NetScaler 10.5(15)功能一览

nick814 NetScaler 3,296 次浏览 没有评论

Citrix NetScaler功能可以单独配置或组合配置以满足特定需求。 虽然一些功能适合多个类别,但是大量的NetScaler功能通常可以分为应用程序切换和流量管理功能,应用程序加速功能,应用程序安全和防火墙功能以及应用程序可见性功能。

要了解要素执行处理的顺序,请参阅”处理要素的顺序”。

本文档包括以下内容:

  • 应用交换和流量管理特性
  • 应用程序加速功能
  • 应用程序安全和防火墙功能
  • 应用程序可见性功能
  • 云集成功能

 

应用交换和流量管理特性

 

SSL分流

透明地从Web服务器分流SSL加密和解密,将服务器资源释放到服务内容请求。 SSL对应用程序的性能造成沉重的负担,并且可能导致许多优化措施无效。 SSL分流和加速功能可将Citrix请求交换技术的所有优势应用于SSL流量,确保Web应用程序的安全传送,而不会降低最终用户的性能。

有关详细信息,请参阅”SSL分流和加速”。

 

访问控制列表

将传入数据包与访问控制列表(ACL)进行比较。如果报文与ACL规则匹配,则该规则中指定的动作将应用于该报文。否则,将应用默认操作(ALLOW),并正常处理数据包。要使设备将传入数据包与ACL进行比较,必须应用ACL。默认情况下启用所有ACL,但是必须应用它们才能使NetScaler对比输入数据包。如果不需要ACL查找一部分的数据表,但仍需要保留在配置中,则应在应用ACL之前禁用ACL。 NetScaler不会将传入数据包与禁用的ACL进行比较。

有关详细信息,请参阅”访问控制列表”。

 

负载均衡

负载平衡策略基于各种算法,包括循环,最小连接,加权最小带宽,加权最小分组,最小响应时间,以及基于URL,域源IP或目标IP的散列。支持TCP和UDP协议,因此NetScaler可以负载平衡使用这些协议作为底层运营商的所有流量(例如,HTTP,HTTPS,UDP,DNS,NNTP和一般防火墙流量)。此外,NetScaler可以基于源IP,cookie,服务器,组或SSL会话维持会话持久性。它允许用户将自定义扩展内容验证(ECV)应用于服务器,缓存,防火墙和其他基础设施设备,以确保这些系统正常运行,并为用户提供正确的内容。它还可以使用ping,TCP或HTTP URL执行运行状况检查,用户可以基于Perl脚本创建监视器。为了提供大规模WAN优化,部署在数据中心的CloudBridge设备可以通过NetScaler设备进行负载平衡。可以显着提高并发会话的带宽和数量。

有关详细信息,请参阅”负载平衡”。

 

流量域

流量域提供了在单个NetScaler设备中创建逻辑ADC分区的方法。它们使您能够为不同的应用程序分段网络流量。您可以使用流量域创建多个隔离环境,其资源不会相互交互。属于特定业务域的应用程序仅与实体通信,并处理该域内的流量。属于一个流量域的流量不能跨越另一个流量域的边界。因此,只要地址在同一域中不重复,您就可以在设备上使用重复的IP地址。

有关详细信息,请参阅”流量域”。

 

网络地址转换

网络地址转换(NAT)涉及修改通过NetScaler设备的IP分组的源和/或目的地IP地址和/或TCP / UDP端口号。在设备上启用NAT可增强专用网络的安全性,并在数据通过NetScaler时通过修改网络的源IP地址来保护其免受公共网络(如Internet)的影响。

 

NetScaler设备支持以下类型的网络地址转换:

INAT-In入站NAT(INAT)中,NetScaler设备上配置的IP地址(通常为公用)代表服务器侦听连接请求。对于设备在公共IP地址上接收的请求数据包,NetScaler将目标IP地址替换为服务器的专用IP地址。换句话说,设备充当客户端和服务器之间的代理。 INAT配置包括INAT规则,它们定义NetScaler设备上的IP地址与服务器的IP地址之间的1:1关系。

 

RNAT-在反向网络地址转换(RNAT)中,对于由服务器启动的会话,NetScaler设备将服务器生成的数据包中的源IP地址替换为设备上配置的IP地址(类型SNIP)。设备从而防止服务器的IP地址暴露在由服务器生成的任何分组中。 RNAT配置涉及指定条件的RNAT规则。设备对符合条件的那些数据包执行RNAT处理。

 

无状态NAT46翻译(Stateless NAT46 Translation)-无状态NAT46通过IPv4到IPv6数据包转换(反之亦然)实现IPv4和IPv6网络之间的通信,而无需在NetScaler设备上维护任何会话信息。无状态NAT46配置涉及IPv4-IPv6 INAT规则和NAT46 IPv6前缀。

 

状态NAT64转换(Stateful NAT64 Translation)– 有状态NAT64功能通过IPv6到IPv4数据包转换(反之亦然),实现IPv4客户端和IPv6服务器之间的通信,同时保持NetScaler设备上的会话信息。有状态NAT64配置涉及NAT64规则和NAT64 IPv6前缀。

有关详细信息,请参阅”配置网络地址转换”。

 

多路径TCP支持

NetScaler设备支持多路径TCP(MPTCP)。 MPTCP是一种TCP / IP协议扩展,它标识并使用主机之间可用的多个路径来维护TCP会话。您必须在TCP配置文件上启用MPTCP并将其绑定到虚拟服务器。启用MPTCP时,虚拟服务器用作MPTCP网关,并将与客户端的MPTCP连接转换为与服务器维护的TCP连接。

有关详细信息,请参见”MPTCP(多路径TCP)”。

 

内容切换

根据配置的内容切换策略确定要向其发送请求的服务器。策略规则可以基于IP地址,URL和HTTP头。这允许基于用户和设备特性(例如,用户是谁,使用什么类型的代理以及用户请求什么内容)来进行切换决定。

有关详细信息,请参阅”内容切换”。

 

全局服务器负载平衡(GSLB)

扩展NetScaler的流量管理功能,以包括分布式互联网站点和全球企业。无论安装是跨多个网络位置还是分布在单个位置的多个集群,NetScaler都会保持可用性并在其间分配流量。它做出智能DNS决策,以防止用户被发送到已关闭或过载的站点。当启用基于邻近的GSLB方法时,NetScaler可以根据客户端的本地DNS服务器(LDNS)与不同站点的邻近程度来做出负载平衡决策。基于邻近度的GSLB方法的主要益处是由于选择最接近的可用位点而产生的更快的响应时间。

有关详细信息,请参阅”全局服务器负载平衡”。

 

动态路由

使路由器能够自动从邻居路由器获取拓扑信息,路由和IP地址。当启用动态路由时,相应的路由进程侦听路由更新并发布路由。路由过程也可以置于被动模式。路由协议使上游路由器能够使用等成本多路径技术将流量负载平衡到位于两个独立NetScaler单元上的相同虚拟服务器。

有关详细信息,请参阅”配置动态路由”。

 

链路负载平衡

负载平衡多个WAN链路并提供链路故障转移,进一步优化网络性能并确保业务连续性。通过应用智能流量控制和运行状况检查,在上游路由器上高效地分配流量,确保网络连接保持高度可用。根据策略和网络条件识别用于路由入站和出站流量的最佳WAN链路,并通过提供快速故障检测和故障转移来保护应用程序免受WAN或Internet链路故障的影响。

有关详细信息,请参阅”链路负载平衡”。

 

TCP优化

您可以使用TCP配置文件优化TCP流量。 TCP配置文件定义NetScaler虚拟服务器处理TCP流量的方式。管理员可以使用内置的TCP配置文件或配置自定义配置文件。定义TCP配置文件后,可以将其绑定到单个虚拟服务器或多个虚拟服务器。

 

TCP配置文件可以启用的一些关键优化功能包括:

 

  • TCP keep-alive – 以指定的时间间隔检查对等体的操作状态,以防止链路断开。
  • 选择性确认(SACK) – 提高数据传输的性能,特别是在长链网络(LFN)中。
  • TCP窗口缩放 – 允许通过长链网络(LFN)高效传输数据。

有关TCP配置文件的详细信息,请参阅”配置TCP配置文件”。

 

NetScaler上的Web界面

提供对XenApp和XenDesktop资源(包括应用程序,内容和桌面)的访问。用户通过标准Web浏览器或使用Citrix XenApp插件访问资源。 Web Interface作为NetScaler设备上端口8080上的服务运行。要创建Web Interface站点,在NetScaler设备上的Apache Tomcat Web服务器版本6.0.26上执行Java。

注意:Web Interface仅在NetScaler nCore版本上受支持。

有关详细信息,请参阅”Web Interface”。

 

CloudBridge连接器

Citrix NetScaler CloudBridge连接器功能是Citrix OpenCloud框架的基本组成部分,是用于构建云扩展数据中心的工具。通过OpenCloud Bridge,您可以将云上的一个或多个NetScaler设备或NetScaler虚拟设备连接到网络,而无需重新配置网络。云托管应用程序显示为在一个连续的企业网络上运行。 OpenCloud Bridge的主要目的是使公司能够将其应用程序移动到云,同时降低成本和应用程序故障的风险。此外,OpenCloud Bridge增加了云环境中的网络安全性。 OpenCloud Bridge是将云实例上的NetScaler设备或NetScaler虚拟设备连接到LAN上的NetScaler设备或NetScaler虚拟设备的第2层网络桥接器。通过使用通用路由封装(GRE)协议的隧道进行连接。 GRE协议提供了用于封装来自各种网络协议的分组以通过另一协议转发的机制。然后,Internet协议安全(IPsec)协议组用于保护OpenCloud Bridge中的对等体之间的通信。

有关详细信息,请参阅”CloudBridge”。

 

数据流

NetScaler DataStream功能通过基于正在发送的SQL查询分发请求,为数据库层的请求切换提供了一种智能机制。

 

当部署在数据库服务器前面时,NetScaler确保来自应用程序服务器和Web服务器的流量的最佳分配。管理员可以根据SQL查询中的信息并基于数据库名称,用户名,字符集和数据包大小来划分流量。

 

您可以配置负载均衡以根据负载均衡算法切换请求,也可以通过配置内容切换以根据SQL查询参数(例如用户名,数据库名称和命令参数)做出决策来制定切换条件。您可以进一步配置监视器以跟踪数据库服务器的状态。

 

NetScaler设备上的高级策略基础结构包括可用于评估和处理请求的表达式。高级表达式评估与MySQL数据库服务器相关联的流量。您可以在高级策略中使用基于请求的表达式(以MYSQL.CLIENT和MYSQL.REQ开头的表达式),以在内容切换虚拟服务器绑定点和基于响应的表达式(以MYSQL.RES开头的表达式)上做出请求切换决策,以评估服务器对用户配置的运行状况监视器的响应。

注意:MySQL和MS SQL数据库支持DataStream。

有关详细信息,请参见”DataStream”。

 

应用程序加速功能

AppCompress

使用gzip压缩协议为HTML和文本文件提供透明压缩。典型的4:1压缩比可使数据中心的带宽需求减少50%。它还显著提高最终用户响应时间,因为它减少了必须递送到用户的浏览器的数据量。

有关详细信息,请参阅”压缩”。

 

高速缓存重定向

管理到逆向代理,透明代理或转发代理缓存场的流量流。检查所有请求,并标识不可缓存的请求,并通过持久连接将它们直接发送到源服务器。通过将不可缓存的请求智能地重定向回原始Web服务器,NetScaler设备释放缓存资源并增加缓存命中率,同时减少这些请求的总体带宽消耗和响应延迟。

有关详细信息,请参见”缓存重定向”。

 

AppCache

通过为静态和动态内容提供快速的内存中HTTP / 1.1和HTTP / 1.0兼容的Web缓存,帮助优化Web内容和应用程序数据传输。即使在传入请求被保护或数据被压缩时,这个板载缓存也存储传入应用请求的结果,然后重新使用该数据以满足对相同信息的后续请求。通过直接从板载缓存提供数据,设备可以减少页面重新生成时间,无需向服务器提供静态和动态内容请求。

有关详细信息,请参阅”集成缓存”。

 

TCP缓冲

缓冲服务器的响应,并以客户端的速度将其传递到客户端,从而更快地分流服务器,从而提高网站的性能。

有关详细信息,请参阅”TCP缓冲”。

 

应用程序安全和防火墙功能

拒绝服务攻击(DoS)防御

检测和阻止恶意分布式拒绝服务(DDoS)攻击和其他类型的恶意攻击,直到它们到达您的服务器,防止它们影响网络和应用程序性能。 NetScaler设备识别合法客户端并提高其优先级,使可疑客户端无法消耗不成比例的资源百分比,并使您的站点瘫痪。

 

该设备为以下类型的恶意攻击提供应用级保护:

  • SYN洪水攻击
  • 管道攻击
  • 分散式阻断服务攻击
  • Land attacks
  • 碎片攻击
  • 僵尸连接攻击

 

设备通过防止为这些连接分配服务器资源,积极防御这些类型的攻击。这使服务器与与这些事件相关联的大量数据包隔离。

 

该设备还通过使用ICMP速率限制和积极的ICMP数据包检查来保护网络资源免受基于ICMP的攻击。它执行强IP重组,丢弃各种可疑和畸形的数据包,并对站点流量应用访问控制列表(ACL)以进一步保护。

有关详细信息,请参阅”HTTP拒绝服务保护”。

 

内容过滤

提供针对网站在第7层级的恶意攻击的保护。设备根据基于HTTP头的用户配置规则检查每个传入请求,并执行用户配置的操作。操作可以包括重置连接,删除请求或向用户的浏览器发送错误消息。这允许设备筛选不需要的请求,并减少服务器的攻击。

 

此功能还可以分析HTTP GET和POST请求并过滤掉已知的坏签名,从而允许它防御您的服务器基于HTTP的攻击。

有关详细信息,请参阅”内容过滤”。

 

响应者

功能类似高级过滤器,可用于生成从设备到客户端的响应。此功能的一些常见用途是生成重定向响应,用户定义的响应和重置。

有关详细信息,请参阅”响应程序”。

 

改写

修改HTTP标头和正文文字。您可以使用重写功能将HTTP标头添加到HTTP请求或响应,修改单个HTTP标头或删除HTTP标头。它还允许您修改请求和响应中的HTTP主体。

 

当设备接收到请求或发送响应时,它会检查重写规则,如果存在适用的规则,它会将它们应用于请求或响应,然后再将其传递到Web服务器或客户端计算机。

有关详细信息,请参见”重写”。

 

优先级排队

优先化用户请求以确保在请求量浪涌期间首先服务最重要的流量。您可以根据请求网址,Cookie或其他各种因素确定优先级。设备根据其配置的优先级将请求放置在三层队列中,从而使关键业务事务即使在浪涌或站点攻击期间也能顺利流动。

有关详细信息,请参阅”优先级排队”。

 

浪涌保护

调整用户对服务器请求的流量,并控制可以同时访问服务器上资源的用户数,一旦您的服务器达到其容量,就排队任何其他请求。通过控制可以建立连接的速率,设备阻止请求的浪涌传递到您的服务器,从而防止站点超载。

有关详细信息,请参阅”浪涌保护”。

 

NetScaler网关

NetScaler Gateway是一种安全的应用程序访问解决方案,为管理员提供精细的应用程序级策略和操作控制,以安全地访问应用程序和数据,同时允许用户从任何地方工作。它为IT管理员提供单点控制和工具,以帮助确保遵守法规和企业内外的最高级别的信息安全。与此同时,它还为用户提供了一个针对角色,设备和网络的优化的单点访问权限,以及他们所需要的企业应用程序和数据。这种独特的功能组合有助于最大限度地提高当今移动办公人员的工作效率。

有关详细信息,请参阅”NetScaler Gateway”。

 

应用程序防火墙

通过过滤每个受保护的Web服务器和连接到该Web服务器上的任何网站的用户之间的流量,保护应用程序免受黑客和恶意软件的滥用,例如跨站点脚本攻击,缓冲区溢出攻击,SQL注入攻击和强制浏览。应用程序防火墙会检查所有流量,以获取对Web服务器安全性或Web服务器资源滥用的攻击的证据,并采取适当的措施防止这些攻击成功。

有关详细信息,请参阅”应用程序防火墙”。

 

应用程序可见性功能

NetScaler Insight Center

NetScaler Insight Center是一种高性能收集器,可提供跨Web和HDX(ICA)流量的端到端用户体验可视性。它收集NetScaler ADC设备生成的HTTP和ICA AppFlow记录,并填充涵盖第3层到第7层统计信息的分析报告。 NetScaler Insight Center提供对最近五分钟的实时数据以及对最后一小时,一天,一周和一个月收集的历史数据的深入分析。

 

HDX(ICA)分析仪表板,使您能够深入HDX用户,应用,桌面,甚至网关级信息。类似地,HTTP分析提供了Web应用程序,访问的URL,客户端IP地址和服务器IP地址以及其他仪表板的鸟瞰图。管理员可以根据用例向下深入并识别任何这些仪表板的痛点。

 

EdgeSight for NetScaler

支持基于最终用户体验的应用性能监控。此解决方案利用HTML注入功能获取各种时间值,由EdgeSight服务器用于分析和生成报告。 EdgeSight for NetScaler提供了一种监视NetScaler的性能优势并确定网络中潜在瓶颈的方法。

有关详细信息,请参见”EdgeSight Monitoring for NetScaler”。

 

使用AppFlow增强应用程序可见性

Citrix NetScaler设备是数据中心中所有应用程序流量的中心控制点。它收集对于应用程序性能监视,分析和商业智能应用程序有价值的流和用户会话级信息。 AppFlow通过使用互联网协议流信息eXport(IPFIX)格式传输此信息,IPFIX格式是RFC 5101中定义的开放因特网工程任务组(IETF)标准.IPFIX(思科的NetFlow的标准版本)被广泛用于监视网络流信息。 AppFlow定义了新的信息元素来表示应用程序级信息。

 

使用UDP作为传输协议,AppFlow将收集的数据(称为流记录)传输到一个或多个IPv4收集器。收集器聚合流记录并生成实时或历史报告。

 

AppFlow在事务级别为HTTP,SSL,TCP和SSL_TCP流提供可见性。您可以对要监视的流类型进行抽样和过滤。

 

要限制要监视的流的类型,通过抽样和过滤应用程序流量,您可以为虚拟服务器启用AppFlow。 AppFlow还可以为虚拟服务器提供统计信息。

 

您还可以为表示应用程序服务器的特定服务启用AppFlow,并监控到该应用程序服务器的流量。

有关详细信息,请参阅”AppFlow”。

 

流分析

您的网站或应用程序的性能取决于您如何优化最常请求的内容的交付。诸如缓存和压缩等技术有助于加速向客户端提供服务,但您需要能够识别最频繁请求的资源,然后缓存或压缩这些资源。您可以通过聚合关于网站或应用程序流量的实时统计信息来识别最常用的资源。统计信息(例如资源相对于其他资源的访问频率以及这些资源消耗的带宽)有助于您确定是否需要缓存或压缩这些资源以提高服务器性能和网络利用率。响应时间和与应用程序的并发连接数等统计信息可帮助您确定是否必须增强服务器端资源。

 

如果网站或应用程序不频繁更改,您可以使用收集统计数据的产品,然后手动分析统计信息并优化内容的交付。但是,如果您不想执行手动优化,或者您的网站或应用程序本质上是动态的,您需要的基础设施不仅可以收集统计数据,还可以根据统计信息自动优化资源的传送。在NetScaler设备上,此功能由Stream Analytics功能提供。此功能在单个NetScaler设备上运行,并根据您定义的条件收集运行时统计信息。与NetScaler策略配合使用时,此功能还为您提供自动实时流量优化所需的基础架构。

有关详情,请参阅”流媒体分析”。

 

云集成功能

自动缩放

所有应用程序都有包含波峰和波谷的特定使用模式。这些负载变化在本质上可以是动态的,并且难以预测,因为它们取决于几个因素,固有的实例。云用户必须不断监控其应用程序群上的负载,并确保这些变化对最终用户的影响最小。在峰值使用期间,当应用程序组过载并且最终用户体验到显着的延迟时,他们必须部署额外的应用程序实例。在低谷期间,扩大的实例得不到充分利用。因此,他们可能需要删除其他实例或承担不必要的成本开销。在大多数情况下,他们必须手动执行这些任务。

 

如果您的组织使用Citrix CloudPlatform部署和管理云环境,用户可以使用CloudPlatform中的AutoScale功能与Citrix NetScaler设备结合,根据需要自动扩展其应用程序。 AutoScale功能是CloudPlatform中弹性负载平衡功能的一部分。 CloudPlatform用户可以使用AutoScale功能来指定用于向上和向下自动缩放应用程序组的各种条件的阈值。 CloudPlatform反过来配置NetScaler设备(通过使用NetScaler NITRO API)对应用程序虚拟机(VM)进行负载平衡流量,监控应用程序阈值和性能,并触发向上扩展和向下扩展操作以添加或删除VM到或从应用程序组。

 

作为NetScaler管理员,您不必执行任何在NetScaler设备上配置AutoScale的任务。但是,您可能必须了解某些先决条件,如果AutoScale配置中出现问题,您可能必须对配置进行故障排除。要对配置进行故障排除,您必须了解CloudPlatform如何工作以及CloudPlatform将何种配置推送到NetScaler设备。您还需要有关如何解决NetScaler设备上的问题的工作知识。

有关AutoScale的详细信息,请参阅”AutoScale:Citrix CloudPlatform环境中的自动缩放”。

发表评论

Go