管理者パティション
Citrix ADCアプラアンスは,管理パティションと呼ばれる論理エンティティに分割できます。各パティションは,個別のCitrix ADCアプラアンスとして構成および使用できます。次の図は,さまざまな顧客や部門で使用されているCitrix ADCパティションを示しています。
パーティション化されたCitrix ADCアプライアンスには,単一のデフォルトパーティションと1つ以上の管理パーティションがあります。次の表に,2のパプの詳細を示します。
注
パーティション化されたアプライアンスでは,モードBridgeBPDUはデフォルトパーティションでのみ有効になり,管理パーティションでは有効にできません。
可用性:
Citrix ADCアプライアンスには,デフォルトパーティションと呼ばれる単一のパーティションが付属しています。デフォルトのパーティションは,Citrix ADCアプライアンスのパーティション分割後も保持されます。
管理パティションの構成の説明に従って,明示的に作成する必要があります。
パティション数:
一つ
Citrix ADCアプライアンスは,1つ以上(最大512)の管理パーティションを持つことができます。
ユザアクセスとロル:
パティション固有のコマンドポリシに関連付けられていないすべてのCitrixadcユザは,デフォルトのパティションにアクセスして構成できます。い,関連するコマンドポリシ,ユ。
ユーザーアクセスとロールは,そのパーティションのユーザーも指定するCitrix ADCスーパーユーザーによって作成されます。管理者パーティションにアクセスして構成できるのは,スーパーユーザーおよびパーティションの関連付けられたユーザーだけです。
注
パティションユザにはシェルアクセス権がありません。
ファ邮箱ル構造:
デフォルトパーティション内のすべてのファイルは,デフォルトのCitrix ADCファイル構造に格納されます。
たとえば,/nsconfigディレクトリにはCitrix . xmladc構成ファルが格納され,/var/log/ディレクトリにはCitrix ADCログが格納されます。
管理パーティション内のすべてのファイルは,管理パーティションの名前を持つディレクトリパスに格納されます。
たとえば,Citrix ADC構成ファereplicationル(ns.conf)は/ nsconfig /分区/ < partitionName >
ディレクトリに保存されます。その他のパーティション固有のファイルは、/var/partitions/ < partitionName >
ディレクトリに格納されます。
管理パティション内のその他のパスは次のとおりです。
- ダウンロドされたファル:
/var/partitions/ < partitionName > /下载/
- ログファ邮箱ル:
/var/partitions/ < partitionName > /日志/
注
現在,ロギングはパティションレベルではサポトされていません。したがって,このディレクトリは空で,すべてのログが
/var/log/
ディレクトリに保存されます。
- SSL CRL証明書関連ファereplicationル:
/var/partitions/ < partitionName > / netscaler / ssl
利用可能なリソス:
すべてのCitrix ADCリソス。
管理者パティションに明示的に割り当てられているCitrix ADCリソス。
ユザアクセスとロル
パーティション化されたCitrix ADCアプライアンスの認証と承認では,ルート管理者はパーティション管理者を1つ以上のパーティションに割り当てることができます。パーティション管理者は,他のパーティションに影響を与えずに,そのパーティションに対するユーザーを認証できます。パーティションユーザーは,剪断アドレスを使用してそのパーティションにのみアクセスする権限があります。ルート管理者とパーティション管理者の両方が,異なるアプリケーションへのアクセスをユーザーに許可することで,ロールベースのアクセス(RBA)を構成できます。
管理者とユザロルは,次のように記述できます。
ルト管理者。パーティション化されたアプライアンスにNSIPアドレスを使用してアクセスし,1つ以上のパーティションへのユーザーアクセスを許可できます。管理者は,パティション管理者を1以上のパティションに割り当てることもできます。管理者は,NSIPアドレスを使用してデフォルトパーティションからパーティション管理者を作成するか,パーティションに切り替えて,ユーザーを作成し,剪断アドレスを使用してパーティション管理者アクセスを割り当てることができます。
パティション管理者。ルート管理者によって割り当てられたNSIPアドレスを使用して,指定されたパーティションにアクセスします。管理者は,パーティションのユーザーアクセスをパーティションにロールベースのアクセスを割り当てて,パーティション固有の設定を使用して外部サーバー認証を構成することもできます。
システムユシステムユザ。Nsipアドレスを通してパティションにアクセスします。ルト管理者によって指定されたパティションとリソスにアクセスできます。
パティションユザ。剪掉アドレスを使用してパティションにアクセスします。ユーザーアカウントはパーティション管理者によって作成され,ユーザーはパーティション内でのみリソースにアクセスできます。
確認事項
パティションでロルベスのアクセスを提供する際に覚えておくべき点をいく。
- NSIPアドレスを介してGUIにアクセスするCitrix ADCユーザーは,デフォルトのパーティション認証構成を使用してアプライアンスにログオンします。
- パーティション剪アドレスを使用してGUIにアクセスするパーティションシステムユーザは,パーティション固有の認証設定を使用してアプライアンスにログオンします。
- パーティション内に作成されたパーティションユーザーは,NSIPアドレスを使用してログインできません。
- パーティションにバインドされたCitrix ADCユーザーは,パーティション剪アドレスを使用してログインできません。
- 外部認証サーバ(LDAP、半径TACACSなど)を介して認証するシステムユーザは,剪断アドレスを介してパーティションにアクセスする必要があります。
パティション設定でのロルベ
企業組織www.example.comに複数のビジネスユニットがあり,ネットワーク内のすべてのインスタンスを管理する一元管理者がいるシナリオを考えてみましょう。ただし,各ビジネスユニットに排他的なユザ権限と環境を提供したいと考えています。
パーティションアプライアンスでデフォルトのパーティション認証設定およびパーティション固有の設定で管理される管理者とユーザーを次に示します。
ジョン:ルト管理者
ジョジ:パティション管理者
亚当:システムユザ
简:パティションユザ
约翰,パティション化されたCitrix ADCアプラト管理者です。约翰•はアプライアンス内のパーティション(P1, P2, P3, P4, P5など)にわたってすべてのユーザーアカウントと管理ユーザーアカウントを管理します。约翰•はアプライアンスのデフォルトパーティションからエンティティへの詳細なロールベースのアクセスを提供します。约翰は,ユザアカウントを作成し,各アカウントにパティションアクセスを割り当てます。組織内のネットワークエンジニアである乔治•はパーティションP2で実行されているいくつかのアプリケーションに対して,ロールベースのアクセス権を持つことを好みます。ユーザー管理に基づいて,约翰は乔治のパーティション管理者ロールを作成し,P2パーティション内のpartition-adminコマンドポリシーに自分のユーザーアカウントを関連付けます。別のネットワークエンジニアであるアダムは,P2で実行されているアプリケーションにアクセスすることを好みます。约翰亚当はのシステムユーザアカウントを作成し,ユーザアカウントをP2パーティションに関連付けます。アカウントが作成されると,亚当はアプライアンスにログインしてNSIPアドレスを介してCitrix ADC管理インターフェイスにアクセスし,ユーザー/グループのバインドに基づいてパーティションP2に切り替えることができます。
別のネットワークエンジニアである简がパーティションP2でのみ実行されているアプリケーションに直接アクセスしたいとします。乔治(パーティション管理者)は,自分のパーティションユーザーアカウントを作成し,自分のアカウントを認可権限のコマンドポリシーに関連付けることができます。パーティション内に作成された简のユーザーアカウントがP2に直接関連付けられるようになりました。简,これでは剪アドレスを介してCitrix ADC管理インターフェイスにアクセスでき,他のパーティションに切り替えることはできません。
注
简のユーザーアカウントがパーティションP2のパーティション管理者によって作成されている場合,管理者は剪アドレス(パーティション内に作成された)を介してのみCitrix ADC管理インターフェイスにアクセスできます。管理者はnsipアドレスを介して。同様に,亚当のユーザーアカウントがデフォルトパーティションにルート管理者によって作成され,P2パーティションにバインドされている場合です。管理者は,デフォルトパーティションで作成されたNSIPアドレスまたは剪アドレス(管理アクセス権が有効)を介してのみ,Citrix ADC管理インターフェイスにアクセスできます。また,管理パーティションに作成された剪アドレスを介してパーティションインターフェイスにアクセスすることは許可されていません。
パティション管理者の役割と責任を構成する
ルト管理者がデフォルトパティションで実行する構成を次に示します。
管理パーティションとシステムユーザーの作成——ルート管理者は,アプライアンスのデフォルトパーティションに管理パーティションとシステムユーザーを作成します。その後,管理者はユザを異なるパティションに関連付けます。1つ以上のパーティションにバインドされている場合は,ユーザーバインディングに基づいて,あるパーティションから別のパーティションに切り替えることができます。また1つ以上のバインドされたパーティションへのアクセスは,ルート管理者によってのみ許可されます。
システムユーザーを特定のパーティションのパーティション管理者として承認する——ユーザーアカウントを作成すると,ルート管理者は特定のパーティションに切り替え,そのユーザーをパーティション管理者として承認します。このためには,分区-adminコマンドポリシをユザアカウントに割り当てます。これで,ユーザーはパーティション管理者としてパーティションにアクセスし,パーティション内のエンティティを管理できます。
次に,管理パティション内のパティション管理者が実行する構成を示します。
管理パーティションでの剪アドレスの設定——パーティション管理者はパーティションにログオンし,剪断アドレスを作成し,アドレスへの管理アクセスを提供します。
パーティション・コマンド・ポリシーを使用したパーティション・システム・ユーザーの作成とバインド——パーティション管理者はパーティション・ユーザーを作成し,ユーザー・アクセスの範囲を定義します。このためには,ユ。
パーティションコマンドポリシーを使用したパーティションシステムユーザーグループの作成とバインド——パーティション管理者は,パーティションユーザーグループを作成し,ユーザーグループアクセスの範囲を定義します。これは,ユーザグループアカウントをパーティションコマンドポリシーにバインドすることによって行われます。
外部ユーザの外部サーバ認証の設定(オプション):この設定は,剪断アドレスを使用してパーティションにアクセスする外部TACACSユーザを認証するために行われます。
次に,管理パーティション内のパーティションユーザーに対するロールベースのアクセスの構成で実行されるタスクを示します。
- 管理パーティションの作成——管理パーティションにパーティションユーザーを作成する前に,まずパーティションを作成する必要があります。ルート管理者は,構成ユーティリティまたはコマンドラインインターフェイスを使用して,デフォルトパーティションからパーティションを作成できます。
- デフォルトパーティションからパーティションP2へのユーザーアクセスの切り替え:デフォルトパーティションからアプライアンスにアクセスするパーティション管理者は,デフォルトパーティションから特定のパーティションに切り替えることができます。たとえば,ユ。
- 管理アクセス権が有効なパーティションユーザーアカウントに剪アドレスを追加する——管理パーティションへのアクセスを切り替えたら。剪掉アドレスを作成し,そのアドレスへの管理アクセスを提供します。
- パーティションコマンドポリシーを使用したパーティションシステムユーザーの作成とバインド——パーティション管理者である場合は,パーティションユーザーを作成し,ユーザーアクセスの範囲を定義できます。このためには,ユ。
- 分区コマンドポリシーを使用したパーティション・ユーザー・グループの作成とバインド——パーティション管理者の場合は,パーティション・ユーザー・グループを作成し,ユーザー・アクセス制御の範囲を定義できます。これは,ユーザグループアカウントをパーティションコマンドポリシーにバインドすることによって行われます。
外部ユーザの外部サーバ認証の設定(オプション):この設定は,剪断アドレスを使用してパーティションにアクセスする外部TACACSユーザを認証するために行われます。
管理パティションを使用する利点
デプロメントに管理パティションを使用すると,次のメリットを利用できます。
- アプリケションの管理所有権を顧客に委任できます。
- パフォマンスと使いやすさを損なうことなく,adcの所有コストを削減します。
- 不当な構成変更から保護します。パーティション化されていないCitrix ADCアプライアンスでは,他のアプリケーションの承認されたユーザーは,アプリケーションに必要な構成を意図的または意図せずに変更できます。望ましくない動作にながる可能性があります。パティション化されたCitrix ADCアプラアンスでは,この可能性は軽減されます。
- パーティションごとに専用VLANを使用して,異なるアプリケーション間のトラフィックを分離します。
- アプリケションのデプロを高速化し,拡張できるようにします。
- アプリケションレベルまたはロカラズされた管理とレポト作成を許可します。
いくスを分析して,管理パ。
ユ1:エンタ
Foo.comという会社が直面するシナリオを考えてみましょう。
- Foo.comには思杰Adcが1 emfあります。
- 5つの部門があり,各部門にはCitrix ADCで展開する必要がある1つのアプリケーションがあります。
- 各アプリケションは,異なるユまたは管理者によって個別に管理する必要があります。
- 他のユザは,設定へのアクセスを制限する必要があります。
- アプリケションまたはバックエンドは,ipアドレスなどのリソスを共有できる必要があります。
- グローバル它部門は,すべてのパーティションに共通でなければならないCitrix ADCレベルの設定を制御できる必要があります。
- アプリケションは互いに独立している必要があります。一方のアプリケションの構成エラは,他方のアプリケションに影響してはいけません。
パティション化されていないCitrix ADCは,これらの要件を満たすことができません。ただし,Citrix ADCをパ,ティション化することで,これらの要件をすべて達成できます。
アプリケーションごとにパーティションを作成し,必要なユーザをパーティションに割り当てて,各パーティションのVLANを指定し,デフォルトパーティションでグローバル設定を定義するだけです。
ユスケス2:サ
BigProviderというサビスプロバが直面するシナリオを考えてみましょう。
- BigProviderには5の顧客があります。3 ememの小企業と2 emememの大企業です。
- SmallBiz、SmallerBiz、StartupBizは,最も基本的なCitrix ADC機能のみを必要とします。
- **BigBizとLargeBizは大企業であり**,大量のトラフィックを引き付けるアプリケションを持っています。彼らは,より複雑なCitrix ADC機能のいく。
パーティション化されていないアプローチでは,Citrix ADC管理者は通常,Citrix ADC对有关アプライアンスを使用し,顧客ごとにCitrix ADCインスタンスをプロビジョニングします。
このソリュションは,**BigBizおよびLargeBizに適しています。これは,アプリケーションではパーティション化されていないCitrix ADCアプライアンス全体の電力が消費されない必要があるためです。ただし,このソリュ,ションは,SmallBiz, **SmallerBiz,および**StartupBiz**のサビスにはそれほど費用対効果がない可能性があります。
したがって,BigProviderは次の解決策を決定します。
- Citrix ADC SDXアプラ称霸アンスを使用して,**BigBizおよびLargeBiz専用のCitrix** adc adcンスタンスを起動する。
- 単一のCitrix ADCを使用して,SmallerBiz, **StartupBizにそれぞれ1ず**, 3のパティションに分割されます。
Citrix ADC管理者(スーパーユーザー)は,これらの各顧客の管理パーティションを作成し,パーティションのユーザーを指定します。また,パーティションのCitrix ADCリソースを指定し,各パーティション宛てのトラフィックが使用するVLANを指定します。