировки нагрузки:
привязать lb vserver ssl_vsrv_rbg svc_red
привязать lb vserver ssl_vsrv_rbg svc_blue
привязать lb vserver ssl_vsrv_rbg svc_green
3.
Привяжите сертификат SSL к vServer:
привязать ssl vserver ssl_vsrv_rbg -certkeyName colors.workspacelab.com
134
Стр. Решебника 135
CNS-218-3I Citrix ADC 12.x Essentials
4.
Проверьте состояние vServer:
показать lb vserver ssl_vsrv_rbg
показать ssl vserver ssl_vsrv_rbg
Команда виртуального сервера балансировки нагрузки показывает все параметры балансировки нагрузки: UP или DOWN
состояние, метод балансировки нагрузки и постоянство, а также связанные службы.
Команда ssl vServer показывает все настройки, связанные с конфигурацией SSL: комплекты шифров,
Протоколы SSL и привязанные сертификаты.
5.
Отключите SSLv3 на vServer:
установить ssl vServer ssl_vsrv_rbg -ssl3 disabled
SSLv3 включен по умолчанию. Из-за уязвимости в системе безопасности его следует отключить. Увидеть
http://support.citrix.com/article/CTX200238
6.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
7.
Тестовая разгрузка SSL:
• Откройте веб-браузер и найдите https://172.21.10.105/home.php.
Вы получите предупреждение о том, что сертификат не является надежным или что полное доменное имя не соответствует
Сертификат. Скажите браузеру, что нужно все равно продолжить подключение.
https://translate.googleusercontent.com/translate_f
102/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• В Chrome: нажмите « Дополнительно» и выберите «Все равно продолжить подключение» .
• В Firefox: нажмите « Дополнительно» и выберите « Добавить исключение»> «Подтвердить исключение безопасности» .
Обновите веб-сайт несколько раз. Связь между клиентом и Citrix ADC защищена через SSL.
Обмен данными между Citrix ADC и сервером по-прежнему осуществляется по протоколу HTTP.
Ключевые выводы:
• Связь SSL может быть интегрирована с балансировкой нагрузки, переключением контента, SSLVPN,
и виртуальные серверы управления трафиком на Citrix ADC. Процедуры привязки
Сертификат SSL для виртуального сервера с балансировкой нагрузки можно использовать с другими виртуальными серверами.
на Citrix ADC.
• SSL Offload обеспечивает повышение производительности, позволяя Citrix ADC обрабатывать все
задачи шифрования и дешифрования на стороне клиента, при этом оставаясь на стороне сервера
коммуникация незашифрованная. Хотя это обеспечивает безопасность между клиентом и
Citrix ADC, это может не подходить для всех типов трафика, если используется сквозное шифрование.
требуется.
• Сертификаты SSL и файлы закрытых ключей, связанные с активными объектами сертификатов, должны быть
присутствует на вторичном Citrix ADC в паре HA. В противном случае в случае HA
аварийного переключения, любые зависимые объекты SSL будут отключены, если требуемые сертификаты
отсутствует.
135
Стр.136
CNS-218-3I Citrix ADC 12.x Essentials
• SSlv3 представляет собой угрозу безопасности и может быть отключен на каждом виртуальном сервере. Нет глобального
настройка отключения использования SSv3.
https://translate.googleusercontent.com/translate_f
103/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
136
Стр.137
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-3: Настройка сквозного шифрования (CLI)
Введение:
В этом упражнении вы научитесь настраивать виртуальный сервер с балансировкой нагрузки для сквозного SSL.
(внешний и внутренний SSL). Для выполнения этого упражнения вы будете использовать интерфейс командной строки.
В этом случае существующий виртуальный сервер SSL из предыдущего упражнения будет обновлен для использования SSL.
сервисы на бэкэнде. Это позволит сохранить все коммуникации между клиентом и Citrix ADC (VIP) и Citrix.
ADC (SNIP) - к серверу для шифрования.
Citrix ADC по-прежнему будет точкой завершения SSL, поэтому сертификат для трафика все еще
требуется на Citrix ADC для виртуального сервера балансировки нагрузки. Хотя это не дает
те же преимущества в производительности, что и SSL Offload, мультиплексирование TCP по-прежнему возможно. Сквозной SSL
обеспечивает расширенную обработку трафика в Citrix ADC при сохранении сквозной безопасности.
Такие функции, как брандмауэр приложений, ответчик, перезапись, сжатие и другие, по-прежнему могут использоваться,
так же, как и в сценарии разгрузки SSL.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте сервисную группу SSL для красного, синего и зеленого веб-серверов.
• Обновите виртуальный сервер балансировки нагрузки для использования группы служб SSL.
• Протестируйте виртуальный сервер с балансировкой нагрузки.
Шаг
1.
Действие
Создайте группу обслуживания SSL (443) для красного, синего, зеленого:
добавить serviceGroup svcg_rbg_ssl SSL
Привяжите пункты назначения трафика к группе услуг (используя существующие именованные объекты сервера):
привязать serviceGroup svcg_rbg_ssl srv_red 443
привязать serviceGroup svcg_rbg_ssl srv_blue 443
привязать serviceGroup svcg_rbg_ssl srv_green 443
2.
Проверьте конфигурацию сервисной группы:
показать serviceGroup svcg_rbg_ssl
Убедитесь, что все участники находятся в состоянии UP.
137
Стр. Решебника 138
CNS-218-3I Citrix ADC 12.x Essentials
3.
Отключите HTTP-сервисы от ssl_vsrv_rbg:
https://translate.googleusercontent.com/translate_f
104/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
отвязать lb vserver ssl_vsrv_rbg svc_red
отвязать lb vserver ssl_vsrv_rbg svc_blue
отвязать lb vserver ssl_vsrv_rbg svc_green
4.
Привяжите сервисную группу SSL к ssl_vsrv_rbg, включив сквозное шифрование:
привязать lb vserver ssl_vsrv_rbg svcg_rbg_ssl
5.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
6.
Протестируйте сквозную балансировку нагрузки SSL:
• Откройте веб-браузер и найдите https://172.21.10.105/home.php.
Обновите веб-сайт несколько раз. Теперь как связь между клиентом и Citrix ADC, так и
Обмен данными между Citrix ADC и сервером осуществляется через SSL.
Ключевые выводы:
• Для сквозного SSL требуется настройка как виртуальных серверов с балансировкой нагрузки SSL, так и SSL.
Сервисы.
• Конфигурации сквозного SSL не обеспечивают такого же уровня повышения производительности, как
Разгрузка SSL, так как внутренние серверы по-прежнему должны выполнять шифрование и дешифрование
операции. Однако возможность поддерживать шифрование для всех точек связи
для конфиденциального трафика смягчает любое влияние на производительность, связанное с SSL на
бэкэнд-серверы.
• Citrix ADC по-прежнему можно использовать для выполнения функций оптимизации и фильтрации трафика на
трафик, поскольку он по-прежнему является точкой завершения SSL. Такие функции, как брандмауэр приложений, перезапись,
Можно использовать переключение контента, сжатие и другие.
138
Стр.139
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 6-4: Настройка перенаправления HTTP на HTTPS с помощью
URL перенаправления (CLI)
Введение:
В этом упражнении вы научитесь перенаправлять запросы, отправленные с HTTP, на HTTPS. Вы будете использовать
интерфейс командной строки для выполнения этого упражнения.
Виртуальный сервер с балансировкой нагрузки прослушивает определенную комбинацию IP: Port. Когда вы настроили
виртуальный сервер балансировки нагрузки SSL (ssl_vsrv_rbg), текущая конфигурация виртуального сервера будет
отвечать только на запросы, отправленные на HTTPS: 443. Если пользователь пытается подключиться к HTTP вместо
HTTPS для этого веб-сайта, запрос пользователя завершится ошибкой. Чтобы решить эту проблему, вы создадите
дополнительный виртуальный сервер балансировки нагрузки на HTTP: 80, который будет перенаправлять пользователей на HTTPS.
В этом упражнении будет использоваться виртуальный сервер с балансировкой нагрузки DOWN по HTTP в качестве слушателя для перенапр
трафик на HTTPS. В этом случае незашифрованные сообщения не принимаются, но пользователи, которые забывают
включение https: // в URL-адрес не приведет к ошибочным соединениям.
https://translate.googleusercontent.com/translate_f
105/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Свойство URL-адреса перенаправления виртуального сервера используется только тогда, когда виртуальный сервер находится в DOWN
штат. В последующих упражнениях будет продемонстрирован альтернативный метод обработки перенаправления HTTP на HTTPS.
В этом упражнении вы будете выполнять следующие задачи:
• Создайте виртуальный сервер с балансировкой нагрузки для HTTP-трафика без привязанных служб.
• Настройте URL-адрес перенаправления.
• Протестируйте перенаправление HTTP на HTTPS.
Шаг
1.
Действие
Создайте новый виртуальный сервер балансировки нагрузки для HTTP-трафика, используя VIP 172.21.10.105:
добавить lb vserver lb_vsrv_rbg_sslredirect HTTP 172.21.10.105 80
Этот виртуальный сервер не будет иметь связанных с ним служб, поэтому он останется в состоянии DOWN.
2.
Откройте веб-браузер и попробуйте найти http://172.21.10.105/.
Ожидаемый результат: запрос не будет выполнен. Время ожидания браузера истечет, если нет ответа от
виртуальный сервер.
3.
Настройте URL-адрес перенаправления для отправки трафика на HTTPS:
установить lb vserver lb_vsrv_rbg_sslredirect -redirectUrl "https://172.21.10.105/home.php"
URL-адрес перенаправления позволит этому vServer при DOWN перенаправлять трафик на альтернативный URL-адрес в качестве
вариант резервного копирования.
139
Стр. Решебника 140
CNS-218-3I Citrix ADC 12.x Essentials
4.
Проверьте URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса:
• http://172.21.10.105/
• http://172.21.10.105/home.php
• http://172.21.10.105/remote.php?a1=b1&a2=b2
Ожидаемый результат: все три тестовых URL будут перенаправлены на https://172.21.10.105/home.php. В
путь перенаправления "/home.php" переопределяет пути, указанные в исходном HTTP-запросе.
5.
Измените URL-адрес перенаправления, чтобы при перенаправлении сохранялись исходный путь и запрос запроса.
параметры:
установить lb vserver lb_vsrv_rbg_sslredirect -redirectUrl "https://172.21.10.105"
В этом примере важно, чтобы URL-адрес перенаправления содержал только протокол и сервер.
часть URL-адреса. Не включайте элементы пути, включая конечную косую черту "/".
6.
Протестируйте измененный URL-адрес перенаправления. Откройте веб-браузер и проверьте следующие URL-адреса:
• http://172.21.10.105/
• http://172.21.10.105/home.php
• http://172.21.10.105/remote.php?a1=b1&a2=b2
Ожидаемый результат: все ссылки успешно перенаправлены на HTTPS. На этот раз весь трафик перенаправлен
по тому же пути и запросу, что и в исходном запросе на https://172.21.10.105/.
7.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
Ключевые выводы:
• URL-адреса перенаправления - это один из двух методов резервного копирования, связанных с виртуальными серверами. Перенаправит
URL-адреса можно использовать только с виртуальными серверами типа HTTP и HTTPS.
• URL-адрес перенаправления используется только в том случае, если состояние виртуального сервера и эффективное состояние - ВНИЗ.
При использовании URL-адреса перенаправления для перенаправления HTTP на HTTPS виртуальный сервер HTTP
в состоянии ВНИЗ.
• В примере HTTP на HTTPS URL-адрес перенаправления должен быть настроен с
абсолютный путь к https: // <FQDN>. При перенаправлении на HTTPS: // полный домен
имя, которое может разрешить клиент, необходимо, чтобы клиент не делал ненадежных
подключение к серверу, не совпадающему с полным доменным именем сертификата.
• Если URL-адрес перенаправления настроен без части пути URL-адреса, перенаправление будет
https://translate.googleusercontent.com/translate_f
106/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
сохранить исходный путь и элементы запроса запроса в новом перенаправлении
место назначения.
140
Стр. Решебника 141
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 7: Защита Citrix ADC.
Обзор:
Компания ABC хочет включить делегированное администрирование на Citrix ADC с помощью Active
Учетные записи домена каталога. Ваша задача как администратора - настроить внешние
аутентификация с использованием LDAP и управление начальными назначениями групповых разрешений. Впоследствии
вы настроите начальные разделы администратора для будущих проектов.
В этом модуле вы выполните практические упражнения по настройке базовой системы Citrix ADC.
аутентификация. Делегированное администрирование будет рассмотрено, начиная с учетных записей локальной системы.
и встроенных командных политик с последующей интеграцией с LDAP с использованием внешних
политики аутентификации и извлечение групп. Вы также настроите начальные разделы администратора.
настройка для создания отдельных административных границ в рамках одного устройства (в то время как в HA
Пара). Сеть на уровне разделов не будет настроена.
После завершения этого лабораторного модуля вы сможете:
• Настроить делегированное администрирование.
• Настроить внешнюю аутентификацию и извлечение групп.
• Настроить административные разделы.
Этот модуль содержит следующие упражнения с использованием графического интерфейса Citrix ADC Configuration Utility и
интерфейс командной строки Citrix ADC:
• Упражнение: настройка локальной аутентификации и делегированного администрирования.
• Упражнение: настройка внешней аутентификации с помощью LDAP.
• Упражнение: разделы администратора
Виртуальные машины, необходимые для этого модуля
Для модуля 7 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
• AD02.workspacelab.com
• NYC-ADC-002
• NYC-WEB-BLU
• NYC-WEB-RED
• NYC-WEB-GRN
• Ad.workspacelab.com
141
Стр. Решебника 142
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
107/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 30 минут.
Инфраструктура аутентификации Active Directory
Active Directory
Значение
Контроллер домена AD
192.168.30.11
Контроллер домена AD2
129.168.30.12
Администратор BindDN
trainaduser @ workspacelab.com
Пароль учетной записи BindDN
Пароль1
Группы и учетные записи Active Directory для делегированного администрирования Citrix ADC
ГРУППА
ПОЛЬЗОВАТЕЛЬ
ПАРОЛЬ
Политика
Training_NSAdmins
trainNSAdmin
Пароль1
Суперпользователь
Обучение_СОоператоры
поездNSOоператор
Пароль1
Подрядчики
подрядчик
Пароль1
Пользователи домена
trainADuser
Пароль1
покажи только
Примечание . Во время этого упражнения все имена групп чувствительны к регистру при выполнении группового
извлечение на Citrix ADC .
142
Стр. Решебника 143
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-1: Настройка локальной и делегированной аутентификации
Администрирование (GUI)
Введение:
В этом упражнении вы научитесь создавать локальные системные учетные записи, назначать пароли и изменять
делегированные административные разрешения с помощью встроенных и настраиваемых командных политик. Вы будете
используйте графический интерфейс Citrix ADC Configuration Utility для выполнения этого упражнения.
Весь административный доступ к Citrix ADC осуществляется системными пользователями или системными группами. Местный
учетные записи могут быть созданы на Citrix ADC, где Citrix ADC является локальными учетными данными
орган власти. Учетные записи пользователей, пароли и членство в группах принадлежат локальным объектам на
Citrix ADC.
Все административные разрешения на Citrix ADC контролируются командными политиками. Команда
https://translate.googleusercontent.com/translate_f
108/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
политики определяют регулярные выражения (с использованием синтаксиса регулярных выражений PCRE), которые определяют команды, ко
разрешено или запрещено работать. Любая явно не разрешенная команда автоматически отклоняется
разрешения по умолчанию. Встроенные командные политики обеспечивают базовый административный контроль для
штатные администраторы и администраторы разделов. Но настраиваемые политики команд могут быть
настроен и привязан к системным пользователям или системным группам. Разрешения, предоставленные
политики команд определяют, какая информация отображается в графическом интерфейсе пользователя и какие действия могут
выполняться в графическом интерфейсе или в интерфейсе командной строки.
Локальную аутентификацию легко настроить. Учетные записи будут синхронизированы между парой высокой доступности.
Однако большинство сред будут интегрированы с внешней аутентификацией для более надежной
учетная запись, учетные данные и управление группами.
В этом упражнении вы будете выполнять следующие задачи:
• Создание учетной записи в локальной системе.
• Создание настраиваемой командной политики.
143
Стр. Решебника 144
CNS-218-3I Citrix ADC 12.x Essentials
Создание учетной записи локальной системы
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте нового пользователя локальной системы:
• Перейдите в раздел Система> Администрирование пользователей> Пользователи .
• Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ».
3.
Создайте локальную учетную запись «testuser» с разрешениями только для чтения:
• Введите testuser в поле « Имя пользователя» .
• Введите Пароль1 в поля Пароль и Подтверждение пароля .
• Щелкните Продолжить .
Примечание . Не создавайте локальные учетные записи с именем «test» или какой-либо другой вариант в Citrix ADC.
Требовать, чтобы любая учетная запись, используемая для аутентификации в Citrix ADC, соответствовала минимальной сложности
требования к паролям. Если настраиваете учетные записи в тестовых целях, не забудьте отключить
и удалите учетные записи, когда закончите. Не предоставляйте делегированные учетные записи администратора выше
разрешения, чем необходимо. Эти оставшиеся учетные записи с легко угадываемыми именами пользователей или
пароли, могут непреднамеренно предоставить несанкционированный доступ к устройству.
4.
Назначьте учетной записи testuser разрешения только на чтение:
• Щелкните Политика отсутствия системных команд .
• Щелкните « Щелкните для выбора» в разделе « Выбор политики» .
• Выберите « Только для чтения» и нажмите « Выбрать» в диалоговом окне « Командные политики ».
• Щелкните « Привязать» .
• Щелкните Сохранить .
• Щелкните Готово .
5.
Сохраните конфигурацию Citrix ADC и подтвердите.
Создание настраиваемой командной политики
https://translate.googleusercontent.com/translate_f
109/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Изучите встроенные командные политики:
• Перейдите в раздел Система> Администрирование пользователей> Командные политики .
144
Стр. Решебника 145
CNS-218-3I Citrix ADC 12.x Essentials
3.
Выберите суперпользователя и нажмите « Изменить» . (Команда не будет изменена.)
Обратите внимание на регулярное выражение, указанное в поле Command Spec (спецификация команды). Этот
regex позволяет учетным записям с правами суперпользователя запускать все команды. Это эквивалентно nsroot
разрешения учетной записи.
Нажмите « Закрыть», чтобы выйти без применения изменений.
4.
Выберите только для чтения и нажмите « Изменить» .
Обратите внимание на регулярное выражение, указанное в поле «Команда». Это регулярное выражение предоставляет разрешения на запуск:
• Все команды, начинающиеся с man. (Все команды страницы руководства.)
• Все команды, начинающиеся с stat. (Все команды статистики для любого объекта.)
• Разрешено большинство команд показа. Синтаксис явно ограничивает определенные шоу
такие команды, как команды, начинающиеся с: show system, show configstatus, show ns
ns.conf.)
• Любая команда, явно не разрешенная в регулярном выражении, автоматически отклоняется.
Нажмите « Закрыть», чтобы выйти без применения изменений.
5.
Создайте настраиваемую политику команд с именем show_only. Эта политика предоставит доступ всем
команды, начинающиеся с "show".
• Щелкните Добавить, чтобы создать новую командную политику.
• Введите show_only в поле « Имя политики» .
• Установите флажок « Разрешить» в поле « Действие» .
• Введите следующее регулярное выражение в поле Command Spec (регистр имеет значение):
(^ показать \ s +. *)
• Щелкните " Создать" .
6.
Привяжите команду policy show_only к учетной записи testuser:
• Перейдите в раздел Система> Администрирование пользователей> Пользователи .
• Выберите testuser и нажмите Edit .
Отключите существующую командную политику:
• Щелкните 1 Политика системных команд в разделе « Привязки» .
• Выберите « Только для чтения» и нажмите « Отменить привязку» и « Да» для подтверждения.
Привязать новую командную политику:
• Щелкните Добавить привязку .
• Выберите show_only и нажмите « Выбрать» в диалоговом окне « Командные политики ».
• Щелкните « Привязать» .
• Щелкните " Закрыть" .
• Щелкните Готово .
7.
Сохраните конфигурацию Citrix ADC и подтвердите.
8.
Щелкните Выход, чтобы выйти из программы настройки Citrix ADC под учетной записью nsroot.
145
Стр. Решебника 146
https://translate.googleusercontent.com/translate_f
110/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
9.
Протестируйте новую учетную запись администратора: testuser.
• Подключитесь к утилите настройки Citrix ADC HA Pair с помощью NSMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: testuser
Пароль: Пароль1
10.
Проверить разрешения только на показ:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
• Выберите функцию, которую нужно включить, и нажмите OK . У пользователя есть разрешения только на чтение, поэтому
команда не работает.
• Закройте сообщение об ошибке.
• Щелкните " Закрыть" .
11.
Щелкните Выход, чтобы выйти из текущего сеанса как тестовый пользователь.
Ключевые выводы:
• Системные пользователи и группы используются для аутентификации и доступа к точкам управления на
Citrix ADC, например NSIP и SNIP с поддержкой управления.
• Разрешениями можно управлять на уровне учетной записи системного пользователя. Или пользователи системы могут быть
помещены в системные группы, а разрешения управляются на уровне группы.
• Nsroot - это локальная учетная запись с автоматическими правами суперпользователя. Его нельзя удалить или
отключен; поэтому после первоначального запуска Citrix ADC необходимо настроить надежный пароль.
настроить.
• Политики команд определяют уровень доступных разрешений (управление доступом на основе ролей)
к учетной записи или группе в графическом интерфейсе и интерфейсе командной строки. Любая команда, явно не разрешенная
политика команд автоматически отклоняется из-за авторизации по умолчанию на Citrix
АЦП.
• Регулярные выражения - мощное средство, но будьте осторожны при определении пользовательских команд.
политик, так как легко предоставить слишком много или слишком мало разрешений и создать безопасность
вопрос. Тщательно изучите все настраиваемые политики.
• Citrix ADC можно администрировать, создавая локальные учетные записи. Большинство сред
интегрировать администрирование Citrix ADC с внешней аутентификацией.
146
Стр. Решебника 147
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-2: Настройка внешней аутентификации с помощью LDAP
(GUI)
Введение:
В этом упражнении вы научитесь настраивать и интегрировать внешнюю аутентификацию с помощью LDAP.
с Active Directory с Citrix ADC. В упражнении будет продемонстрирована настройка внешнего
политики аутентификации и настройка системных групп и управление делегированным администратором
права с использованием группового извлечения. Вы будете использовать графический интерфейс программы настройки Citrix ADC для выпол
это упражнение.
В этом упражнении вы будете выполнять следующие задачи:
https://translate.googleusercontent.com/translate_f
111/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Интегрируйте внешнюю аутентификацию с доступом к системе Citrix ADC с помощью политик LDAP.
• Управление разрешениями с помощью извлечения групп.
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте системные группы, соответствующие группам в Active Directory. Имена групп в регистре
чувствительный на Citrix ADC.
• Перейдите в раздел Система> Администрирование пользователей> Группы .
• Щелкните Добавить .
3.
Создайте System Group Training_NSAdmins с правами суперпользователя.
• Введите Training_NSAdmins в поле Group Name .
• Щелкните « Привязать» в разделе « Командные политики» .
• Выберите суперпользователя, чтобы сделать его активным, и нажмите « Вставить» .
• Щелкните " Создать" .
4.
Создайте Системную группу Training_NSOperators с разрешениями оператора.
• Щелкните Добавить, чтобы добавить новую системную группу.
• Введите Training_NSOperators в поле Group Name .
• Щелкните « Привязать» в разделе « Командные политики» .
• Выберите оператора, чтобы сделать его активным, и нажмите « Вставить» .
• Щелкните " Создать" .
147
Стр. Решебника 148
CNS-218-3I Citrix ADC 12.x Essentials
5.
Создайте действие аутентификации для внешней аутентификации с помощью LDAP:
• Перейдите в раздел Система> Проверка подлинности> Основные политики .
• Щелкните LDAP .
• Щелкните вкладку Серверы .
• Щелкните Добавить . Откроется диалоговое окно « Создать сервер аутентификации LDAP (действие)».
6.
Настройте действие аутентификации LDAP со следующими параметрами:
• Имя : auth_ldap_srv
• Выберите IP-адрес сервера.
• IP-адрес : 172.21.10.103 (это VIP для lb_vsrv_ldap.)
• Порт : 389
• Тип сервера : AD
Настройки соединения:
• Базовое DN : dc = workspacelab, dc = com
• DN администратора привязки: trainaduser@workspacelab.com
• Выберите Bind DN Password.
• Пароль администратора и подтверждение пароля : Password1
• Щелкните Проверить доступность Ldap.
Другие настройки:
• Атрибут имени для входа на сервер : sAMAccountName
• Атрибут группы : memberOf
• Имя вспомогательного атрибута : cn
Щелкните " Создать" .
7.
Создайте политику аутентификации для аутентификации LDAP:
• Щелкните вкладку Политики .
• Щелкните Добавить .
• Введите auth_ldap_policy в поле Имя .
• Выберите auth_ldap_srv из раскрывающегося списка « Сервер» .
• Введите ns_true в поле « Выражение» .
(В политиках аутентификации используется классический синтаксис выражения политики.)
• Щелкните " Создать" .
• Щелкните OK в предупреждении.
8.
Привяжите политику к системному глобальному объекту для системной аутентификации:
https://translate.googleusercontent.com/translate_f
112/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Глобальные привязки .
• Щелкните « Щелкните для выбора» в разделе « Привязка политики» .
• Выберите auth_ldap_policy и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
Теперь политика LDAP привязана к объекту System Global. Доступ к IP-адресам управления
на Citrix ADC (NSIP и SNIP с поддержкой управления) будет пытаться аутентифицироваться с помощью
связанная политика LDAP. Однако доступ к системе все равно будет падать на локальные учетные записи, если
политика проверки подлинности не выполняется. (Суперпользователь и другие локальные учетные записи по-прежнему активны.)
9.
Сохраните конфигурацию Citrix ADC и подтвердите.
10.
Щелкните « Выход», чтобы выйти из программы настройки Citrix ADC под учетной записью nsroot.
148
Стр. Решебника 149
CNS-218-3I Citrix ADC 12.x Essentials
11.
Протестируйте новую учетную запись администратора - trainNSAdmin:
• Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP на
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
Нажмите OK, чтобы закрыть окно с ошибкой, если оно есть.
12.
Тестовые права суперпользователя, назначенные при извлечении группы LDAP:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить дополнительные функции» .
• Включить глобальную балансировку нагрузки сервера
• Щелкните ОК . Команда принята.
• Щелкните Сохранить, чтобы сохранить конфигурацию Citrix ADC. Команда тоже принимается.
13.
Нажмите « Выйти», чтобы выйти из текущего сеанса как trainNSAdmin.
Ключевые выводы:
• Политики аутентификации, привязанные к глобальной точке привязки системы; контроль аутентификации
привязаны к точкам управления.
• Извлечение группы поддерживается с помощью внешней аутентификации LDAP и Radius.
• При групповом извлечении на Citrix ADC необходимо создавать только группы.
(соответствует именам групп в удаленной службе каталогов). Командные политики
могут быть связаны с группами AAA. Создавать отдельных пользователей системы на
Citrix ADC.
• Аутентификация системы Citrix ADC поддерживает только однофакторный или однофакторный каскад. Если
несколько политик связаны, они будут выполняться в порядке приоритета. Для доступа к системе,
если политики аутентификации не совпадают, система автоматически вернется к локальному
аутентификация. Это приводит к тому, что учетная запись nsroot и любая другая учетная запись локальной системы
всегда действителен для доступа к управлению.
149
https://translate.googleusercontent.com/translate_f
113/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр.150
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-3: Разделы администратора (GUI)
Введение:
В этом упражнении вы научитесь создавать и администрировать административные разделы в Citrix ADC. Вы
будет использовать графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения.
Разделы администратора позволяют разделить Citrix ADC на отдельные конфигурации и
административные границы. Каждому разделу может быть назначена собственная сеть через VLAN, и
каждый раздел поддерживает отдельную текущую и сохраненную конфигурацию.
Раздел Citrix ADC по умолчанию будет содержать все настройки конфигурации, сделанные в ходе выполнения.
до этого упражнения. Во время этого упражнения будут созданы два новых раздела, которые будут содержать
независимые настройки из раздела по умолчанию: функции, режимы, службы, виртуальные серверы,
политики и многое другое.
Учетная запись nsroot будет иметь полные административные права на раздел по умолчанию и все права администратора.
Разделы созданы. Учетная запись nsroot может переключаться между разделами как в графическом интерфейсе, так и в
CLI.
Делегированных администраторов можно назначить с правами только на раздел на одном или нескольких
перегородки. Эти делегированные администраторы разделов при подключении к графическому интерфейсу Citrix ADC или
CLI может только администрировать и видеть раздел или разделы, на которые у них есть разрешения.
В этом упражнении вы настроите разделы администратора со следующими параметрами:
• Partition1 будет управляться padmin1 (локальная учетная запись).
• Partition2 будет управляться padmin2 (локальная учетная запись).
• Каждый администратор будет администратором раздела с правами только на свой
назначенный раздел.
Это упражнение демонстрирует базовую настройку и конфигурацию разделов администратора и раздела.
администраторы. Разделы используются для демонстрации базового управления конфигурацией в
перегородки. Разделы администратора не будут настроены для полноценной работы в сети или использоваться за пределами этого
упражнение.
В этом упражнении вы будете выполнять следующие задачи:
• Создать администраторов раздела.
• Создать разделы.
• Настроить ресурсы с разделами.
150
Стр. Решебника 151
CNS-218-3I Citrix ADC 12.x Essentials
Создание администраторов раздела
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте нового пользователя локальной системы - padmin1:
• Перейдите в раздел Система> Администрирование пользователей> Пользователи .
• Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ».
https://translate.googleusercontent.com/translate_f
114/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
3.
Создайте локальную учетную запись с именем «padmin1»:
• Введите padmin1 в поле « Имя пользователя» .
• Введите Пароль1 в поля Пароль и Подтверждение пароля .
• Щелкните Продолжить .
4.
Назначьте доступ только для чтения учетной записи padmin1:
• Щелкните Политика отсутствия системных команд .
• Щелкните « Щелкните для выбора» в разделе «Выбор политики».
• Выберите partition-admin и нажмите Выбрать в диалоговом окне Command Policies .
• Щелкните « Привязать» .
• Щелкните Сохранить .
• Щелкните Готово .
5.
Создайте нового пользователя локальной системы - padmin2:
• Перейдите в раздел Система> Администрирование пользователей> Пользователи .
• Щелкните Добавить . Откроется диалоговое окно « Добавить системного пользователя ».
6.
Создайте локальную учетную запись под названием «padmin2»:
• Введите padmin2 в поле « Имя пользователя» .
• Введите Пароль1 в поля Пароль и Подтверждение пароля .
• Щелкните Продолжить .
7.
Назначьте доступ только для чтения учетной записи padmin2:
• Щелкните Политика отсутствия системных команд .
• Щелкните « Щелкните для выбора» в разделе « Выбор политики» .
• Выберите partition-admin и нажмите Выбрать в диалоговом окне Command Policies .
• Щелкните « Привязать» .
• Щелкните Сохранить .
• Щелкните Готово .
Создать разделы
Шаг
Действие
151
Стр.152
CNS-218-3I Citrix ADC 12.x Essentials
1.
Создайте раздел администратора - Partition1:
• Перейдите в раздел Система> Администрирование разделов> Разделы .
• Щелкните Настроить .
Настроить раздел:
• Введите Partition1 в поле Name .
• Щелкните Продолжить .
Сетевая изоляция:
• Нажмите « Продолжить» в разделе « Изоляция сети» . В это время не привязывайте VLAN.
Пользователи:
• Щелкните Нет пользователя в разделе Пользователи, чтобы добавить нового администратора раздела.
• Щелкните « Щелкните для выбора» в разделе « Выбор пользователя» .
• Выберите padmin1 и нажмите Выбрать .
• Щелкните « Привязать», чтобы привязать пользователя к разделу администратора.
• Щелкните Продолжить .
Нажмите Готово, чтобы завершить создание Partition1.
2.
Создайте раздел администратора - Partition2:
• Перейдите в раздел Система> Администрирование разделов> Разделы .
• Щелкните Добавить .
Настроить раздел:
• Введите Partition2 в поле Name .
• Щелкните Продолжить .
Сетевая изоляция:
• Нажмите « Продолжить» в разделе « Изоляция сети» . В это время не привязывайте VLAN.
Пользователи:
• Щелкните Нет пользователя в разделе Пользователи, чтобы добавить нового администратора раздела.
• Щелкните « Щелкните для выбора» в разделе « Выбор пользователя» .
https://translate.googleusercontent.com/translate_f
115/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Выберите padmin2 и нажмите Выбрать .
• Нажмите « Привязать», чтобы привязать пользователя к разделу администратора.
• Щелкните Продолжить .
Нажмите Готово, чтобы завершить создание Partition2.
3.
Сохраните конфигурацию Citrix ADC и подтвердите.
152
Стр. Решебника 153
CNS-218-3I Citrix ADC 12.x Essentials
Настроить ресурсы в разделах
Шаг
1.
Действие
Перейти к разделу 1:
• Выберите Partition1 из раскрывающегося списка Partition в верхней части графического интерфейса Citrix ADC.
(рядом с кнопкой «Статус высокой доступности» и «Выход из системы»).
• Щелкните Да, чтобы подтвердить переключение на Раздел1.
2.
Просмотр функций раздела:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
• Убедитесь, что в данный момент не активированы никакие функции.
• Щелкните ОК .
3.
Просмотр объектов управления трафиком:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Убедитесь, что в разделе Partition1 нет служб.
4.
Создайте сервис для сервера NYC-WEB-RED в Partition1:
• Щелкните Добавить .
• Введите svc_red в поле « Имя службы» .
• Введите 192.168.30.51 в поле IP-адрес .
• Щелкните ОК .
Щелкните Готово .
Примечание : служба svc_red будет ВЫКЛЮЧЕНА, так как сеть еще не включена администратором.
Перегородка; VLAN не привязана. Из-за ограничений лабораторной конфигурации мы не будем демонстрировать
полнофункциональный раздел администратора.
Однако Partition1 имеет функции, сеть, службы и другие параметры конфигурации, которые
отдельно от раздела по умолчанию. Дубликат службы svc_red может быть создан без
конфликт с разделом по умолчанию или другими разделами.
5.
Сохраните конфигурацию Citrix ADC и подтвердите.
6.
Переключитесь на раздел по умолчанию:
• Выберите значение по умолчанию в раскрывающемся списке раздела в верхней части графического интерфейса Citrix ADC.
• Щелкните Да для подтверждения.
Обратите внимание, что учетная запись nsroot имеет полный доступ к разделу по умолчанию и всем остальным администраторам.
Перегородки.
7.
Нажмите « Выход», чтобы выйти из Citrix ADC как nsroot.
8.
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные.
Имя пользователя: padmin2
Пароль: Пароль1
153
https://translate.googleusercontent.com/translate_f
116/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 154
CNS-218-3I Citrix ADC 12.x Essentials
9.
Убедитесь, что вы подключены к конфигурации только для Partition2 .
Просмотрите раскрывающийся список Разделение в верхней части графического интерфейса Citrix ADC. Убедитесь, что только Partition2
отображается в списке, а padmin2 не может переключиться на раздел по умолчанию или любой другой раздел.
10.
Перейдите в Система> Администрирование разделов> Разделы .
Убедитесь, что единственный доступный для переключения раздел - это Partition2 .
11.
Создайте сервис для сервера NYC-WEB-BLU в Partition2:
• Перейдите к « Управление трафиком»> «Балансировка нагрузки»> «Службы» .
• Щелкните Добавить .
• Введите svc_blue в поле « Имя службы» .
• Введите 192.168.30.52 в поле IP-адрес .
• Щелкните ОК .
Щелкните Готово .
12.
Сохраните конфигурацию Citrix ADC и подтвердите.
Примечание . Это сохраняет конфигурацию только для Раздела 2, но не для любого другого раздела.
13.
Щелкните Выход, чтобы выйти из Citrix ADC как padmin2.
14.
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью NSMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Возобновите администрирование раздела по умолчанию до конца курса.
Ключевые выводы:
• Разделы администратора позволяют управлять отдельными границами конфигурации Citrix ADC и
поддерживаются на одном устройстве (или паре HA), не зависят от настроек по умолчанию и других
перегородки.
• Администраторам может быть предоставлен доступ к одному или нескольким разделам администратора с разделом:
уровень делегированного администрирования.
• Учетная запись nsroot имеет доступ к разделу по умолчанию и всем разделам администратора.
• Некоторыми настройками, такими как высокая доступность, можно управлять только в разделе по умолчанию.
уровень.
• Конфигурации разделов отличаются от конфигурации по умолчанию. Графический интерфейс и интерфейс командной строки
разрешить переключение между разделами.
• При поиске сохраненного файла конфигурации помните, что имена разделов
деликатный случай. Сохраненные файлы конфигурации находятся здесь:
o Сохраненный файл конфигурации раздела по умолчанию: /nsconfig/ns.conf
154
Стр.155
CNS-218-3I Citrix ADC 12.x Essentials
o Сохраненные файлы конфигурации разделов администратора: / nsconfig / partitions / <partition
имя> /ns.conf
https://translate.googleusercontent.com/translate_f
117/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
155
Стр. Решебника 156
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-1: Локальная аутентификация (CLI)
Введение:
В этом упражнении вы научитесь создавать локальные системные учетные записи, назначать пароли и изменять
делегированные административные разрешения с помощью встроенных и настраиваемых командных политик. Вы будете
используйте интерфейс командной строки для выполнения этого упражнения.
Весь административный доступ к Citrix ADC осуществляется системными пользователями или системными группами. Местный
учетные записи могут быть созданы на Citrix ADC, где Citrix ADC является локальными учетными данными
орган власти. Учетные записи пользователей, пароли и членство в группах принадлежат локальным объектам на
Citrix ADC.
Все административные разрешения на Citrix ADC контролируются командными политиками. Команда
политики определяют регулярные выражения (с использованием синтаксиса регулярных выражений PCRE), которые определяют команды, ко
разрешено или запрещено работать. Любая явно не разрешенная команда автоматически отклоняется
разрешения по умолчанию. Встроенные командные политики обеспечивают базовый административный контроль для
штатные администраторы и администраторы разделов. Но настраиваемые политики команд могут быть
настроен и привязан к системным пользователям или системным группам. Разрешения, предоставленные
политики команд определяют, какая информация отображается в графическом интерфейсе пользователя и какие действия могут
выполняться в графическом интерфейсе или в интерфейсе командной строки.
Локальную аутентификацию легко настроить. Учетные записи будут синхронизированы между парой высокой доступности.
Однако большинство сред будут интегрированы с внешней аутентификацией для более надежной
учетная запись, учетные данные и управление группами.
В этом упражнении вы будете выполнять следующие задачи:
https://translate.googleusercontent.com/translate_f
118/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Создайте локальную системную учетную запись.
• Создайте настраиваемую командную политику.
Создание учетной записи локальной системы:
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
156
Стр. Решебника 157
CNS-218-3I Citrix ADC 12.x Essentials
2.
Создайте новую локальную системную учетную запись с именем "testuser" с разрешениями только для чтения:
добавить системный пользователь testuser Password1
Примечание . Не создавайте локальные учетные записи с именем «test» или какой-либо другой вариант в Citrix ADC.
Требовать, чтобы любая учетная запись, используемая для аутентификации в Citrix ADC, соответствовала минимальной сложности
требования к паролям. Если настраиваете учетные записи в тестовых целях, не забудьте отключить
и удалите учетные записи, когда закончите. Не предоставляйте делегированные учетные записи администратора выше
разрешения, чем необходимо. Эти оставшиеся учетные записи с легко угадываемыми именами пользователей или
пароли, могут непреднамеренно предоставить несанкционированный доступ к устройству.
3.
Просмотр доступных командных политик (для Citrix ADC RBAC / делегированного администрирования):
показать системную cmdPolicy
4.
Привяжите политику команд только для чтения к системной учетной записи testuser:
привязать системного пользователя testuser только для чтения 1
5.
Протестируйте новую системную учетную запись:
• Используйте PuTTY для создания нового подключения к 192.168.10.103. Войдите в систему как testuser.
• Имя пользователя: testuser
• Пароль: Password1
6.
Из сеанса SSH Testuser:
Попытайтесь запустить любую из следующих команд, разрешенных только для чтения:
показать нс особенность
показать lb vserver
статистика службы svc_red
человек добавить маршрут
Убедитесь, что указанные выше команды выполняются успешно и возвращают ожидаемые результаты.
7.
В сеансе SSH Testuser попробуйте выполнить любую из следующих команд, запрещенных
разрешения только для чтения:
включить функцию ns lb
показать ns runningConfig
сохранить конфигурацию ns
оболочка
Все вышеперечисленные команды запрещены.
8.
Выйдите из сеанса или выйдите из сеанса как тестовый пользователь . Вернитесь к первому сеансу Putty для пользователя nsroot.
Создание настраиваемой командной политики
Шаг
https://translate.googleusercontent.com/translate_f
Действие
119/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
157
Стр. Решебника 158
CNS-218-3I Citrix ADC 12.x Essentials
1.
Показать политики системных команд по умолчанию:
показать системную cmdPolicy
2.
Разрешения на отображение (cmdspec) для политики суперпользователя:
показать системного суперпользователя cmdPolicy
3.
Разрешения на отображение (cmdspec) для политики только для чтения:
показать систему cmdPolicy только для чтения
4.
Создайте новую настраиваемую политику команд, которая разрешает только команды показа:
добавить системную cmdPolicy show_only ALLOW "(^ show \ s +. *)"
5.
Отключите существующую политику только для чтения от учетной записи testuser:
отвязать системный пользователь testuser только для чтения
6.
Привяжите настраиваемую политику к учетной записи testuser:
привязать системного пользователя testuser show_only 10
7.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
8.
Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: testuser
Пароль: Пароль1
9.
Убедитесь, что testuser может просматривать детали конфигурации. Все следующее будет успешным:
показать нс особенность
показать ns ip
показать lb vserver
показать ns runningconfig
Убедитесь, что testuser не может изменять параметры конфигурации. Все следующее не удастся:
сохранить конфигурацию ns
оболочка
включить функцию ns ssl
rm сервис svc_red
10.
Закройте сеанс для testuser.
158
Стр. Решебника 159
CNS-218-3I Citrix ADC 12.x Essentials
Ключевые выводы:
• Системные пользователи и группы используются для аутентификации и доступа к точкам управления на
Citrix ADC, например, NSIP и управляющие SNIP.
• Разрешениями можно управлять для каждой учетной записи пользователя системы или пользователей системы можно разместить
в системные группы и разрешения, управляемые на уровне группы.
https://translate.googleusercontent.com/translate_f
120/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Nsroot - это локальная учетная запись с автоматическими правами суперпользователя. Его нельзя удалить или
отключен; поэтому после первоначального запуска Citrix ADC необходимо настроить надежный пароль.
настроить.
• Политики команд определяют уровень разрешений (управление доступом на основе ролей)
доступный для учетной записи или группы в графическом интерфейсе и интерфейсе командной строки. Любая команда, которая не
явно разрешено командной политикой автоматически запрещается из-за значения по умолчанию
авторизация на Citrix ADC.
• Регулярные выражения - это мощное средство, но будьте осторожны при определении пользовательской команды.
политики, поскольку легко предоставить слишком много или слишком мало разрешений и создать безопасность
вопрос. Тщательно изучите все настраиваемые политики.
• Citrix ADC можно администрировать, создавая локальные учетные записи, в большинстве сред
интегрировать администрирование Citrix ADC с внешней аутентификацией.
159
Стр. Решебника 160
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-2: Внешняя аутентификация (CLI)
Введение:
В этом упражнении вы научитесь настраивать и интегрировать внешнюю аутентификацию с помощью LDAP.
с Active Directory с Citrix ADC. В упражнении будет продемонстрирована настройка внешнего
политики аутентификации и настройка системных групп и управление делегированным администратором
права с использованием группового извлечения. Для выполнения этого упражнения вы будете использовать интерфейс командной строки.
В этом упражнении вы будете выполнять следующие задачи:
• Интегрируйте внешнюю аутентификацию с доступом к системе Citrix ADC с помощью политик LDAP.
• Управление разрешениями с помощью извлечения групп.
Шаг
1.
Действие
Создайте системные группы, соответствующие именам групп в Active Directory. Имена групп на
Citrix ADC должен точно соответствовать (включая регистр) имени группы в Active Directory.
добавить системную группу Training_NSAdmins
добавить системную группу Training_NSOperators
добавить системную группу Подрядчики
2.
Настройте Training_NSAdmins с разрешениями суперпользователя:
https://translate.googleusercontent.com/translate_f
121/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
привязать системную группу Training_NSAdmins -policyName superuser 1
3.
Настройте Training_NSOperators с разрешениями show_only:
привязать системную группу Training_NSOperators
-policyName show_only 10
4.
Создайте действие аутентификации для внешней аутентификации с использованием LDAP для домена
Контроллеры:
добавить аутентификацию ldapaction auth_ldap_srv
-serverIP 172.21.10.103 -ldapBase "DC = workspacelab, DC = com"
-ldapBindDN trainADuser@workspacelab.com
-ldapBindDNPassword Password1 -ldaploginName sAMAccountName
-groupAttrName memberOf -subAttributeName CN
Политика аутентификации использует виртуальный сервер lb_vsrv_ldap в качестве места назначения для
трафик аутентификации.
5.
Создайте политику аутентификации для сервера LDAP с выражением ns_true:
добавить аутентификацию ldapPolicy auth_ldap_policy ns_true auth_ldap_srv
160
Стр. Решебника 161
CNS-218-3I Citrix ADC 12.x Essentials
6.
Привяжите политику к точке привязки глобальной системы. Это включает внешнюю аутентификацию для
точки доступа к управлению на Citrix ADC - NSIP и SNIP с поддержкой управления:
привязать системную глобальную auth_ldap_policy -priority 100
7.
Протестируйте аутентификацию системы с учетной записью домена в новом сеансе:
• Подключитесь к паре Citrix ADC HA с помощью NSMGMT SNIP (192.168.10.103) с помощью SSH.
(PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
8.
Из сеанса SSH trainNSAdmin:
Попытайтесь выполнить любую из следующих команд. Все разрешены с разрешениями суперпользователя:
показать нс особенность
включить функцию ns lb
сохранить конфигурацию ns
оболочка
Убедитесь, что указанные выше команды выполняются успешно и возвращают ожидаемые результаты.
9.
Выйдите из сеанса или выйдите из него как trainNSAdmin . Вернитесь к первому сеансу PuTTY для пользователя nsroot.
10.
Сохраните конфигурацию Citrix ADC.
сохранить конфигурацию ns
Ключевые выводы:
• Политики аутентификации, привязанные к глобальной точке привязки системы и управлению
аутентификация привязана к точкам управления.
• Извлечение группы поддерживается с помощью внешней аутентификации LDAP и Radius.
• При групповом извлечении на Citrix ADC необходимо создавать только группы.
(соответствует именам групп в удаленной службе каталогов). Командные политики
могут быть связаны с группами AAA. Создавать отдельных пользователей системы на
Citrix ADC.
• Аутентификация системы Citrix ADC поддерживает только однофакторный или однофакторный каскад. Если
https://translate.googleusercontent.com/translate_f
122/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
несколько политик связаны, они будут выполняться в порядке приоритета. Для доступа к системе,
161
Стр. Решебника 162
CNS-218-3I Citrix ADC 12.x Essentials
если политики аутентификации не совпадают, система автоматически вернется к локальному
аутентификация. Это приводит к тому, что учетная запись nsroot и любая другая учетная запись локальной системы
всегда действителен для доступа к управлению.
162
Стр. Решебника 163
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 7-3: Разделы администратора (CLI)
Введение:
В этом упражнении вы научитесь создавать и администрировать административные разделы в Citrix ADC. Вы
https://translate.googleusercontent.com/translate_f
123/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
будет использовать интерфейс командной строки для выполнения этого упражнения.
Разделы администратора позволяют разделить Citrix ADC на отдельные конфигурации и
административные границы. Каждому разделу может быть назначена собственная сеть с использованием VLAN и
каждый раздел поддерживает отдельную текущую и сохраненную конфигурацию.
Раздел Citrix ADC по умолчанию будет содержать все настройки конфигурации, сделанные в ходе этого
точка. Во время этого упражнения будут созданы два новых раздела, которые будут содержать независимые
настройки из раздела по умолчанию: функции, режимы, службы, виртуальные серверы, политики и
Больше.
Учетная запись nsroot будет иметь полные административные права на раздел по умолчанию и все права администратора.
Разделы созданы. Учетная запись nsroot может переключаться между разделами как в графическом интерфейсе, так и в
CLI.
Делегированных администраторов можно назначить с правами только на разделы в одном или нескольких разделах. Эти
администраторы делегированных разделов при подключении к графическому интерфейсу или интерфейсу командной строки Citrix ADC могу
и посмотреть раздел или разделы, на которые у них есть разрешение.
В этом упражнении вы настроите разделы администратора со следующими параметрами:
• Partition1 будет управляться padmin1 (локальная учетная запись).
• Partition2 будет управляться padmin2 (локальная учетная запись).
• Каждый администратор будет администратором раздела с правами только на свой
раздел.
Это упражнение демонстрирует базовую настройку и конфигурацию разделов администратора и раздела.
администраторы. Разделы используются для демонстрации базового управления конфигурацией в
перегородки. Разделы администратора не будут настроены для полноценной работы в сети или использоваться за пределами этого
упражнение.
В этом упражнении вы будете выполнять следующие задачи:
• Создать администраторов раздела.
• Создать разделы.
• Настроить ресурсы с разделами.
Создание разделов и администраторов разделов
163
Стр. Решебника 164
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair, используя NSMGMT SNIP (192.168.10.103), используя SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создать раздел администратора Partition1:
добавить раздел ns Partition1
3.
Создайте раздел администратора partition2:
добавить раздел ns Partition2
4.
Создайте локальную учетную запись для администратора раздела: padmin1 с правами администратора раздела:
добавить системную панель пользователя min1 Password1
привязать системного пользователя padmin1 partition-admin 10
привязать системного пользователя padmin1 -partitionName Partition1
5.
Создайте локальную учетную запись для администратора раздела с именем padmin2 с правами администратора раздела:
добавить системную панель пользователя min2 Password1
привязать системного пользователя padmin2 partition-admin 10
https://translate.googleusercontent.com/translate_f
124/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
привязать системного пользователя padmin2 -partitionName Partition2
6.
Посмотреть разделы:
показать раздел ns
показать ns partition Partition1
показать ns partition Partition2
7.
Просмотр пользователей системы:
показать системный пользовательский padmin1
8.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
164
Стр. Решебника 165
CNS-218-3I Citrix ADC 12.x Essentials
Настроить ресурсы в разделах
Шаг
1.
Действие
Переключитесь на раздел 1, оставаясь подключенным как nsroot.
переключить ns partition Partition1
2.
nsroot @ Partition1: просмотр текущей конфигурации для раздела 1
Посмотреть особенности:
показать нс особенность
Посмотреть услуги:
показать сервис
Обратите внимание, что в разделе partition1 нет существующих настроек. Функции и услуги отделены от
раздел по умолчанию. Текущая конфигурация также является отдельной.
3.
Создайте сервис для NYC-WEB-RED в разделе 1:
добавить службу svc_red 192.168.30.51 http 80
Показать сервис:
показать сервис svc_red
Служба svc_red будет отображаться ВНИЗ, так как сеть не полностью настроена для этого раздела.
4.
Сохраните конфигурацию Citrix ADC в разделе 1:
сохранить конфигурацию ns
5.
Просмотрите сохраненную конфигурацию в файловой системе для раздела по умолчанию:
оболочка
cd / nsconfig
ls
Сохраненная конфигурация и сертификаты для раздела по умолчанию находятся здесь:
/nsconfig/ns.conf
/ nsconfig / ssl /
https://translate.googleusercontent.com/translate_f
125/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
165
Стр. Решебника 166
CNS-218-3I Citrix ADC 12.x Essentials
6.
Просмотрите сохраненную конфигурацию в файловой системе для Partition1:
cd / nsconfig / разделы /
ls
cd Partition1
ls
больше ns.conf
Сохраненная конфигурация и сертификаты для раздела 1 находятся здесь:
/nsconfig/partitions/Partition1/ns.conf
/ nsconfig / разделы / ssl /
Сохраненный файл конфигурации для Раздела 1 содержит svc_red.
7.
Выйдите из оболочки, чтобы вернуться в интерфейс командной строки Citrix ADC:
Выход
8.
Переключитесь на раздел по умолчанию:
переключить раздел ns по умолчанию
9.
Откройте второй сеанс SSH с помощью PuTTY для NSMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: padmin2
Пароль: Пароль1
Это подключит padmin2 к Partition2, поскольку эта учетная запись имеет права только на Partition2.
10.
padmin2 @ Partition2 - Просмотр конфигурации раздела:
Посмотреть особенности:
показать нс особенность
Посмотреть услуги:
показать сервис
Обратите внимание, что в Partition2 нет существующих настроек. Функции и услуги отделены от
раздел по умолчанию. Текущая конфигурация также является отдельной.
11.
Просмотр разделов:
показать раздел ns
Для padmin2 доступен только Partition2. У этой учетной записи нет доступа к разделу по умолчанию или
Раздел1.
166
Стр. Решебника 167
CNS-218-3I Citrix ADC 12.x Essentials
12.
Настройте службу для сервера NYC-WEB-BLU в Partition2:
добавить службу svc_blue 192.168.30.52 http 80
13.
Сохраните конфигурацию Citrix ADC (для этого раздела):
https://translate.googleusercontent.com/translate_f
126/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
сохранить конфигурацию ns
14.
Выйдите и выйдите из сеанса ssh для padmin2:
Выход
15.
Вернитесь к обычному сеансу SSH, используя ADCMGMT SNIP для пользователя nsroot.
16.
Убедитесь, что конфигурация Citrix ADC сохранена:
сохранить конфигурацию ns
Примечание. Если конфигурация уже сохранена, вы получите предупреждение о том, что запущенный
конфигурация не изменилась. Это информация, и ее следует ожидать, когда конфигурация
уже сохранен.
Ключевые выводы:
• Разделы администратора позволяют управлять отдельными границами конфигурации Citrix ADC и
поддерживается на одном устройстве (или паре HA). Сущности в каждом разделе администратора
независимо от раздела по умолчанию и других разделов.
• Администраторам может быть предоставлен доступ к одному или нескольким разделам администратора с разделом:
уровень делегированного администрирования.
• Учетная запись nsroot имеет доступ к разделу по умолчанию и всем разделам администратора.
• Некоторыми настройками, такими как высокая доступность, можно управлять только в разделе по умолчанию.
уровень.
• Конфигурации разделов отличаются от конфигурации по умолчанию. Графический интерфейс и интерфейс командной строки
разрешить переключение между разделами.
• При поиске сохраненного файла конфигурации помните, что имена разделов вводятся в регистр
чувствительный:
o Сохраненный файл конфигурации раздела по умолчанию: /nsconfig/ns.conf
o Сохраненные файлы конфигурации разделов администратора: / nsconfig / partitions / <partition
имя> /ns.conf
167
Стр. Решебника 168
CNS-218-3I Citrix ADC 12.x Essentials
Модуль 8: Мониторинг и устранение неполадок.
Обзор:
В компании ABC изменения конфигурации, внесенные в Citrix ADC, должны быть проверены, а SNMP
уведомление о предупреждениях должно быть включено, чтобы проактивно реагировать на окружающую среду. Ваш
Работа администратора заключается в ознакомлении с журналами Citrix ADC.
Этот модуль просматривает журналы, управление журналами, предупреждения и устранение неполадок в Citrix ADC.
В конце этого модуля вас попросят принять участие в лабораторной работе по устранению неполадок, загрузив
новую конфигурацию Citrix ADC и устранение проблем.
После завершения этого лабораторного модуля вы сможете:
• Просмотр файлов системного журнала и nslog Citrix ADC.
• Создание и просмотр трассировки сети.
• Настроить оповещения по протоколу SNMP.
• Применение опыта настройки для устранения неполадок в конфигурации Citrix ADC.
Этот модуль содержит следующие упражнения с использованием Citrix ADC Configuration Utility (GUI) и
https://translate.googleusercontent.com/translate_f
127/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
интерфейс командной строки Citrix ADC:
• Упражнение: просмотр журналов Citrix ADC и сетевых трассировок.
• Упражнение: настройка внешнего системного журнала и политик аудита.
• Упражнение: настройка SNMP.
• Упражнение: устранение неполадок
Виртуальные машины, необходимые для этого модуля
Для модуля 8 подключитесь к назначенной консоли Hyper-V Manager и убедитесь, что
виртуальные машины работают. Если какая-либо из виртуальных машин не запущена, используйте Hyper-V.
Менеджер по их включению. В противном случае диспетчер Hyper-V не понадобится для остальной части
модуль.
• NYC-ADC-001
• NYC-WEB-BLU
• NYC-WEB-RED
• NYC-WEB-GRN
• Ad.workspacelab.com
• AD02.workspacelab.com
168
Стр. Решебника 169
CNS-218-3I Citrix ADC 12.x Essentials
Прежде чем вы начнете:
Приблизительное время для выполнения этой лабораторной работы: 30–45 минут.
Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC
(GUI)
Введение:
В этом упражнении вы научитесь собирать журнал и информацию об устранении неполадок. Вы будете использовать
Графический интерфейс программы настройки Citrix ADC для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Просмотрите файл системного журнала (/var/log/ns.log) и его события.
• Просмотрите файл nslog (/ var / nslog / newnslog) и просмотрите продолжительность файла журнала, события и консоль
Сообщения.
• Создайте сетевую трассировку с помощью консоли nstrace в графическом пользовательском интерфейсе Citrix ADC.
Просмотреть системный журнал (/var/log/ns.log)
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
https://translate.googleusercontent.com/translate_f
128/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
169
Стр.170
CNS-218-3I Citrix ADC 12.x Essentials
2.
Просмотреть текущие недавние события системного журнала:
• Перейдите в раздел Система> Аудит .
• Щелкните Последние сообщения аудита .
• Выберите ВСЕ для уровней журнала.
• Введите 20 для количества отображаемых сообщений аудита.
• Щелкните Выполнить .
• Установите флажок Перенос по словам, чтобы просматривать сообщения в правильном формате.
Это отобразит последние 20 сообщений в текущем файле системного журнала.
Вывод в основном будет состоять из событий CMD_EXECUTED графического интерфейса или интерфейса командной строки, которые отражают изменения.
внесены в конфигурацию и навигацию графического интерфейса. Вы можете увидеть EVENT DEVICEUP или
Сообщения DEVICEDOWN.
3.
Нажмите кнопку « Закрыть» и « Закрыть» еще раз, чтобы вернуться к узлу аудита.
4.
Просмотреть полный текущий файл системного журнала:
• Щелкните Сообщения системного журнала .
Это отобразит средство просмотра системного журнала в браузере на основе текущего файла системного журнала: /var/log/ns.log.
5.
Фильтр системного журнала по событиям или объектам.
Фильтр по событиям:
• Выберите « Событие» в раскрывающемся списке « Модуль» и нажмите « Применить» .
• Нажмите « Очистить» рядом с полем «Фильтровать по», чтобы удалить фильтр.
Фильтр по серьезности:
• Разверните « Серьезность» в разделе « Фильтровать по» .
• Выберите Emergency, Alert , Critical , Err , Warn и Debug.
• Не снимайте флажки « Информация» и « Уведомление» .
• Щелкните Применить .
Это отобразит события, отличные от изменений конфигурации (CMD_EXECUTED), если они есть.
Вы можете наблюдать, как объекты движутся ВВЕРХ или ВНИЗ или другие проблемы, возникшие во время
конфигурации.
• Удалите примененные фильтры, чтобы вернуться к полному журналу.
Используйте раздел «Фильтр по» для фильтрации отображаемых событий по модулю, типу события или серьезности. Если
в текущем журнале недостаточно событий, попробуйте просмотреть предыдущий файл журнала, используя процедуру в
следующий шаг.
6.
Просмотр прошлых файлов системного журнала:
• Просмотрите предыдущие файлы журнала, развернув раскрывающийся список в разделе Файл на правой панели.
• Выберите любой из последних файлов системного журнала за последние 24 часа.
7.
Щелкните значок « Назад», чтобы вернуться к узлу аудита.
Просмотреть NSLOG (/ var / log / newnslog)
Шаг
Действие
170
Стр. Решебника 171
CNS-218-3I Citrix ADC 12.x Essentials
1.
Просмотреть Nslog в графическом интерфейсе:
https://translate.googleusercontent.com/translate_f
129/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Перейдите в раздел Система> Диагностика .
Ссылки, доступные в разделах "Управление журналами" и "Данные для устранения неполадок", являются ярлыками для различных nslog.
События. Вы можете использовать их вместо выполнения явных команд. Графический интерфейс позволяет легко просматривать
событий, статистики и показателей из текущего файла журнала и прошлых файлов журнала.
В разделе «Управление журналами» графический интерфейс содержит ярлыки для большинства часто используемых nsconmsg.
команды. Эти команды могут быть выполнены для текущего файла nslog или архива:
• Просмотр продолжительности файла журнала
• Просмотр событий
• Просмотр сообщений консоли
• Просмотр событий за определенное время
• Обрезать файлы журнала
В разделе «Данные для устранения неполадок» дополнительные команды nslog обеспечивают доступ к:
• Использование памяти
• Просмотр dmesg.boot
Следующие лабораторные шаги продемонстрируют некоторые из этих задач.
2.
Просмотр продолжительности файла журнала для текущего журнала:
• Щелкните Просмотр продолжительности файла журнала в разделе « Управление журналами» .
• Выберите текущий файл журнала: / var / nslog / newnslog (по умолчанию)
• Щелкните Выполнить .
Обратите внимание, что отображается команда для получения продолжительности файла журнала:
nsconmsg -K / var / nslog / newnslog -d setime
Определите период времени для этого журнала.
Щелкните Close . Вернитесь в диалоговое окно Длительность файла журнала.
3.
Просмотрите продолжительность файла журнала для прошлого журнала:
• Щелкните « Выбрать файл» под полем « Файл журнала» .
• Выберите предыдущий файл newnslog. ##. Tar.gz в каталоге / var / nslog / из ранее в
на этой неделе и нажмите " Открыть" .
• Щелкните Выполнить .
Отметьте время начала и окончания этого журнала. Файл был извлечен и больше не архивируется на
Citrix ADC.
4.
Щелкните Close . Вернитесь в диалоговое окно Длительность файла журнала.
Еще раз нажмите « Закрыть», чтобы вернуться в узел «Диагностика».
5.
Щелкните Просмотр событий из текущего журнала Nslog:
• Щелкните Просмотр событий в разделе « Управление журналами» .
• Используйте текущий файл журнала (или браузер для предыдущего).
• Щелкните Выполнить .
Просмотрите отображаемые события.
Щелкните Закрыть и закрыть, чтобы вернуться в диалоговое окно «Диагностика».
171
Стр. Решебника 172
CNS-218-3I Citrix ADC 12.x Essentials
6.
Щелкните Просмотр сообщений консоли из текущего журнала Nslog:
• Щелкните Просмотр сообщений консоли в разделе « Управление журналами» .
• Используйте текущий файл журнала (или браузер для предыдущего).
• Щелкните Выполнить .
Просмотрите отображаемые сообщения.
Нажмите « Закрыть и закрыть», чтобы вернуться в диалоговое окно «Диагностика».
7.
Загрузите файлы nslog из графического интерфейса:
• Щелкните Удалить / загрузить файлы журнала в разделе « Обслуживание» .
Можно загрузить любой из файлов журнала в каталоге / var / nslog /.
Щелкните Close .
Создайте сетевую трассировку с помощью nstrace
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
https://translate.googleusercontent.com/translate_f
130/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Имя пользователя: nsroot
Пароль: nsroot
2.
Запустите сетевую трассировку с помощью утилиты nstrace:
• Перейдите в раздел Система> Диагностика .
• Щелкните Начать новую трассировку в разделе Инструменты технической поддержки .
172
Стр. Решебника 173
CNS-218-3I Citrix ADC 12.x Essentials
3.
Начните трассировку со следующими критериями:
• Размер пакета : 0
• Включить запись трассировки в формате .pcap .
• Включить отслеживание однорангового трафика отфильтрованного соединения (под полем выражения и
Выпадающий список слияния).
• Оставьте значения по умолчанию для других значений.
Настройте выражение фильтра для отслеживания трафика, поступающего с рабочего стола HOST (192.168.10.254)
только. Это полезно в производственной среде, если вам нужно изолировать трассировку только до одного
конкретный клиент:
CONNECTION.IP.EQ (192.168.10.254) && CONNECTION.IP.EQ (172.21.10.101)
Нажмите Пуск, а затем нажмите ОК.
Примечание. В версии ниже 11.1 не нажимайте ОК, пока не будете готовы остановить трассировку. Захват
в ходе выполнения.
Эта команда сгенерирует трассировку только для трафика между рабочим столом HOST и RBG VIP;
это исключит все коммуникации управления, поскольку мы запускаем GUI-соединения из
рабочий стол HOST на адреса NSIP / SNIP. "Отслеживать отфильтрованные одноранговые соединения
трафик "гарантирует, что весь внутренний трафик, связанный с потоком запросов и ответов, будет
также быть захваченным.
Примечание о синтаксисе: в графическом интерфейсе логический оператор «&&» должен находиться рядом с двумя
выражения без пробела между выражениями и оператором. Это особенно касается
Диалоговое окно выражения nstrace в графическом интерфейсе.
4.
Сгенерируйте тестовый трафик:
• Откройте веб-браузер и найдите http://172.21.10.101/home.php.
• Обновите страницу несколько раз.
• Откройте веб-браузер и найдите http://172.21.10.105/.
5.
Вернитесь в графический интерфейс Citrix ADC и остановите трассировку:
• Нажмите « Остановить и загрузить», чтобы остановить текущую трассировку.
• Нажмите « Закрыть», чтобы закрыть диалоговое окно « Удалить / загрузить файлы трассировки ».
Каталоги загрузки немного различаются в зависимости от того, какой браузер вы используете. Чтобы стандартизировать
шаги, WinSCP будет использоваться для загрузки файла трассировки.
6.
Используйте WinSCP для загрузки трассировки:
• Откройте WinSCP и подключитесь к ADCMGMT SNIP (192.168.10.103).
• Если вы получили предупреждение от WinSCP о необходимости добавления ключа хоста в кэш, нажмите « Да», чтобы
Продолжать.
https://translate.googleusercontent.com/translate_f
131/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• На правой панели перейдите к / var / nstrace / .
• Трасса создается в папке, названной по дате / времени.
• На левой панели перейдите к папке C: \ resources \.
• Скопируйте соответствующий nstrace (обычно: nstrace1.pcap) с правой панели в папку
Каталог C: \ resources \ на левой панели.
• Закройте WinSCP.
7.
На рабочем столе хоста перейдите в папку C: \ resources \. Дважды щелкните файл .pcap, чтобы открыть его в Wireshark.
173
Стр. Решебника 174
CNS-218-3I Citrix ADC 12.x Essentials
8.
В трассировке найдите следующее:
• Найдите первую ссылку на запрос Get /home.php .
• (Вы можете использовать фильтр http.request.uri == "/ home.php" и
http.request.method == "GET") Определите исходный IP-адрес как рабочий стол HOST.
(192.168.10.254).
Определите IP-адрес назначения как VIP (172.21.10.101)
• Затем используйте трассировку, чтобы определить, какой SNIP Citrix ADC использовал для отправки трафика на
внутренние серверы и какой сервер (красный, синий или зеленый) ответил объектом.
Ключевые выводы:
• Детали Nslog и Syslog доступны как в графическом интерфейсе, так и в интерфейсе командной строки.
• Syslog - это журнал аудита для Citrix ADC, содержащий все изменения конфигурации, внесенные в
прибор. Другие конкретные события регистрируются функциями и подсистемами Citrix.
АЦП, а это значит, что он может быть полезен для устранения неполадок.
• Nslog содержит всю статистику, метрики и счетчики отладки на Citrix ADC в
дополнение к событиям и консольному сообщению.
• Статистическую и метрическую информацию можно получить из nslog или с помощью статистики.
в интерфейсе командной строки, команды статистики в графическом интерфейсе или в представлении панели мониторинга в
GUI.
• Nslog также содержит полезную информацию об устранении неполадок, такую как события, консоль
сообщения, продолжительность файла журнала, вывод dmesg и использование памяти. Все эти счетчики могут
можно получить вручную через интерфейс командной строки или с помощью встроенных ярлыков в графическом интерфейсе. В
GUI - предпочтительный метод получения этой информации для повседневных операций.
• Nstrace - это встроенная утилита трассировки Citrix ADC. Его можно запустить из интерфейса командной строки или графического инте
может легко использоваться для захвата сетевой трассировки с необходимыми параметрами для подмножества
интересующий трафик с использованием параметров выражения и ссылки.
174
Стр. Решебника 175
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
132/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 8-2: Настройка внешнего системного журнала и политик аудита
(GUI)
Введение:
В этом упражнении вы научитесь настраивать политики аудита для включения внешнего ведения журнала локальных
syslog на внешний сервер syslog. Вы будете использовать графический интерфейс Citrix ADC Configuration Utility для
выполните это упражнение.
Политики аудита будут настроены таким образом, чтобы Citrix ADC продолжал регистрировать все события в
локальный файл системного журнала в /var/log/ns.log. Регистрация на внешний сервер системного журнала выполняется в дополнение к
локальное ведение журнала, а не вместо.
В этом упражнении политика аудита будет привязана к глобальному системному объекту, чтобы весь системный журнал
события регистрируются на внешнем сервере. Политики аудита могут быть привязаны к конкретным виртуальным
серверов, групп AAA или пользователей AAA для сбора данных системного журнала, относящихся только к этим объектам.
Kiwi Syslog Daemon, запущенный на рабочем столе HOST, будет действовать как внешний сервер Syslog.
В этом упражнении вы будете выполнять следующие задачи:
• Настройте Kiwi Syslog Daemon для получения сообщений Syslog.
• Настройте политики внешнего аудита для системного журнала.
• Просмотр сообщения аудита на удаленном сервере (Kiwi).
Настройте Kiwi Syslog Daemon для получения сообщений Syslog
Шаг
1.
Действие
Запустите Kiwi Syslog Daemon:
• Дважды щелкните ярлык Kiwi Syslog Daemon на рабочем столе.
• Или запустите C: \ Program Files \ Syslogd \ Syslogd.exe .
2.
Настройте Kiwi для получения сообщений системного журнала (UDP 514):
• Щелкните Файл и выберите Настройка .
• Разверните « Входы» и выберите « UDP» .
• Убедитесь, что выбран параметр « Слушать системный журнал UDP» и что для порта UDP установлено значение 514 .
• Оставьте для всех остальных настроек значения по умолчанию.
• Щелкните ОК .
3.
Продолжайте киви для этого упражнения.
175
Стр.176
CNS-218-3I Citrix ADC 12.x Essentials
Настройка политик внешнего аудита для системного журнала
Шаг
1.
Действие
Подключитесь к утилите настройки Citrix ADC HA Pair с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Создайте новый сервер системного журнала (действие политики), который будет регистрироваться на рабочем столе HOST (192.168.10.254).
• Перейдите в раздел Система> Аудит> Системный журнал .
• Щелкните вкладку Серверы .
https://translate.googleusercontent.com/translate_f
133/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Добавить .
• Введите ext_kiwi в поле Имя .
• Введите 192.168.10.254 в поле IP-адрес . Это IP-адрес внешнего
Сервер системного журнала для входа.
• Убедитесь, что порт - 514 .
• Выберите Custom, а затем выберите следующее в разделе Log Levels : EMERGENCY, ALERT,
КРИТИЧЕСКИЙ, ОШИБКА, ПРЕДУПРЕЖДЕНИЕ, УВЕДОМЛЕНИЕ, ИНФОРМАЦИОННОЕ. (Исключить DEBUG).
• Выберите Local0 в качестве средства ведения журнала .
• Щелкните " Создать" .
3.
Создайте политику системного журнала:
• Щелкните вкладку Политики .
• Щелкните Добавить .
• Введите ext_kiwi_policy в поле Имя .
• Выберите ext_kiwi из раскрывающегося списка « Сервер» .
• Щелкните " Создать" .
• Щелкните OK в предупреждении .
176
Стр. Решебника 177
CNS-218-3I Citrix ADC 12.x Essentials
4.
Привяжите политику к точке привязки System Global.
• Перейдите в раздел Система> Аудит> Системный журнал .
• Щелкните вкладку Политики .
• Щелкните « Действие»> «Глобальные привязки классической политики» .
• Щелкните « Щелкните для выбора» в разделе « Выбор политики» .
• Выберите ext_kiwi_policy и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
Примечание . Параметры аудита по умолчанию (Система> Аудит> Изменить настройки системного журнала аудита и
изменение параметров аудита Nslog) включить локальное ведение журнала в syslog в /var/log/ns.log и nslog в
/ var / nslog / newnslog.
Привязка политик аудита к глобальной точке привязки системы позволяет вести журнал на внешний сервер аудита.
всех глобальных событий, которые фиксируются в локальных файлах журнала. Политики аудита используют политику
каскадно (аналогично политикам аутентификации), и связанные политики обрабатываются в приоритетном порядке
порядок, за которым следует настройка регистрации глобальных параметров. Следовательно, политики аудита можно использовать для
установить дополнительные места ведения журнала, не устраняя локальное ведение журнала.
Политики аудита также могут быть привязаны к виртуальным серверам (lb, cs, vpn и др.), Группам AAA и AAA.
Пользователи. Политики, привязанные к объектам, отличным от System Global, будут регистрировать только события (конфигурация
изменения и другие проверенные события) только для этих организаций.
Просмотр сообщений аудита на удаленном сервере (в Kiwi)
Шаг
Действие
1.
Переключитесь на Kiwi Syslog.
2.
Просматривайте сообщения системного журнала от Citrix ADC в Kiwi.
Вернитесь в Citrix ADC и сгенерируйте проверенные события:
• Сохраните конфигурацию Citrix ADC и подтвердите.
• Переход к различным узлам графического интерфейса; все команды show проходят аудит.
3.
Отключите политику от System Global, чтобы отключить внешнее ведение журнала к этому месту назначения.
• Перейдите в раздел Система> Аудит> Системный журнал .
• Щелкните вкладку Политики .
• Щелкните « Действие»> «Глобальные привязки классической политики» .
https://translate.googleusercontent.com/translate_f
134/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Выберите ext_kiwi_policy и нажмите « Отменить привязку» .
• Щелкните Да для подтверждения.
• Щелкните " Закрыть" .
Примечание. Если процесс отмены привязки не работает из графического интерфейса, используйте значок PuTTY на ХОСТЕ.
рабочий стол для подключения к Citrix ADC. Войдите в систему с помощью nsroot / nsroot и введите команду unbind
системная глобальная ext_kiwi_policy .
Ключевые выводы:
177
Стр. Решебника 178
CNS-218-3I Citrix ADC 12.x Essentials
• Политики аудита позволяют отправлять данные syslog и nslog на внешний сервер. Обычно это
сделано для ведения журналов в течение более длительных периодов хранения, чем позволяет Citrix ADC, или
защитить журналы аудита от потери в случае сбоя устройства. Системный журнал Citrix ADC
в стандартном формате системного журнала и может быть отправлен на любой сервер системного журнала.
• Политики аудита следуют тому же каскаду политик, что и политики аутентификации. Если многократный аудит
политики связаны, тогда ведение журнала может происходить в нескольких местах назначения.
• При привязке политик аудита к глобальному системному объекту удаленный журнал будет содержать все
та же информация, что и в локальном системном журнале Citrix ADC. Хотя политики аудита также могут быть
привязаны к виртуальному серверу, группам AAA и пользователям AAA, политика привязки к глобальному
системный объект - единственный способ фиксировать все события в Citrix ADC и все проверенные
изменения конфигурации, сделанные пользователями системы.
Упражнение 8-3: Настройка SNMP (графический интерфейс)
Введение:
В этом упражнении вы научитесь настраивать интеграцию SNMP в Citrix ADC, чтобы разрешить оба
Опрос и оповещение по протоколу SNMP. Это упражнение настроит строки сообщества SNMP, SNMP
менеджеры, назначения ловушек SNMP и предупреждения SNMP. Kiwi Syslog Daemon, работающий на HOST
рабочий стол будет местом назначения ловушек SNMP для этого сценария. Вы будете использовать Citrix ADC
Графический интерфейс служебной программы настройки для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Настройте Kiwi Syslog Daemon для получения предупреждений SNMP.
• Настройте параметры SNMP.
• Просмотр предупреждений SNMP на удаленном сервере (Kiwi).
Настройте Kiwi Syslog Daemon для получения предупреждений SNMP
Шаг
1.
Действие
Отключить системный журнал в Kiwi:
• Щелкните Файл и выберите Настройка .
• Разверните « Входы» и выберите « UDP» .
• Снимите флажок « Прослушивать сообщения системного журнала UDP» .
2.
Включите ловушки SNMP в Kiwi:
• Разверните « Входы» и выберите « SNMP» .
• Выберите « Слушать ловушки SNMP» и убедитесь, что в поле « Порт UDP» отображается 162 .
• Щелкните ОК .
3.
Четкое отображение в киви:
• Щелкните « Просмотр»> «Очистить отображение».
178
Стр. Решебника 179
https://translate.googleusercontent.com/translate_f
135/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
CNS-218-3I Citrix ADC 12.x Essentials
Настроить параметры SNMP
Шаг
1.
Действие
Подключитесь к Citrix ADC HA Pair Configuration Utility с помощью ADCMGMT SNIP по адресу
http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Настроить строку сообщества SNMP:
• Перейдите в раздел Система> SNMP> Сообщество .
• Щелкните Добавить .
• Введите ctxtrainsnmp в поле Строка сообщества .
• Выберите « Все» в раскрывающемся списке « Разрешение» .
• Щелкните " Создать".
3.
Настройте диспетчер SNMP. Используйте рабочий стол HOST (192.168.10.254) в качестве управления
сервер.
• Перейдите в раздел Система> SNMP> Менеджеры .
• Щелкните Добавить .
• Выберите Сеть управления .
• Введите 192.168.10.254 в поле IP-адрес .
• Держите NETMASK набор для 255.255.255.255 . Это настраивает разрешенный менеджер как единый
хост вместо сети.
• Щелкните " Создать" .
4.
Настройте назначение прерывания SNMP для общих типов прерываний:
• Перейдите в раздел Система> SNMP> Ловушки .
• Щелкните Добавить .
• Выберите Generic под тип .
• Проверьте V2 в разделе « Версия» .
• Введите 192.168.10.254 в качестве IP-адреса назначения .
• Оставьте IP-адрес источника < пустым > . Citrix ADC по умолчанию отправляет прерывания со своего адреса NSIP.
• Введите ctxtrainsnmp в поле « Имя сообщества» .
• Щелкните " Создать" .
5.
Настройте назначение прерывания SNMP для определенных типов прерываний:
• Щелкните Добавить .
• Выберите « Конкретный» в разделе « Тип» .
• Проверьте V2 в разделе « Версия» .
• Введите 192.168.10.254 в качестве IP-адреса назначения .
• Оставьте IP-адрес источника < пустым > . Citrix ADC по умолчанию отправляет прерывания со своего адреса NSIP.
• Введите ctxtrainsnmp в поле « Имя сообщества» .
• Щелкните " Создать" .
Примечание . «Минимальная серьезность» не указана, поэтому будут отправлены все предупреждения. Уровни серьезности можно настроить на
костюм уровень видимости.
179
Стр. Решебника 180
CNS-218-3I Citrix ADC 12.x Essentials
6.
Настройте сигнал тревоги SNMP для генерации прерываний при событиях сохранения конфигурации:
• Перейдите в раздел Система> SNMP> Сигналы тревоги .
• Изменить количество элементов, отображаемых на странице с 25 на странице до 250 на странице (в
внизу панели сигналов тревоги) или вы можете использовать опцию поиска .
• Щелкните заголовок « Тревога» для сортировки по имени.
• Выберите тревогу CONFIG-SAVE и нажмите Edit .
• Убедитесь , что Logging будет включен .
• Убедитесь в том, что государство будет включено .
• Щелкните ОК .
7.
Настройте сигнал тревоги SNMP для генерации ловушек при превышении пороговых значений ЦП:
• Выберите аварийный сигнал CPU-USAGE и нажмите Edit .
• Введите 85 в качестве порога срабатывания сигнализации (загрузка ЦП 85%).
• Введите 80 для нормального порога (загрузка ЦП 80%).
• Выберите Major под серьезностью .
• Убедитесь , что Logging будет включен .
https://translate.googleusercontent.com/translate_f
136/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Убедитесь в том, что государство будет включено .
• Щелкните ОК .
Просмотр предупреждений SNMP на удаленном сервере (в Kiwi)
Шаг
Действие
1.
Переключитесь на Kiwi Syslog.
2.
Создание предупреждений SNMP на Citrix ADC для отправки в Kiwi Syslog Daemon.
Вернитесь к Citrix ADC и сгенерируйте ловушки SNMP:
• Отключить службу svc_red: ENTITY_STATE alarm.
• Повторно включить службу svc_red: ENTITY_STATE alarm.
• Сохраните конфигурацию Citrix ADC: сигнал тревоги CONFIG_SAVE.
3.
Закройте Kiwi Syslog Daemon.
Ключевые выводы:
• Citrix ADC можно настроить для приема опроса SNMP и отправки предупреждений SNMP для
различные события по мере их возникновения. Это позволяет Citrix ADC сообщать о проблемах как часть
существующая инфраструктура управления SNMP.
• Если менеджеры SNMP не указаны, Citrix ADC ответит любому менеджеру, который
запрашивает информацию для опроса.
• Ответы SNMP по умолчанию включены для адресов NSIP, SNIP и VIP. SNMP может быть
отключены на отдельных адресах.
• Citrix ADC поддерживает оповещения SNMP v1, v2 и v3.
• При настройке места назначения прерывания Citrix ADC, если исходный IP-адрес пуст,
Используется NSIP. В противном случае можно выбрать конкретный СНИП.
180
Стр. Решебника 181
CNS-218-3I Citrix ADC 12.x Essentials
• Citrix ADC поставляется с рядом включенных по умолчанию предупреждений SNMP. SNMP
предупреждения и пороговые значения предупреждений и другие параметры можно настроить по мере необходимости.
Упражнение 8-4: Устранение неполадок (GUI)
Введение:
В этом упражнении вы научитесь применять то, что узнали о Citrix ADC.
конфигурацию и устранение неполадок в другом файле конфигурации Citrix ADC. Вы будете использовать
графический интерфейс Citrix ADC Configuration Utility для выполнения этого упражнения.
Хотя это упражнение определено как часть графического пользовательского интерфейса Citrix ADC Configuration Utility,
упражнений, потребуется некоторое использование интерфейса командной строки для выполнения сценариев прерывания и исправления. Все
шаги по устранению неполадок будут представлены на основе информации, доступной в графическом интерфейсе, где
возможный.
В этом упражнении вы будете выполнять следующие задачи:
• Подготовьтесь к устранению неисправностей.
• Сценарий устранения неполадок 1. Невозможно подключиться к управляющему SNIP.
• Сценарий устранения неполадок 2: невозможно получить доступ к Citrix ADC с учетной записью домена.
• Сценарий устранения неполадок 3. Пользователи не могут получить доступ к ресурсам.
• Восстановить конфигурацию.
Подготовьтесь к устранению неполадок
Шаг
1.
Действие
Подготовьтесь к лабораторной работе по устранению неполадок:
Выполните действия, описанные в этом разделе, чтобы подготовить пару HA к настройке устранения неполадок.
Чтобы упростить управление конфигурацией, NYC-ADC-002 будет отключен (при получении инструкции)
https://translate.googleusercontent.com/translate_f
137/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
и будет использоваться только NYC-ADC-001.
Примечание : для этой задачи потребуется некоторый интерфейс командной строки.
2.
Подключитесь к NYC-ADC-001 и NYC-ADC-002, используя отдельные сеансы SSH (PuTTY), используя каждый NSIP.
Не используйте NSMGT SNIP (192.168.10.103) для этого упражнения, пока не получите инструкции.
• Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
• Подключитесь к Citrix NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
3.
NYC-ADC-001 - Сохраните конфигурацию Citrix ADC, прежде чем продолжить:
сохранить конфигурацию ns
181
Стр. Решебника 182
CNS-218-3I Citrix ADC 12.x Essentials
4.
NYC-ADC-002 Установите для узла HA значение StaySecondary:
установить узел ha -hastatus STAYSECONDARY
Сохраните локальную конфигурацию:
сохранить конфигурацию ns
5.
Используйте Hyper-V Manager, чтобы выключить NYC-ADC-002:
• Откройте диспетчер Hyper-V.
• Щелкните правой кнопкой мыши NYC-ADC-002 и выберите « Завершение работы» .
6.
Вернитесь к сеансу SSH (Putty) для NYC-ADC-001 для выполнения оставшейся части упражнения, пока
проинструктирован.
7.
Подготовьте NYC-ADC-001 для лабораторной диагностики.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
8.
Запустите сценарий Break, чтобы начать лабораторную работу по устранению неполадок:
batch -filename /var/labstuff/troubleshoot/break.txt
Citrix ADC должен перезапуститься автоматически.
Примечание . После перезапуска появится файл /nsconfig/ts_status.txt, содержащий его содержимое.
"перемена".
Устранение неполадок, сценарий 1
Среда представляет следующую проблему, и вас попросили определить причину.
и исправьте проблему. Попытайтесь определить проблему, прежде чем переходить к ее решению.
Выпуск 1:
• Соединения с ADCMGMT SNIP на 192.168.10.103 не работают для графического интерфейса пользователя и SSH.
Администраторы тестируют с помощью nsroot.
Прежде чем вы начнете:
• Каковы возможные причины проблемы, как описано?
• Какие требования должны быть соблюдены, чтобы управляющие связи были успешными
СНИП?
Чтобы диагностировать эту проблему для сценария 1:
Шаг
Действие
182
https://translate.googleusercontent.com/translate_f
138/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 183
CNS-218-3I Citrix ADC 12.x Essentials
1.
Для этого упражнения вам нужно будет сделать доступными два отдельных окна браузера:
Откройте первый браузер и подключитесь к http://192.168.10.101. Войдите в систему как nsroot / nsroot.
Мы будем называть это сеансом nsoot@192.168.10.101.
Это будет использоваться для управления конфигурацией.
2.
Используйте второй браузер и попытайтесь воспроизвести проблему, подключившись к ADCMGMT SNIP
на http://192.168.10.103.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Мы будем называть это сеансом nsroot@192.168.10.103.
Попытка подключиться успешна или не удалась? ______________________________
3.
В командной строке CMD на рабочем столе HOST:
• Можете ли вы пинговать 192.168.10.103?
4.
С nsroot@192.168.10.101
Есть СНиП (192.168.10.103):
• Включено?
• Настроен как SNIP
• Правильная маска подсети
• Включен ли режим USNIP?
Используйте графический интерфейс, чтобы исследовать вышеуказанные настройки.
5.
У вас достаточно информации для решения проблемы?
Для чего нужны настройки:
Доступ к управлению
-
Ограничить доступ
Чтобы решить проблему для сценария 1:
Шаг
1.
Действие
Повторно включите доступ к управлению по SNIP 192.168.10.103:
• Перейдите в раздел Система> Сеть> IP-адреса .
• Выберите 192.168.10.103 и нажмите « Изменить» .
Измените следующие параметры в разделе Контроль доступа к приложениям:
• Включите « Включить управление доступом к управлению» для поддержки перечисленных ниже приложений.
• Убедитесь, что доступ к SSH и графическому интерфейсу включен.
• Включите Разрешить доступ только к управляющим приложениям .
• Щелкните ОК .
2.
Сохраните конфигурацию Citrix ADC и подтвердите.
183
Стр. Решебника 184
CNS-218-3I Citrix ADC 12.x Essentials
3.
Убедитесь, что проблема решена:
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Ожидаемый результат: соединение установлено.
4.
Закройте этот сеанс: nsroot@192.168.10.103
https://translate.googleusercontent.com/translate_f
139/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
184
Стр. Решебника 185
CNS-218-3I Citrix ADC 12.x Essentials
Устранение неполадок, сценарий 2
Попытайтесь определить проблему, прежде чем переходить к ее решению.
Выпуск 2:
• Подключения к ADCMGMT SNIP на 192.168.10.103 теперь работают для администраторов.
аутентификация с помощью локальных системных учетных записей, таких как nsroot, но пытается подключиться к любому
IP управления (NSIP или SNIP) с учетными записями домена (trainNSAdmin) не работает.
Для этого сценария используйте ту же информацию учетной записи домена, которая использовалась в Модуле 7:
Обеспечение безопасности Citrix ADC.
Прежде чем вы начнете:
• Каковы возможные причины описанной проблемы?
• Каковы требования для использования учетных записей домена для доступа к управляющему IP?
адреса на Citrix ADC?
• Этот сценарий содержит несколько проблем, а таблица диагностики дает подробные сведения.
оценка аутентификации. Вы можете найти проблемы раньше, используя другие методы.
Чтобы диагностировать проблему для сценария 2:
Шаг
1.
Действие
Подключитесь к NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Мы будем называть это сеансом nsroot@192.168.10.101 .
https://translate.googleusercontent.com/translate_f
140/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Продолжайте этот сеанс, чтобы выполнить устранение неполадок и изменить детали конфигурации, когда
исправление обнаружено.
2.
Воспроизведите проблему - подключитесь к NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
Мы назовем это сеансом trainnsadmin@192.168.10.101 .
Примечание : этот сеанс не сможет подключиться, пока проблема не будет решена. Вам нужно будет протестировать
подключения несколько раз, пока проблема не будет решена.
185
Стр. Решебника 186
CNS-218-3I Citrix ADC 12.x Essentials
3.
nsroot@192.168.10.101 - Просмотр проблемы аутентификации в системном журнале:
• Перейдите в раздел Система> Аудит .
• Щелкните Последние сообщения аудита .
• Щелкните Выполнить .
В выводе системного журнала вы должны увидеть события неудачной аутентификации для trainNSAdmin.
Событие указывает на то, что аутентификация для пользователя не удалась, но этой информации недостаточно для
точно знать причину проблемы.
4.
Определите, происходит ли внешняя аутентификация.
Есть несколько способов сделать это:
• Посмотрите на политики аутентификации в системе и определите, связаны ли они
уже и если происходят срабатывания политики.
• Из интерфейса командной строки посмотрите, выполняются ли внешние вызовы аутентификации, используя aaad.debug.
(что может быть полезно, если вы не знаете, с чего начать.) Этот шаг описан в CLI
упражнение, но не в версии с графическим интерфейсом.
5.
Выполните диагностику, глядя на привязки политик и попадания в политику:
На nsroot@192.168.10.101
Определите следующее:
• Присутствуют ли какие-либо политики аутентификации ldap?
• Настроены ли политики аутентификации ldap с правильным действием ldap (сервером)?
• Является ли ожидаемая политика обязательной?
6.
Для просмотра деталей политики аутентификации:
• Перейдите в раздел Система> Аутентификация> Основные политики> LDAP .
7.
Resolve (2.1) - привязать политику аутентификации к глобальному системному объекту:
• Перейдите в раздел Система> Аутентификация> Основные политики> LDAP, если еще нет.
• Щелкните Глобальные привязки .
• Щелкните « Щелкните для выбора» в разделе « Выбор политики» .
• Выберите auth_ldap_policy и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
Прежде чем продолжить устранение неполадок, эту проблему необходимо решить.
8.
Определите, устраняет ли это проблему:
Попытайтесь подключиться к NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
На этот раз аутентификация прошла успешно или не удалось? ___________________________________
186
https://translate.googleusercontent.com/translate_f
141/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 187
CNS-218-3I Citrix ADC 12.x Essentials
9.
nsroot@192.168.10.101 - снова просмотреть проблему аутентификации в системном журнале:
• Перейдите в раздел Система> Аудит .
• Щелкните Последние сообщения аудита .
• Щелкните Выполнить .
В выводе системного журнала вы должны увидеть события неудачной аутентификации для trainNSAdmin.
Это те же события, что и ранее, но они все еще указывают на неверное имя пользователя или пароль.
Однако перед сообщением для "user trainnsadmin" есть другое событие, которое указывает на
проблема с AAA (внешняя аутентификация):
Сообщение AAA 402
«В update_aaa_cntr: Неудачная политика для trainnsadmin = auth_ldap_srv».
Это сообщение все еще нечеткое (события aaad.debug более подробно описаны), но оно указывает на то, что
что-то в политике аутентификации или действии может влиять на аутентификацию пользователя.
10.
Проверьте конфигурацию действия ldap: auth_ldap_srv:
• Определить, правильный ли IP-адрес для контроллера домена?
• Проверьте учетную запись администратора Bind DN и пароль.
• Проверить правильность других настроек аутентификации?
• Определите, включена ли функция.
В случае сомнений заподозрите неверный пароль.
11.
Разрешите учетную запись Bind DN:
• Перейдите в раздел Система> Аутентификация> Основные политики> LDAP .
• Щелкните вкладку Серверы .
• Выберите auth_ldap_srv и нажмите « Изменить» .
• Убедитесь, что администратором Bind DN является trainaduser@workspacelab.com .
Измените пароль Bind DN:
• Проверьте пароль BindDN .
• Введите Password1 в поле пароля администратора и подтвердите пароль администратора.
поля.
Щелкните ОК .
12.
Определите, устраняет ли это проблему:
Попытайтесь подключиться к NYC-ADC-001 по адресу http://192.168.10.101.
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
На этот раз аутентификация прошла успешно или не удалось? ______________________
13.
Проблема решена. Закройте сессию trainNSAdmin@192.168.10.101.
14.
nsroot@192.168.10.101:
Сохраните конфигурацию Citrix ADC и подтвердите.
187
Стр. Решебника 188
CNS-218-3I Citrix ADC 12.x Essentials
Решить:
Шаг
Действие
1.
Используйте эти шаги, если вы не выполнили решения на этапе диагностики.
2.
Проблема 2.1 - Политика аутентификации не привязана к системному глобальному объекту:
• Перейдите в раздел Система> Аутентификация> Основные политики> LDAP, если еще нет.
• Щелкните Глобальные привязки .
• Щелкните « Щелкните для выбора» в разделе « Выбор политики» .
• Выберите auth_ldap_policy и нажмите Выбрать .
• Щелкните « Привязать» .
https://translate.googleusercontent.com/translate_f
142/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Щелкните Готово .
3.
Проблема 2.2 - Политика аутентификации неправильно настроена с неверными учетными данными для учетной записи BindDN:
• Перейдите в раздел Система> Аутентификация> Основные политики> LDAP .
• Щелкните вкладку Серверы .
• Выберите auth_ldap_srv и нажмите « Изменить» .
• Убедитесь, что администратором Bind DN является trainaduser@workspacelab.com .
Измените пароль Bind DN:
• Проверьте пароль BindDN .
• Введите Password1 в поле пароля администратора и подтвердите пароль администратора.
поля.
Щелкните ОК .
Учетные данные обновляются:
Имя пользователя: trainADUser@workspacelab.com
Пароль: Пароль1
4.
Сохраните конфигурацию Citrix ADC и подтвердите.
Устранение неполадок, сценарий 3
Обнаружена следующая проблема, и вас попросили указать причину и
устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к
разрешение.
Выпуск 3:
• Пользователи больше не могут получить доступ к ресурсам на http://172.21.10.101 (lb_vsrv_rbg) или
https://172.21.10.101 (ssl_vsrv_rbg).
Для диагностики:
Шаг
Действие
188
Стр. Решебника 189
CNS-218-3I Citrix ADC 12.x Essentials
1.
Воспроизвести выпуск:
• Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php.
• Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php.
В этом упражнении вы устраняете неполадки только lb_vsrv_rbg и ssl_vsrv_rbg.
2.
Что нужно проверить:
• Включена ли функция балансировки нагрузки?
• Службы ВВЕРХ или ВНИЗ?
• Связанные виртуальные серверы балансировки нагрузки ВВЕРХ или ВНИЗ?
Что нужно иметь в виду:
• Что требуется для отображения услуги ВВЕРХ или ВНИЗ?
• Если HTTP - UP, а SSL - DOWN, каковы различные зависимости в
конфигурация?
Продолжайте, чтобы получить точные инструкции по устранению неполадок.
3.
Определите состояние функции:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
Балансировка нагрузки включена или отключена? _________________________
Включена или отключена разгрузка SSL? ___________________________
4.
Если вы внесли изменения, решило ли это проблему:
• Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php.
• Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php.
Этот тест прошел успешно или не прошел?
https://translate.googleusercontent.com/translate_f
143/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
189
Стр. Решебника 190
CNS-218-3I Citrix ADC 12.x Essentials
5.
Просмотрите конфигурации виртуального сервера с балансировкой нагрузки:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Какие виртуальные серверы балансировки нагрузки находятся в состоянии ВВЕРХ или ВНИЗ?
Службы или группы служб ВВЕРХ или ВНИЗ?
• Перейдите к Управление трафиком> Балансировка нагрузки> Службы .
• Находятся ли службы или группы служб в автономном режиме?
Просмотр сведений о виртуальном сервере для lb_vsrv_rbg:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg и нажмите « Изменить» .
• Связаны ли услуги или группы услуг?
Просмотр сведений о виртуальном сервере для ssl_vsrv_rbg:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg и нажмите « Изменить» .
• Связаны ли услуги или группы услуг?
• Доступен ли сертификат SSL? ___________________________________
• Привязан ли сертификат SSL? ____________________________________
6.
Приступите к устранению выявленных проблем.
7.
Разрешение теста:
• Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php.
• Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php.
Проверьте следующее:
• Оба URL-адреса доступны.
• В конце отображается фактическая балансировка нагрузки (красный / синий / зеленый).
Решить:
Шаг
1.
Действие
Включить функцию LB:
• Перейдите в раздел Система> Настройки .
• Щелкните « Настроить основные функции» .
• Выберите « Балансировка нагрузки» и нажмите « ОК» .
2.
Привязать сервисы к lb_vsrv_rbg:
• Перейдите в Управление трафиком> Балансировка нагрузки> Виртуальные серверы .
• Выберите lb_vsrv_rbg и нажмите « Изменить» .
• Щелкните " Нет привязки службы виртуального сервера балансировки нагрузки" в разделе " Службы и службы".
Группы .
• Щелкните « Щелкните для выбора» в разделе « Выбор службы» .
• Выберите svc_red , svc_blue и svc_green и нажмите « Выбрать» .
• Щелкните « Привязать» .
• Щелкните Готово .
https://translate.googleusercontent.com/translate_f
144/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
190
Стр. Решебника 191
CNS-218-3I Citrix ADC 12.x Essentials
3.
Привязать SSL-сертификат к ssl_vsrv_rbg:
• Выберите ssl_vsrv_rbg и нажмите Edit .
• Щелкните Нет сертификата сервера в разделе Сертификаты.
• Щелкните « Щелкните для выбора» в разделе « Выбор сертификата сервера» .
• Выберите colors.workspacelab.com и нажмите Выбрать .
• Щелкните « Привязать» .
• Щелкните Готово .
4.
Сохраните конфигурацию Citrix ADC и подтвердите.
191
Стр. Решебника 192
CNS-218-3I Citrix ADC 12.x Essentials
Восстановить конфигурацию
Используйте следующую процедуру для восстановления конфигурации Citrix ADC до конфигурации
перед упражнением по поиску и устранению неисправностей или к альтернативным конфигурациям в соответствии с инструкциями
инструктор.
Шаг
1.
Действие
Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY).
https://translate.googleusercontent.com/translate_f
145/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Из интерфейса командной строки выполните следующую команду (в соответствии с инструкциями инструктора).
Восстановить конфигурацию после лабораторной работы:
• Fix1 - для восстановления из предыдущей конфигурации (ns.conf.student.good).
batch -filename /var/labstuff/troubleshoot/fix1.txt
• Fix2 - для восстановления до конца части 1, дня 3 (part1final.ns.conf)
batch -filename /var/labstuff/troubleshoot/fix2.txt
Устройство перезагрузится после выполнения сценария.
Если вы не уверены, какую точку восстановления использовать, используйте сценарий Fix2.txt для восстановления до конца части 1 - День.
3.
3.
Подождите, пока NYC-ADC-001 перезапустится.
Прежде чем продолжить, убедитесь, что Citrix ADC по-прежнему является основным членом пары высокой доступности. Ты можешь
необходимо подождать минуту или две после перезапуска, чтобы NYC-ADC-001 стал основным.
Просмотрите статус HA, чтобы подтвердить:
показать узел ha
4.
Используйте диспетчер Hyper-V для запуска NYC-ADC-002:
• Откройте диспетчер Hyper-V .
• На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите Пуск .
Подождите, пока запустится NYC-ADC-002.
5.
NYC-ADC-001 (Первичный) Принудительная синхронизация с NYC-ADC-002 (StaySecondary):
принудительная синхронизация
Дождитесь завершения синхронизации высокой доступности:
показать узел
6.
NYC-ADC-001 (первичный) - Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
192
Стр. Решебника 193
CNS-218-3I Citrix ADC 12.x Essentials
7.
Подключитесь к NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
8.
NYC-ADC-002 (StaySecondary): Staysecondary) Отключите опцию StaySecondary на NYC-ADC-002 и вернитесь к обычному участию в HA:
установить ha node -hastatus enabled
Ключевые выводы:
• Чтобы устранить неполадки Citrix ADC, начните с определения проблемы и воспроизведения ее, когда
возможный. Проверьте требования к конфигурации для данной функции. Всегда начинай с
проверка того, что функции лицензированы и правильно включены. Затем разбейте
требования к конфигурации для данной функции и убедитесь, что все требования выполнены.
o Для виртуальных серверов - работают ли сервисы, связаны ли сервисы и являются ли виртуальные серверы
настроен с правильными настройками?
o Для функций на основе политик - привязаны ли политики к правильной точке привязки и
происходят нарушения политики?
o Для сетевых проблем - что требуется для пропускания трафика по сети? Проверьте
интерфейсы, маршруты, vlan и проверьте базовое сетевое подключение перед переходом на
более сложные вопросы по устранению неполадок.
https://translate.googleusercontent.com/translate_f
146/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
• Syslog и Nslog могут помочь в устранении неполадок. Другие журналы и утилиты, такие как
aaad.debug и nstrace, могут предоставить дополнительную информацию об устранении неполадок.
• Иногда интерфейс командной строки предоставляет больше информации об устранении неполадок, чем
GUI.
193
Стр. Решебника 194
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 8-1: Просмотр журналов и сетевых трассировок Citrix ADC (CLI)
Введение:
В этом упражнении вы научитесь собирать журнал и информацию об устранении неполадок. Вы будете использовать
интерфейс командной строки для выполнения этого упражнения.
В этом упражнении вы будете выполнять следующие задачи:
• Просмотрите файл системного журнала (/var/log/ns.log) и его события.
• Просмотрите файл nslog (/ var / nslog / newnslog) и просмотрите продолжительность файла журнала, события и
консольные сообщения.
• Создайте сетевую трассировку с помощью консоли nstrace в графическом пользовательском интерфейсе Citrix ADC.
Просмотреть системный журнал (/var/log/ns.log)
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Просмотрите сообщения аудита в CLI:
показать сообщения аудита
показать сообщения аудита -numOfMesgs 25
Отображает самые последние сообщения аудита из журнала аудита (файл системного журнала). Возвращает, самое большее,
последние 256 событий.
3.
Просмотреть последние файлы системного журнала:
оболочка
cd / var / log /
ls
Текущий файл системного журнала называется ns.log.
Архивные файлы журналов называются ns.log.0.gz-ns.log.25.gz.
https://translate.googleusercontent.com/translate_f
147/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
194
Стр. Решебника 195
CNS-218-3I Citrix ADC 12.x Essentials
4.
Просмотр событий системного журнала Просмотреть текущий системный журнал:
подробнее /var/log/ns.log
Поиск событий или сообщений в системном журнале с помощью grep:
подробнее /var/log/ns.log | grep svc_red -i
подробнее /var/log/ns.log | ошибка grep -i
Используйте grep для исключения событий или сообщений с параметром -v:
подробнее /var/log/ns.log | grep CMD_EXECUTED -v
5.
Просмотр последних событий из текущего файла системного журнала Показать последние 10 записей в текущем файле системного журнала:
хвост /var/log/ns.log
Отображение недавних событий журнала, содержащих фразу «ошибка»:
хвост /var/log/ns.log | ошибка grep -i
Отображать события по мере их возникновения, сохраняя ns.log как дескриптор открытого файла:
хвост -f /var/log/ns.log
6.
Просмотр событий из архивных файлов системного журнала Определите недавний архив системного журнала: ns.log. ##. Gz:
ls -l ns.log *
Просмотрите содержимое файла журнала, не извлекая его предварительно:
zcat /var/log/ns.log.##.gz | Больше
Если файл уже был извлечен (без расширения .gz), обычно используйте more / tail / grep:
подробнее /var/log/ns.log.##
7.
Просмотр системного журнала в графическом интерфейсе:
• Последние сообщения системного журнала: Система> Аудит . Щелкните Последние сообщения аудита .
• Полные файлы системного журнала: Система> Аудит . Щелкните Сообщения системного журнала .
195
Стр. Решебника 196
CNS-218-3I Citrix ADC 12.x Essentials
Просмотр Nslog (/ var / nslog / newnslog) (CLI / GUI)
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
https://translate.googleusercontent.com/translate_f
148/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Имя пользователя: nsroot
Пароль: nsroot
2.
Просмотрите файлы nslog в Citrix ADC:
оболочка
cd / var / nslog /
ls
Текущий nslog - это newnslog .
Архивные файлы nslog - это newnslog.0.gz-newnslog.99.gz.
3.
Просмотрите текущий или архивный файл nslog и определите:
• Продолжительность файла журнала (время начала / окончания)
• События
• Консольные сообщения
Примечание : nsconmsg чувствителен к регистру.
•
-K (большой) обозначает входной файл
• -k (маленький) обозначает поле вывода; вы обычно не используете это при просмотре журнала.
Просмотрите текущую продолжительность файла журнала и определите:
nsconmsg -K / var / nslog / newnslog -d setime
Просмотр событий:
nsconmsg -K / var / nslog / newnslog -d событие
Просмотр сообщений консоли:
nsconmsg -K / var / nslog / newnslog -d consmsg
4.
Просмотреть Nslog в графическом интерфейсе:
• Перейдите в раздел Система> Диагностика .
В разделе «Управление журналами» графический интерфейс содержит ярлыки для большинства часто используемых nsconmsg.
команды. Эти команды могут быть выполнены для текущего файла nslog или архива:
• Просмотр продолжительности файла журнала
• Просмотр событий
• Просмотр сообщений консоли
• Просмотр событий за определенное время
• Обрезать файлы журнала
В разделе «Данные для устранения неполадок» дополнительные команды nslog обеспечивают доступ к:
• Использование памяти
• Просмотр dmesg.boot
196
Стр. Решебника 197
CNS-218-3I Citrix ADC 12.x Essentials
Создание сетевой трассировки с помощью nstrace (CLI)
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Убедитесь, что вы находитесь в Citrix ADC CLI (вместо SHELL).
3.
Просмотреть синтаксис для nstrace Показать основную справку:
помогите начать nstrace
Показать главную страницу полностью:
человек начинает гонку
Примечание . Использование ручной команды nstrace не рекомендуется в NetScaler 11.0. Запустите nstrace и
Вместо этого следует использовать Stop nstrace.
4.
Начните трассировку со следующими критериями • Размер 0 (полный пакет независимо от размера).
• Захватить трассировку в форме PCAP.
• Отслеживайте трафик, исходящий с рабочего стола HOST.
• Отслеживать весь одноранговый трафик (-ссылка):
https://translate.googleusercontent.com/translate_f
149/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
запустить nstrace -size 0 -traceformat pcap фильтр "connection.ip.eq (192.168.10.254) && connection.ip.eq (172.21.10.101)" -ссылка
включен
Эта команда генерирует трассировку только для трафика между рабочим столом HOST и RBG VIP;
это исключит все коммуникации управления, поскольку мы используем SSH и графический интерфейс.
подключения с рабочего стола HOST к адресам NSIP / SNIP. Ссылка включена опция
гарантирует, что весь внутренний трафик, связанный с потоком запросов и ответов, также будет
захвачен.
Примечание о синтаксисе: в интерфейсе командной строки составной оператор может быть рядом с выражениями как
указан или указан как <пробел> && <пробел>. Оба формата действительны. В графическом интерфейсе это выражение должно быть
рядом без пробела между оператором в диалоговом окне nstrace.
5.
Генерация тестового трафика • Откройте веб-браузер и перейдите по адресу http://172.21.10.101/home.php.
• Обновите страницу несколько раз.
• Откройте веб-браузер и перейдите по адресу http://172.21.10.105/.
6.
Вернитесь к Citrix ADC CLI (Putty) и остановите трассировку:
остановить гонку
197
Стр. Решебника 198
CNS-218-3I Citrix ADC 12.x Essentials
7.
Используйте WinSCP для загрузки трассировки:
• Откройте WinSCP и подключитесь к ADCMGMT SNIP (192.168.10.103).
• Если вы получили предупреждение от WinSCP о необходимости добавления ключа хоста в кэш, нажмите Да, чтобы
Продолжать.
• На правой панели перейдите к / var / nstrace / .
• Трасса создается в папке, названной по дате / времени.
• На левой панели перейдите к C: \ resources \.
• Скопируйте соответствующий nstrace (обычно: nstrace1.pcap) с правой панели в папку
Каталог C: \ resources \ на левой панели.
• Закройте WinSCP .
8.
На рабочем столе HOST перейдите в папку C: \ resources \. Дважды щелкните файл .pcap, чтобы открыть его в Wireshark.
9.
В трассировке найдите следующее:
• Найдите первую ссылку на запрос Get /home.php .
Определите исходный IP-адрес как рабочий стол HOST (192.168.10.254).
Определите IP-адрес назначения как VIP (172.21.10.101).
• Затем используйте трассировку, чтобы определить, какой SNIP Citrix ADC использовал для отправки трафика на
внутренние серверы и какой сервер (красный, синий или зеленый) ответил объектом.
Ключевые выводы:
• Детали Nslog и Syslog доступны как в графическом интерфейсе, так и в интерфейсе командной строки.
• Syslog - это журнал аудита для Citrix ADC, содержащий все изменения конфигурации, внесенные в
прибор. Другие конкретные события регистрируются функциями и подсистемами Citrix.
АЦП, что означает, что он может быть полезен для устранения неполадок.
• Nslog содержит всю статистику, метрики и счетчики отладки на Citrix ADC в
дополнение к событиям и консольному сообщению.
• Статистическую и метрическую информацию можно получить из nslog или с помощью статистики.
в интерфейсе командной строки, команды статистики в графическом интерфейсе или в представлении панели мониторинга в
GUI.
• Nslog также содержит полезную информацию об устранении неполадок, такую как события, консоль
сообщения, продолжительность файла журнала, вывод dmesg и использование памяти. Все эти счетчики могут
можно получить вручную через интерфейс командной строки или с помощью встроенных ярлыков в графическом интерфейсе. Графи
- предпочтительный метод получения этой информации для повседневных операций.
• Nstrace - это встроенная утилита трассировки Citrix ADC. Его можно запустить из интерфейса командной строки или графического инте
может легко использоваться для захвата сетевой трассировки с необходимыми параметрами для подмножества
интересующий трафик с использованием параметров выражения и ссылки.
https://translate.googleusercontent.com/translate_f
150/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение
8-2: Настройка внешнего системного журнала и политик аудита
(CLI)
198
Стр. Решебника 199
CNS-218-3I Citrix ADC 12.x Essentials
Введение:
В этом упражнении вы научитесь настраивать политики аудита для включения внешнего ведения журнала локальных
syslog на внешний сервер syslog. Вы будете использовать интерфейс командной строки для выполнения этого
упражнение.
Политики аудита будут настроены таким образом, чтобы Citrix ADC продолжал регистрировать все события в
локальный файл системного журнала в /var/log/ns.log. Запись на внешний сервер системного журнала осуществляется в дополнение к локальн
logging, а не вместо.
В этом упражнении политика аудита будет привязана к глобальному системному объекту, чтобы весь системный журнал
события регистрируются на внешнем сервере. Политики аудита могут быть привязаны к конкретным виртуальным
серверов, групп AAA или пользователей AAA для сбора данных системного журнала, относящихся только к этим объектам.
Kiwi Syslog Daemon, запущенный на рабочем столе HOST, будет действовать как внешний сервер Syslog.
В этом упражнении вы будете выполнять следующие задачи:
• Настройте Kiwi Syslog Daemon для получения сообщений Syslog.
• Настройте политики внешнего аудита для системного журнала.
• Просмотр сообщения аудита на удаленном сервере (Kiwi).
Настройте Kiwi Syslog Daemon для получения Syslog
Шаг
1.
Действие
Запустить Kiwi Syslog Daemon • Дважды щелкните ярлык Kiwi Syslog Daemon на рабочем столе.
• Или запустите C: \ Program Files \ Syslogd \ Syslogd.exe .
2.
Настройте Kiwi для получения сообщений системного журнала (UDP 514) • Щелкните Файл и выберите Настройка .
• Разверните « Входы» и выберите « UDP» .
• Убедитесь, что выбран параметр « Слушать системный журнал UDP» и что для порта UDP установлено значение 514 .
• Оставьте для всех остальных настроек значения по умолчанию.
• Щелкните ОК .
Настройка политик внешнего аудита для системного журнала
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
199
Стр. Решебника 200
CNS-218-3I Citrix ADC 12.x Essentials
2.
Настройте сервер системного журнала (действие политики), чтобы включить внешний аудит для диспетчера системного журнала на
Рабочий стол HOST (Kiwi Syslog Daemon). IP-адрес рабочего стола HOST: 192.168.10.254.
добавить контрольный syslogAction ext_kiwi 192.168.10.254 -serverPort 514 -logLevel EMERGENCY ALERT
https://translate.googleusercontent.com/translate_f
151/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
ПРЕДУПРЕЖДЕНИЕ О КРИТИЧНОЙ ОШИБКЕ УВЕДОМЛЕНИЕ ИНФОРМАЦИОННОЕ -dateFormat MMDDYYYY -logFacility
LOCAL0 -tcp NONE -acl DISABLED -timeZone GMT_TIME -userDefinedAuditlog NO appflowExport ОТКЛЮЧЕН -lsn ОТКЛЮЧЕН -alg ОТКЛЮЧЕН -transport UDP -dns ОТКЛЮЧЕН
3.
Создайте политику системного журнала для входа на конкретный сервер системного журнала (действие политики):
добавить аудит syslogPolicy ext_kiwi_policy ns_true ext_kiwi
4.
Привяжите политику системного журнала к глобальному системному объекту, чтобы включить ведение журнала аудита на внешний сервер:
привязать глобальную систему ext_kiwi_policy -priority 10
5.
Изменения в конфигурации будут проверяться и сообщаться Kiwi Отключить службу svc_red:
отключить службу svc_red
Включите службу svc_red:
включить службу svc_red
6.
Сохраните конфигурацию Citrix ADC.
сохранить конфигурацию ns
7.
Убедитесь, что сообщения аудита отображаются в Kiwi Syslog Daemon. Сообщения будут включать:
• Сообщения CMD EXECUTED, которые проверяют изменения конфигурации, сделанные с помощью GUI или CLI.
• сообщения СОБЫТИЯ, относящиеся к сервису, поднимающемуся вверх и вниз, мониторы возвращаются к
состояние и события сохранения конфигурации.
8.
Отмените привязку политики системного журнала, чтобы отключить ведение журнала аудита на сервере Kiwi:
отвязать глобальную систему ext_kiwi_policy
Это предотвращает отправку сообщений аудита системного журнала из Citrix ADC в Syslog Manager, поэтому
ту же утилиту можно использовать для оповещения SNMP в следующем упражнении.
9.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
Ключевые выводы:
• Политики аудита позволяют отправлять данные syslog и nslog на внешний сервер. Обычно это
сделано для ведения журналов в течение более длительных периодов хранения, чем позволяет Citrix ADC, или
защитить журналы аудита от потери в случае сбоя устройства. Системный журнал Citrix ADC
в стандартном формате системного журнала и может быть отправлен на любой сервер системного журнала.
200
Стр. Решебника 201
CNS-218-3I Citrix ADC 12.x Essentials
• Политики аудита следуют тому же каскаду политик, что и политики аутентификации. Если многократный аудит
политики связаны, тогда ведение журнала может происходить в нескольких местах назначения.
• При привязке политик аудита к глобальному системному объекту удаленный журнал будет содержать все
та же информация, что и в локальном системном журнале Citrix ADC. Хотя политики аудита также могут быть
привязаны к виртуальному серверу, группам AAA и пользователям AAA, политика привязки к глобальному
системный объект - единственный способ фиксировать все события в Citrix ADC и все проверенные
изменения конфигурации, сделанные пользователями системы.
Упражнение 8-3: Настройка SNMP (CLI)
Введение:
В этом упражнении вы научитесь настраивать интеграцию SNMP в Citrix ADC, чтобы разрешить оба
Опрос и оповещение по протоколу SNMP. Это упражнение настроит строки сообщества SNMP, SNMP
менеджеры, назначения ловушек SNMP и предупреждения SNMP. Kiwi Syslog Daemon, работающий на HOST
рабочий стол будет местом назначения ловушек SNMP для этого сценария. Вы будете использовать командную строку
интерфейс для выполнения этого упражнения.
https://translate.googleusercontent.com/translate_f
152/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
В этом упражнении вы будете выполнять следующие задачи:
• Настройте Kiwi Syslog Daemon для получения предупреждений SNMP.
• Настройте параметры SNMP.
• Просмотр предупреждений SNMP на удаленном сервере (Kiwi).
Настройте Kiwi Syslog Daemon для получения предупреждений SNMP
Шаг
1.
Действие
Отключить системный журнал в Kiwi:
• Щелкните Файл и выберите Настройка .
• Разверните « Входы» и выберите « UDP» .
• Снимите флажок « Прослушивать системный журнал UDP» .
2.
Включите ловушки SNMP в Kiwi:
• Разверните « Входы» и выберите « SNMP» .
• Выберите « Слушать ловушки SNMP» и убедитесь, что в поле « Порт UDP» отображается 162 .
• Щелкните ОК .
3.
Четкое отображение в киви:
• Щелкните « Просмотр»> «Очистить отображение».
Настроить параметры SNMP
201
Стр. Решебника 202
CNS-218-3I Citrix ADC 12.x Essentials
Шаг
1.
Действие
Подключитесь к паре Citrix ADC HA с помощью ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
2.
Настройте диспетчер SNMP, используя IP-адрес рабочего стола HOST (192.168.10.254):
добавить диспетчер snmp 192.168.10.254
3.
Настройте сообщество SNMP со ВСЕМИ разрешениями:
добавить сообщество snmp ctxtrainsnmp ВСЕ
4.
Настройте рабочий стол HOST (192.168.10.254) как общую и конкретную ловушку SNMPv2
место назначения.
Настройте конкретное место назначения ловушки:
добавить snmp trap specific 192.168.10.254 -version v2
-communityName ctxtrainsnmp
Настройте общее назначение прерывания:
добавить snmp trap generic 192.168.10.254 -version v2
-communityName ctxtrainsnmp
5.
Настройте сигнал тревоги SNMP типа CONFIG-SAVE, который будет генерировать предупреждение при каждом сохранении конфигурации.
событие.
установить сигнал тревоги snmp CONFIG-SAVE -state ENABLED
6.
Настройте сигнал тревоги SNMP типа CPU-USAGE, который будет генерировать предупреждение при использовании CPU.
превышает определенный порог. Этот сигнал тревоги имеет как высокий порог оповещения, так и возврат к нормальному состоянию.
порог:
установить тревогу snmp CPU-USAGE -thresholdValue 85 -normalValue 80 -severity Major
- ведение журнала включено - состояние включено
7.
Просмотр дополнительных доступных сигналов тревоги SNMP:
показать сигнал тревоги snmp
Просмотр предупреждений SNMP на удаленном сервере (в Kiwi)
Шаг
https://translate.googleusercontent.com/translate_f
Действие
153/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
202
Стр. Решебника 203
CNS-218-3I Citrix ADC 12.x Essentials
1.
Создание предупреждений SNMP на Citrix ADC для отправки в Kiwi Syslog Daemon.
Вернитесь к Citrix ADC и сгенерируйте ловушки SNMP • Отключить службу svc_red: ENTITY_STATE alarm:
отключить службу svc_red
• Повторно включить службу svc_red: ENTITY_STATE alarm:
включить службу svc_red
• Сохраните конфигурацию Citrix ADC: сигнал тревоги CONFIG_SAVE:
сохранить конфигурацию ns
2.
Переключите Kiwi Syslog Daemon и просмотрите отображаемые ловушки SNMP.
3.
Закройте Kiwi Syslog Daemon.
4.
Просмотр статистики SNMP:
stat snmp
Ключевые выводы:
• Citrix ADC можно настроить для приема опроса SNMP и отправки предупреждений SNMP для
различные события по мере их возникновения. Это позволяет Citrix ADC сообщать о проблемах как часть
существующая инфраструктура управления SNMP.
• Если менеджеры SNMP не указаны, Citrix ADC ответит любому менеджеру, который
запрашивает информацию для опроса.
• Ответы SNMP по умолчанию включены для адресов NSIP, SNIP и VIP. SNMP может быть
отключены на отдельных адресах.
• Citrix ADC поддерживает оповещения SNMP v1, v2 и v3.
• При настройке места назначения прерывания Citrix ADC, если исходный IP-адрес пуст,
Используется NSIP. В противном случае можно выбрать конкретный СНИП.
• Citrix ADC поставляется с рядом включенных по умолчанию предупреждений SNMP. SNMP
предупреждения и пороговые значения предупреждений и другие параметры можно настроить по мере необходимости.
203
Стр. Решебника 204
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
154/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Упражнение 8-4: Устранение неполадок (CLI)
Введение:
В этом упражнении вы научитесь применять то, что узнали о Citrix ADC.
конфигурацию и устранение неполадок в другом файле конфигурации Citrix ADC. Вы будете использовать
интерфейс командной строки для выполнения этого упражнения.
Это упражнение включает в себя следующие задачи:
• Подготовьтесь к устранению неисправностей.
• Сценарий устранения неполадок 1. Невозможно подключиться к управляющему протоколу SNIP.
• Сценарий устранения неполадок 2. Невозможно получить доступ к Citrix ADC с учетной записью домена.
• Сценарий устранения неполадок 3. Пользователи не могут получить доступ к ресурсам.
• Восстановить конфигурацию.
Подготовьтесь к устранению неполадок
Шаг
1.
Действие
Подготовьтесь к лабораторной работе по устранению неполадок:
Выполните действия, описанные в этом разделе, чтобы подготовить пару HA к настройке устранения неполадок.
Чтобы упростить управление конфигурацией, NYC-ADC-002 будет отключен (при получении инструкции)
и будет использоваться только NYC-ADC-001.
2.
Подключитесь к NYC-ADC-001 и NYC-ADC-002, используя отдельные сеансы SSH (PuTTY), используя каждый
индивидуальный NSIP. Не используйте NSMGT SNIP (192.168.10.103) для этого упражнения, пока не получите инструкции.
• Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
• Подключитесь к Citrix NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY). Войти как
nsroot / nsroot.
3.
NYC-ADC-001 Прежде чем продолжить, сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
4.
NYC-ADC-002 Установите для узла HA значение StaySecondary:
установить узел ha -hastatus STAYSECONDARY
Сохраните локальную конфигурацию:
сохранить конфигурацию ns
204
Стр. Решебника 205
CNS-218-3I Citrix ADC 12.x Essentials
5.
Используйте Hyper-V Manager, чтобы выключить NYC-ADC-002:
• Откройте диспетчер Hyper-V.
• На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите « Завершение работы» .
6.
Вернитесь к сеансу SSH (Putty) для NYC-ADC-001 для выполнения оставшейся части упражнения, пока
проинструктирован.
7.
Подготовьте NYC-ADC-001 для лабораторной диагностики.
Сохраните конфигурацию Citrix ADC:
сохранить конфигурацию ns
8.
Запустите сценарий Break, чтобы начать лабораторную работу по устранению неполадок:
batch -filename /var/labstuff/troubleshoot/break.txt
Citrix ADC должен перезапуститься автоматически.
Примечание . После перезапуска появится файл /nsconfig/ts_status.txt, содержащий его содержимое.
"перемена".
Сценарий устранения неполадок 1
https://translate.googleusercontent.com/translate_f
155/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Среда представляет следующую проблему, и вас попросили определить причину.
и исправьте проблему. Попытайтесь определить проблему, прежде чем переходить к ее решению.
Выпуск 1:
• Соединения с ADCMGMT SNIP на 192.168.10.103 не работают для графического интерфейса пользователя и SSH.
Администраторы тестируют с помощью nsroot.
Прежде чем вы начнете:
• Какие возможные причины проблемы описаны?
• Какие требования должны быть соблюдены, чтобы управляющие связи были успешными
СНИП?
Чтобы диагностировать проблему для сценария 1:
Шаг
1.
Действие
Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Мы назовем это вашим nsroot@192.168.10.101
205
Стр. Решебника 206
CNS-218-3I Citrix ADC 12.x Essentials
2.
Попытайтесь подключиться к ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Попытка удалась или не удалась: ______________________?
3.
В командной строке CMD на рабочем столе HOST:
• Можете ли вы пинговать 192.168.10.103?
4.
С nsroot@192.168.10.101 Есть СНиП (192.168.10.103):
• Включено?
• Настроен как СНИП?
• Правильная маска подсети?
• Включен ли режим USNIP?
показать ns ip
показать ns ip 192.168.10.103
показать режим нс
5.
Какие ограничения на подключение и разрешения в SNIP?
показать ns ip 192.168.10.103
Или сравните фактическую команду конфигурации:
показать ns runningconfig | grep 192.168.10.103
Для чего нужны настройки:
Доступ к управлению
-
Ограничить доступ
Чтобы решить проблему для сценария 1:
Шаг
1.
Действие
Повторно включите доступ к управлению по SNIP 192.168.10.103:
установить ns ip 192.168.10.103 -mgmtAccess enabled
https://translate.googleusercontent.com/translate_f
156/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
2.
Попытайтесь подключиться к ADCMGMT SNIP (192.168.10.103) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Ожидаемый результат: соединение установлено.
3.
Закройте этот сеанс: nsroot@192.168.10.103
206
Стр. Решебника 207
CNS-218-3I Citrix ADC 12.x Essentials
Устранение неполадок, сценарий 2
Обнаружена следующая проблема, и вас попросили указать причину и
устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к
разрешение.
Выпуск 2:
• Подключения к ADCMGMT SNIP на 192.168.10.103 теперь работают для администраторов.
аутентификация с помощью локальных системных учетных записей, таких как nsroot, но пытается подключиться к любому
IP управления (NSIP или SNIP) с учетными записями домена (trainNSAdmin) не работает.
• Для этого сценария используйте ту же информацию учетной записи домена, которая использовалась в
Модуль 7: Защита Citrix ADC.
Прежде чем вы начнете:
• Каковы возможные причины описанной проблемы?
• Каковы требования для использования учетных записей домена для доступа к управляющему IP?
адреса на Citrix ADC?
• В этот сценарий включены несколько проблем. Таблица диагностики дает подробный
оценка аутентификации. Вы можете найти проблемы раньше, используя другие методы.
Чтобы диагностировать проблему для сценария 2:
Шаг
1.
Действие
Подключитесь к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
Мы назовем это вашим nsroot@192.168.10.101
Продолжайте этот сеанс, чтобы устранить неполадки и изменить детали конфигурации, когда исправление
идентифицированы.
207
Стр. Решебника 208
CNS-218-3I Citrix ADC 12.x Essentials
https://translate.googleusercontent.com/translate_f
157/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
2.
Воспроизведите проблему: попытайтесь подключиться к Citrix NYC-ADC-001 (192.168.10.101) с помощью SSH
(PuTTY).
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: trainNSAdmin
Пароль: Пароль1
Мы будем называть эту сессию trainNSAdmin@192.168.10.101
Примечание : этот сеанс не сможет подключиться, пока проблема не будет решена. Вам нужно будет попытаться начать
несколько раз во время тестирования.
3.
Определите, происходит ли внешняя аутентификация.
Есть несколько способов сделать это:
• Посмотрите на политики аутентификации в системе и определите, связаны ли они
уже и если происходят срабатывания политики.
• Или посмотрите, происходят ли внешние вызовы аутентификации, используя aaad.debug; это может быть
полезно, если вы не знаете, с чего начать.
4.
Диагностика с помощью aaad.debug На nsroot@192.168.10.101 просмотрите aaad.debug:
оболочка
cd / tmp
ls
кошка aaad.debug
Пока эта команда выполняется, перезапустите сеанс trainNSAdmin@192.168.10.101 (Putty). Если
предыдущее окно все еще открыто, щелкните правой кнопкой мыши строку меню и выберите перезапустить сеанс . Если нет, начните
новый сеанс на 192.168.10.101 и попробуйте войти в систему как trainNSAdmin / Password1.
Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события.
• Игнорировать события срабатывания таймера (для этого обсуждения).
• Если никаких событий не произошло, это означает, что внешняя система аутентификации не
вызван. Это, вероятно, указывает на то, что никакие политики внешней аутентификации не привязаны к
глобальный системный объект.
5.
На nsroot@192.168.10.101:
• Введите CTRL + C, чтобы остановить вывод «cat aaad.debug».
• Введите Exit, чтобы вернуться в интерфейс командной строки.
208
Стр. Решебника 209
CNS-218-3I Citrix ADC 12.x Essentials
6.
Диагностика, глядя на привязки политик и совпадения политик На nsroot@192.168.10.101 определите следующее:
• Присутствуют ли какие-либо политики аутентификации ldap?
• Настроены ли политики аутентификации ldap с правильным действием ldap (sever)?
• Является ли ожидаемая политика обязательной?
Определите, существуют ли политики и действия аутентификации:
показать аутентификацию ldapAction
показать аутентификацию ldapPolicy
Используйте имя политики, чтобы узнать, привязана ли она где-либо к Citrix ADC:
показать ns runningConfig | grep auth_ldap_policy
Возвращаются ли какие-либо команды связывания, ссылающиеся на эту политику? _______________
Альтернативные методы поиска политик, когда вы не знаете, что ищете:
показать ns runningConfig | grep ldap -i
https://translate.googleusercontent.com/translate_f
158/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
показать ns runningConfig | grep аутентификация -i
7.
Resolve (2.1) - привязать политику аутентификации к глобальному системному объекту:
привязать системную глобальную auth_ldap_policy -priority 10
Прежде чем продолжить устранение неполадок, эту проблему необходимо решить.
8.
Определите, устраняет ли это проблему На nsroot@192.168.10.101 просмотрите aaad.debug:
оболочка
cd / tmp
ls
кошка aaad.debug
Пока эта команда выполняется, перезапустите сеанс trainNSAdmin@192.168.10.101 (Putty). Если
предыдущее окно все еще открыто, щелкните правой кнопкой мыши строку меню и выберите перезапустить сеанс . Если нет, начните
новый сеанс на 192.168.10.101 и попробуйте войти в систему как trainNSAdmin / Password1.
Аутентификация прошла успешно или не прошла? __________________________________
Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события.
• Игнорировать события срабатывания таймера (для этого обсуждения).
• Обязательные события должны соблюдаться.
• Не выходите из этого сеанса, поскольку мы будем использовать этот вывод для дополнительного устранения неполадок.
9.
На nsroot@192.168.10.101:
• Введите CTRL + C, чтобы остановить вывод «cat aaad.debug».
• Не выходите, так как нам нужно посмотреть на вывод.
209
Стр. Решебника 210
CNS-218-3I Citrix ADC 12.x Essentials
10.
На этот раз вывод, сгенерированный при входе в систему, в файле aaad.debug, что означает внешний
политика проверки подлинности была предпринята. Либо пользователь вводит неверные учетные данные, либо политика
действие некорректно сконфигурировано. В общем, вывод aaad.debug может быть полезен в
идентифицируя следующее:
• Правильно ли направляется политика аутентификации?
• Подключается ли политика аутентификации к службе каталогов? Сбои событий BindDN
указать возможные проблемы с учетными данными в политике, которую использует Citrix ADC.
• Если привязка политики аутентификации оказалась успешной, выходные данные могут определить,
учетные данные пользователя недействительны или есть проблемы с извлечением группы.
Выходные данные журнала указывают на проблему с учетными данными учетной записи BindDN в действии политики.
(auth_ldap_srv):
Соответствующие строки:
ns ldap check result проверка результата LDAP. Ожидается… (LDAP_RES_BIND)
Ошибка действия LDAP: неверные учетные данные
11.
Просмотрите ldapAction:
показать аутентификацию ldapAction auth_ldap_srv
Убедитесь, что имя пользователя отображается правильно: trainaduser@workspacelab.com (имена пользователей не
деликатный случай).
На этом этапе предположите, что пароль неправильный, и измените действие.
12.
Разрешить учетную запись BINDDN:
https://translate.googleusercontent.com/translate_f
159/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
установить аутентификацию ldapAction auth_ldap_srv
-ldapBindDN trainaduser@workspacelab.com
-ldapBindDNPassword Password1
13.
Вернитесь на nsroot@192.168.10.101 и определите, произошли ли какие-либо события.
Аутентификация прошла успешно? ______________Есть ли у пользователя права администратора (сохранить конфигурацию)? _________________
14.
Проблема решена. Закройте сессию trainNSAdmin@192.168.10.101.
210
Стр. Решебника 211
CNS-218-3I Citrix ADC 12.x Essentials
Решить:
Шаг
Действие
1.
Используйте эти шаги, если вы не выполнили решения на этапе диагностики.
2.
Проблема 2.1 - Политика аутентификации не привязана к системному глобальному объекту:
привязать системную глобальную auth_ldap_policy
3.
Проблема 2.2 - неправильно настроена политика проверки подлинности с неверными учетными данными для учетной записи BindDN.
Исправьте действие аутентификации с исправленными учетными данными:
установить аутентификацию ldapAction auth_ldap_srv
-ldapBindDN trainaduser@workspacelab.com
-ldapBindDNPassword Password1
Имя пользователя: trainADUser @
Пароль: Пароль1
Устранение неполадок, сценарий 3
Обнаружена следующая проблема, и вас попросили указать причину и
устраните проблему или проблемы, влияющие на конфигурацию. Попытайтесь определить проблему, прежде чем переходить к
разрешение.
Выпуск 3:
• Пользователи больше не могут получить доступ к ресурсам на http://172.21.10.101 (lb_vsrv_rbg) или
https://172.21.10.101 (ssl_vsrv_rbg).
Для диагностики:
Шаг
1.
Действие
Воспроизвести выпуск:
• Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php.
• Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php.
2.
Что нужно проверить:
• Включена ли функция балансировки нагрузки?
• Службы ВВЕРХ или ВНИЗ?
• Связанные виртуальные серверы балансировки нагрузки ВВЕРХ или ВНИЗ?
Что нужно иметь в виду:
• Что требуется для отображения услуги ВВЕРХ или ВНИЗ?
• Если HTTP - UP, а SSL - DOWN, каковы различные зависимости в
конфигурация?
Продолжайте, чтобы получить точные инструкции по устранению неполадок.
211
https://translate.googleusercontent.com/translate_f
160/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Стр. Решебника 212
CNS-218-3I Citrix ADC 12.x Essentials
3.
Определите состояние функции:
показать нс особенность
Балансировка нагрузки включена или отключена? _________________________
4.
Просмотр конфигураций виртуального сервера с балансировкой нагрузки Показать все виртуальные серверы с балансировкой нагрузки:
показать lb vserver -summary
Все ли виртуальные серверы с балансировкой нагрузки ВВЕРХ или ВНИЗ? ___________
Показать детали виртуального сервера для lb_vsrv_rbg:
показать lb vserver lb_vsrv_rbg
Связаны ли услуги или группы услуг? ____________________________
Здоровы ли службы или члены группы обслуживания? ____________________
Показать детали виртуального сервера для ssl_vsrv_rbg:
показать lb vserver ssl_vsrv_rbg
Связаны ли услуги или группы услуг? _____________________________
Здоровы ли службы или члены группы обслуживания? _____________________
Для SSL привязан ли сертификат? ____________________________________
5.
Приступите к устранению выявленных проблем.
6.
Разрешение теста:
• Откройте веб-браузер и попытайтесь подключиться к http://172.21.10.101/home.php.
• Откройте веб-браузер и попытайтесь подключиться к https://172.21.10.101/home.php.
Проверьте следующее:
• Оба URL-адреса доступны.
• В конце отображается фактическая балансировка нагрузки (красный / синий / зеленый).
Решить:
Шаг
1.
Действие
Включить функцию LB:
включить функцию ns lb
2.
Привязать службу lb_vsrv_rbg:
привязать lb vserver lb_vsrv_rbg svc_red
привязать lb vserver lb_vsrv_rbg svc_blue
привязать lb vserver lb_vsrv_rbg svc_green
3.
Привязать SSL-сертификат к ssl_vsrv_rbg:
привязать ssl vserver ssl_vsrv_rbg -certkeyname colors.workspacelab.com
212
Стр. Решебника 213
CNS-218-3I Citrix ADC 12.x Essentials
Восстановить конфигурацию
Используйте следующую процедуру для восстановления конфигурации Citrix ADC до конфигурации
перед упражнением по поиску и устранению неисправностей или к альтернативным конфигурациям в соответствии с инструкциями
инструктор.
Шаг
1.
Действие
Подключитесь к NYC-ADC-001 (192.168.10.101) с помощью SSH (PuTTY).
Войдите в утилиту, используя следующие учетные данные:
https://translate.googleusercontent.com/translate_f
161/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
Имя пользователя: nsroot
Пароль: nsroot
2.
Из интерфейса командной строки выполните следующую команду (в соответствии с инструкциями инструктора):
Восстановить конфигурацию после лабораторной работы:
• Fix1 - для восстановления из предыдущей конфигурации (ns.conf.student.good):
batch -filename /var/labstuff/troubleshoot/fix1.txt
• Fix2 - для восстановления до конца части 1, дня 3 (part1final.ns.conf):
batch -filename /var/labstuff/troubleshoot/fix2.txt
Подтвердите перезагрузку при появлении запроса.
Если вы не уверены, какую точку восстановления использовать, используйте сценарий Fix2.txt для восстановления до конца части 1 - День.
3.
3.
Подождите, пока NYC-ADC-001 перезапустится.
Прежде чем продолжить, убедитесь, что Citrix ADC по-прежнему является основным членом пары высокой доступности. Ты можешь
необходимо подождать минуту или две после перезапуска, чтобы NYC-ADC-001 стал основным.
Просмотрите статус HA, чтобы подтвердить:
показать узел ha
4.
Используйте Hyper-V Manager для запуска NYC-ADC-002:
• Откройте диспетчер Hyper-V.
• На левой панели щелкните правой кнопкой мыши NYC-ADC-002 и выберите Пуск .
Подождите, пока запустится NYC-ADC-002.
213
Стр. Решебника 214
CNS-218-3I Citrix ADC 12.x Essentials
5.
NYC-ADC-001 (Первичный) Принудительная синхронизация с NYC-ADC-002 (StaySecondary):
принудительная синхронизация
Дождитесь завершения синхронизации высокой доступности:
показать узел ha
6.
NYC-ADC-001 (Первичный) Сохраните конфигурацию Citrix ADC:
7.
Подключитесь к NYC-ADC-002 (192.168.10.102) с помощью SSH (PuTTY).
сохранить конфигурацию ns
Войдите в утилиту, используя следующие учетные данные:
Имя пользователя: nsroot
Пароль: nsroot
8.
NYC-ADC-002 (StaySecondary): Staysecondary) Отключите опцию StaySecondary на NYC-ADC-002 и вернитесь к обычному участию в HA:
установить ha node -hastatus enabled
• Чтобы устранить неполадки Citrix ADC, начните с определения проблемы и воспроизведения ее, когда
возможный. Проверьте требования к конфигурации для данной функции. Всегда начинай с
проверка того, что функции лицензированы и правильно включены. Затем разбейте
требования к конфигурации для данной функции и убедитесь, что все требования
встретились.
o Для виртуальных серверов: работают ли службы? Связаны ли услуги? И виртуальные серверы
настроен с правильными настройками?
o Для функций на основе политик: привязаны ли политики к правильной точке привязки и
происходят нарушения политики?
https://translate.googleusercontent.com/translate_f
162/163
09.11.2020
CNS-218-3I Citrix ADC 12.x Essentials
o Для сетевых проблем: что требуется для передачи трафика в сети? Проверьте
интерфейсы, маршруты, vlan и проверьте базовое сетевое подключение перед переходом на
более сложные вопросы по устранению неполадок.
• Syslog и Nslog могут помочь в устранении неполадок. Другие журналы и утилиты, такие как
aaad.debug и nstrace, могут предоставить дополнительную информацию об устранении неполадок.
• Иногда интерфейс командной строки предоставляет больше информации об устранении неполадок, чем
GUI.
214
https://translate.googleusercontent.com/translate_f
163/163
Download