配置数据中心与AWS云之间的CloudBridge连接器
您可以在数据中心和AWS云之间配置CloudBridge连接器隧道,以利用数据中心和AWS云的基础设施和计算能力。使用AWS,您可以扩展网络,而无需初始资本投资或维护扩展网络基础设施的成本。您可以根据需要向上或向下扩展基础设施。例如,当需求增加时,您可以租用更多的服务器功能。
要将数据中心连接到AWS云,您需要在驻留在数据中心中的Citrix ADC设备和驻留在AWS云中的Citrix ADC虚拟设备(VPX)之间设置CloudBridge连接器隧道。
为了演示数据中心和Amazon AWS云之间的CloudBridge连接器隧道,请考虑一个示例,在数据中心DC中的Citrix ADC设备NS_Appliance-DC和Citrix ADC虚拟设备(VPX) NS_VPX_Appliance-AWS之间建立CloudBridge连接器隧道。
NS_Appliance-DC和NS_VPX_Appliance-AWS都在L3模式下工作。它们支持数据中心DC中的私有网络与AWS云之间的通信。NS_Appliance-DC和NS_VPX_Appliance-AWS通过CloudBridge Connector隧道实现数据中心DC中的客户端CL1与AWS云中的服务器S1之间的通信。客户端CL1和服务器S1处于不同的私网中。
请注意:
AWS不支持L2模式,因此必须在两个端点上只启用L3模式。
为了CL1和S1之间的正常通信,在NS_Appliance-DC和NS_VPX_Appliance-AWS上启用了三层模式,路由更新如下:
- CL1有一条到NS_Appliance-DC到达S1的路由。
- NS_Appliance-DC有一条到NS_VPX_Appliance-AWS的路由,用于到达S1。
- S1应该有到NS_VPX_Appliance-AWS的路由以到达CL1。
- NS_VPX_Appliance-AWS有到NS_Appliance-DC的路由,用于到达CL1。
下表列出了数据中心DC中Citrix ADC设备NS_Appliance-DC的设置。
| 实体 | 的名字 | 细节 |
|---|---|---|
| NSIP地址 | 66.165.176.12 | |
| 剪断的地址 | 66.165.176.15 | |
| CloudBridge连接器隧道 | CC_Tunnel_DC-AWS | CloudBridge Connector隧道本端IP地址:66.165.176.15,CloudBridge Connector隧道远端IP地址:168.63.252.133,GRE隧道详细信息- Name= CC_Tunnel_DC-AWS |
如下表所示为AWS云环境下Citrix ADC VPX NS_VPX_Appliance-AWS的配置。
| 实体 | 的名字 | 细节 |
|---|---|---|
| NSIP地址 | 10.102.25.30 | |
| 公网EIP地址映射到NSIP地址 | 168.63.252.131 | |
| 剪断的地址 | 10.102.29.30 | |
| 公网EIP地址映射到SNIP地址 | 168.63.252.133 | |
| CloudBridge连接器隧道 | CC_Tunnel_DC-AWS | CloudBridge Connector隧道本端IP地址:168.63.252.133,CloudBridge Connector隧道远端IP地址:66.165.176.15;GRE隧道详细信息名称= CC_Tunnel_DC-AWS, IPSec安全策略详细信息,名称= CC_Tunnel_DC-AWS,加密算法= AES,哈希算法= HMAC SHA1 |
先决条件
在建立CloudBridge连接器隧道之前,请确认已完成以下任务:
在AWS云上安装、配置和启动Citrix ADC虚拟设备(VPX)实例。有关在AWS上安装Citrix ADC VPX的说明,请参见在AWS上部署Citrix ADC VPX实例.
部署和配置Citrix ADC物理设备,或在数据中心的虚拟化平台上发放和配置Citrix ADC虚拟设备。
确保CloudBridge连接器隧道端点IP地址之间可访问。
Citrix ADC VPX license
在初始实例启动后,Citrix ADC VPX for AWS需要许可证。如果您携带自己的许可证(BYOL),请参阅VPX许可指南:http://support.citrix.com/article/CTX122426.
你必须:
- 使用Citrix网站内的许可门户生成有效的许可。
- 将许可证上传到实例。
如果这是一个支付市场实例,那么您不需要安装许可证。正确的特性集和性能将自动激活。
配置步骤
要在位于数据中心的Citrix ADC设备和位于AWS云上的Citrix ADC虚拟设备(VPX)之间设置CloudBridge连接器隧道,请使用Citrix ADC设备的GUI。
当您使用GUI时,在Citrix ADC设备上创建的CloudBridge连接器隧道配置将自动推到CloudBridge连接器隧道的另一个端点或对等端(AWS上的Citrix ADC VPX)。因此,无需在AWS上访问Citrix ADC VPX的GUI (GUI),即可在其上创建相应的CloudBridge Connector隧道配置。
两个对等端(位于数据中心的Citrix ADC设备和位于AWS云上的Citrix ADC虚拟设备(VPX))上的CloudBridge连接器隧道配置由以下实体组成:
- IPSec配置文件- IPSec安全框架实体指定IPSec协议在CloudBridge连接器隧道的对等体中使用的IKE版本、加密算法、哈希算法、PSK等参数。
- GRE隧道—IP隧道是指本端IP地址(对端配置的公网SNIP地址)、对端IP地址(对端配置的公网SNIP地址)、建立CloudBridge Connector隧道的协议(GRE)和IPSec安全框架实体。
- 创建策略路由规则并关联IP隧道-A策略路由实体指定一组条件和一个IP隧道实体。源IP地址范围和目的IP地址范围是策略路由实体存在的条件。通过设置源IP地址范围和目的IP地址范围,指定流量通过CloudBridge Connector隧道的子网。例如,考虑一个请求包,它来自数据中心子网上的客户机,目的地是AWS云中子网上的服务器。如果此数据包与数据中心Citrix ADC设备上的策略路由实体的源IP地址和目的IP地址范围匹配,则通过与策略路由实体关联的CloudBridge连接器隧道发送。
使用命令行方式创建IPSEC安全框架
在命令提示符下,输入:
add ipsec profile[-**ikeVersion** (V1 | V2)] [-**encAlgo** (AES | 3DES)…[-**hashAlgo** …][-**lifetime** ] (-**psk** | (-**publickey** -**privatekey** -**peerPublicKey** )) [-** livingesscheckinterval ** ] [-**replayWindowSize** ] [-**ikeRetryInterval** ] [-**retransmissiontime** ] **显示ipsec配置文件
使用命令行方式创建IP隧道,并绑定IPSEC安全框架
在命令提示符下,输入:
add ipTunnel[-protocol ] [-ipsecProfileName ] show ipTunnel
使用命令行接口创建策略路由规则,并将IPSEC隧道与策略路由规则绑定
在命令提示符下,输入:
add ns pbrALLOW -srcIP = -destIP = -ipTunnel . add ns pbr ALLOW -srcIP = 应用ns PBRS显示ns策略路由
例子
> add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1 Done > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 -protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS Done > add ns pbr pbr - dc - aws ALLOW -srcIP 66.165.176.15 -destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS Done > apply ns pbrs Done 使用GUI在Citrix ADC设备中配置CloudBridge连接器隧道
在web浏览器的地址行中键入Citrix ADC设备的NSIP地址。
使用设备的帐户凭据登录到Citrix ADC设备的GUI。
导航到系统>CloudBridge连接器.
在右边窗格的下面开始,点击创建/监控CloudBridge.
第一次在设备上配置CloudBridge连接器隧道时,请使用欢迎屏幕上出现了。
在欢迎屏幕上点击开始.
请注意:
如果已经在Citrix ADC设备上配置了CloudBridge连接器隧道,则不会出现欢迎屏幕,因此不需要单击Get Started。
- 在CloudBridge连接器设置窗格中,单击亚马逊网络服务
- 在亚马逊窗格,提供您的AWS帐户凭据:AWS访问密钥ID和AWS秘密访问密钥。您可以从AWS GUI控制台获取这些访问密钥。点击继续.
请注意
在以前,即使选择了另一个区域,安装向导也始终连接到相同的AWS区域。因此,将CloudBridge连接器隧道配置到所选AWS区域上运行的Citrix ADC VPX会失败。这个问题现在已经解决了。
在Citrix ADC窗格中,选择运行在AWS上的Citrix ADC虚拟设备的NSIP地址。然后,为Citrix ADC虚拟设备提供帐户凭据。点击继续.
在CloudBridge连接器设置窗格中,设置以下参数:
- CloudBridge连接器名称-Name本地设备上的CloudBridge Connector配置。必须以ASCII字母或下划线开头,只能包含字母数字、下划线、散列(#)、句号(.)、空格、冒号(:)、at(@)、等号(=)和-字符。创建CloudBridge Connector配置后不能更改。
下本地设置,设置如下参数:
- 子网IP- CloudBridge Connector隧道本端ip地址。必须为SNIP类型的公网IP地址。
下远程设置,设置如下参数:
子网IP- AWS侧CloudBridge Connector隧道端点的ip地址。必须是AWS上Citrix ADC VPX实例的SNIP类型的IP地址。
NAT—AWS中的公网IP (EIP),对应AWS中Citrix ADC VPX实例中配置的SNIP。
下PBR设置,设置如下参数:
- 操作-等于(=)或不等于(!=)逻辑运算符。
- 源IP低-匹配出IPv4报文源IP地址的最低源IP地址。
- 源IP高-输出IPv4报文的源IP地址匹配的最高源IP地址。
- 操作-等于(=)或不等于(!=)逻辑运算符。
- 目的IP低-与出方向IPv4报文的目的IP地址匹配的最低目的IP地址。
- 目的IP高-输出IPv4报文的最高目的IP地址。
(可选)安全设置,配置CloudBridge Connector隧道的IPSec协议参数:
- 加密算法- CloudBridge隧道中IPSec协议使用的加密算法。
- 散列算法- CloudBridge隧道中IPSec协议使用的哈希算法。
- 关键—选择两种IPSec认证方式中的一种,用于对等体之间的相互认证。
- 自动生成密钥—基于文本字符串的身份验证,称为预共享密钥(PSK),由本地设备自动生成。对等体的psk密钥相互匹配,进行认证。
- 具体的关键—手动输入PSK进行认证。对等体的psk相互匹配进行认证。
- 预共享安全密钥-为基于预共享密钥的认证输入的文本字符串。
- 上传证书—基于数字证书的认证。
- 公钥-A本地数字证书,用于在建立IPSec安全关联之前对本地对等体和对端对等体进行身份验证。应该提供相同的证书,并为对等体中的对等公钥参数设置了相同的证书。
- 私钥-本地数字证书的私钥。
- 对端公钥-对端数字证书。用于在建立IPSec安全关联之前,对端验证到本端。应该提供相同的证书,并为对等体中的Public key参数设置了相同的证书。
点击完成.
数据中心中Citrix ADC设备上新的CloudBridge连接器隧道配置显示在GUI的Home选项卡上。在AWS云中Citrix ADC VPX设备上相应的新的CloudBridge连接器隧道配置出现在GUI上。CloudBridge连接器隧道的当前状态显示在“Configured CloudBridge”窗格中。绿色圆点表示隧道已打开。红点表示隧道已关闭。
监控CloudBridge连接器隧道
您可以使用CloudBridge连接器隧道统计计数器在Citrix ADC设备上监视CloudBridge连接器隧道的性能。有关在Citrix ADC设备上显示CloudBridge连接器隧道统计信息的详细信息,请参见监控CloudBridge连接器隧道.