Citrix NetScaler 11的新功能 - Master Class【文字版-下】

時間 2021-01-22

原文原文鏈接

Telco（電信網絡）

上述咱們講了第一個維度，如今繼續講解第二個維度。在這個模塊中咱們會介紹在整個電信網絡中咱們會有哪些提高。下圖是介紹的內容目錄：前端

CGNAT是針對於NAT推出的解決方案，目前國內來說，一些特定的園區裏面有在小範圍的使用。對於IPv6來講，存在兩個問題：IPv4的地址愈來愈少，這是一個問題。第二問題來說，IPv6使用起來很是的緩慢，畢竟IPv6如皋靠人手動去配置的話仍是繁雜的事情。算法

那麼NetScaler針對於NAT推出的CGNAT，是若是作到地址的轉發轉換的。後端

如上圖，這是屬於傳統的IPv4的一個問題，若是咱們如今要發佈一個服務到公網，那麼咱們首先拿到了運營商給予咱們的一個公網IP地址。可是由於IPv4的地址空間已經不夠了，那麼這個公網IP地址就不是全局的IP地址，而是隻能在運營商的本地。也就是說，好比電信給了咱們一個公網的IP地址，咱們的這個公網Ip地址實際上是隻能跟電信的運營商的內部IP進行通訊，沒辦法跟聯通進行通訊，若是須要通訊那麼就須要經過電信的網關出去。經過外也是相似的狀況，經過其出口的網關出去，這個網關也作相似的NAT的技術來實現。由於給到咱們的公網IP地址在全球範圍內來講並非真正在全球上可使用的公網Ip地址，而是電信經過技術實現的所謂公網IP地址。瀏覽器

如上圖，咱們說在電信運營商那邊也須要經過NAT出運營商的大內網。因此NAT技術其實在現今的網絡環境這中很是的重要。也是應對IPv4減小的一種有效的方法。安全

那麼實際上NetScaler設備是能夠針對電信運營商的這個狀況，提供專門的NAT優化技術來作這個事情的。網絡

如上圖，就是NetScaler的CGNAT轉發圖。在NetScaler的CGNAT中咱們能夠作不少的事情，以下圖：架構

咱們能夠作到IPv4到IPv4的NAT，IPv4到IPv6的NAT以及IPv6到IPv4的NAT以及整個IPv6的NAT。app

首先就現目前來講，IPv6是比較多的，那麼咱們之後的模式就是內部IPv4，出去以後是IPv6。分佈式

接下來NetScaler還提供了對於DNS的一個審計功能，咱們知道NEtScaler自己帶有一個ADNS的這樣一個功能，咱們能夠針對於DNS的策略，咱們經過NetScaler的DNS作策略好什麼好處呢？好處就是在默寫場景下咱們能夠阻擋來自於DNS的***。經過DNS策略咱們還能夠作更多的東西，作了這些東西以後，其實最重要的仍是針對於這些功能的審計。NetScaler可能說我防禦了一個DNS***，那麼用戶不知道你到底作了啥事情，用戶不清楚。針對於用戶來講就像是一個黑盒同樣，不知道里面內部的狀況。以前的不少NetScaler的日誌都是基於Http、Web等這些友好的功能來作的。選擇在NetScaler 11當中來說的話，咱們就會有DNS的一個日誌記錄以及GSLB的日誌。其中對於GSLB的日誌實際上是蠻重要的。若是用戶作了GSLB以後，用戶須要知道訪問的客戶到底被分配到了那個站點。在原來的版本，咱們只能告訴客戶你想要經過網絡抓包本身看，選擇是話經過日誌就能查看。固然經過命令也能夠實現查看，可是前提是咱們作流量會話保持，經過查看會話的方式來查看GSLB的用戶訪問分配流程。可是這些方式其實都是及其不友好的，有些用戶就會去抱怨這個事情，NetScaler沒有專門針對於GSLB的日誌記錄。因此我沒有辦法看見你解析到了哪裏去，到底解析的對不對。同時在一些壓力測試的場景下，咱們和友商的PK就很是吃虧。ide

同時版本針對移動端也有一些感知，在上圖中，左邊是用戶存在的一些需求，每一個用戶的一些具體的需求，在右邊就是咱們具體的解決方案。這是充分從用戶的角度提交需求以後，以需求驅動進行的相應功能的開發。

同時對於NetScaler的有時功能TCP優化技術，也有提高：

加速對於用戶來說，廣域網環境下的加速必須是端到端的加速，即兩端之間必須分別都有加速設備。若是咱們在只有一臺NetScale的狀況下，咱們怎麼來作TCP的加速。在NetScaler 11當中來說，咱們加強了原有的TCP優化功能。將更多單邊加速的功能放置到了這裏面。這個其中着重點是針對於於移動端的優化和加速。比方說你是屬於3G4G網絡上來的仍是屬於WIFI上來的，咱們能夠調整在NetScaler對其進行調整，這些調整的參數大概就有50多項，調整以後，最終的目的是用戶的訪問體驗能夠增長30%。相對於端到端的加速解決來講，30%可能不算什麼，可是若是去考慮單邊加速的前提，其實這個提高是很是的多了。並且這個加速自己來講是針對TCP，因此咱們無論你的應用究竟是什麼，在TCP層面咱們均可以給你作這樣的一個優化。

有這這些功能以後就方便咱們去作SLA的管理。NetScaler能夠生成不少SLA的一些出發的SLA metrics，能夠把這些東西放置到Insight Center當中，那麼對於用戶來說就可用經過Insight Center來看到咱們的應用還SLA是怎麼樣的一個狀態。

Core ADC（應用交付）

接下來介紹NetScaler 11的第三個維度。

首先對於NetScaler的集羣，不知道你們是否部署過，Citrix NetScaler的集羣到目前爲止也只有Citrix有這樣一種形式的集羣模式。集羣模式簡單來理解，就相似有交換機的堆疊。NetScaler 的集羣模式。能夠堆疊到32臺設備，扛起1TB的流量。因此NetScaler並非要把機器造得愈來愈大，而是採用靈活的架構去部署Citrix NetScaler設備。講到集羣的時候，有一些知識點你們可能須要瞭解，集羣有幾種組合模式？有幾種部署模式？

好比說動態路由模式，在NetScaler的前端要有個路由器，這個路由器和NetScaler之間要設置OSPF的動態路由。這是其中的一種模式了，還有不少的模式。在NetScaler 11當中，在3層的路由模式下，NetScaler 11支持三種模式：Logical Cluster acrosssubnets、Enabling multi-sitedeployments、ECMP mode deploymentonly。其中Enabling multi-sitedeployments從多個站點去部署NetScaler集羣在之前的版本中是沒有的。如今就能夠在不一樣的網段、不一樣的站點之間進行部署NetScaler 集羣。並且之前作NetScaler的集羣都是支持http這樣的業務去作的。若是咱們的客戶環境除了http以外，還有其餘的一些服務，I裏ftp須要發佈的話，就不要在netScaler的集羣上進行發佈，這會存在一些問題。俺麼如今的版本11當中也不存在這樣的問題了，咱們支持ftp，支持動態路由。

如上圖，在配置動態路由的時候版本11支持SNIP來作動態路由，那麼咱們就能夠將流量分配到多個站點。當用戶來訪問的時候，咱們經過ECMP的這樣的方式，咱們就能夠將其進行動態的路由或者說分配。而就這個來說，我還能夠選擇高延時的鏈路仍是低延時的鏈路，可以很是靈活的去選擇咱們咱們說須要的流量特性。所以版本11當中的集羣模式就支持更多的場景，由於NetScaler 11的集羣支持跨網段了。

NetScaler withoutPartitioning，如今咱們來講說這個。你們都知道NetScaler有一款產品叫SDX，SDX是一個純虛擬化的模式，在SDX的硬件之上運行了一個被優化過的Citrix的XenServer，而後在上放置了不一樣的Citrix NetScaler VPX。着只是其中的一種虛擬化方式，這種方式藉助於底層虛擬化的平臺。可是在Citrix的NetScalezr 中，還有另外的一種虛擬化方式可使得用戶將不一樣的業務在NetScaler上分開，這種方式須要在NetScaler的Web界面裏面進行設置。這種模式也就是Partition。若是沒有Partition，那麼架設上述的這臺機器是MPX給到用戶，對於一個用戶來說，它須要管理如圖所示的這麼多應用，這麼多的應用放置在一臺MPX上，全部的配置都是一個配置文件。稍微的一個全局參數發送變化可能都會影響這些應用。那麼有了Partition以後呢？

全部的這些應用都是隔離的，並且都是本身獨立的配置文件，也就是說SharePoint就是一個單獨的服務，你登陸進去配置SharePoint，就感受這是一臺單獨的獨立給SharePoint使用的NetScaler設備同樣。那麼使用了Partition，咱們還能夠給每一個應用分配一個管理員，這樣咱們其實就能夠進行權限的委派，不一樣的人員去作不一樣的事情。這個功能主要去從管理界面上的一個區分，實質在底層仍是屬於同一個操做系統同一臺硬件設備。也能夠稱呼爲管理界面虛擬化。

那麼有了這麼一個功能了以後，其實MPX有就能夠在雲上進行使用了。如上圖，這樣NetScaler MPX能夠在這些場景下均可以使用了。在咱們的私有云當中來說，咱們有多個配置文件，多個SNMP、多個Logs，咱們能夠講不一樣應用的這些都分隔開。

那麼那些東西被隔離了呢？如上圖，咱們能夠看到，Filesystem被隔離了，若是說用戶啓用了Partition，而後擁有不一樣的管理員，每一個管理員有不一樣的配置文件。好比說，SSH證書，A管理員是看不到B管理員的SSH證書的。tracing被隔離了，A管理員看不見B管理員的Log，B也看不見A的。除此以外，SNMP不同，Syslogs不同以及NS.conf不同。

那麼在版本11當中有哪些提高呢？

如上圖所示，這些就是在版本11當中提高的地方。包括GSLB、AAA、內容交換等等功能的提高。其中好比RDP Proxy經過Admin Partition作這樣的虛擬化，在安全性上的好處是顯而易見的。

接下來咱們繼續在ADC層面談談Insight。在Gateway部分咱們着重描述的是HDX Insight，在ADC部分還有一個Web Insight是比較重要的。Web Insight在之前的版本中有一個問題就是，但Appflow的流量超過1GB的時候，Web Insight就特別的慢。甚至於在大型的環境中流量巨大的狀況下Web Insight跑不起來。那麼這個問題在版本11中是如何解決的？

在11當中，引進了一個新的概念。在原來的Web Insight中，就是一耳光基於虛擬化底層的虛擬機，如今咱們把Insight拆分開來，分爲三層，數據控制層，報表的引擎以及數據的收集節點。將其變成了一種徹底的分佈式的部署模式，在這種分佈式的部署當中，咱們就能夠去鏈接不一樣的Insight，那個節點尋找瓶頸了，那咱們就再增長一個節點好了。這樣咱們就作到了一個彈性的擴展，徹底知足性能增加的需求。

如上圖，咱們隨着設備的擴充，在架構不變的狀況下仍然工做的很好。同時，在最新的11當中，咱們還能夠將這個Insight的數據導入到最新的NetScaler MAS當中。NetScaler MAS會見這些數據統一的整合起來。將來Citrix會將全部的管理平臺都會統一到MAS當中。MAS如今對下面的設備是針對全部型號全部版本的NetScaler產品。上接全部的日誌、報表引擎、報表生成甚至因而SDN的管理軟件、雲平臺等等。同時MAS也是基於這樣的架構，和Insight同樣是分佈式架構的部署方式。

接下來咱們介紹MobileStream。在上述的章節中咱們曾經講述了TCP的優化部分，在NetScaler當中，講究的是多層的優化。其中MobileStream的優化功能，包括：移動端的協議的優化、多層的網絡加速、針對內容的下載流以及內容的排序等等，這些優化可使得咱們在移動端的訪問變得十分的便捷。MobileStream經過虛擬方式消除了續存通訊技術和網頁設計形成的不規則鏈接影響，從而改善移動性能;藉助智能雙網模式技術，NetScaler MobileStream得以透明利用無線和蜂窩鏈接，將移動應用加載和運行速度提高5倍，帶來全新的用戶體驗;NetScaler MobileStream還實現了與NetScaler Insight Center的全面整合，可以簡便地監視和控制移動流，應用程序和設備活動模式清晰可見，可迅速解決網絡問題並改進服務交付;在安全方面，NetScaler MobileStream提供了靈活的分應用、分用戶的訪問管理控制，實現了安全移動訪問，消除了移動數據泄露給未經受權移動設備的可能性。具體而言，在網絡鏈接方面，NetScaler能夠確保移動設備在3G、4G網絡和無線Wi-Fi之間無縫切換，而不會出現移動應重啓;在協議優化方面，NetScaler支持利用SPDY的協議(SPDY協議與傳統的HTTP相比，其傳輸速度會快幾倍)，而不管應用是否支持SPDY;在內容優化方面，NetScaler能夠根據移動終端的屬性(好比設備類型、屏幕大小等)，對呈現的內容進行調整，從而改善用戶體驗，好比，能夠在不影響用戶體驗的前提降低低圖片清晰度等。

在11當中，NetScaler的優化和加速徹底是充當了Http 2.0的網關的角色。如今的百度也已經啓用了http2.0，爲何要啓用http2.0，由於啓用了http2.0以後，會大大加快咱們頁面加載的時間。啓用http2.0第一步須要作的事情就是，你的網站須要啓用https你纔可能使用Http2.0。因此從這個角度來說，NetScaler的SSL加密就顯得十分的必要和強大。

因此http2.0到了NetScaler以後，就如上圖所示，後面咱們的傳統的應用程序徹底能夠不用在進行從新開發，只須要在NetScaler上啓用http2.0，將後端的http1.1轉換爲http2.0發送到前端或者說顯示給前端。最大化的和現有環境的系統集成的同時保護現有的投資。

HTTP2.0最大的亮點在於多路複用，而多路複用的好處只有在http請求量大的場景下才明顯，因此有人會以爲只適用於瀏覽器瀏覽大型站點的時候。這麼說其實沒錯，但http2.0的好處不只僅是multiplexing，請求壓縮，優先級控制，server push等等都是亮點。對於內容型移動端app來講，好比淘寶app，http請求量大，多路複用仍是能產生明顯的體驗提高。

如上圖，上述咱們講述了HTTP2.0有諸多的好處，可是企業說個人業務臺繁雜和龐大，從新使用http2.0來寫須要耗費大量的時間和財力，企業沒法承擔。那徹底能夠採用NetScaler來實現。在途中，左邊是http2.0的優點，在右邊，NetScaler經過這些功能來優化和實現甚至超過http2.0的體驗。甚至是將http1.1的相似轉化爲http2.0轉發出去，因此說NetScaler在這裏就變成了http2.0的網關，就是這個道理。

同時在多因素認證這一塊，也不僅是單一的流程，而是根據不一樣的策略來造成不一樣的認證模式，這些在NetScaler 11當中都是極大的提高以及加強。

咱們也有一個名叫GSS Replacement的功能，這個功能主要解決以前版本中的一些SSL存在的一些問題。

同時在自己的SSL功能面上，有如圖所示的提高。好比說VPX，在原來的VPX 10.5當中是不支持TLS 1.2的。就具體來說，涉及到其中的一些SSL Profiles。

同時針對NetScaler支持的SSL加解密算法，若是客戶端上比較老的客戶端，那麼他自己支持的算法比較舊，NetScale對其的加解密就不會使用過高的算法，由於客戶端太老，徹底不理解新的算法。上述的這些支持的選項徹底是根據用戶的須要進行選用的。

同時在有些場景下若是用戶使用了NetScaler的AppFW，那麼咱們的應用會不會變慢呢，可能用戶存在這樣的擔憂。咱們會確定的告訴用戶，並不會變慢，爲何不會變慢呢？

在NetScaler 11當中增長了一個功能，Do you Trust，也就是信譽庫。就這個功能來講，首先會有一個針對於IP的分類：

好比說你的公有云過來的一個IP，或者說是一個私有云過來的IP，那麼這些IP過來以後呢，NetScaler就能夠幫助用戶作到IP的分類，根據這些分類作到一些黑盒子或者白盒子。這一部分徹底能夠自動化，同時咱們也能夠進行手動選擇，咱們能夠經過條件表達式去判斷哪些IP地址過來以後執行相應的動做，是阻斷仍是掃描仍是直接放行。全部這個是屬於很是靈活是去判斷NetScaler到底要怎麼去作，對於這樣的一個信譽庫到目前爲止有12個Million的收集。

咱們還能夠Integration。Citrix NetScaler自己有一個生態鏈，這個生態鏈是在於說咱們能夠將NetScaler的數據吐出去，給到咱們生態鏈的上游廠家。

同時咱們能夠將漏洞掃描軟件進行漏洞掃描以後是內容，好比說存在的漏洞在NetScaler上面有進行修補的，能夠將其導入到NetScaler設備當中，而後變成一個修補的補丁形式存在，幫助修補這個漏洞。

同時對於所支持的PCI功能，PCI更新到那個版本NetScaler就支持到那個版本，NetScaler會不斷的發佈小版本進行更新，全部這部分徹底是跟着PCI的更新走。PCI是由業內重要的支付產品公司聯手創立的支付卡產業安全標準委員會(PCI SSC)—包括美國的Express、JCB、MasterCard和Visa—旨在規範整個產業的安全標準。PCI SSC開發的PCI PIN交易安全(PCI PTS)標準定義了金融終端安全性的要求。***行爲是試圖從POI提取PIN碼和加密密鑰。NetScaler設備根據PCI標準重點防禦了針對於銀行卡的各類***(物力篡改、環境更改、軟件接口***、密碼分析破解***、政策威脅)的安全防禦機制。