-
-
-
-
管理分区
-
-
-
-
-
-
-
-
-
-
感谢您提供反馈。
此内容已由机器动态翻译。
这是我的机器Übersetzung,这是我的机器。(哈夫通萨斯库罗斯)
Cet文章aététraduit automatiquement de manière Dynamicque。(非responsabilité条款)
艺术是传统的艺术形式。(通报法律)
此内容已动态机器翻译。放弃
このコンテンツは動的に機械翻訳されています。免責事項
此内容已由机器动态翻译。
此内容已由机器动态翻译。
此内容已由机器动态翻译。
这篇文章是机器翻译的。
迪泽·阿蒂克尔·沃尔德·马斯切内尔·贝尔塞茨。(哈夫通萨斯库罗斯)
这篇文章叫做été traduit automation。(非responsabilité条款)
Este artículo ha sido traducido automáticamente。(通报法律)
この記事は機械翻訳されています。免責事項
이기사는기계번역되었습니다。
埃斯特阿蒂戈是传统的自动驾驶者。
这篇文章已经过机器翻译.放弃
翻译失败!
管理分区
Citrix ADC设备可以分区为称为管理分区的逻辑实体。每个分区都可以配置并用作单独的Citrix ADC设备。下图显示了不同客户和部门正在使用的Citrix ADC的分区:
分区的Citrix ADC设备具有一个默认分区以及一个或多个管理分区。下表提供了有关这两种分区类型的更多详细信息:
注意
在分区的设备中,BridgeBPDU模式只能在默认分区中启用,而不能在管理分区中启用。
可用性:
Citrix ADC设备随附一个分区,称为默认分区。即使在将Citrix ADC设备分区后,默认分区仍会保留。
必须按照配置管理分区中所述明确创建。
分区数量(分区数):
一
Citrix ADC设备可以有一个或多个(最多512个)管理分区。
用户权限和角色(用户访问权限和角色):
与特定于分区的命令策略没有关联的所有Citrix ADC用户都可以访问和配置默认分区。与往常一样,关联的命令策略限制用户可以执行的操作。
用户访问权限和角色由 Citrix ADC超级用户创建,他们还为该分区指定用户。只有超级用户和该分区的关联用户才能访问和配置管理分区。
注意
分区用户没有壳访问权限。
文件结构(文件结构):
默认分区中的所有文件都存储在默认Citrix ADC文件结构中。
例如,/nsconfig目录存储 Citrix ADC配置文件,/var/log/目录存储Citrix ADC日志。
管理分区中的所有文件都存储在具有管理分区名称的目录路径中。
例如,Citrix ADC配置文件 (ns.conf)存储在/ nsconfig /分区/ < partitionName >目录中。其他特定于分区的文件存储在/var/partitions/目录中。
管理分区中的一些其他路径:
- 下载的文件:
/var/partitions/ < partitionName > /下载/ - 日志文件:
/var/partitions/ < partitionName > /日志/
注意
目前,分区级别不支持日志记录。因此,此目录为空,所有日志都存储在
/var/log/目录中。
- SSL CRL证书相关文件:
/var/partitions/ < partitionName > / netscaler / ssl
可用资源(可用资源):
所有 Citrix ADC资源。
明确分配给管理分区的Citrix ADC资源。
用户访问权限和角色
在对分区的Citrix ADC设备进行身份验证和授权时,根管理员可以为一个或多个分区分配分区管理员。分区管理员可以授权用户访问该分区,而不会影响其他分区。分区用户有权使用剪断地址仅访问该分区。根管理员和分区管理员都可以配置基于角色的访问权限(通过授权用户访问不同的应用程序来配置央行。
可以按如下所示描述管理员和用户角色:
根管理员。通过其NSIP地址访问分区的设备,并且可以授予用户对一个或多个分区的访问权限。管理员还可以将分区管理员分配给一个或多个分区。管理员可以使用NSIP地址从默认分区创建分区管理员,或者切换到某个分区,然后创建一个用户并使用剪断地址分配分区管理员访问权限。
分区管理员。通过根管理员分配的NSIP地址访问指定的分区。管理员可以为分区用户分配基于角色的访问权限,还可以使用特定于分区的配置来配置外部服务器身份验证。
系统用户。通过NSIP地址访问分区。可以访问根管理员指定的分区和资源。
分区用户。通过剪断地址访问分区。用户帐户由分区管理员创建,用户只能在分区内访问资源。
需要记住的几个要点
下面是在分区中提供基于角色的访问权限时需要记住的几个事项。
- 通过 NSIP地址访问 桂的 Citrix ADC用户使用默认分区身份验证配置登录设备。
- 通过分区剪断地址访问GUI的分区系统用户使用特定于分区的身份验证配置登录设备。
- 在分区中创建的分区用户无法使用NSIP地址登录。
- 绑定到分区的Citrix ADC用户无法使用分区剪断地址登录。
- 通过外部身份验证服务器(例如 LDAP、RADIUS、TACACS)进行身份验证的系统用户必须通过 剪地址访问分区。
在分区的设置中管理基于角色的访问权限的用例
假设一个场景,即企业组织www.example.com拥有多个业务单元和一个集中管理员来管理其网络中的所有实例。但是,他们希望为每个业务部门提供专属用户权限和环境。
下面是在分区的设备中默认分区身份验证配置和特定于分区的配置管理的管理员和用户。
约翰:根管理员
乔治:分区管理员
亚当:系统用户
简:分区用户
约翰是分区的Citrix ADC设备的根管理员。约翰在设备内跨分区(例如P1, P2, P3, P4和P5)管理所有用户帐户和具有管理权限的用户帐户。约翰提供对设备的默认分区中的实体的基于角色的精细访问权限。约翰创建用户帐户并为每个帐户分配分区访问权限。作为组织内的网络工程师,乔治倾向于对分区P2上运行的少数应用程序具有基于角色的访问权限。根据用户管理,约翰为乔治创建了一个分区管理员角色,并将其用户帐户与P2分区中的分区管理员命令策略相关联。作为另一名网络工程师,亚当更喜欢访问在P2上运行的应用程序。约翰为亚当创建了一个系统用户帐户,并将其用户帐户与P2分区相关联。创建帐户后,亚当可以登录该设备以通过NSIP地址访问Citrix ADC管理界面,并且可以根据用户/组绑定切换到分区P2。
假设另一名网络工程师简想直接访问仅在分区P2上运行的应用程序,乔治(分区管理员)可以为她创建分区用户帐户,并将其帐户与命令策略相关联以获得授权权限。简在分区内创建的用户帐户现在直接与P2相关联。现在简可以通过剪断地址访问Citrix ADC管理界面,但无法切换到任何其他分区。
注意
如果简的用户帐户是由分区P2中的分区管理员创建的,则管理员只能通过剪断地址(在分区内创建)访问Citrix ADC管理界面。管理员不得通过NSIP地址访问界面。同样,如果亚当的用户帐户是由根管理员在默认分区中创建的,并且绑定到P2分区。管理员只能通过在默认分区中创建的NSIP地址或剪断地址访问Citrix ADC管理界面(启用了管理访问权限)。并且不允许通过在管理分区中创建的剪断地址访问分区界面。
为分区管理员配置角色和职责
下面是根管理员在默认分区中执行的配置。
创建管理分区和系统用户——根管理员在设备的默认分区中创建管理分区和系统用户。然后,管理员将用户关联到不同的分区。如果您绑定到一个或多个分区,则可以根据用户绑定从一个分区切换到另一个分区。此外,您对一个或多个绑定分区的访问权限仅由根管理员授权。
授权系统用户作为特定分区的分区管理员——创建用户帐户后,根管理员将切换到特定分区并授权该用户作为分区管理员。它是通过将分区-管理员命令策略分配给用户帐户来完成的。现在,用户可以作为分区管理员访问该分区并管理分区内的实体。
下面是分区管理员在管理分区中执行的配置。
在管理分区中配置 剪地址 - 分区管理员登录分区并创建 剪地址,同时提供对该地址的管理访问权限。
使用分区命令策略创建和绑定分区系统用户 - 分区管理员创建分区用户并定义用户访问范围。它是通过将用户帐户绑定到分区命令策略来完成的。
使用分区命令策略创建和绑定分区系统用户组 - 分区管理员创建分区用户组并定义用户组的访问范围。它是通过将用户组帐户绑定到分区命令策略来完成的。
为外部用户配置外部服务器身份验证(可选)——此配置用于验证使用剪断地址访问分区的外部TACACS用户。
下面是在管理分区中为分区用户配置基于角色的访问时执行的任务。
- 创建管理分区 - 在管理分区中创建分区用户之前,必须首先创建分区。作为根管理员,您可以使用配置实用程序或命令行界面从默认分区创建分区。
- 将用户访问权限从默认分区切换到分区P2 -如果您是从默认分区访问设备的分区管理员,则可以从默认分区切换到特定分区。例如,基于用户绑定的分区P2。
- 将 剪地址添加到启用了管理访问权限的分区用户帐户 - 您将访问权限切换到管理分区后。您负责创建 剪地址并提供对该地址的管理访问权限。
- 使用分区命令策略创建和绑定分区系统用户 - 如果您是分区管理员,则可以创建分区用户并定义用户的访问范围。它是通过将用户帐户绑定到分区命令策略来完成的。
- 使用分区命令策略创建和绑定分区用户组 - 如果您是分区管理员,则可以创建分区用户组并定义用户访问控制的范围。它是通过将用户组帐户绑定到分区命令策略来完成的。
为外部用户配置外部服务器身份验证(可选)——此配置用于验证使用剪断地址访问分区的外部TACACS用户。
使用管理分区的好处
通过使用管理分区进行部署,您可以享受以下好处:
- 允许将应用程序的管理所有权委派给客户。
- 在不影响性能和易用性的情况下降低ADC的拥有成本。
- 防止不必要的配置更改。在未分区的Citrix ADC设备中,其他应用程序的授权用户可以有意或无意地更改应用程序所需的配置。它可能会导致不良的行为。在分区的Citrix ADC设备中,这种可能性会降低。
- 通过为每个分区使用专用 虚拟局域网来隔离不同应用程序之间的流量。
- 加快应用程序部署并允许扩展。
- 允许应用程序级或本地化管理和报告。
让我们分析几个案例,以了解您可以在哪些情况下使用管理分区。
用户案例 1:如何在企业网络中使用管理分区
让我们假设一家名为Foo.com的公司所面临的情况。
- Foo.com有一个 Citrix ADC
- 共有五个部门,每个部门都有一个需要与Citrix ADC一起部署的应用程序。
- 每个应用程序都必须由一组不同的用户或管理员独立管理。
- 必须限制其他用户访问配置。
- 应用程序或后端必须能够共享IP地址等资源。
- 全球 信息技术部门必须能够控制 Citrix ADC级别的设置,这些设置必须是所有分区通用的。
- 应用程序必须相互独立。一个应用程序的配置错误不得影响另一个应用程序。
未分区的Citrix ADC将无法满足这些要求。但是,您可以通过对Citrix ADC进行分区来实现所有这些要求。
只需为每个应用程序创建一个分区,将所需的用户分配到这些分区,为每个分区指定一个 VLAN然后在默认分区上定义全局设置。
用例 2:服务提供商如何使用管理分区
让我们假设名为BigProvider的服务提供商所面临的情况:
- BigProvider有5个客户:3家小型企业和2家大型企业。
- SmallBiz、SmallerBiz和StartupBiz只需要最基本的 Citrix ADC功能。
- 比格比和拉格比兹是规模较大的企业,其应用程序吸引了大量流量。他们想使用一些更复杂的Citrix ADC功能。
在非分区方法中,Citrix ADC管理员通常会使用Citrix ADC对有关设备并为每个客户预配Citrix ADC实例。
该解决方案适合比格比和LargeBiz,因为他们的应用程序需要整个非分区Citrix ADC设备的不受减损的功能。但是,该解决方案对于为SmallBiz、SmallerBiz和StartupBiz提供服务可能不太具有成本效益。
因此,BigProvider决定采用以下解决方案:
- 使用 Citrix ADC SDX设备为比格比和LargeBiz启动专用 Citrix ADC实例。
- 使用单个Citrix ADC,该ADC分为三个分区,SmallBiz、SmallerBiz和StartupBiz各一个分区。
Citrix ADC管理员(超级用户)为这些客户创建一个管理分区,并指定分区的用户。此外,还为分区指定Citrix ADC资源,并指定传输到每个分区的流量要使用的VLAN。
感谢您提供反馈。
分享:
分享:
此预览产品文档是Citrix机密文档。
您同意根据您的Citrix Beta/Tech预览协议的条款对该文件保密。
预览文档中描述的任何特性或功能的开发、发布和时间安排仍由我们自行决定,如有更改,恕不另行通知或咨询。
本文档仅供参考之用,并不是提供任何材料、代码或功能的承诺、承诺或法律义务,在做出思杰产品购买决定时不应依赖。
如果不同意,请选择“不同意退出”。