More Related Content
Similar to ここまで進化したNetScalerのリモートアクセスソリューション ~ Unified Gatewayとは ~ (20)
More from Citrix Systems Japan (20)
ここまで進化したNetScalerのリモートアクセスソリューション ~ Unified Gatewayとは ~
- 2. 2 © 2015 Citrix.
アジェンダ
ICA Proxyのポイント
新たな課題への対応
Unified Gatewayとは
Unified Gatewayの設定概要
まとめ
- 5. 5 © 2015 Citrix.
安全で快適なリモート
アクセスを提供する
いつでも、どこでも、
どんなデバイスからでも
- 6. 6 © 2015 Citrix.
Full VPNとICA Proxyの比較
NetScaler
社内リソースFull VPN
事前にVPNをセットアップ / クライアントは社内ネットワークの一部になる
すべての社内リソースへのアクセスが可能 / クライアントの安全性の担保が必要
※同時接続ユーザ数分のユニバーサル・ライセンスが必要
NetScaler
Gateway Plug-in
NetScaler
XenDesktop
XenAppICA over SSL
ICA
ICA Proxy
Citrix Receiver
画面転送(ICA)のみを取り扱う
双方向でICA以外のアプリケーション、プロトコルは利用できないためより安全
一般的なSSL-VPNやIPsecと比べて、ICA Proxyはセキュリティ上のメリットがあります。
- 7. 7 © 2015 Citrix.
ICA Proxy 実装製品
NetScaler Gateway VPX
• 仮想アプライアンス
• NetScalerソフトウェアでNetScaler
Gateway機能のみライセンスで有効化
• ICAプロキシおよびフルVPN
• 最大500同時接続 ※1
• 最大スループット45Mbps
NetScaler VPX NetScaler MPX/SDX
• ハードウェアアプライアンス
• NetScaler上の実装
• ICAプロキシおよびフルVPN
• 最大10,000以上同時接続
(MPX 5550では5,000)
• 仮想アプライアンス
• NetScalerソフトウェア上の実装
• ICAプロキシおよびフルVPN
• 最大1500同時接続 ※1,2
• スループット10Mbps~3Gbps
※1 ハードウェアの性能にも依存します。
※2 VPX1000/3000に4コア割り当てた場合です。
仮想アプライアンスの場合はサイジングに注意が必要です。
- 8. 8 © 2015 Citrix.
ICA Proxyの構成
ワンアーム、ツーアーム(インライン)構成の両方に対応します。
802.1Q
タグVLANもOK
One-Arm Two-Arm
AD WI/SF AD WI/SF
- 9. 9 © 2015 Citrix.
ICA Proxyの通信フロー
StoreFront
NetScaler
インターネット 内部ネットワークDMZ
443
443/80
443
XenApp
XenDesktop
Active
Directory
389/636
STA
80/8080
ICA
443
VDA
ICA 1494/2598
内部ではどのような通信が行われているのでしょうか。
- 10. 10 © 2015 Citrix.
ICA Proxyで利用する通信プロトコルとポート番号
ファイアウォールで適切なポートを開放する必要があります。
WebInterface /
StoreFront
AD
(LDAP/LDAPS)
STA
DNS
クライアント
FW
DNS
FW
VIP
443 (HTTPS)
53 (UDP)
SNIP
80,443 (HTTP/HTTPS)
443 (HTTPS)
389/636 (TCP)
80,443 (HTTP/HTTPS)
1494, 2598 (TCP)
VDA
443,80 (HTTPS/HTTP)
3010, 3008 ,22 (TCP)
- 11. 11 © 2015 Citrix.
ICA Proxyのトラブルシューティング
ルーティングの問題
- NetScalerと内部のサーバー間でネットワークの疎通が取れていますか?
- SF/WIからNetScalerのVIPに対してルーティングがありますか?
SSL証明書の問題
- NetScalerに有効なサーバー証明書がインストールされていますか?
- クライアントとSF/WIに有効なルート証明書がインストールされていますか?
DNS名前解決の問題
- FQDNで指定したホスト名は名前解決できていますか?
ファイアウォールの問題
- 通信に必要なIPアドレスやポートは開放されていますか?
設定ミス
- わずかなスペルミスが原因で接続ができないことも多いです。
ICA Proxy構築時のトラブルの多くは、以下の問題が原因です。
- 13. 13 © 2015 Citrix.
企業が利用するアプリケーションの数とデバイスの種類は増え続けています。
増え続けるアプリケーションとデバイス
- 14. 14 © 2015 Citrix.
企業が利用するアプリケーションを提供するインフラも様々です。
アプリケーションを提供するインフラの多様化
オンプレミス
パブリッククラウド
ハイブリッドクラウド
クラウド
- 15. 15 © 2015 Citrix.
Micro VPN / ADC
Windows Desktops
SharePoint & File Shares
StorageZones
Windows Apps
Mobile Apps
SasS & Web Apps
デリバリコントローラ Apps & Data
Enterprise
Enterprise Apps
ICA Proxy
ADC
ADC
NetScaler
SSL-VPN
Internal Resources
Clientless-VPN
VPN
VPN
クライアント
NetScalerの入口は...
サービスの数だけ入口が増えます。
- 16. 16 © 2015 Citrix.
サービス毎に入口を作ることの課題
以下の課題を解決するソリューションが求められています。
グローバルIPアドレスの消費
サービス毎にグローバルIPアドレスを準備する必要があります。
サーバー証明書の管理
サービス毎にFQDNが異なるため、サーバー証明書を準備する必要があります。
アプライアンスの増加
サービス毎に専用のアプライアンスを準備すればTCOも増え続けます。
ユーザビリティの低下
サービス毎にFQDNが異なるため、ユーザーが管理するURLが増えます。
サービス毎にID/パスワードを入力する必要があります。
- 18. 18 © 2015 Citrix.
Unified Gateway
Provides consolidation of secure remote access infrastructure
with One URL
- 19. 19 © 2015 Citrix.
Windows Desktops
SharePoint & File Shares
StorageZones
Windows Apps
Mobile Apps
SasS & Web Apps
デリバリコントローラ Apps & Data
Enterprise
Enterprise Apps
ADC
NetScaler
Internal Resources
VPN
VPN
クライアント
NetScalerの入口は...
入口は1つに集約されます。
- 20. 20 © 2015 Citrix.
入口が1つ = URLが1つ = IPアドレスが1つ
入口を集約するNetScalerのContent Switching機能。
Content Switchingとは
URL等のHTTPヘッダやボディーの条件による、サーバーの振り分けを実施。
例:
URLが “/test/index.html” なら
Hostnameが ”saas.citrix.com” なら
VPNのリクエスト(“is_vpn_url”)なら
Web
apps
SaaS
apps
XA/XD
- 21. 21 © 2015 Citrix.
LB V-Server
(Reverse Proxy)
LB V-Server
(Reverse Proxy)
CS
V-Server
LB V-Server
(Reverse Proxy)
Gateway V-Server
SAML SSO
SSO
URLは1つ
IPは1つ
認証は1回
Citrix Apps
OWA
SharePoint
OneBug Backstage
認証ポイントは1つ
/OWA /tmtrack /…
SSO
SSO
NetScaler内部の設定とは
CS Virtual Server宛の通信をGateway Virtual ServerまたはLB Virtual Serverに振り分けます。振り分け
先は、CS Virtual Serverのポリシーで決定します。
- 22. 22 © 2015 Citrix.
Unified Gatewayを利用するためには(プラットフォームとOS)
Unified Gatewayは新機能のため、OSバージョン11以降で対応しております。
NetScaler VPX/MPX/SDXのOSバージョン11以降
Content Switching機能を利用するため、NetScaler Gatewayではご利用になれません。
- 23. 23 © 2015 Citrix.
Unified Gatewayを利用するためには(ライセンス)
Unified Gatewayは複数の機能で構成されております。利用する機能によって、必要なライセンスも異なります。
Feature Platinum
Edition
Enterprise
Edition
Standard
Edition
AGE Universal
License ※
Federated Identity ○ ○
Content Switching/One URL ○ ○
Broad client support for plugins
○ ○ ○ ○ ○
Customizable web portal ○ ○ ○ ○ ○
Centralized Policy Management
(Smart Control) ○ ○
SSL VPN remote access ○ ○ ○ ○ ○
Stateless RDP proxy ○ ○
Cluster for ICA proxy (Striped) ○ ○
IPv6 support ○ ○ ○
※ Universal license is required on top of a NetScaler (Platinum, Enterprise, Standard) or a Gateway (AGEE) license.
- 25. 25 © 2015 Citrix.
Unified Gatewayの設定ウィザード
Unified Gatewayの設定をStep-by-Stepで行えます。
- 26. 26 © 2015 Citrix.
設定ウィザードは5段階のStepで構成
Content Switching Virtual Serverを設定します。
サーバー証明書を設定します。
認証サーバーを設定します。
ポータル画面を設定します。
振り分け先となるアプリケーションを設定します。
- 27. 27 © 2015 Citrix.
Step1: Virtual Serverの設定
Content Switching Virtual Serverを設定します。
- 28. 28 © 2015 Citrix.
Step2: サーバー証明書の設定
Content Switching Virtual Serverに紐付けるサーバー証明書を設定します。
- 29. 29 © 2015 Citrix.
Step3: 認証サーバーの設定
NetScalerと連携する認証サーバーを設定します。
- 30. 30 © 2015 Citrix.
Step4: ポータル画面の設定
NetScalerが表示するポータル画面を設定します。
カスタマイズ可能
- 31. 31 © 2015 Citrix.
Step5: Applicationsの設定
振り分け先となるアプリケーションを設定します。
- 32. 32 © 2015 Citrix.
Step5-A: Web Applications(Intranet Application)の設定
Intranet Applicationの解説です。
VPN経由で、社内ネットワークの
WEBアプリケーションを提供する。
- 33. 33 © 2015 Citrix.
Step5-A: Web Applications(Clientless Access)の設定
Clientless Accessの解説です。
VPN経由で、Outlook Web
AccessやSharePoint を提供する。
- 34. 34 © 2015 Citrix.
Step5-A: Web Applications(SaaS)の設定
SaaSの解説です。
VPN経由で、ShareFile等のSaaS
型WEBアプリケーションを提供す
る。
- 35. 35 © 2015 Citrix.
Step5-A: Web Applications(Preconfigured application)の設定
Preconfigured application on this NetScalerの解説です。
VPN経由で、NetScalerに負荷分散
の設定がされているWEBアプリ
ケーションを提供する。
- 36. 36 © 2015 Citrix.
Step5-B: XenApp & XenDesktopの設定
XenApp & XenDesktopの解説です。
ICA Proxyの設定です。
- 38. 38 © 2015 Citrix.
まとめ
ICA Proxy
XenDesktop/XenAppへセキュアなリモートアクセスを実現します。仮想アプラ
イアンスを利用する場合には、サイジングに注意が必要です。
Unified Gateway
複数のサービスを1つの入口に集約します。サービス毎のアプライアンス、IPアド
レス、URLを1つに統合することで、ユーザビリティ向上とTCO削減を実現します。
- 39. 39 © 2015 Citrix.
関連するセッション
N-2 13:20-14:00
「クラウド時代のロードバランサとは?
~ 変貌するL4-L7スイッチング ~」
N-03 14:10-14:50
「NetScaler導入企業講演 株式会社ドワンゴ様」
N-4 15:10-15:50
「NetScaler導入企業講演 ヤフー株式会社」
N-6 16:50-17:30
「ロードバランサのリソース問題を解決する
~NetScaler Clustering~」
- 40. 40 © 2015 Citrix.
WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.WORK BETTER. LIVE BETTER.