Citrix NetScaler许可及部署场景

laoyu

转自微信公众好号“思杰之路”
1.2 Licensing

当我们要设置或部署NetScaler，我们需要获得我们想要使用的功能的许可证。这里要注意的重要一点是，NetScaler有三种类型的许可证：

• 平台许可证：此许可证用于NetScaler的特性和定义的带宽。
• 通用许可证：此许可证用于NetScaler的网关功能，如SSL VPN，CVPN，SmartAccess功能，以及端点分析。
• 功能许可证：此许可证用于功能，如集群，缓存等等。
  
  

在这里http://www.mycitrix.com/进行许可分配和下载。在这里，我们需要输入我们的硬件的信息，以便许可可以绑定到设备。前提是，你需要有一个有效的思杰账户可以访问许可证。

如果你想从http://www.mycitrix.com/下载NetScaler平台许可，您需要在该网站上的主机ID字段中输入设备上的第一NIC的MAC地址。

注意：如果你正在部署NetScalerVPX网关，并且你要下载平台许可证，或生成通用的许可证，这两个可以使用设备主机名而不使用MAC地址也可创建。

MAC地址可以使用设备的命令行工具CLI来查看,或者使用hypervisor来进行查看。在这一章我们将学习一些CLI命令。获取硬件信息CLI的设备,我们必须首先登录到NetScaler CLI系统,然后切换到FreeBSD通过键入shell并运行以下命令：

lmutil lmhostid

当使用虚拟机监控程序hypervisor,比如虚拟机管理器PowerShell,运行以下命令：

Get-VM | Where { $_Name -match    "VM" } | Get-SCNetworkAdapter | Select MACAddress

如果您正在使用VMware PowerCLI,我们可以使用一个类似的命令,如下所示,得到同样的结果:

Get-NetworkAdapter –VM NameofVM

这将给你一个主机ID / MAC地址，在mycitrix.com上输入以生成一个平台许可证。稍后我们将讨论怎么去安装许可证。

1.3 部署场景

NetScaler在部署时,有几件事情需要考虑,在这里列出:

• 用户和服务器之间如何进行网络布局?
• 考虑网络安全规划?
• 是否使用NAT或任何其他类型的防火墙配置允许流量?
• 需要交付给用户什么样的服务或应用程序？
  
  

逻辑上位于客户端和服务器之间的 NetScaler 可以以两种物理模式部署：内嵌和单臂。内嵌部署就是直连到核心交换机，单臂就是旁挂到交换机。

在正常的内嵌模式中，多个网络接口连接到不同的以太网段， NetScaler 放置在客户端和服务器之间。NetScaler 有一个单独的网络接口连接每个客户端网络，一个单独的网络接口连接每个服务器网络。在此配置中， NetScaler 和服务器可以存在于不同的子网中。这些服务器可以在公共网络中，客户端可以通过 NetScaler 直接访问服务器， NetScaler 透明地应用 L4-L7 功能。

下图说明了典型的内嵌部署。

在不太常见的单臂模式版本中， NetScaler 只有一个网络接口连接至以太网段。在此情况下，NetScaler 不隔离网络的客户端和服务器端，但是通过配置的虚拟服务器提供对应用的访问。此单臂模式版本可以简化在某些环境中安装 NetScaler 所需的网络更改。

下图说明了典型的单臂部署。

NetScaler可以直连式或旁挂式连接到核心交换机。旁挂式组网对比直连式组网，虽然会占用更多的交换机网口，但可扩展性更强。直连式组网中所有流量都要经过NetScaler，并且可扩展性较差。

以上，我们介绍了NetScaler不同的版本，功能和授权，现在我们继续进行初始设置。

1.1 创建一个NetScaler VPX

在设置VPX之前,我们需要确保我们在虚拟环境有以下资源:

2 GB RAM

2 vCPUs

20 GB 磁盘空间

1张虚拟网卡

注意NetScaler VPX最多支持8个虚拟网络接口,目前它支持WindowsServer 2008 R2 hyper - v和Windows Server 2012 hyper - v。它还支持XenServer6.0,6.1,6.2,VMware Vsphere从版本4.0到5.5。并且拥有定制的AWS NetScaler VPX版本。

从http://www.mycitrix.com/下载NetScaler之后,我们可以使用虚拟机管理器hyper - v通过选择导入虚拟机，浏览到NetScaler VPX的下载位置，选择VPX的虚拟机版本镜像镜像导入操作。设备导入后，我们需要去更改VPX网络适配器的MAC地址。并将MAC地址设置为静态。

这可以通过导航虚拟机-网络-高级功能，如以下截图所示：

   
                        

注意,这同样适用于VMware和XenServer。

我们改变静态的MAC地址完成后,就可以开始引导VPX虚拟设备。您可以使用命令行接口 (CLI) 或图形用户界面 (GUI) 访问和配置 NetScaler。所有 NetScaler 设备都随附默认 NSIP 地址 192.168.100.1 和默认子网掩码 255.255.0.0。使用 NSIP 地址可以访问NetScaler。您可以在初始配置期间分配新的 NSIP 和关联的子网掩码。可通过所有物理端口访问 NSIP。NetScaler 上的端口是主机端口，不是交换机端口。

在hyper – v中，需要打开虚拟机控制台连接到VPX设备的控制台。我们进入之后第一件事就是输入NetScaler IP地址(NSIP)，这是用于管理目的,然后配置一个子网掩码和一个默认网关。并按4保存设置。在这个步骤完成之后,我们可以通过NSIP使用HTTP地址访问控制台。默认的Web管理界面用户名和密码为nsroot和nsroot。同时选择类型为NetScaler ADC。

在使用Web界面之前，我们还需要确保我们拥有Java运行引擎（JRE）。可以从http://java.com/en/download/下载。另外，还要确保我们的客户端计算机或管理的计算机防火墙中打开TCP端口3010和TCP端口3008以便进行安全会话，因为NetScaler的Web界面会通过Java小程序使用这些端口来解析命令。所有在产品中使用的端口和功能，可以查看在http://support.citrix.com/servle ... _28th_June_2013.pdf列表。

注意：最新的版本中以不在需要Java运行引擎。纵观过去的几年中，有许多关于的NetScaler的GUI和使用Java的一些问题。如Java小程序不加载，那么你可以做：

• 保持我的计算机的控制面板下的Java设置的临时文件被禁用。
• 浏览器安全设置为低
• 在编辑站点列表中添加网站例外
  
  

当初始设置后第一次登录到Web控制台,会出现一个向导,允许我们输入和配置一些基本的信息,比如DNS、时区、和SNIP，及更改密码设置等。我们可以立即输入这些信息或着点击跳过按钮跳过向导。在本文档中，我将向您展示如何使用常规的GUI和CLI添加不同的配置而不是使用向导。这里要注意的一点是,初始设置向导弹出之前将会让您添加一个平台许可证，直到我们导入一个许可证为止。

你可以重新启动初始设置通过在CLI键入下面的命令:

Configns

注意：当改变NetScaler的配置时，配置并没有立即写入到运行的配置文件中。如果我们不保存配置,我们更改的设置都将在重启之后丢失。确保保存配置使用CLI命令保存配置,或通过单击save按钮(表示为磁盘驱动器图标)，,保存之后重启就会执行的更改配置。

现在，在NetScaler的管理GUI，我们介绍三个主要的窗格:

• 仪表板
• 配置
• 报告
  
  

NetScaler仪表板面板,如下截图所示:

仪表板

仪表盘板面板给我们展示NetScaler当前的状态，使用了多少CPU、使用多少内存以及多大的吞吐量等等。我们还可以查看正在使用的服务有多少活跃的会话，比如负载均衡Web服务或VPN连接等。

报告

在报告窗格中，我们可以基于不同的标准和条件运行不同的内置报告或创建我们自己的报告。其中有超过100个内置的报告供我们可以使用。例如，看看一天中有多少SSL连接在使用。我们也有一个链接的文档重定向到edoc Citrix,和下载面板中，我们可以下载SNMP MIB文件、Nitro SDK和其他一些文件如系统集成中心。

配置

配置面板是我们配置的NetScaler服务的窗格，我们大部分时间都将花在这儿。

现在,在部署一些基本特性之前,我们应该先配置一些NetScaler的基本信息。

• DNS：此功能进行名称解析。
• NTP：此功能进行时间同步。
• Syslog：这个特性允许进行中央日志记录,审核状态信息。
• SNMP：这个特性允许NetScaler将警报发送到指定SNMP服务器。
  
  

Syslog和SNMP功能在小规模部署中可能不需要，但在较大的部署中应评估，审计和监测对他们的意义。例如，NetScaler可以使用SNMP监控与系统中心运维系统集成。在http://msandbu.wordpress.com/201 ... tions-manager-2012/你可以阅读更多。

我们在进行配置的时候，第一件事就是设置一个DNS服务器以便进行名称解析。此设置可以通过导航Configuration | Traffic Management | DNS |Name Servers。在这里，点击添加，然后输入我们的DNS服务器的IP地址，其他设置保持默认值即可。我们添加了DNS服务器之后，NetScaler将监控DNS Server自动启动状态。同时确保在防火墙中打开DNS服务器的ICMP端口；NetScaler使用ICMP和UDP监控对DNS服务器可用状态进行监控。同时，为了增加冗余，您应该需要设置多个DNS服务器添加到列表中。添加了DNS服务器之后,您可以验证服务器的状态，回到Name Servers面板。

注意：DNS使用TCP只在需要进行区域传输的情况下，因此TCP不能用于常规名称解析。当然我们必须同时使用UDP和TCP；这用于启用了TCP的DNS系统。

在每个配置之后,我要附带上以命令的方式来执行相同的操作。添加一个DNS服务器使用CLI，我们可以使用下面的命令:

add dns nameServer IPaddress

接下来，就应该添加一个NTP服务器；这是因为日志记录，时间戳，证书，报告等重要的功能都依赖于时间服务。的配置可以通过导航到System | NTP Servers。在这里,单击Add并输入IP信息，并可选择使用身份验证。如果你没有一个NTP Server可用，您也可以使用一个公共的NTP Server。例如，您可以找到一个公共NTP服务器http://www.pool.ntp.org/en/。

我们也可以使用下面的命令添加NTP服务器：

add ntp server IPaddress

当我们添加了NTP服务器，我们必须使用以下CLI命令做同步：

enable ntp sync

我们还需要设置的NetScaler的时区，将其设置为我们自己的时区。这可以通过导航到System | Settings | Change time zone

另一个重要的功能,就是我们应该仔细审视的Syslog。Syslog是一种常见的开放标准的日志功能，它允许我们将日志传送到中央日志主机的存储上，而不是放在NetScaler上，这使得我们更容易集中查看各个设备的日志。这种功能我认为是必需的，它更易于我们访问和查看日志。如果我们不设置Syslog，我们必须在不同NetScaler上查看他们的本地日志。Syslog功能可以通过导航到System | Auditing | Servers。这要求我们有一个中央Syslog服务器。

同时，如果我们有一个集中的监控解决方案，我们应该考虑配置NetScaler 的SNMP警报和trap消息。如果有任何异常发生，例如使用的RAM过高，SNMP侦听器将触发SNMP代理将警报发送给Syslog服务器。

为了让NetScaler由SNMP服务器查询信息，我们需要输入以下信息。这可以在GUI添加导航到System | SNMP。

• SNMP manager：这是允许访问的主机的IP地址。
• SNMP community string：这是用于身份验证的设备。
  
  

为了让NetScaler可每当有重要事件发生时发送trap消息，我们需要输入以下信息：

• Enable/Disable SNMP alarms:  这将定义哪些报警应该创建一个trap消息。
• SNMP traps:：这定义了主机应该得到的trap消息和trap消息的条件。
  
  

我们也可以改变设备的主机名；默认情况下，它有名字NS。我们可以使用以下CLI命令改变它

set ns hostname

我们还应该更改默认密码，所有NetScaler设备的默认密码都是nsroot。可以使用以下CLI命令:

set system user nsroot password

这也可以通过导航到的GUI界面的System | User Administration | Users | nsroot | Choose Action和点击Change password.

我们完成这个设置后，我们还需要添加我们平台设备的许可证。可以通过导航到GUI的System | Licenses。在这里，点击Add license和上传到http://www.mycitrix.com/生成的许可证。

我们添加许可后，需要重新启动设备。并可以通过使用CLI命令检查验证许可证许可信息，使用以下命令将列出许可所授权的功能和类型，如下截图所示:

show license