IBM Cloud Docs
Citrix Netscaler VPX をフォワード・プロキシーとしてセットアップ

Citrix Netscaler VPX をフォワード・プロキシーとしてセットアップ

Citrix Netscaler VPX をフォワード・プロキシーとしてセットアップすることができます。 フォワード・プロキシーは、内部ネットワーク上のクライアントとインターネットの間の単一の制御ポイントとして機能します。 プロキシによって、ネットワークまたはセキュリティ管理者は、インターネット・サイトへのアクセスを制限するポリシーを作成することができる。

内部ネットワーク上のクライアントが要求を開始すると、プロキシーの IP アドレスを使用して、インターネット上のリモート・サーバーへの要求が開始されます。 次に、リモート・サーバーはプロキシーに応答し、プロキシーはクライアントに応答を返します。

通常、プロキシーはファイアウォールと結合されて、内部ネットワーク内のクライアントのセキュリティーを確保します。

ステップ 1: プライベート・ネットワークで使用する VIP の要求

Citrix Netscaler VPX ロード・バランサーが IBM Cloud カタログから注文されると、リバース・プロキシーが要求されていると見なされます。 要求者は、仮想IP(VIP)として使用する「パブリック」IPの数を尋ねられる。

フォワード・プロキシーが存在する場合は、プライベート・ネットワーク上に VIP をセットアップする必要があります。 IBM サポートケースを使用して、プライベートネットワークの VIP を要求します。 必要なVIPの数によって、サポートケースで要求されるサブネットのサイズが決まります。 サブネット情報はサポート Case で返されます。

この例では、 /29 サブネットを要求します。その結果、以下のようになります。

  • プライベートVIP用のサブネット 10.114.27.0/29 を作成
  • サブネット IP (SNIP) 10.114.52.101、およびルーティングされたサブネット 10.114.27.0/29
  • サポート・チームは、VIP 10.114.27.0-3 を Citrix Netscaler VPX に追加しました。

ステップ 2: Citrix Netscaler VPX でのロード・バランシング機能およびキャッシュ・リダイレクト機能の有効化

デフォルトでは、Citrix Netscaler VPX ロード・バランサーのロード・バランシング機能とキャッシュ・リダイレクト機能は無効になっています。enable ns feature cr lb コマンドは、これらの機能を有効にします。

ステップ 3: フォワード・プロキシーの作成

コマンド・ラインを使用して、Citrix Netscaler VPX に対して以下のコマンドを発行します。 このシナリオでは、2 つの IBM Cloud DNS サーバーのうち 1 つだけが追加されます。

add cr vserver vs_forward_cache HTTP 10.114.27.3 80 -cachetype forward -redirect origin

add lb vserver virtual_dns DNS 10.114.27.4 53

add service Real_DNSServer 10.0.80.12 DNS 53

bind lb vserver virtual_dns Real_DNS

set cr vserver vs_forward_cache -dnsVservername virtual_dns

1 行目ではリダイレクト・キャッシュが作成されます。 プロトコルは HTTP で、10.114.27.3 はプライベート・ネットワークで要求される VIP の 1 つです。 デフォルトのポートはHTTPの80だが、このアドレスとポートの組み合わせはブラウザのプロキシ・ステートメントなので、ポートを変更することができる。

2 行目は、「実際の」DNS を表すロード・バランシング VIP を追加します。

3 行目は、「実際の」DNS の IP アドレスをサービスとして追加します。 このアドレスは、カスタマー DNS にすることも、IBM Cloud 提供の DNS リゾルバーに戻すこともできます。

4 行目では、VIPを「実際の」サーバーにバインドします。 10.114.27.4 に対するすべての DNS 要求は 10.0.80.12 に送信されます。

5 行目では、フォワード・プロキシー仮想サーバーに対して、名前解決に仮想 DNS を使用するよう指示しています。

クライアントの構成

クライアントでFirefox ブラウザを使用して、公開サイト (たとえば、http://www.ibm.com) にアクセスできないことを確認してください。 クライアントにはパブリック・インターフェースが存在しないので、このリクエストは失敗するはずである。

以下の例では、Linux クライアントを構成します。

まず、クライアント上のリゾルバをバーチャルDNSに向ける必要がある。 このプロセスには2つの方法がある。

/etc/resolv.conf を手動で編集して、DNS の仮想アドレスを指すようにすることができます。 クライアント管理ツールは、これらの変更を元の設定に戻すことができます。

あるいは、/etc/sysconfig/network-scripts/ifcfg-ethx インターフェースを編集し、DNS1= ステートメントを追加することもできます。 このコンフィギュレーションが設定されたら、service network restartコマンドを発行して変更を反映させる。

どちらの場合でも、DNS IPアドレスはバーチャルDNSアドレスとして設定され、Citrix Netscaler VPX 転送プロキシにリクエストを向けるように設定されたクライアントのブラウザでなければなりません。

Firefox 内で以下のステップを実行して、必要な変更を行います。

  1. **「設定 (Preferences)」>「拡張 (Advanced)」>「ネットワーク (Network)」>「接続設定 (Connection Settings)」**をクリックします。
  2. **「手動でプロキシを設定する (Manual Proxy Configuration)」**を選択し、以下を入力します。
    • アドレス: 10.114.27.3
    • ポート: 80
    • **「すべてのプロトコルでこのプロキシを使用する (Use this proxy server for all protocols)」**チェック・ボックスにチェック・マークを付けます。
  3. **「保存 (Save)」**をクリックし、ブラウザー・ウィンドウを閉じます。

IPアドレス 10.114.27.3 は、ステップ1で作成したフォワーディング・キャッシュのIPアドレスである。

セットアップは完了し、プライベートネットワーク上に隔離されたリソースからインターネットにアクセスできる。

セットアップの検証

クライアントがフォワード・プロキシーを使用するように構成されたので、パブリック・サイトへのアクセスを再試行します。 今度は、要求が正常に実行されるはずです。

以下の表示コマンドを使用して、フォワード・プロキシーの状態を検証できます。

  • show cr policy: 既存のすべてのキャッシュ・リダイレクト・ポリシーを表示します。
  • show policy map: 構成済みのマップ・ポリシーと、関連するマップ・ポリシー情報を表示します。
  • show cr vserver: 指定されたキャッシュ・リダイレクト仮想サーバー、またはすべての構成済みキャッシュ・リダイレクト仮想サーバーを表示します。
  • stat cr vserver: キャッシュ・リダイレクト Vserver 統計を表示します。

Citrix で基本的なフォワード・プロキシーを構成することにより、内部ネットワーク上のクライアントにインターネット上のリソースへのセキュア・パスを提供できます。 また、ネットワーク管理者は、ネットワークに対する制御のレベルを維持することができます。

お客様のサイト実装環境では、リソースをさらに保護するために、ファイアウォールを構成に追加します。