データセンターとAzureクラウド間のCloudBridge连接器トンネルの構成
Citrix ADCアプライアンスは,エンタープライズデータセンターと微软クラウドホスティングプロバイダーAzureの間の接続を提供し,Azureをエンタープライズネットワークのシームレスな拡張にします。Citrix ADCは,エンタープライズデータセンターとAzureクラウド間の接続を暗号化して,両者の間で転送されるすべてのデータを安全にします。
CloudBridge连接器トンネルのしくみ
データセンターをAzureクラウドに接続するには,データセンター内に存在するCitrix ADCアプライアンスと,Azureクラウドに存在する网关との間にCloudBridge连接器トンネルを設定します。データセンター内のCitrix ADCアプライアンスとAzureクラウド内の网关は,CloudBridge连接器トンネルのエンドポイントであり,CloudBridge连接器トンネルのピアと呼ばれています。
データセンターとAzureクラウド間のCloudBridge连接器トンネルは,オープン標準のインターネットプロトコルセキュリティ(IPSec)プロトコルスイートをトンネルモードで使用して,CloudBridge连接器トンネル内のピア間の通信を保護します。CloudBridge连接器トンネルでは,IPSecによって次のことが保証されます。
- デタの整合性
- デタ発信元認証
- デタの機密性(暗号化)
- リプレ邮箱攻撃に対する保護
IPSecは,トンネルモドを使用します。このモドでは,ipパケット全体が暗号化され,カプセル化されます。暗号化では、カプセル化セキュリティペ(esp)プロトコルが使用されます。西文P プロトコルは、HMAC ハッシュ関数を使用してパケットの整合性を保証し、暗号化アルゴリズムを使用して機密性を保証します。ESP プロトコルは、ペイロードを暗号化して HMAC を計算した後、ESP ヘッダーを生成し、暗号化された IP パケットの前に挿入します。また、ESP プロトコルは ESP トレーラを生成し、パケットの最後に挿入します。
次に,IPSecプロトコルは,ESPヘッダーの前にIPヘッダーを追加することによって,結果のパケットをカプセル化します。IPヘッダーでは,宛先IPアドレスはCloudBridge连接器ーピアのIPアドレスに設定されます。
CloudBridge连接器トンネル内のピアは,次のように,インターネットキー交換バージョン1 (IKEv1)プロトコル(IPSecプロトコルスイートの一部)を使用して,安全な通信をネゴシエートします。
2 .のピアは,事前共有キ認証を使用して相互に認証を行います。事前共有キ認証では,ピアは预共享密钥(PSK;事前共有キ)と呼ばれるテキスト文字列を交換します。事前共有キは,認証のために相互に照合されます。したがって,認証を成功させるには,各ピアで同じ事前共有キ,を設定する必要があります。
ピアは,次の上で合意に達するために交渉します。
- 暗号化アルゴリズム
- 1のピアでデタを暗号化し,もう1のピアでデ。
セキュリティプロトコル,暗号化アルゴリズム,および暗号化キーに関する本契約は,セキュリティアソシエーション(SA)と呼ばれます。Saは一方向(単方向)です。たとえば,データセンター内のCitrix ADCアプライアンスとAzureクラウド内の网关との間にCloudBridge连接器トンネルが設定されている場合,データセンターアプライアンスとAzure门户の両方に2つのSAがあります。一方のSAは発信パケットの処理に使用され,もう一方のSAは着信パケットの処理に使用されます。Saは,ラereplicationフタereplicationムと呼ばれる指定された時間間隔が経過すると期限切れになります。
CloudBridge连接器のトンネル設定とデタフロの例
CloudBridge连接器トンネルの図のように,CloudBridge连接器トンネルがAzureクラウド内のデータセンター内のCitrix ADCアプライアンスのCB_Appliance-1と网关Azure_Gateway-1の間にセットアップされている例を考えてみましょう。
CB_Appliance-1はL3ルーターとしても機能し,データセンター内のプライベートネットワークがCloudBridge连接器トンネルを介してAzureクラウド内のプライベートネットワークに到達できるようにします。CB_Appliance-1は,ルーターとして,データセンター内のクライアントCL1とAzureクラウド内のサーバーS1との間の通信をCloudBridge连接器トンネル経由で可能にします。クラopenstackアントcl1とサopenstackバopenstack s1は,異なるプラopenstackベopenstackトネットワopenstackク上にあります。
CB_Appliance-1ではCloudBridge连接器のトンネル設定には,CB_Azure_IPSec_Profileという名前のIPSecプロファイルエンティティ,CB_Azure_Tunnelという名前のCloudBridge连接器トンネルエンティティ,およびCB_Azure_Pbrという名前のポリシーベースのルーティング(PBR)エンティティが含まれます。
IPSecプロファイルエンティティCB_Azure_IPSec_Profileは,CloudBridge连接器トンネル内のIPSecプロトコルで使用される艾克バージョン,暗号化アルゴリズム,ハッシュアルゴリズムなどのIPSecプロトコルパラメータを指定します。CB_Azure_IPSec_プロファイルは、IPトンネルエンティティCB_Azure_Tunnelにバインドされています。
CloudBridge连接器トンネルエンティティCB_Azure_Tunnelは,ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたパブリックIP(剪)アドレス),リモートIPアドレス(Azure_Azure_Gateway-1のIPアドレス),およびCloudBridge连接器トンネルのセットアップに使用されるプロトコル(IPSec)を指定します。CB_Azure_トンネルは,PBRエンティティCB_Azure_Pbrにバインドされています。
PBRエンティティCB_Azure_Pbrは,一連の条件とCloudBridge连接器トンネルエンティティ(CB_Azure_Tunnel)を指定します。送信元IPアドレスの範囲と宛先IPアドレスの範囲は,CB_Azure_Pbrの条件です。送信元 IP アドレスの範囲と宛先 IP アドレスの範囲は、それぞれデータセンターではサブネットとして指定され、Azure クラウドではサブネットとして指定されます。データセンターのサブネットのクライアントから発信され、Azure クラウド上のサブネットのサーバー宛ての要求パケットは、CB_Azure_Pbr の条件と一致します。このパケットは、CloudBridge の処理のために考慮され、PBR エンティティにバインドされた CloudBridge Connectorトンネル(CB_Azure_Tunnel)を介して送信されます。
微软AzureではCloudBridge连接器のトンネル構成には,マイデータセンターネットワークという名前のローカルネットワークエンティティ,クラウドブリッジトンネル用のAzureネットワークという名前の仮想ネットワークエンティティ,Azure_Gateway-1という名前の网关が含まれます。
ローカル(Azureに対してローカル)ネットワークエンティティMy-Datacenter-Networkは,データセンター側のCitrix ADCアプライアンスのIPアドレスと,トラフィックがCloudBridge连接器トンネルを通過するデータセンターサブネットを指定します。仮想ネットワークエンティティAzure——ネットワーク为CloudBridge-Tunnelは,AzureでAzure-Subnet-1という名前のプライベートサブネットを定義します。サブネットのトラフィックはCloudBridge连接器トンネルを通過します。サバs1は,このサブネットでプロビジョニングされます。
ローカルネットワークエンティティマイデータセンター——ネットワークは,仮想ネットワークエンティティAzureネットワーク-for-CloudBridge-Tunnelに関連付けられています。この関連付けは,AzureのCloudBridge连接器トンネル構成のリモートおよびローカルネットワークの詳細を定義します。网关Azure_Gateway-1は,この関連付けがCloudBridge连接器トンネルのAzureエンドでCloudBridgeのエンドポイントになるために作成されました。
設定の詳細にいては,CloudBridge连接器トンネル設定PDFを参照してください。
CloudBridge连接器のトンネル設定に
データセンター内のCitrix ADCアプライアンスと微软Azure間のCloudBridge连接器トンネルを構成する前に,次の点を考慮してください。
- Citrix ADCアプライアンスには,CloudBridge连接器トンネルのトンネルエンドポイントアドレスとして使用するパブリック側のIPv4アドレス(剪タイプ)が必要です。また,Citrix ADCアプラereplicationアンスは,NATデバereplicationスの背後に配置しないでください。
- AzureではCloudBridge连接器トンネルに対して次のIPSec設定がサポートされています。したがってCloudBridge连接器トンネル用にCitrix ADCを構成する際に,同じIPSec設定を指定する必要があります。
- IKE版本= v1
- 加密算法= AES
- 哈希算法= HMAC SHA1
- 次のことを許可するように,デタセンタエッジでファ。
- ポト500の任意のudpパケット
- ポト4500に対する任意のudpパケット
- 任意のesp (ipプロトコル番号50)パケット
- 艾克キー再生成はCloudBridge连接器トンネルエンドポイント間で新しいSAを確立するための新しい暗号化キーの再ネゴシエーションであり,サポートされていません。セキュリティアソシエーション(SA)の有効期限が切れると,トンネルは下来状態になります。したがって,saのラereplicationフタereplicationムには非常に大きな値を設定する必要があります。
- Azureでトンネル構成をセットアップすると,トンネルのAzureエンド(网关)のパブリックIPアドレスと相移键控が自動的に生成されるため,Citrix ADCでトンネル構成を指定する前に微软Azureを構成する必要があります。この情報は,Citrix ADCでトンネル構成を指定するために必要です。
CloudBridge连接器トンネルの設定
データセンターとAzureの間にCloudBridge连接器トンネルをセットアップするには,データセンターにCloudBridgeVPX / MPXをインストールし,CloudBridge连接器トンネル用に微软Azureを構成してから,データセンターでCloudBridge连接器トンネル用のCitrix ADCアプライアンスを構成する必要があります。
データセンター内のCitrix ADCアプライアンスと微软Azure間のCloudBridge连接器トンネルを構成するには,次のタスクを実行します。
- デタセンタでCitrix ADCアプラします。このタスクでは,Citrix ADC物理アプライアンス(MPX)の展開と構成,またはデータセンター内の仮想化プラットフォームでのCitrix ADC仮想アプライアンス(VPX)の供应と構成を行います。
- CloudBridge连接器トンネルの微软のAzureを構成します。このタスクでは,Azureでローカルネットワーク,仮想ネットワーク,および网关エンティティを作成します。ローカルネットワークエンティティは,データセンター側のCloudBridge连接器トンネルエンドポイント(Citrix ADCアプライアンス)のIPアドレスと,トラフィックがCloudBridge连接器トンネルを通過するデータセンターサブネットを指定します。仮想ネットワクは,Azure上のネットワクを定義します。仮想ネットワクの作成には、トラフィックが形成される CloudBridge Connector トンネルを通過するサブネットの定義が含まれます。次に、ローカルネットワークを仮想ネットワークに関連付けます。最後に、CloudBridge Connectorトンネルの Azure エンドでエンドポイントとなるGateway を作成します。
- データセンターでCloudBridge连接器トンネル用のCitrix ADCアプライアンスを構成します。このタスクでは,データセンターのCitrix ADCアプライアンスでIPSecプロファイル,IPトンネルエンティティ,およびPBRエンティティを作成します。IPSecプロファイルエンティティは,CloudBridge连接器トンネルで使用する艾克バージョン,暗号化アルゴリズム,ハッシュアルゴリズム,相移键控などのIPSecプロトコルパラメータを指定します。IPトンネルはCloudBridge连接器トンネルエンドポイント(データセンター内のCitrix ADCアプライアンスおよびAzureの网关)とCloudBridge连接器トンネルで使用されるプロトコルの両方のIPアドレスを指定します。次に,IPSecプロファereplicationルエンティティをIPトンネルエンティティに関連付けます。PBRエンティティは,CloudBridge连接器トンネルを介して相互に通信する,データセンター内とAzureクラウド内の2つのサブネットを指定します。次に,ipトンネルエンティティを策略路由エンティティに関連付けます。
CloudBridge连接器トンネルのMicrosoft Azureの構成
微软AzureでCloudBridge连接器のトンネル構成を作成するには,微软Windows Azure管理ポータルを使用します。このポータルは,微软Azureでリソースを作成および管理するためのWebベースのグラフィカルインターフェイスです。
AzureクラウドでCloudBridge连接器トンネルの構成を開始する前に,次のことを確認してください。
- 微软のAzureのユザアカウントがあります。
- あなたは,微软のAzureの概念を理解しています。
- 微软のWindows Azure管理ポタルに精通していること。
データセンターとAzureクラウド間のCloudBridge连接器トンネルを構成するには,微软Windows Azure管理ポータルを使用して微软Azureで次のタスクを実行します。
- ロカルネットワクエンティティを作成します。データセンターのネットワークの詳細を指定するために,Windows Azureでローカルネットワークエンティティを作成します。ローカルネットワークエンティティは,データセンター側のCloudBridge连接器トンネルエンドポイント(Citrix ADC)のIPアドレスを指定し,トラフィックがCloudBridge连接器トンネルを通過するデータセンターサブネットを指定します。
- 仮想ネットワクを作成します。Azureでネットワクを定義する仮想ネットワクエンティティを作成します。この作業には、プラ。ここでは,アドレス空間で指定された範囲に属するプライベートアドレスおよびサブネットの範囲を指定します。サブネットのトラフィックはCloudBridge连接器トンネルを通過します。次に,ロカルネットワクエンティティを仮想ネットワクエンティティに関連付けます。この関連付けにより,Azureは仮想ネットワークとデータセンターネットワーク間のCloudBridge连接器トンネルの構成を作成できます。この仮想ネットワーク用のAzureの网关(作成予定)は,CloudBridge连接器トンネルのAzureエンドにあるCloudBridgeエンドポイントになります。次に,作成する网关のプラ。このサブネットは,仮想ネットワクエンティティのアドレス空間で指定された範囲に属します。
- Windows AzureでGatewayを作成します。CloudBridge Connectorトンネルの Azure エンドでエンドポイントとなるGateway を作成します。Azure は、パブリック IP アドレスのプールから、作成されたGateway に IP アドレスを割り当てます。
- 网关のパブリックIPアドレスと事前共有キを収集します。Azure上のCloudBridge连接器トンネル構成の場合,网关のパブリックIPアドレスと事前共有キー(相移键控)がAzureによって自動的に生成されます。この情報を書き留めておきます。これは,データセンター内のCitrix ADCでCloudBridge连接器トンネルを構成する場合に必要です。
注:
CloudBridge连接器トンネル用に微软Azureを構成するための手順は,微软Azureのリリースサイクルによって時間が経つにつれ,変更されることがあります。最新の手順にいては,微软Azureのドキュメントを参照してください。
CloudBridge连接器トンネル用のデータセンターでのCitrix ADCアプライアンスの構成
データセンターとAzureクラウド間のCloudBridge连接器トンネルを構成するには,データセンター内のCitrix ADCで次のタスクを実行します。Citrix ADCコマンドラereplicationンまたはGUIのいずれかを使用できます。
- IPSecプロファルを作成します。IPSecプロファイルエンティティは,CloudBridge连接器トンネルのIPSecプロトコルで使用される艾克バージョン,暗号化アルゴリズム,ハッシュアルゴリズム,相移键控などのIPSecプロトコルパラメータを指定します。
- IPSecプロトコルを使用してIPトンネルを作成し,IPSecプロファereplicationルを関連付けます。IPトンネルは,ローカルIPアドレス(Citrix ADCアプライアンス上で構成されたパブリック剪アドレス),リモートIPアドレス(Azureの网关のパブリックIPアドレス),CloudBridge连接器トンネルのセットアップに使用されるプロトコル(IPSec)およびIPSecプロファイルエンティティを指定します。作成されたIPトンネルエンティティは,CloudBridge连接器トンネルエンティティとも呼ばれます。
- 策略路由ルルを作成し,ipトンネルをそのルルに関連付けます。PBRエンティティは,一連の条件とIPトンネル(CloudBridge连接器トンネル)エンティティを指定します。送信元IPアドレスの範囲と宛先IPの範囲は,策略路由エンティティの条件です。送信元 IP アドレスの範囲を設定して、トラフィックがトンネルを通過するデータセンターのサブネットを指定し、トラフィックが CloudBridge Connector トンネルを通過する Azure サブネットを指定する宛先 IP アドレスの範囲を設定する必要があります。データセンターのサブネットのクライアントから発信され、Azure クラウド上のサブネットのサーバー宛ての要求パケットは、PBR エンティティの送信元および宛先 IP 範囲と一致します。このパケットは、CloudBridge Connectorのトンネル処理のために考慮され、PBR エンティティに関連付けられた CloudBridge Connectorトンネルを介して送信されます。
GUIでは,これらのすべてのタスクをCloudBridge连接器ウィザードと呼ばれる1つのウィザードにまとめます。Citrix ADCコマンドラesnンを使用してIPSECプロファesnルを作成するには:
コマンドプロンプトで,次のように入力します。
add ipsec profile
Citrix ADCコマンドラインを使用してIPSECトンネルを作成し,そのトンネルにIPSECプロファイルをバインドするには,次の手順を実行します。
コマンドプロンプトで,次のように入力します。
add ipTunnel
Citrix ADCコマンドラインを使用してPBRルールを作成し,IPSECトンネルをバインドするには
add pbr
構成例
次のコマンドは”CloudBridge连接器の構成とデータフローの例“で使用されるCitrix ADCアプライアンスのCB_Appliance-1のすべての設定を作成します。
> add ipsec profile CB_Azure_IPSec_Profile -psk DkiMgMdcbqvYREEuIvxsbKkW0FOyDiLM -ikeVersion v1 -lifetime 31536000 Done > add iptunnel CB_Azure_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 -protocol ipsec -ipsecProfileName CB_Azure_IPSec_Profile Done > add pbr CB_Azure_Pbr -srcIP 10.102.140.7 -10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnelCB_Azure_Tunnel Done > apply pbrs Done GUIを使用してCitrix ADCアプライアンスでCloudBridge连接器トンネルを構成するには
Webブラウザを使用してGUIにアクセスし,データセンター内のCitrix ADCアプライアンスのIPアドレスに接続します。
[システム] > [CloudBridge连接器に移動します。
右側のペ右側のペンの[はじめに]で,[CloudBridgeの作成/監視をクリックします。
[開始をクリックします。
注: Citrix ADCアプライアンスでCloudBridge连接器トンネルがすでに設定されている場合,この画面は表示されず,CloudBridge连接器の設定ペインが表示されます。
[セットアップ]ウィンドウで,[微软Windows Azureをクリックします。
[Azure設定]ウィンドウの[ゲトウェ网管ipアドレス]フィルドに,Azureゲ。その後,Citrix ADCアプライアンスと网关の間にCloudBridge连接器トンネルが設定されます。[サブネット(ip範囲)]テキストボックスで,(Azureクラウド内の)サブネット範囲を指定します。この範囲のトラフィックは,CloudBridgeコネクタトンネルを通過します。[続行]をクリックします。
[Citrix ADC設定]ペereplicationンの[ロカルサブネットip]ドロップダウンリストから,Citrix ADCアプライアンスで構成されているパブリックにアクセス可能な剪アドレスを選択します。[サブネット(ip範囲)]テキストボックスで,ロカルサブネット範囲を指定します。この範囲のトラフィックはCloudBridgeコネクタトンネルを通過します。[続行]をクリックします。
[CloudBridgeの設定]ペインの[CloudBridge名]テキストボックスに,作成するCloudBridgeの名前を入力します。
(暗号化アルゴリズム]および[ハッシュアルゴリズム]ドロップダウンリストから,それぞれAESアルゴリズムとHMAC_SHA1アルゴリズムを選択します。[事前共有セキュリティキ]テキストボックスに,セキュリティキを入力します。
[完了]をクリックします。
CloudBridge连接器トンネルの監視
データセンター内のCitrix ADCアプライアンスと微软Azureの間のCloudBridge连接器トンネルのパフォーマンスを監視するための統計情報を表示できます。Citrix ADCアプライアンスでCloudBridge连接器トンネル統計を表示するには,GUIまたはCitrix ADCコマンドラインを使用します。微软のAzureでCloudBridge连接器のトンネルの統計情報を表示するには,微软のWindows管理ポータルを使用します。
Citrix ADCアプライアンスでのCloudBridge连接器トンネルの統計情報の表示
Citrix ADCアプライアンスでのCloudBridge连接器トンネル統計の表示の詳細については,CloudBridge连接器トンネルのモニタリングを参照してください。
微软のAzureでのCloudBridge连接器のトンネルの統計情報の表示
次の表に,微软AzureでCloudBridge连接器のトンネルを監視するための統計カウンタを示します。
| 統計カウンタ | 指定 |
|---|---|
| 数据 | 网关が作成されてからCloudBridge连接器トンネルを介してAzure门户が受信した合計キロバイト数。 |
| 数据 | 网关が作成されてから,CloudBridge连接器トンネルを介してAzure门户が送信した合計キロバイト数。 |
微软のWindows Azure管理ポータルを使用してCloudBridge连接器のトンネルの統計情報を表示するには
微软Azureアカウントの認証情報を使用して,Windows Azure管理ポタルにログオンします。
左側のウィンドウで,[ネットワクをクリックします。
[仮想ネットワク(名)タブの前]列で,統計情報を表示するCloudBridge连接器トンネルに関連付けられた仮想ネットワークエンティティを選択します。
仮想ネットワクの”ダッシュボド“ページでCloudBridge连接器トンネルの“数据”および“数据”カウンタを表示します。
