分区管理
Une appliance Citrix ADC peut être partitionnée en entités logiques appelées partitions d 'administration。chque分区peut être configurée et utilisée comme器具Citrix ADC区别。La figure suivante montre les partitions d 'un Citrix ADC utilisées par différents客户端和服务:
Une appliance Citrix ADC partitionnée possède Une partition par défaut unique et Une ou plusieurs partitions d 'administration。Le tableau suivant fournit des information supplémentaires sur les deux types de partitions:
标记
Dans une设备partitionnée, le mode BridgeBPDU peut être activé unique Dans la partition par défaut et non Dans les分区管理。
Disponibilite:
L 'appliance Citrix ADC est livrée avec une seule分区,appelée分区分区défaut。La partition par défaut est conservée même après le partition de l 'appliance Citrix ADC。
Doit être créé explicitement comme décrit dans配置分区和管理.
分区编号:
联合国
管理分区(最多512)。
Accès utilisateur et rôles:
Tous les utilisateurs Citrix ADC, associés à une stratégie de commandSpécifique à une分区, peuvent accéder à la partition par défaut et la configurer。来吧,la stratégie de command associée limit les opérations qu 'un utilisateur peut effectuer。
L 'accès utilisateur et les rôles sont créés par les superutilisateurs Citrix ADC qui spécifient également les utilisateurs de cette分区。Seuls les superutilisateurs et les utilisateurs associés de la partition peuvent accéder à la partition d 'administration et la configure。
标记
Les utilisateurs de partitions ne disposent pas d 'un accès shell。
结构du fichier:
Tous les fichiers d 'une partition par défaut sont stockés dans la structure de fichiers Citrix ADC par défaut。
Par示例,le répertoire/ nsconfigstocke le fichier de configuration Citrix ADC et le répertoire/var/log/Citrix ADC股票。
这些都是管理的分割线stockés dans des chemins d 'accès au répertoire管理分割线的名字。
参数示例,le fichier de configuration Citrix ADC (ns.conf) est stocké dans le/ nsconfig /分区/ < partitionName >曲目。Les autres fichiers spécifiques à une partition sont stockés dans Les/var/partitions/ < partitionName >体验。
Voici d 'autres chemins d 'accès dans une partition d 'administration:
- 费希尔téléchargés:
/var/partitions/ < partitionName > /下载/ - Fichiers journal:
/var/partitions/ < partitionName > /日志/
标记
实干,新闻报道,最重要的责任和分割。Par conséquent, ce répertoire est vide et tous les journaux sont stockés dans le
/var/log/曲目。
- Fichiers liés au certificat SSL CRL:
/var/partitions/ < partitionName > / netscaler / ssl
资源这类:
Citrix ADC。
资源Citrix ADC显式affectées à la partition d’administration。
Accès utilisateur et rôles
Lors de l ' authentication et de l 'autorisation d 'une appliance Citrix ADC partitionnée, unadministrateur racine peut affecter unadministrateur de partition à une ou plusieurs分区。L 'administrateur de partition peut autoriser les utilisateurs à accéder à cette partition sans affter d ' auterres partitions。Les utilisateurs de la partition sont autorisés à accéder unique ement à cette partition à l 'aide de l 'adresse SNIP。系统管理员和分区管理员双配置管理员'accès basé系统rôles (RBA)系统管理员à accéder à différentes应用程序。
Les rôles des administrateurs et des utiisateurs peuvent être décrits comme suit:
Administrateur拉辛。Accède à l 'appliance partitionnée通过儿子地址NSIP et peut accorder aux utiisateurs l 'accès à une ou plusieurs分区。L 'administrateur peut également affecter des administrateurs de partition à une ou plusieurs分区。L ' administrator peut créer un分区管理员à partir de la partition par défaut à L 'aide d 'une address NSIP ou passer à une分区,puis créer un utilisateur et attribuer un accès分区管理员à L 'aide d 'une address SNIP。
分区管理员.通过NSIP attribuée par l ' administrator racine执行'accéder à la分区spécifiée。L 'administrateur peut attribuer un accès basé sur les rôles à L 'accès utilisateur de partition à cette partition et également configururer L ' authentication du server externe à L 'aide d 'une configuration spécifique à la partition。
Utilisateur systeme。通过l ' address NSIP执行'accéder aux分区。执行d 'accéder aux分区和aux资源spécifiées par l ' administrator racine。
分区利用.通过une地址SNIP执行'accéder à une分区。Le compte utiliserest créé par l l administrator de partition et l l utilisateur a accès aux resources, unique au sein de la partition。
积分à留存
Voici quelques指出à retenir lorsque vous fournissez un accès basé sur les rôles dans une分区。
- Les utilisateurs Citrix ADC qui accèdent à l 'interface graphhique via l ' address NSIP utilisent la configuration d ' authentication de partition par défaut pour se connector à l 'appliance。
- Les utilisateurs du système de partition qui accèdent à l 'interface graphique via une address SNIP de partition utilisent une configuration d ' authentication spécifique à la partition pour se connecter à l 'appliance。
- L 'utilisateur de partition créé dans une partition ne peut pas se connector à L 'aide de L ' address NSIP。
- L 'utilisateur Citrix ADC lié à une partition ne peut pas se connecter à L 'aide de L ' address SNIP de la partition。
- Les utilisateurs système qui s ' authenticentient via un server d ' authentication externe(例如,LDAP, RADIUS, TACACS) doivent accéder à une分区via une地址SNIP。
Cas d 'utilisation pour gérer l 'accès basé sur les rôles dans une configuration partitionnée
Pensez à un scénario dans lequel une organisation d ' enterprise, www.exemple.com,处理业务unités商业和行政centralisé qui gère提供儿子的实例réseau。Toutefois, ils souhaitent fournir des privilèges utilisateur et un environment独家à chque unité commercial ale。
Voici les administrateurs et les utilisateurs gérés par la configuration d ' authentication de partition par défaut et la configuration spécifique à la partition dans une appliance partitionnée。
约翰:雷辛行政官
乔治:分区管理员
亚当:Utilisateur système
简:分割利用者
John, Citrix ADC产品管理经理partitionnée。John gère tous les comptes utilisateur et les comptes d ' utilisaturs管理分区(典型的例子,P1, P2, P3, P4和P5)约翰·福尼特un accès颗粒basé sur les rôles aux entités à partir de la partition par défaut de la solution matérielle-logicielle。约翰crée des comptes d 'utilisateurs et attribute un accès à une partition à chque compte。George étant ingénieur réseau au sein de l 'organisation, il préfère disposer d 'un accès basé sur les rôles à quelques applications exécutées sur la partition P2。Basé sur la gestion des utilisateurs, John crée un rôle d ' administreur de partition pour George et associe son compte utilisateur à une stratégie de command partition-admin dans la partition P2。Adam étant un autre ingénieur réseau, il préfère accéder à une application exécutée sur P2。约翰crée un compte d ' utiisateur système pour亚当et associate son compte d ' utiisateur à une partition P2。Une fois le compte créé, Adam peut se connector à l 'appliance pour accéder à l 'interface de gestion Citrix ADC via l ' address NSIP et peut passer à la partition P2 en功能de la liaison utiisateur /group。
假设que Jane, quest une autre ingénieure réseau, veuille accéder directement à une application exécutée unique ement sur la partition P2, George(分区管理员)peut créer un compte d 'utilisateur de partition pour elle et associer son compte à des stratégies de command pour les privilèges d 'autorisation。Le compte utilisateur de Jane créé dans la partition est désormais direction associé à P2。简peut désormais accéder à l 'interface de gestion Citrix ADC via l ' address SNIP et ne peut passer à aucune autre分区。
标记
Si le compte utilisateur de Jane est créé par un administrator de partition dans la partition P2, l ' administrator peut accéder à l 'interface de gestion Citrix ADC unique通过l ' address SNIP (créée dans la partition)。管理员可以通过autorisé à accéder à通过NSIP访问。De même, si le compte utilisateur d 'Adam est créé par un administreur racine dans la partition par défaut et est lié à une partition P2。L ' administreur peut accéder à L 'interface de gestion Citrix ADC unique通过L ' address NSIP ou L ' address SNIP créée dans la partition par défaut (avec accès de gestion activé)。Il n 'est pas autorisé à accéder à l 'interface de partition via l ' address SNIP créée dans la partition administrative。
配置les rôles et les responsabilités des administrateurs de partitions
Voici les配置exécutées par un administrator racine dans une分区par défaut。
Création de分区administrators et d ' utiisateurs système: un administrator racine crée des分区administrators et des utiisateurs système dans la partition par défaut de l 'appliance。L ' administrator association ensuite les utilisateurs à différentes分区。Si vous êtes lié à ou plusieurs分区,vous pouvez passer d 'une分区à une autre en functional de use liesur。En out, votre accès à une ou plusieurs分区liées est autorisé unique ement par l ' administreur racine。
行政管理总局总局système分区管理总局总局spécifique:行政管理总局总局créé,行政管理总局总局à分区管理总局spécifique,行政管理总局总局总局。Cela se fait en attribuant une stratégie de command partition-admin au compte utilisateur。L 'utilisateur peut désormais accéder à la partition en tant qu ' administrter de partition et gérer les entités au sein de partition。
语音配置exécutées par un administrator de partition dans une分区管理。
配置de l ' address SNIP dans une分区管理:l ' administrator de la partition se connect à la partition, crée une address SNIP et fournit un accès de gestion à l ' address。
Création et liaison d 'un utilisateur de système de partition avec une stratégie de command de partition - L ' administrter de partition crée des utilisateur de partition et définit la portée de L 'accès des utilisateur。Cela se fait en liant le compte utilisateur aux stratégies de command de partition。
Création等分区管理集团的联络员système分区avec une stratégie分区指挥-分区管理人员crée分区管理集团portée de l 'accès联合分区管理集团。这是一件让人难以接受的事,让人无法接受的事,让人无法接受的事。
认证服务器外部配置使用服务器外部配置-认证器使用服务器外部配置TACACS外部配置accédant à la partition à l 'aide de l ' address SNIP。
Voici les tâches exécutées lors de la configuration de l 'accès basé sur les rôles pour les utilisateurs de partitions dans une partition administrative。
- Création d 'une partition administrative: avant de créer des utilisateurs de partition dans une partition administrative, vous devez d 'abord créer la partition。我的行政长官,我的长官créer分区à分区的人分区的人défaut à公用事业的人配置的人界面的人指挥的人。
- 通道'accès utilisateur de la partition par défaut à la partition P2 - Si vous êtes administrator de partition qui accède à l 'appliance à partir de la partition par défaut, vous pouvez passer de la partition par défaut à une partition spécifique。例如,分区P2 basée sur la liaison utilisateur。
- 我的地址,我的地址,我的地址,我的地址accès我的地址activé我的地址basculé我的地址accès à我的地址。Vous créez une地址SNIP et fournissez un accès de gestion à cette地址。
- Stratégie de création et de liaison d 'un utilisateur système de partition avec分区命令策略- Si vous êtes分区管理员,vous pouvez créer des utilisateurs de partition et définir la portée de l 'accès utilisateur。Cela se fait en liant le compte utilisateur aux stratégies de command de partition。
- Création等分区管理小组联络员à l 'aide d 'une stratégie de partition command - Si vous êtes分区管理人员,vous pouvez créer des groups d ' utiisaterurs de partition et définir la portée du contrôle d 'accès utiisateur。这是一件让人难以接受的事,让人无法接受的事,让人无法接受的事。
认证服务器外部设备外部配置(兼)-认证设备外部设备配置TACACS外部设备accédant à分区à辅助地址SNIP。
分区管理的利用优势
你是利益和利益的集大成者和行政区划的集大成者déploiement:
- 执行déléguer la propriété管理d 'une应用程序在客户端。
- Réduit le coût de possession d 'ADC without compromettre les performance et la facilité d ' use。
- Protège控制les修改injustifiées de配置。Dans une appliance Citrix ADC非partitionnée, les utilisateurs autorisés de l 'autre应用程序,修改器意图和不涉及的配置要求pour votre应用程序。Cela peut entraîner un comportement indésirable。Cette possibilité est réduite dans une appliance Citrix ADC partitionnée。
- 独立的流量入口différentes应用程序使用的VLAN dédiés pour chque分区。
- Accélère et permet aux déploiements d ' applications d ' évoluer。
- 永远存在着我们之间的融洽关系我们的应用localisés。
自由放任的分析家,quelques cas pour compredre les scénarios dans lesquels vous pouvez use izer des partition d 'administration。
Cas d 'utilisateur 1:评论la partition d 'administration est utilisée dans un réseau d ' enterprise
Considérons un scénario auquel est confrontée une enterprise nomméeFoo.com.
- Foo.compossède un seul Citrix ADC。
- Il存在cinq départements et chaque département possède une应用程序qui doit être déployée avec Citrix ADC。
- Chaque应用doit être gérée indépendamment par un ensemble différent d ' utiisateurs ou d 'administrateurs。
- Les autres utilisateurs doivent être limités à accéder aux配置。
- 应用程序和后端程序提供资源,提供地址和IP。
- Le service informatique mondial doit être en mesure de contrôler les paramètres de niveau Citrix ADC qui doivent être公社à tes les分区。
- Les demandes doivent être indépendantes Les unes des autres。错误会影响到配置和应用。
Un Citrix ADC非partitionné ne serait pas en mesure de满足需求。很好,我很好répondre à Citrix ADC。
Il suffit de créer une partition pour chacune des applications, d 'attribuer les utilisateurs requis aux partitions, de spécifier un VLAN pour chchque partition et de définir des paramètres globaux sur la partition par défaut。
Cas d ' use 2: comment une partition d 'administration est utilisée par un fournisseur de services
Considérons un scénario auquel est confronté un fournisseur de services nomméBigProvider:
- BigProvider有5个客户:3个小型企业和2个大型企业。
- SmallBiz,SmallBiz等StartupBizn 'ont besoin que des fonctionnalités Citrix ADC les + basiques。
- BigBiz等LargeBiz大型企业和应用对联合国交通至关重要。Ils aimeraient的应用程序肯定的fonctionnalités Citrix ADC les +复合物。
Dans une approche non partitionnée, l ' administrtor Citrix ADC使用généralement une appliance Citrix ADC SDX等提供une instance Citrix ADC pour chque客户端。
拉解方便àBigBiz等LargeBiz汽车leurs应用程序onbesoin de la puissance non diminuée de l 'ensemble de l 'appliance Citrix ADC non partitionnée。Toutefois, cette solution peut ne pas être aussi rentable pour l 'entretien deSmallBiz, SmallBiz等StartupBiz.
结果,BigProviderDécide de la solution suivante:
- 使用d 'une设备Citrix ADC SDX pour créer des实例Citrix ADC dédiées pourBigBiz等LargeBiz.
- 利用器une seule Citrix ADC partitionnée en trois分区,une pourSmallBiz,SmallBiz等StartupBiz.
L ' administrator Citrix ADC (superutilisateur) crée une partition d 'administration pour chacun de ces clients et spécifie les utilisateurs des partitions。Et spécifie également les resources Citrix ADC pour les partitions, Et spécifie le VLAN à utiliser par le traffic destiné à chacune des partitions。
Dans cet文章
- Accès utilisateur et rôles
- 积分à留存
- Cas d 'utilisation pour gérer l 'accès basé sur les rôles dans une configuration partitionnée
- 配置les rôles et les responsabilités des administrateurs de partitions
- 分区管理的利用优势
- Cas d 'utilisateur 1:评论la partition d 'administration est utilisée dans un réseau d ' enterprise
- Cas d ' use 2: comment une partition d 'administration est utilisée par un fournisseur de services