在数据中心和Azure云之间配置CloudBridge连接器通道
Citrix ADC设备提供企业数据中心与微软云托管提供商Azure之间的连接,使Azure成为企业网络的无缝扩展。Citrix ADC对企业数据中心与Azure云之间的连接进行加密,以确保两者之间传输的所有数据都是安全的。
CloudBridge连接器通道的工作原理
要将数据中心连接到Azure云,请在位于数据中心的Citrix ADC设备与驻留在Azure云中的网关之间设置CloudBridge连接器通道。数据中心和Azure云中的Gateway中的Citrix ADC设备是CloudBridge Connector通道的终点,称为CloudBridge Connector通道的对等点。
数据中心和Azure云之间的CloudBridge连接器通道在通道模式下使用开放标准网络协议安全(IPsec)协议套件来保护CloudBridge连接器通道中的对等方之间的通信。在CloudBridge Connector通道中,IPsec确保:
- 数据完整性
- 数据源身份验证
- 数据保密(加密)
- 防止重播攻击
IPsec使用通道模式,其中对完整的IP数据包进行加密,然后封装。加密使用封装安全有效负载(ESP)协议,该协议通过使用HMAC哈希函数确保数据包的完整性,并通过使用加密算法确保机密性。ESP协议在加密有效负载并计算HMAC之后,生成ESP标头并将其插入加密的IP数据包之前。Esp协议还生成Esp拖车,并将其插入到数据包的末尾。
然后,IPsec协议通过在ESP标头之前添加IP标头来封装生成的数据包。在IP 标头中,目标 IP 地址设置为 CloudBridge Connector 对等方的 IP 地址。
CloudBridge连接器通道中的对等机使用互联网密钥交换版1本(IKEv1)协议(IPsec协议套件的一部分)协商安全通信,如下所示:
两个对等方使用预共享密钥身份验证相互进行身份验证,其中对等方交换称为预共享密钥(相移键控)的文本字符串。预共享密钥相互匹配以进行身份验证。因此,要使身份验证成功,您必须在每个对等方上配置相同的预共享密钥。
然后,同行谈判达成协议:
- 加密算法
- 加密密钥,用于在一个对等方上加密数据并在另一个对等方上进行解密。
安全协议,加密算法和加密密钥的协议称为安全关联(sa)。Sas是单向的(单纯)。例如,当在数据中心中的Citrix ADC设备与Azure云中的网关之间设置CloudBridge连接器通道时,数据中心设备和Azure网关都有两个情景应用程序。一个sa用于处理外包,另一个sa用于处理入站数据包。Sas在指定的时间间隔(称为生命周期)后过期。
CloudBridge连接器通道配置和数据流示例
作为CloudBridge连接器通道的示例,请考虑在数据中心中的Citrix ADC设备CB_应用1与Azure云中的网关Azure_Gateway-1之间设置了一个CloudBridge连接器通道。
CB_Applance-1还可以作为L3路由器,使数据中心的专用网络能够通过CloudBridge连接器通道连接到Azure云中的专用网络。作为路由器,CB_Applance-1可以通过CloudBridge连接器通道在数据中心的客户端CL1与Azure云中的服务器S1之间进行通信。客户端cl1和服务器s1位于不同的专用网络上。
在CB_Appliance-1上,CloudBridge连接器通道配置包括名为CB_Azure_IPsec_Profile的IPsec配置文件实体,名为CB_Azure_Tunnel的CloudBridge连接器通道实体和名为CB_Azure_Pbr的基于策略的路由(PBR)实体。
IPsec配置文件实体CB_Azure_IPsec_Profile指定IPsec协议参数,如艾克版本,加密算法和哈希算法,供CloudBridge连接器通道中的IPsec协议使用。CB_Azure_IPsec_Profile绑定到IP通道实体CB_Azure_Tunnel
CloudBridge连接器通道实体CB_Azure_Tunnel指定本地IP地址(Citrix ADC设备上配置的公有IP(剪)地址),远程IP地址(Azure_Gateway-1的IP地址)和用于设置CloudBridge连接器通道的协议(IPsec)。CB_Azure_Tunnel绑定到PBR实体CB_Azure_Pbr。
策略路由实体CB_Azure_Pbr指定一组条件和一个CloudBridge连接器通道实体(CB_Azure_Tunnel)。源IP地址范围和目标IP地址范围是CB_Azure_Pbr的条件。源IP地址范围和目标IP地址范围分别指定为数据中心中的子网和Azure云中的子网。来自数据中心子网中的客户端并且发送到Azure云上的子网中的服务器的任何请求数据包都与CB_Azure_Pbr中的条件匹配。然后,此数据包将被视为CloudBridge处理,并通过绑定到PBR实体的CloudBridge连接器通道(CB_Azure_Tunnel)发送。
在微软Azure上,CloudBridge连接器通道配置包括名为我的数据中心网络的本地网络实体,名为Azure网络的云桥通道的虚拟网络实体和名为Azure_Gateway-1的网关。
本地(Azure的本地)网络实体My-DataCenter——网络指定数据中心端Citrix ADC设备的IP地址,以及数据中心子网的流量要穿过CloudBridge连接器通道。虚拟网络实体Azure中的Azure网络云桥通道定义了一个名为Aze-Subnet-1的专用子网。子网的流量穿过CloudBridge连接器通道。在此子网中配置了服务器s1。
本地网络实体我的数据中心网络与虚拟网络实体Azure网络为CloudBridge通道相关联。此关联定义Azure中CloudBridge连接器通道配置的远程和本地网络详细信息。网关Azure_Gateway-1是为此关联创建的,以成为CloudBridge Connector通道Azure端的CloudBridge终点。
有关设置的更多信息,请参阅CloudBridge连接器隧道设置pdf。
CloudBridge连接器通道配置需要考虑的事项
在数据中心的Citrix ADC设备与微软Azure之间配置CloudBridge连接器通道之前,请考虑以下几点:
- Citrix ADC设备必须具有面向公共的IPv4地址(类型剪断),才能用作CloudBridge连接器通道的通道端点地址。此外,Citrix ADC设备不应位于NAT设备后面。
- Azure支持CloudBridge Connector通道的以下IPsec设置。因此,在为CloudBridge连接器通道配置Citrix ADC时,必须指定相同的IPsec设置。
- IKE版本= v1
- 加密算法= aes
- 哈希算法= hmac sha1
- 您必须在数据中心边缘配置防火墙以允许执行以下操作。
- 端口500的任何udp数据包
- 端口4500的任何udp数据包
- 任何esp (ip协议编号50)数据包
- 艾克重新密钥是在CloudBridge连接器通道端点之间重新协商新的加密密钥,以建立新的SAS,不受支持。当安全关联(sas)过期时,通道进入"关闭"状态。因此,您必须为sas的生命周期设置一个非常大的值。
- 在Citrix ADC上指定通道配置之前,必须先配置微软Azure,因为在Azure中设置通道配置时,通道的Azure端(网关)的公有IP地址和相移键控会自动生成。您需要此信息来指定Citrix ADC上的通道配置。
配置CloudBridge连接器通道
要在数据中心和Azure之间设置CloudBridge Connector通道,必须在数据中心安装CloudBridge VPX/MPX,为CloudBridge Connector通道配置Microsoft Azure,然后在数据中心为CloudBridge Connector通道配置Citrix ADC设备。
在数据中心的Citrix ADC设备和Microsoft Azure之间配置CloudBridge Connector通道包括以下任务:
- 在数据中心中设置Citrix ADC设备。此任务涉及部署和配置Citrix ADC物理设备(MPX),或在数据中心的虚拟化平台上置备和配置Citrix ADC虚拟设备(VPX)。
- 为CloudBridge Connector通道配置Microsoft Azure。此任务涉及在Azure中创建本地网络,虚拟网络和网关实体。本地网络实体指定数据中心端的CloudBridge连接器通道终点(Citrix ADC设备)的IP地址,以及数据中心子网的流量要穿过CloudBridge连接器通道。虚拟网络定义Azure上的网络。创建虚拟网络包括定义一个子网,其流量将遍历要形成的 CloudBridge Connector 通道。然后将本地网络与虚拟网络关联。最后,您可以创建一个网关,该网关将成为 CloudBridge Connector 通道的 Azure 端。
- 在数据中心中为CloudBridge连接器通道配置Citrix ADC设备。此任务涉及在数据中心的Citrix ADC设备中创建IPsec配置文件,IP通道实体和PBR实体。IPsec配置文件实体指定要在CloudBridge连接器通道中使用的IPsec协议参数,如艾克版本,加密算法,哈希算法和相移键控。IP通道指定CloudBridge连接器通道端点(数据中心和Azure中的网关中的Citrix ADC设备)的IP地址以及要在CloudBridge连接器通道中使用的协议。然后,您将IPsec配置文件实体与IP通道实体关联。PBR实体指定数据中心和Azure云中的两个子网,这两个子网将通过CloudBridge连接器通道相互通信。然后,您将IP通道实体与PBR实体关联。
为CloudBridge Connector通道配置Microsoft Azure
要在微软Azure上创建CloudBridge连接器通道配置,请使用微软Windows Azure管理门户,该门户是一个基于Web的图形界面,用于在微软Azure上创建和管理资源。
在Azure云上开始云上的CloudBridge Connector通道配置之前,请确保:
- 您有一个微软Azure的用户帐户。
- 您对微软Azure有一个概念性的理解。
- 您熟悉Microsoft Windows Azure管理门户。
要在数据中心和Azure云之间配置CloudBridge连接器通道,请使用微软Windows Azure管理门户在微软Azure上执行以下任务:
- 创建本地网络实体。在Windows Azure 中创建本地网络实体,用于指定数据中心的网络详细信息。本地网络实体指定数据中心端的 CloudBridge Connector 通道终点(Citrix ADC)以及数据中心子网的 IP 地址,其流量将穿过 CloudBridge Connector 通道。
- 创建虚拟网络。在Azure 上创建定义网络的虚拟网络实体。此任务包括定义私有地址空间,您可以在其中提供属于地址空间中指定范围的私有地址和子网。子网的流量将穿过 CloudBridge Connector 通道。然后,您将本地网络实体与虚拟网络实体关联。通过这种关联,Azure 可以为虚拟网络和数据中心网络之间的 CloudBridge Connector 通道创建配置。在 Azure 中为此虚拟网络创建的网关将成为CloudBridge Connector 通道 Azure 端的 CloudBridge 终点。然后,您可以为要创建的网关定义一个专用子网。此子网属于虚拟网络实体中地址空间中指定的范围。
- 在Windows Azure中创建网关。创建一个网关,该网关成为CloudBridge Connector通道Azure端的终点。Azure从其公有IP地址池中向创建的网关分配IP地址。
- 收集网关的公有IP地址和预共享密钥。对于Azure上的CloudBridge连接器通道配置,Azure会自动生成网关的公有IP地址和预共享密钥(相移键控)。记下这些信息。在数据中心 Citrix ADC 上配置 CloudBridge Connector 通道时,您将需要使用它。
注意:配置微软Azure为CloudBridge连接器通道的过程可能会随着时间的推移而更改,具体取决于微软Azure发布周期。有关最新过程,请参阅微软Azure文档。
在数据中心为CloudBridge连接器通道配置Citrix ADC设备
要在数据中心和Azure云之间配置CloudBridge连接器通道,请在数据中心的Citrix ADC上执行以下任务。您可以使用Citrix ADC命令行或GUI:
- 创建IPsec配置文件。IPsec配置文件实体指定IPsec协议参数,如艾克版本,加密算法,哈希算法和相移键控,以供CloudBridge连接器通道中的IPsec协议使用。
- 使用IPsec协议创建IP通道并将IPsec配置文件与其关联。IP通道指定本地IP地址(Citrix ADC设备上配置的公共剪断地址),远程IP地址(Azure中网关的公有IP地址),用于设置CloudBridge连接器通道的协议(IPsec)和IPsec配置文件实体。创建的IP通道实体也称为CloudBridge Connector通道实体。
- 创建策略路由规则并将IP通道关联到该规则。PBR实体指定一组条件和一个IP通道(CloudBridge连接器通道)实体。源IP地址范围和目标IP范围是策略路由实体的条件。您必须设置源IP地址范围以指定其流量要遍历通道的数据中心子网,并设置目标IP地址范围以指定流量要遍历CloudBridge连接器通道的Azure子网。任何请求数据包来自数据中心子网中的客户端并且发往Azure云上子网中服务器的请求数据包都与PBR实体的源和目标IP范围相匹配。然后,此数据包将用于CloudBridge连接器通道处理,并通过与PBR实体关联的CloudBridge连接器通道发送。
GUI将所有这些任务合并到一个名为CloudBridge Connector向导的向导中。要使用Citrix ADC命令行创建IPsec配置文件,请执行以下操作:
在命令提示窗口中,键入:
add ipsec profile
若要使用Citrix ADC命令行创建IPsec通道并将IPsec配置文件绑定到该通道,请执行以下操作:
在命令提示窗口中,键入:
添加ipTunnel
使用Citrix ADC命令行创建策略路由规则并将IPsec通道绑定到该规则
add pbr
示例配置
以下命令创建Citrix ADC设备CB_Applane-1中使用的所有设置“CloudBridge连接器配置和数据流示例”。
> add ipsec profile CB_Azure_IPSec_Profile -psk DkiMgMdcbqvYREEuIvxsbKkW0FOyDiLM -ikeVersion v1 -lifetime 31536000 Done > add iptunnel CB_Azure_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 -protocol ipsec -ipsecProfileName CB_Azure_IPSec_Profile Done > add pbr CB_Azure_Pbr -srcIP 10.102.147.0-10.102.147.255 -destIP 10.20.0.0-10.20.255.255 -ipTunnelCB_Azure_Tunnel Done > apply pbr Done 使用GUI在Citrix ADC设备中配置CloudBridge连接器通道
使用Web浏览器访问GUI以连接到数据中心中Citrix ADC设备的IP地址。
导航到系统>CloudBridge连接器。
在右窗格的”入门“下,单击”创建/监控CloudBridge”。
单击入门。
![本地化后的图片]()
注意:如果您已经在Citrix ADC设备上配置了任何CloudBridge连接器通道,则不会出现此屏幕,您将转到CloudBridge连接器设置窗格。
在CloudBridge设置窗格中,单击微软Windows Azure。
![本地化后的图片]()
在Azure设置窗格的网关IP地址字段中,键入Azure网关的IP地址。然后在Citrix ADC设备和网关之间设置CloudBridge连接器通道。在子网(ip范围)文本框中,指定子网范围(在Azure云中),其流量将遍历CloudBridge连接器隧道。单击继续。
![本地化后的图片]()
在"思杰ADC设置"窗格中的"本地子网IP地址下拉列表中,选择在Citrix ADC设备上配置的可公开访问的SNIP地址。在子网(ip范围)文本框中,指定本地子网范围,其流量将遍历CloudBridge连接器隧道。单击继续。
![本地化后的图片]()
在CloudBridge设置窗格的CloudBridge名称文本框中,键入您要创建的CloudBridge的名称。
![本地化后的图片]()
从加密算法和哈希算法下拉列表中,分别选择aes和hmac_sha1算法。在"预共享安全密钥"文本框中,键入安全密钥。
单击完成。
监视CloudBridge连接器通道
您可以查看统计信息,以监视数据中心中Citrix ADC设备与微软Azure之间的CloudBridge连接器通道的性能。要查看Citrix ADC设备上的CloudBridge连接器通道统计信息,请使用GUI或Citrix ADC命令行。要在Microsoft Azure中查看CloudBridge Connector通道统计信息,请使用Microsoft Windows Azure管理门户。
在Citrix ADC设备中显示CloudBridge连接器通道统计信息
有关在Citrix ADC设备上显示CloudBridge连接器隧道统计信息的信息,请参阅监视CloudBridge连接器隧道。
在Microsoft Azure中显示CloudBridge Connector通道统计信息
下表列出了可用于监视微软Azure中的CloudBridge连接器通道的统计计数器。
| 统计计数器 | 说明 |
|---|---|
| 数据 | 自创建网关以来,Azure门户通过CloudBridge连接器通道接收的总千字节数。 |
| 数据 | 自创建网关以来,Azure门户通过CloudBridge连接器通道发送的总千字节数。 |
使用Microsoft Windows Azure管理门户显示CloudBridge Connector通道统计信息
使用你的微软Azure帐户凭据登录Windows Azure管理门户。
在左窗格中,单击网络。
在“虚拟网络“选项卡上的“名称”列中,选择与要显示其统计信息的CloudBridge连接器通道关联的虚拟网络实体。
![本地化后的图片]()
在虚拟网络的仪表板页面上,查看CloudBridge连接器通道的数据输入和数据输出计数器。
![本地化后的图片]()
