Etape 1 : Demander des adresses VIP utilisables sur le réseau privé

Lorsqu'un client passe commande d'un équilibreur de charge Citrix Netscaler VPX depuis le catalogue IBM Cloud, sa demande est censée porter sur un proxy inverse (reverse proxy). Le demandeur est invité à indiquer le nombre d'IP "publiques" à utiliser comme IP virtuelles (VIP).

S'il existe un proxy direct, les adresses IP virtuelles doivent être configurées sur le réseau privé. Demandez des VIP pour le réseau privé en utilisant un IBM Support case. Le nombre de VIP dont vous avez besoin détermine la taille du sous-réseau demandé dans le cas de support. Les informations concernant le sous-réseau sont renvoyées dans le cas de support.

Dans cet exemple, vous demandez un sous-réseau /29, ce qui se traduit par ce qui suit:

• Création d'un sous-réseau 10.114.27.0/29 à utiliser comme VIP privé
• L'attribution de la SNIP (Subnet IP) 10.114.52.101 et du sous-réseau routé 10.114.27.0/29
• L'équipe de support a ajouté des adresses IP virtuelles 10.114.27.0-3 à Citrix Netscaler VPX

Etape 2 : Activer les fonctions d'équilibrage de charge et de redirection en cache sur Citrix Netscaler VPX

Par défaut, les fonctionnalités d'équilibrage de charge et de redirection en cache (CR, Cache Redirect) sont désactivées sur l'équilibreur de charge Citrix Netscaler VPX. La commande enable ns feature cr lb permet de les activer.

Etape 3 : Créer le proxy direct

Utilisez la ligne de commande pour envoyer les commandes suivantes au Citrix Netscaler VPX. Dans ce scénario, un seul des deux serveurs DNS IBM Cloud est ajouté.

add cr vserver vs_forward_cache HTTP 10.114.27.3 80 -cachetype forward -redirect origin

add lb vserver virtual_dns DNS 10.114.27.4 53

add service Real_DNSServer 10.0.80.12 DNS 53

bind lb vserver virtual_dns Real_DNS

set cr vserver vs_forward_cache -dnsVservername virtual_dns

La ligne 1 crée le cache cible de la redirection. Le protocole dont le trafic est redirigé est HTTP et 10.114.27.3 est l'une des adresses VIP demandées sur le réseau privé. Le port par défaut est 80 pour HTTP, mais comme cette combinaison d'adresse et de port est la déclaration de proxy dans le navigateur, le port peut être modifié.

La ligne 2 ajoute une VIP d'équilibrage de charge qui représente le "vrai" DNS.

La ligne 3 ajoute l'adresse IP du “vrai” DNS en tant que service. Cette adresse peut être celle du DNS du client ou une adresse renvoyant aux programmes de résolution DNS fournis par IBM Cloud.

La ligne 4 lie la VIP au “vrai” serveur. Toutes les demandes de résolution DNS adressées à 10.114.27.4 sont envoyées à 10.0.80.12.

La ligne 5 indique au serveur virtuel proxy direct d'utiliser le DNS virtuel pour la résolution des noms.

Configuration du client

Veillez à personnaliser le client pour qu'il utilise le proxy de transfert, assurez-vous que vous ne pouvez pas accéder à un site public (par exemple, http://www.ibm.com) en utilisant le navigateur Firefox sur le client. Comme il n'existe pas d'interface publique sur le client, cette demande doit échouer.

Dans l'exemple suivant, on configure un client Linux.

Vous devez apporter quelques modifications au client, la première étant de faire pointer le résolveur du client vers le DNS virtuel. Ce processus s'effectue de deux manières.

Vous pouvez éditer manuellement le fichier /etc/resolv.conf afin de pointer sur l'adresse virtuelle du DNS. Les outils de gestion du client peuvent rétablir les paramètres d'origine de ces modifications.

Ou bien vous pouvez éditer l'interface /etc/sysconfig/network-scripts/ifcfg-ethx et ajouter l'instruction DNS1=. Une fois cette configuration établie, lancez la commande service network restart pour prendre en compte les modifications.

Dans les deux cas, l'adresse IP DNS doit être configurée comme adresse DNS virtuelle, et le navigateur du client doit être configuré pour diriger les requêtes vers le proxy de transfert.

Utilisez les étapes suivantes dans Firefox pour effectuer les changements nécessaires :

1. Cliquez sur Préférences > Avancé > Réseau > Paramètres de connexion.
2. Sélectionnez Configuration manuelle du proxy et entrez les données suivantes :
   • Adresse : 10.114.27.3
   • Port : 80
   • Cochez la case Utiliser ce serveur proxy pour tous les protocoles.
3. Cliquez sur Sauvegarder et fermez la fenêtre du navigateur.

L'adresse IP 10.114.27.3 est l'adresse IP du cache de transfert créé à l'étape 1.

L'installation est terminée et vous pouvez accéder à l'internet à partir de la ressource isolée sur le réseau privé.

Validation de la configuration

Le client étant maintenant configuré pour utiliser le proxy direct, essayez à nouveau d'accéder à un site public. La demande doit maintenant aboutir.

Vous pouvez utiliser les commandes d'affichage suivantes pour vérifier l'état du proxy direct.

• show cr policy : affiche toutes les politiques de redirection vers un cache existantes.
• show policy map : affiche les politiques de mappe configurées et les informations associées.
• show cr vserver : affiche un serveur virtuel de redirection vers un cache spécifique ou tous les serveurs virtuels de redirection vers un cache configurés.
• stat cr vserver : affiche les statistiques des serveurs virtuels (Vserver) de redirection vers un cache.

La configuration d'un proxy direct de base sur Citrix permet aux clients situés dans un réseau interne de disposer d'un moyen d'accès sécurisé aux ressources sur Internet. Elle permet aussi à l'administrateur réseau de maintenir un niveau de contrôle du réseau.

Pour les implémentations de site client, ajoutez un pare-feu à la configuration afin de protéger davantage les ressources.