デ,タセンタ,とAWSクラウド間のCloudBridge连接器の設定
データセンターとAWSクラウドの間にCloudBridge连接器トンネルを設定して,データセンターとAWSクラウドのインフラストラクチャとコンピューティング機能を活用できます。AWSを使用すると,初期設備投資や拡張ネットワークインフラストラクチャの維持コストなしで,ネットワークを拡張できます。必要に応じて,。たとえば,需要が増えたときに,より多くのサ,バ,機能をリ,スできます。
データセンターをAWSクラウドに接続するには,データセンターに存在するCitrix ADCアプライアンスと,AWSクラウドに存在するCitrix ADC仮想アプライアンス(VPX)の間にCloudBridge连接器トンネルを設定します。
データセンターとAmazon AWSクラウド間のCloudBridge连接器トンネルの図のように,データセンターの直流とCitrix ADC仮想アプライアンス(VPX) NS_VPX_アプライアンスAWSの間でCloudBridge连接器トンネルが設定されている例を考えてみます。
ns_アプラアンス-dcとns_vpx_アプラアンス-awsの両方がl3モドで機能します。これにより,データセンター直流のプライベートネットワークとAWSクラウド間の通信が可能になります。NS_アプライアンス直流およびNS_VPX_アプライアンスAWSは,データセンター直流のクライアントCL1とAWSクラウドのサーバーS1との間の通信をCloudBridge连接器のトンネルを介して有効にします。クラアントcl1とサバs1は,異なるプラベトネットワク上にあります。
注:
AWSはL2モードをサポートしていないため,両方のエンドポイントでL3モードのみを有効にする必要があります。
CL1とS1間の通信を正しく行うため,NS_アプライアンス直流およびNS_VPX_アプライアンスAWSでL3モードが有効になり,ルートは次のように更新されます。
- Cl1には,s1に到達するためのns_アプラaaplアンスdcへのルトがあります。
- NS_アプライアンス直流は,S1に到達するためのNS_VPX_アプライアンスawsへのルートを持っています。
- S1には,cl1に到達するためのns_vpx_アプラアンス-awsへのルトが必要です。
- NS_VPX_アプライアンスawsには,CL1に到達するためのNS_アプライアンス直流へのルートがあります。
次の表に,データセンター直流におけるCitrix ADCアプライアンスNS_アプライアンス直流の設定を示します。
| エンティティ | 的名字 | 詳細 |
|---|---|---|
| nsipアドレス | 66.165.176.12 | |
| 截取アドレス | 66.165.176.15 | |
| CloudBridge连接器隧道 | CC_Tunnel_DC-AWS | CloudBridge连接器トンネルのローカルエンドポイントIPアドレス:66.165.176.15,CloudBridge连接器トンネルのリモートエンドポイントIPアドレス:168.63.252.133,GREトンネルの詳細——名前= CC_Tunnel_DC-AWS |
次の表は,AWSクラウド上のCitrix ADC VPX NS_VPX_アプライアンスAWSの設定を示しています。
| エンティティ | 的名字 | 詳細 |
|---|---|---|
| nsipアドレス | 10.102.25.30 | |
| nsipアドレスにマッピングされたパブリックeipアドレス | 168.63.252.131 | |
| 截取アドレス | 10.102.29.30 | |
| 剪切アドレスにマッピングされたパブリックeipアドレス | 168.63.252.133 | |
| CloudBridge连接器隧道 | CC_Tunnel_DC-AWS | CloudBridge连接器トンネルのローカルエンドポイントIPアドレス:168.63.252.133,CloudBridge连接器トンネルのリモートエンドポイントIPアドレス:66.165.176.15;Greトンネルの詳細名= CC_Tunnel_DC-AWS IPSecプロファイルの詳細,名前= CC_Tunnel_DC-AWS暗号化アルゴリズム= AES,ハッシュアルゴリズム= HMACSHA |
前提条件
CloudBridge连接器トンネルを設定する前に,次のタスクが完了していることを確認します。
AWSクラウド上でCitrix ADC仮想アプライアンス(VPX)のインスタンスをインストール,設定,起動します。Citrix ADC VPXをAWSにンストルする手順にいては,”AWSでのCitrix ADC VPX aapl . exeンスタンスのデプロaapl . exeを参照してください。
Citrix ADC物理アプライアンスを展開して構成するか,またはデータセンター内の仮想化プラットフォームでCitrix ADC仮想アプライアンス(VPX)を供应して構成します。
CloudBridge连接器トンネルのエンドポイントのIPアドレスが相互にアクセス可能であることを確認します。
Citrix ADC VPXラaapl . exeセンス
aapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl . aapl。独自のラ电子邮箱センス(byol)を持参する場合は,http://support.citrix.com/article/CTX122426のVPXラaapl . exeセンスガaapl . exeドを参照してください。
次の操作を実行する必要があります。
- Citrix Webサ▪▪トのラ▪▪センスポ▪タルを使用して,有効なラ▪▪センスを生成します。
- ラ@ @センスを@ @ンスタンスにアップロ@ @ドします。
有料マケットプレスンスタンスの場合は,ラセンスをンストルする必要はありません。該当する機能セットとパフォ,マンスが自動的にアクティブ化されます。
構成の手順
データセンター内に存在するCitrix ADCアプライアンスと,AWSクラウド上に存在するCitrix ADC仮想アプライアンス(VPX)との間にCloudBridge连接器トンネルを設定するには,Citrix ADCアプライアンスのGUIを使用します。
GUIを使用すると,Citrix ADCアプライアンスで作成されたCloudBridge连接器トンネル構成が,CloudBridge连接器トンネルの他のエンドポイントまたはピア(AWS上のCitrix ADC VPX)に自動的にプッシュされます。したがって,対応するCloudBridge连接器トンネル設定を作成するために,AWS上のCitrix ADC VPX图形用户界面(GUI)にアクセスする必要はありません。
両方のピア(データセンターに存在するCitrix ADCアプライアンスと,AWSクラウド上に存在するCitrix ADC仮想アプライアンス(VPX))のCloudBridge连接器トンネル構成は,次のエンティティで構成されます。
- IPSecプロファleiル: IPSecプロファイルエンティティは,CloudBridge连接器トンネルの両方のピアでIPSecプロトコルで使用される,艾克バージョン,暗号化アルゴリズム,ハッシュアルゴリズム,相移键控などのIPSecプロトコルパラメータを指定します。
- Greトンネル: IPトンネルは,ローカルIPアドレス(ローカルピアで設定されたパブリック剪アドレス),リモートIPアドレス(リモートピアで設定されたパブリック剪アドレス),CloudBridge连接器トンネルのセットアップに使用するプロトコル(GRE)およびIPSecプロファイルエンティティを指定します。
- 策略路由ル,ルを作成し,ipトンネルを関連付ける:策略brエンティティは,一連の条件とIPトンネルエンティティを指定します。送信元 IP アドレスの範囲と宛先 IP の範囲は、PBR エンティティの条件です。トラフィックが CloudBridge Connector トンネルを通過するサブネットを指定するには、送信元 IP アドレスの範囲と宛先 IP アドレスの範囲を設定する必要があります。たとえば、データセンター内のサブネット上のクライアントから発信され、AWS クラウド内のサブネット上のサーバー宛てのリクエストパケットがあるとします。このパケットが、データセンター内の Citrix ADC アプライアンス上の PBR エンティティの送信元および宛先 IP アドレス範囲と一致する場合、そのパケットは PBR エンティティに関連付けられた CloudBridge Connector トンネルを介して送信されます。
コマンドラ▪▪ン▪▪ンタ▪フェ▪▪スを使用して▪ipsecプロファ▪▪ルを作成するには
コマンドプロンプトで入力します。
add ipsec profile[-**ikeVersion** (V1 | V2)] [-**encAlgo** (AES | 3DES)…[-**hashAlgo** …][-**lifetime** ] (-**psk** | (-**publickey** -**privatekey** -**peerPublicKey** )) [-** livingesscheckinterval ** ] [-**replayWindowSize** ] [-**ikeRetryInterval** ] [-**retransmissiontime** ] **显示ipsec配置文件
コマンドラインインターフェイスを使用してIPトンネルを作成し,IPSECプロファイルをそのトンネルにバインドするには
コマンドプロンプトで入力します。
add ipTunnel[-protocol ] [-ipsecProfileName ] show ipTunnel
コマンドラインインターフェイスを使用してPBRルールを作成し,IPSECトンネルをバインドするには
コマンドプロンプトで入力します。
add ns pbrALLOW -srcIP = -destIP = -ipTunnel . add ns pbr ALLOW -srcIP = 应用ns PBRS显示ns策略路由
例
> add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1 Done > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 -protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS Done > add ns pbr pbr - dc - aws ALLOW -srcIP 66.165.176.15 -destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS Done > apply ns pbrs Done GUIを使用してCitrix ADCアプライアンスでCloudBridge连接器トンネルを構成するには
Webブラウザのアドレス行に,Citrix ADCアプラaaplアンスのNSIPアドレスを入力します。
アプライアンスのアカウント認証情報を使用して,Citrix ADCアプライアンスのGUIにログオンします。
[システム> [CloudBridge连接器]に移動します。
右側のペ电子邮箱ンの[はじめに]で,[CloudBridgeの作成/監視]をクリックします。
アプラemcアンスでCloudBridge连接器トンネルを初めて設定すると,ようこそ画面が表示されます。
ようこそ画面で,[は。じめに]をクリックします。
注:
Citrix ADCアプライアンスでCloudBridge连接器トンネルをすでに構成している場合は,ようこそ画面が表示されないため,[開始]をクリックしないでください。
- [CloudBridge连接器の設定]ペ电子邮箱ンで,[亚马逊ウェブサ,ビス]をクリックします。
- [亚马逊]ペインで,AWSアカウントの認証情報(AWSアクセスキーIDおよびAWSシークレットアクセスキー)を入力します。これらのアクセスキ,は,aws GUIコンソ,ルから入手できます。[続行]をクリックします。
注
以前は,別のリージョンが選択されていても,セットアップウィザードは常に同じAWSリージョンに接続します。その結果,選択したAWSリージョンで実行されているCitrix ADC VPXへのCloudBridge连接器トンネルを設定すると失敗していました。この問題は現在修正されています。
[Citrix ADC]ペインで,AWSで実行されているCitrix ADC仮想アプライアンスのNSIPアドレスを選択します。次に,Citrix ADC仮想アプラアンスのアカウント資格情報を入力します。[続行]をクリックします。
CloudBridge连接器設定ペ@ @ンで,次のパラメ@ @タを設定します。
- CloudBridge连接器名—ロカルアプラアンス上のCloudBridge Connector設定の名前。ASCIIアルファベットまたはアンダースコア(_)文字で始まり,ASCII英数字,アンダースコア,ハッシュ(#),ピリオド(。),スペース,コロン(:),アットマーク(@),等しい(=),およびハイフン(-)文字のみを含める必要があります。CloudBridge连接器の設定が作成された後は変更できません。
[ロ,カル設定]で,次のパラメ,タを設定します。
- サブネットIP地址:CloudBridge Connectorトンネルのロ、カルエンドポ、ントのIPアドレス。剪切IPタaaplプのパブリックIPアドレスである必要があります。
[リモ,ト設定]で,次のパラメ,タを設定します。
サブネットIP地址——AWS側のCloudBridge连接器のトンネルエンドポイントのIPアドレス。AWS上のCitrix ADC VPXインスタンスでは,剪断タイプのIPアドレスである必要があります。
NAT: AWS上のCitrix ADC VPXインスタンスで設定された剪にマッピングされたAWS内のパブリックIPアドレス(EIP)。
[pbr設定]で,次のパラメ,タを設定します。
- 演算:等しい(=)または等しくない(!=) 論理演算子。
- 送信元IP地址低:発信IPv4パケットの送信元IPアドレスと照合する最小の送信元IPアドレス。
- 送信元IP高:発信IPv4パケットの送信元IPアドレスと照合する最大送信元IPアドレス。
- 演算:等しい(=)または等しくない(!=) 論理演算子。
- 宛先IP低:発信IPv4パケットの宛先IPアドレスと照合する最小の宛先IPアドレス。
- 宛先IP高:発信IPv4パケットの宛先IPアドレスと照合する最大の宛先IPアドレス。
(オプション)[セキュリティ設定]でCloudBridge连接器トンネルに次のIPSecプロトコルパラメータを設定します。
- 暗号化アルゴリズム:CloudBridgeトンネル内のIPSecプロトコルで使用される暗号化アルゴリズム。
- ハッシュアルゴリズム:CloudBridgeトンネル内のIPSecプロトコルで使用されるハッシュアルゴリズム。
- [关键]:相互認証に2のピアが使用する次のIPSec認証方法のいずれかを選択します。
- キ,の自動生成——ローカルアプライアンスによって自動的に生成される事前共有キー(相移键控)と呼ばれるテキスト文字列に基づく認証。ピアのPSKキ,は,認証のために相互に照合されます。
- 特定のキ:手動で入力したPSKに基づく認証。ピアのPSKは,認証のために相互に照合されます。
- 事前共有セキュリティキ:事前共有キ,ベ,スの認証用に入力されたテキストストリング。
- 証明書のアップロ,ド:デジタル証明書に基づく認証。
- (公钥): IPSecセキュリティアソシエーションを確立する前に,リモートピアに対してローカルピアを認証するために使用されるローカルデジタル証明書。同じ証明書が存在し,ピアの对端公钥パラメ,タに設定する必要があります。
- 秘密キ:ロ,カルデジタル証明書の秘密キ,。
- ピア公開キ:ピアのデジタル証明書。IPSecセキュリティアソシエーションを確立する前に,ローカルエンドポイントに対してピアを認証するために使用されます。同じ証明書が存在し,ピアの公钥パラメ,タに設定する必要があります。
[完了]をクリックします。
データセンター内のCitrix ADCアプライアンスの新しいCloudBridge连接器トンネル構成が,GUIの[ホーム]タブに表示されます。AWSクラウド内のCitrix ADC VPXアプライアンス上の対応する新しいCloudBridge连接器トンネル構成がGUIに表示されます。CloudBridge连接器トンネルの現在のステータスは,[設定済みCloudBridge]ペインに表示されます。緑色のドットは,トンネルがアップしていることを示します。赤い点は,トンネルがダウンしていることを示します。
CloudBridge连接器トンネルの監視
CloudBridge连接器のトンネル統計カウンタを使用して,Citrix ADCアプライアンス上のCloudBridge连接器トンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge连接器トンネル統計の表示の詳細については,”CloudBridge连接器トンネルの監視を参照してください。