Konfigurieren von CloudBridge Connector zwischen Rechenzentrum und AWS-Cloud

Sie können einen CloudBridge Connector-Tunnel zwischen einem Rechenzentrum und einer AWS-Cloud konfigurieren, um die Infrastruktur- und Computing-Funktionen des Rechenzentrums und der AWS-Cloud zu nutzen. Mit AWS können Sie Ihr Netzwerk ohne anfängliche Kapitalinvestitionen oder die Kosten für die Wartung der erweiterten Netzwerkinfrastruktur erweitern. Sie können Ihre Infrastruktur nach Bedarf nach oben oder unten skalieren. Beispielsweise können Sie mehr Serverfunktionen leasen, wenn der Bedarf steigt.

Um ein Rechenzentrum mit der AWS-Cloud zu verbinden, richten Sie einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance, die sich im Rechenzentrum befindet, und einer virtuellen Citrix ADC-Appliance (VPX), die sich in der AWS-Cloud befindet, ein.

Betrachten Sie ein Beispiel, in dem ein CloudBridge Connector-Tunnel zwischen einem Rechenzentrum und Amazon AWS-Cloud zwischen der Citrix ADC Appliance NS_Appliance-DC, im Rechenzentrums-DC und der virtuellen Citrix ADC-Appliance (VPX) NS_VPX_Appliance-AWS eingerichtet wird.

lokalisiertes Bild

Sowohl NS_Appliance-DC als auch NS_VPX_Appliance-AWS funktionieren im L3-Modus. Sie ermöglichen die Kommunikation zwischen privaten Netzwerken im Rechenzentrum DC und der AWS-Cloud. NS_Appliance-DC und NS_VPX_Appliance-AWS ermöglichen die Kommunikation zwischen Client CL1 im Rechenzentrum DC und Server S1 in der AWS-Cloud über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Hinweis:

AWS unterstützt den L2-Modus nicht, daher ist es notwendig, nur den L3-Modus auf beiden Endpunkten aktiviert zu haben.

Für die ordnungsgemäße Kommunikation zwischen CL1 und S1 ist der L3-Modus auf NS_Appliance-DC und NS_VPX_Appliance-AWS aktiviert und Routen werden wie folgt aktualisiert:

  • CL1 hat eine Route zu NS_Appliance-DC, um S1 zu erreichen.
  • NS_Appliance-DC haben eine Route zu NS_VPX_Appliance-AWS, um S1 zu erreichen.
  • S1 sollte eine Route zu NS_VPX_Appliance-AWS haben, um CL1 zu erreichen.
  • NS_VPX_Appliance-AWS haben eine Route zu NS_Appliance-DC, um CL1 zu erreichen.

In der folgenden Tabelle sind die Einstellungen der Citrix ADC Appliance NS_Appliance-DC im Rechenzentrums-DC aufgeführt.

Entität Name Details
Die NSIP-Adresse   66.165.176.12
SNIP-Adresse   66.165.176.15
CloudBridge-Connector-Tunnel CC_Tunnel_DC-AWS Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 66.165.176.15, Remote-Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 168.63.252.133, GRE Tunnel Details - Name= CC_Tunnel_DC-AWS

In der folgenden Tabelle sind die Einstellungen für Citrix ADC VPX NS_VPX_Appliance-AWS in der AWS-Cloud aufgeführt.

Entität Name Details
NSIP-Adresse   10.102.25.30
Öffentliche EIP-Adresse, die der NSIP-Adresse zugeordnet ist   168.63.252.131
SNIP-Adresse   10.102.29.30
Öffentliche EIP-Adresse, die der SNIP-Adresse zugeordnet ist   168.63.252.133
CloudBridge-Connector-Tunnel CC_Tunnel_DC-AWS Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 168.63.252.133, Remote-Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 66.165.176.15; GRE Tunnel Details Name = CC_Tunnel_DC-AWS, IPSec-Profildetails, Name= CC_Tunnel_DC-AWS, Verschlüsselungsalgorithmus= AES, Hash-Algorithmus= HMAC SHA1

Voraussetzungen

Stellen Sie vor dem Einrichten eines CloudBridge Connector-Tunnels sicher, dass die folgenden Aufgaben ausgeführt wurden:

  1. Installieren, konfigurieren und starten Sie eine Instanz der Citrix ADC Virtual Appliance (VPX) in der AWS-Cloud. Anweisungen zur Installation von Citrix ADC VPX in AWS finden Sie unter Deploy a Citrix ADC VPX instance on AWS.

  2. Provisioning und Konfigurieren einer physischen Citrix ADC Appliance oder Bereitstellen und Konfigurieren einer virtuellen Citrix ADC Appliance (VPX) auf einer Virtualisierungsplattform im Rechenzentrum.

  3. Stellen Sie sicher, dass die Endpunkt-IP-Adressen des CloudBridge Connector-Tunnels für einander zugänglich sind.

Citrix ADC VPX -Lizenz

Nach dem erstmaligen Instance-Start benötigt Citrix ADC VPX for AWS eine Lizenz. Wenn Sie Ihre eigene Lizenz (BYOL) mitbringen, finden Sie im VPX Licensing Guide unter: http://support.citrix.com/article/CTX122426.

Sie müssen:

  1. Verwenden Sie das Lizenzierungsportal in MyCitrix, um eine gültige Lizenz zu generieren.
  2. Laden Sie die Lizenz auf die Instanz hoch.

Wenn es sich um eine kostenpflichtige Marketplace-Instance handelt, müssen Sie keine Lizenz installieren. Der korrekte Funktionsumfang und die korrekte Leistung werden automatisch aktiviert.

Konfigurationsschritte

Um einen CloudBridge Connector-Tunnel zwischen einer Citrix ADC Appliance, die sich in einem Rechenzentrum befindet, und einer virtuellen Citrix ADC-Appliance (VPX), die sich in der AWS-Cloud befindet, einzurichten, verwenden Sie die GUI der Citrix ADC-Appliance.

Wenn Sie die GUI verwenden, wird die auf der Citrix ADC-Appliance erstellte CloudBridge Connector-Tunnelkonfiguration automatisch an den anderen Endpunkt oder Peer (Citrix ADC VPX auf AWS) des CloudBridge Connector-Tunnels übertragen. Daher müssen Sie nicht auf die GUI (GUI) des Citrix ADC VPX in AWS zugreifen, um die entsprechende CloudBridge Connector-Tunnelkonfiguration zu erstellen.

Die CloudBridge Connector-Tunnelkonfiguration auf beiden Peers (die Citrix ADC Appliance, die sich im Rechenzentrum befindet, und die virtuelle Citrix ADC-Appliance (VPX), die sich in der AWS-Cloud befindet) besteht aus den folgenden Entitäten:

  • IPSec-Profil— Eine IPSec-Profilentität gibt die IPSec-Protokollparameter an, z. B. IKE-Version, Verschlüsselungsalgorithmus, Hash-Algorithmus und PSK, die vom IPSec-Protokoll in beiden Peers des CloudBridge Connector-Tunnels verwendet werden sollen.
  • GRE-Tunnel— Ein IP-Tunnel gibt eine lokale IP-Adresse (eine öffentliche SNIP-Adresse, die auf dem lokalen Peer konfiguriert ist), eine Remote-IP-Adresse (eine öffentliche SNIP-Adresse, die auf dem Remote-Peer konfiguriert ist), ein Protokoll (GRE) zum Einrichten des CloudBridge Connector-Tunnels und eine IPSec-Profilentität an.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie den IP-Tunnel damit—Eine PBR-Entität gibt einen Satz von Bedingungen und eine IP-Tunnelentität an. Der Quell-IP-Adressbereich und der Ziel-IP-Bereich sind die Bedingungen für die PBR-Entität. Sie müssen den Quell-IP-Adressbereich und den Ziel-IP-Adressbereich festlegen, um das Subnetz anzugeben, dessen Datenverkehr den CloudBridge Connector-Tunnel durchqueren soll. Betrachten Sie beispielsweise ein Anforderungspaket, das von einem Client im Subnetz im Rechenzentrum stammt und für einen Server im Subnetz in der AWS-Cloud bestimmt ist. Wenn dieses Paket mit dem Quell- und Ziel-IP-Adressbereich der PBR-Entität auf der Citrix ADC Appliance im Rechenzentrum übereinstimmt, wird es über den CloudBridge Connector-Tunnel gesendet, der der PBR-Entität zugeordnet ist.

So erstellen Sie mit der Befehlszeilenschnittstelle ein IPSEC-Profil

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

So erstellen Sie einen IP-Tunnel und binden das IPSEC-Profil mit der Befehlszeilenschnittstelle an ihn

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

So erstellen Sie eine PBR-Regel und binden den IPSEC-Tunnel mit der Befehlszeilenschnittstelle an ihn

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Beispiel

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done

So konfigurieren Sie einen CloudBridge Connector-Tunnel in einer Citrix ADC Appliance mit der GUI

  1. Geben Sie die NSIP-Adresse einer Citrix ADC Appliance in die Adresszeile eines Webbrowsers ein.

  2. Melden Sie sich mit Ihren Kontoanmeldeinformationen für die Appliance an der Benutzeroberfläche der Citrix ADC Appliance an.

  3. Navigieren Sie zu System > CloudBridge Connector .

  4. Klicken Sie im rechten Bereich unter Erste Schritteauf CloudBridge erstellen/überwachen.

  5. Wenn Sie zum ersten Mal einen CloudBridge Connector-Tunnel auf der Appliance konfigurieren, wird ein Begrüßungsbildschirm angezeigt.

  6. Klicken Sie auf der Willkommensseite auf Erste Schritte .

localizd-Bild

Hinweis:

Wenn Sie bereits einen CloudBridge Connector-Tunnel auf der Citrix ADC Appliance konfiguriert haben, wird der Begrüßungsbildschirm nicht angezeigt, sodass Sie nicht auf Erste Schritte klicken.

  1. Klicken Sie im Setup-Bereich von CloudBridge Connector auf Amazon Web Services

lokalisiertes Bild

  1. Geben Sie im Bereich Amazon Ihre AWS-Kontoanmeldeinformationen ein: AWS Access Key ID und AWS Secret Access Key. Sie können diese Zugriffsschlüssel über die AWS GUI-Konsole beziehen. Klicken Sie auf Weiter.

Hinweis:

Früher stellt der Setup-Assistent immer eine Verbindung zur gleichen AWS-Region her, auch wenn eine andere Region ausgewählt ist. Daher fehlgeschlagen die Konfiguration des CloudBridge Connector-Tunnels für einen Citrix ADC VPX, der in der ausgewählten AWS-Region ausgeführt wird. Dieses Problem wurde jetzt behoben.

  1. Wählen Sie im Bereich Citrix ADC die NSIP-Adresse der virtuellen Citrix ADC Appliance aus, die in AWS ausgeführt wird. Geben Sie anschließend Ihre Kontoanmeldeinformationen für die virtuelle Citrix ADC Appliance an. Klicken Sie auf Weiter.

  2. Legen Sie im Bereich CloudBridge-Connector-Einstellungen den folgenden Parameter fest:

    • CloudBridge-Connector-Name— Name für die CloudBridge Connector-Konfiguration auf der lokalen Appliance. Muss mit einem alphabetischen ASCII-Zeichen oder Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstrich, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), equals (=) und Bindestriche (-) enthalten. Kann nicht geändert werden, nachdem die CloudBridge Connector-Konfiguration erstellt wurde.
  3. Legen Sie unter Lokale Einstellungden folgenden Parameter fest:

    • Subnetz-IP— IP-Adresse des lokalen Endpunkts des CloudBridge Connector-Tunnels. Muss eine öffentliche IP-Adresse vom Typ SNIP sein.
  4. Legen Sie unter Remote Settingden folgenden Parameter fest:

    • Subnetz-IP— IP-Adresse des CloudBridge Connector-Tunnelendpunkts auf der AWS-Seite. Muss eine IP-Adresse vom Typ SNIP auf der Citrix ADC VPX Instanz in AWS sein.

    • NAT— Öffentliche IP-Adresse (EIP) in AWS, die der SNIP zugeordnet ist, die auf der Citrix ADC VPX Instanz in AWS konfiguriert ist.

  5. Legen Sie unter PBR-Einstellungdie folgenden Parameter fest:

    • Operation—Entweder gleich (=) oder nicht gleich (! =) logischer Operator.
    • Quell-IP Niedrig— Die niedrigste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Source IP High— Die höchste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Operation—Entweder gleich (=) oder nicht gleich (! =) logischer Operator.
    • Ziel-IP Niedrig— Die niedrigste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
    • Ziel-IP hoch— Die höchste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets übereinstimmt.
  6. (Optional) Legen Sie unter Sicherheitseinstellungendie folgenden IPSec-Protokollparameter für den CloudBridge Connector-Tunnel fest:

    • Verschlüsselungsalgorithmus— Verschlüsselungsalgorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Hash-Algorithmus— Hash-Algorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Schlüssel— Wählen Sie eine der folgenden IPSec-Authentifizierungsmethoden aus, die von den beiden Peers zur gegenseitigen Authentifizierung verwendet werden sollen.
      • Schlüssel automatisch generieren— Authentifizierung basierend auf einer Textzeichenfolge, die als Pre-Shared Key (PSK) bezeichnet wird, die automatisch von der lokalen Appliance generiert wird. Die PSKS-Schlüssel der Peers werden zur Authentifizierung gegeneinander abgestimmt.
      • Spezifischer Schlüssel— Authentifizierung basierend auf einer manuell eingegebenen PSK. Die PSKs der Peers werden zur Authentifizierung gegeneinander abgestimmt.
        • Pre Shared Security Key— Die Textzeichenfolge, die für die vorab freigegebene schlüsselbasierte Authentifizierung eingegeben wurde.
      • Zertifikate hochladen— Authentifizierung basierend auf digitalen Zertifikaten.
        • Öffentlicher Schlüssel: Ein lokales digitales Zertifikat, das zum Authentifizieren des lokalen Peers beim Remote-Peer verwendet wird, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Das gleiche Zertifikat sollte vorhanden sein und für den Peer-Public Key-Parameter im Peer festgelegt sein.
        • Privater Schlüssel— Privater Schlüssel des lokalen digitalen Zertifikats.
        • Öffentlicher Peer-Schlüssel— Digitales Zertifikat des Peers. Wird verwendet, um den Peer am lokalen Endpunkt zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Das gleiche Zertifikat sollte vorhanden sein und für den Parameter Öffentlicher Schlüssel im Peer festgelegt sein.
  7. Klicken Sie auf Fertig.

Die neue CloudBridge Connector-Tunnelkonfiguration auf der Citrix ADC Appliance im Rechenzentrum wird auf der Registerkarte Start der GUI angezeigt. Die entsprechende neue CloudBridge Connector-Tunnelkonfiguration auf der Citrix ADC VPX Appliance in der AWS-Cloud wird auf der GUI angezeigt. Der aktuelle Status des CloudBridge-Connector-Tunnels wird im Bereich Konfigurierte CloudBridge angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer Citrix ADC Appliance mithilfe von CloudBridge Connector-Tunnel-Statistikindikatoren überwachen. Weitere Informationen zum Anzeigen von CloudBridge Connector-Tunnelstatistiken auf einer Citrix ADC Appliance finden Sie unterÜberwachung von CloudBridge-Connector-Tunnels.

Konfigurieren von CloudBridge Connector zwischen Rechenzentrum und AWS-Cloud