Ускоренный курс по NetScaler

SYN-616

Joshua Travers & Steven Barnes

Americas Technical Readiness Cloud Networking
10 мая 2015

v2 March © 2015 Citrix

Основы ADC
Application Delivery Controller = Контроллер доставки приложений

 Продвинутые балансировщики нагрузки с функциями и возможностями,

повышающими производительность приложений.
 Оптимизируют сложные инфраструктуры приложений от web приложений
до Exchange, SharePoint и баз данных.

© 2015 Citrix
Функции ADC

 Балансировка нагрузки  Безопасность HTTP

 Буферизация TCP
 Проверка состояния сервисов
 Кеширование HTTP
 Фильтрация контента
 Сжатие HTTP
 Расстановка приоритетов в
очереди
 Переключение контента
 Аутентификация клиентов
 Разгрузка и ускорение SSL
 Защита от DDOS

© 2015 Citrix
NetScaler делает это всё и ещё
больше!

© 2015 Citrix | Confidential

 Операция Обратного Прокси

5 © 2015 Citrix
Безопасный обратныйSecure
прокси
Reverse–Proxy
Высокоуровневая схема возможностей
S1
S1 A1
A1

SQL NetScaler
FTP
HTTPS
HTTP
PwO
PwO
VIP
DNS UDP
S2
S2 A2
A2 NetScaler
TCP CG CB
SAAS
SAAS IAAS
gateway
gateway
AD
AD

NetScaler
NetScaler S3
S3 A3
A3

Es
Es

Коммутация Безопасность Управление Платформы & Tri-Scale

L7 Request Switching CGNAT, Diameter, Web Application Firewall CLI/GUI/RESTful API/SNMP

(Load Balance) SIP, SMPP, VXLAN, L4-7 ACL (stateful & Dynamic)
vPath, RISE, ACI Orchestration & Control Center
Advanced Health Check DoS Protections KVM
Integration AppFlow XenServer
Content Switching Оптимизация DNS SEC VMWare
Syslog VPX 10, 200, 1G, 3G
Hyper V
GSLB SSL Offload Rewrite + Responder
Command Center 5550-5650 8005-8015
VLAN, SR-IOV, PBR TCP Offload SSL VPN 9700-15500 FIPS
NSWL MPX
11515-11542 17550-21550
Dynamic Routing TCP Buffering AAA for App Traffic
AppExpert 22040-22120 24100-24150
AppExpert Callout Surge Protection Cloud Gateway App Controller
Insight для Web 25100T-25160T 11515-
8015
NetScaler Cloud ConnectorCompression XenMobile
Insight для HDX SDX 11542
NetScaler DataStream 17550-21550 22040-22120
Caching SAML IDP & SP 24100-24150
Web 2.0 Push KCD
© 2015 Citrix
NetScaler: больше чем ADC

 Соответствующий требованиям PCI – Web Application Firewall

 Unified Gateway включающий SSL VPN, Secure Gateway (ICA Proxy) и
безклиентский VPN
 Insight Center Server
 Разгрузку AAA
 Data Stream для SQL (MS SQL & MySQL)

© 2015 Citrix
Выберите свой собственный путь

© 2015 Citrix
Command Line Interface (CLI)
Можно делать операции Копирования & Вставки прямо из руководств и документов по
использованию CLI

© 2015 Citrix
AAA -TM
Аутентификация, Авторизация и Аудит для управления трафиком

© 2015 Citrix | Confidential

 AAA
Аутентификация
Процесс идентификации индивидуума, обычно базируется на сочетании имени пользователя &
пароля. Аутентификация основывается на идее, что каждый индивидуальный пользователь имеет
уникальную информацию, которая позволяет его выделить среди других пользователей.

Авторизация
Процесс предоставления или запрета доступа пользователя к сетевым ресурсам, после того как
пользователь прошёл аутентификацию, используя своё имя и пароль. Количество информации и
количество сервисов, к которым пользователь получит доступ зависит от уровня авторизации
пользователя.

Аудит/ Ведение учёта

Процесс регистрации активности пользователя, во время доступа к сетевым ресурсам, включая
количество времени потраченного в сети, сервисы, к которым был получен доступ в это время и
количество данных переданных во время сессии. Такие данные обычно используются для ‘анализа
трендов, планирования мощности, выставления счетов и аудита и определения центра затрат’
© 2015 Citrix
 Операция Обратного Прокси

12 © 2015 Citrix
Давняя проблема

ЧТО?
ОПЯТЬ?
Это же я!
http://app1
http://app2
Security Assertion Markup Language (SAML, pronounced "sam-el"[1]) is an 
XML-based open standard data format for exchanging authentication and 
ПО 1
authorization data between parties, in particular, between an identity provider
 and a service provider. SAML is a product of the OASIS Security Services
Technical Committee. SAML dates from 2001; the most recent update of
SAML is from 2005.
The single most important requirement that SAML addresses is web browser 
single sign-on (SSO). Single sign-on solutions are common at the intranet

Sess_Cookie=12345
 level (using cookies, for example) but extending these solutions beyond the
intranet has been problematic and has led to the proliferation of non-

Пользователь :_____
Пользователь: _____
interoperable proprietary technologies. (Another more recent approach to
addressing the browser SSO problem is the OpenID protocol.)
The SAML specification defines three roles: the principal (typically a user), the
identity provider (IdP), and the service provider (SP). In the use case
addressed by SAML, the principal requests a service from the service
provider. The service provider requests and obtains an identity assertion from

Пароль: ___________
__________
the identity provider. On the basis of this assertion, the service provider can
make an access control decision – in other words it can decide whether to
perform some service for the connected principal.
Before delivering the identity assertion to the SP, the IdP may request some
information from the principal – such as a user name and password – in order
to authenticate the principal. SAML specifies the assertions between the three
parties: in particular, the messages that assert identity that are passed from
the IdP to the SP. In SAML, one identity provider may provide SAML
assertions to many service providers. Conversely, one SP may rely on and
trust assertions from many independent IdPs.

ПО 2
SAML does not specify the method of authentication at the identity provider; it
may use a username and password, or other form of authentication, including 
multi-factor authentication. A directory service, which allows users to login with
a user name and password, is a typical source of authentication tokens (e.g.
passwords) at an identity provider. The popular common internet social
networking services also provide identity services that in theory could be used
to support SAML exchanges.

Sess_Cookie=abcd

© 2015 Citrix
Single Sign-on для Web приложений

{Cookie}
AAA:1234

Клиент POST
302
GET
302 401
user:pass Unauthorized
/aaa-vserver
OKGET
/webapp
/webapp
200GET /webapp NS
/anotherwebapp 401 Unauthorized
200
GETWeb OK
/webapp
ПО

{SSO}
User:Pass
http://webapp
http://anotherwebapp
http://aaa-vserver
http://webapp
When the user opens the published application, the
request passes through the NetScaler Gateway
virtual server because it is a CVPN URL. The
NetScaler Gateway virtual server verifies the traffic

Пользователь: ___
policy that requests for an SAML SSO. The NetScaler
Gateway virtual server generates an SAML response
with the user name and password, and complete
assertion is signed. The SAML response is sent to

Пароль: ________
the user with a 302 response to the load balancing
virtual server.

© 2015 Citrix
 Возможности NetScaler по Аутентификации (с версии 10.5)
RADIUS Accounting for AG Vserver/AAA

AAA Session Stickiness

Force Timer for AAA-TM/OWA Session Timeout

Configure external authentication servers with FQDN

PI Support for Auth Subsystem

Client Certificate Pass-through

AAA-TM Error Strings when Authentication Fails

NetScaler as SAML IDP / SP

Support for Web Authentication

Strong Encryption Support in KCD/Kerberos

Kerberos Performance Enhancements

© 2015 Citrix
..
Data Stream
Data Stream для SQL

v2 March © 2015 Citrix

Взрыв данных

С взрывным ростом онлайн приложений в

Интернет…....... появляется ненасытная
необходимость для ёмкости баз данных, чтобы
организации были способны реагировать ……. и
анализировать их бизнес для оптимальной
производительности.

© 2015 Citrix
 Преимущества NetScaler DataStream

Высокая
Scale Up Scale Out
доступность

Мультиплексирование SQL Врождённая балансировка SQL Автоматизированный

 Масштабирование TCP подключений  Коммутация запросов переход по сбою IP
 Размещение большего количества  Быстрый отклик ПО  Основан на виртуальных IP
БД на сервере  Экономичный вариант HA
 Сокращение оборудования SQL

Разгрузка подключений SQL Политики знающие об SQL Интеллектуальный

 Освобождает ресурсы памяти/ЦПУ  Разделение Read/write мониторинг
 Быстрое исполнение запросов  DB sharding  Знающий о статусе
 Гранулярный контроль репликации

© 2015 Citrix
 Проверка производительности с элементом контроля
Транзакции в секунду

Профиль трафика: TPS_1

MPX Direct With NS

Transactions/sec         5,250       14,700

Queries/sec       21,000       58,800

Queries/minute 1,260,000  3,528,000

Latency of each transaction (ms)             34             13
PE CPU use % N/A             46

SQL server CPU use %           100            100

SQL server RAM use (MB)           131            123

RX tput (Mbps) 80/75  205/160
Client connections/ Server connections               1               1
 

Конфигурация
MS SQL Server 2008 на 4-х ядрах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_1:  вход пользователя, запуск 5 запросов и выход. (вход + установка БД в
AdventureWorks2008R2, затем 4 запрос на чтение и в конце отправка FIN для терминации подключения).

© 2015 Citrix
 Проверка производительности с элементом контроля
Транзакции в секунду

Профиль трафика: TPS_1

MPX Direct With NS

Transactions/sec         5,250       14,700

Queries/sec       21,000       58,800

Queries/minute 1,260,000  3,528,000

Latency of each transaction (ms)             34             13
PE CPU use % N/A             46

SQL server CPU use %           100            100

SQL server RAM use (MB)           131            123

RX tput (Mbps) 80/75  205/160
Client connections/ Server connections               1               1
 

Конфигурация
MS SQL Server 2008 на 4-х ядрах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_1:  вход пользователя, запуск 5 запросов и выход. (вход + установка БД в
AdventureWorks2008R2, затем 4 запрос на чтение и в конце отправка FIN для терминации подключения).

© 2015 Citrix
 Проверка производительности с элементом контроля
Транзакции в секунду

Профиль трафика: TPS_1

MPX Direct With NS

Transactions/sec         5,250       14,700

Queries/sec       21,000       58,800

Queries/minute 1,260,000  3,528,000

Latency of each transaction (ms)             34             13
PE CPU use % N/A             46

SQL server CPU use %           100            100

SQL server RAM use (MB)           131            123

RX tput (Mbps) 80/75  205/160
Client connections/ Server connections               1               1
 

Конфигурация
MS SQL Server 2008 на 4-х ядрах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_1:  вход пользователя, запуск 5 запросов и выход. (вход + установка БД в
AdventureWorks2008R2, затем 4 запрос на чтение и в конце отправка FIN для терминации подключения).

© 2015 Citrix
 Проверка производительности с элементом контроля
Транзакции в секунду

Профиль трафика: TPS_1

MPX

Transactions/sec

Queries/sec

Queries/minute
Latency of each transaction (ms)
Direct

        5,250

      21,000

1,260,000
            34
With NS

      14,700

      58,800

 3,528,000
            13
3x улучшение

PE CPU use % N/A             46

SQL server CPU use %           100            100

SQL server RAM use (MB)           131            123

RX tput (Mbps) 80/75  205/160
Client connections/ Server connections               1               1
 

Конфигурация
MS SQL Server 2008 на 4-х ядрах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_1:  вход пользователя, запуск 5 запросов и выход. (вход + установка БД в
AdventureWorks2008R2, затем 4 запрос на чтение и в конце отправка FIN для терминации подключения).

© 2015 Citrix
 Проверка производительности с элементом контроля
Задержка
Профиль трафика: TPS_2

MPX Direct With NS

Transactions/sec         7,100       36,000

Queries/sec         7,100       36,000

Queries/minute     426,000  2,160,000

Latency of each transaction (ms)             26            1.3

PE CPU use % N/A             65

SQL server CPU use %           100             95

SQL server RAM use (MB)           128            113

RX tput (Mbps)             60            200

Client connections/ Server connections               1               1

Конфигурация
MS SQL Server 2008 на 4-х ядерах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_2:  вход пользователя, запуск 2 запросов и отключение. (вход в систему + установка БД в
AdventureWorks2008R2, затем 1 запрос на чтение и в конце отправка FIN для терминации подключения).
Запрос на чтение делает выборку последней строки в таблице "Sales.SalesReason" в базе данных AdventureWorks2008R4.

© 2015 Citrix
 Проверка производительности с элементом контроля
Задержка
Профиль трафика: TPS_2

MPX Direct With NS

Transactions/sec         7,100       36,000

Queries/sec         7,100       36,000

Queries/minute     426,000  2,160,000

Latency of each transaction (ms)             26            1.3

PE CPU use % N/A             65

SQL server CPU use %           100             95

SQL server RAM use (MB)           128            113

RX tput (Mbps)             60            200

Client connections/ Server connections               1               1

Конфигурация
MS SQL Server 2008 на 4-х ядерах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_2:  вход пользователя, запуск 2 запросов и отключение. (вход в систему + установка БД в
AdventureWorks2008R2, затем 1 запрос на чтение и в конце отправка FIN для терминации подключения).
Запрос на чтение делает выборку последней строки в таблице "Sales.SalesReason" в базе данных AdventureWorks2008R4.

© 2015 Citrix
 Проверка производительности с элементом контроля
Задержка
Профиль трафика: TPS_2

MPX Direct With NS

Transactions/sec         7,100       36,000

Queries/sec         7,100       36,000

Queries/minute     426,000  2,160,000

Latency of each transaction (ms)             26            1.3

PE CPU use % N/A             65

SQL server CPU use %           100             95

SQL server RAM use (MB)           128            113

RX tput (Mbps)             60            200

Client connections/ Server connections               1               1

Конфигурация
MS SQL Server 2008 на 4-х ядерах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_2:  вход пользователя, запуск 2 запросов и отключение. (вход в систему + установка БД в
AdventureWorks2008R2, затем 1 запрос на чтение и в конце отправка FIN для терминации подключения).
Запрос на чтение делает выборку последней строки в таблице "Sales.SalesReason" в базе данных AdventureWorks2008R4.

© 2015 Citrix
 Проверка производительности с элементом контроля
Задержка

20x
Профиль трафика: TPS_2

MPX Direct With NS

Transactions/sec         7,100       36,000

снижение
Queries/sec         7,100       36,000

Queries/minute     426,000  2,160,000

Latency of each transaction (ms)             26            1.3

PE CPU use % N/A             65

SQL server CPU use %           100             95

SQL server RAM use (MB)           128            113

RX tput (Mbps)             60            200

Client connections/ Server connections               1               1

Конфигурация
MS SQL Server 2008 на 4-х ядерах + 4GB RAM Server/Windows 2003 32 bit, Intel Xeon X5680 3.33 GHz
Топология: 1 arm mode
Коммутатор: Cisco 3750
Профиль трафика TPS_2:  вход пользователя, запуск 2 запросов и отключение. (вход в систему + установка БД в
AdventureWorks2008R2, затем 1 запрос на чтение и в конце отправка FIN для терминации подключения).
Запрос на чтение делает выборку последней строки в таблице "Sales.SalesReason" в базе данных
AdventureWorks2008R4.
© 2015 Citrix
 Work better. Live better.

© 2015 Citrix