Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS

Puede configurar un túnel de CloudBridge Connector entre un centro de datos y la nube de AWS para aprovechar la infraestructura y las capacidades informáticas del centro de datos y la nube de AWS. Con AWS, puede ampliar su red sin inversión inicial de capital ni el coste de mantener la infraestructura de red ampliada. Puede escalar su infraestructura hacia arriba o hacia abajo, según sea necesario. Por ejemplo, puede arrendar más capacidades de servidor cuando aumente la demanda.

Para conectar un centro de datos a la nube de AWS, configure un túnel de CloudBridge Connector entre un dispositivo Citrix ADC que reside en el centro de datos y un dispositivo virtual Citrix ADC (VPX) que reside en la nube de AWS.

Como ilustración de un túnel de CloudBridge Connector entre un centro de datos y la nube de Amazon AWS, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre el dispositivo Citrix ADC NS_Appliance-DC, en el centro de datos DC y Citrix ADC virtual appliance (VPX) NS_VPX_Appliance-AWS.

Imagen localizada

Ambos NS_Appliance-DC y NS_VPX_Appliance-AWS funcionan en modo L3. Permiten la comunicación entre redes privadas en el centro de datos DC y la nube de AWS. NS_Appliance-DC y NS_VPX_Appliance-AWS permiten la comunicación entre el cliente CL1 en el DC del centro de datos y el servidor S1 en la nube de AWS a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

Nota:

AWS no admite el modo L2, por lo que es necesario tener solo el modo L3 habilitado en ambos extremos.

Para una comunicación adecuada entre CL1 y S1, el modo L3 está habilitado en NS_Appliance-DC y NS_VPX_Appliance-AWS y las rutas se actualizan como tales:

  • CL1 tiene una ruta a NS_Appliance-DC para llegar a S1.
  • NS_Appliance-DC tiene una ruta a NS_VPX_Appliance-AWS para llegar a S1.
  • S1 debería tener una ruta a NS_VPX_Appliance-AWS para llegar a CL1.
  • NS_VPX_Appliance-AWS tiene una ruta a NS_Appliance-DC para llegar a CL1.

En la tabla siguiente se enumeran las opciones de configuración del dispositivo Citrix ADC NS_Appliance-DC en el centro de datos DC.

Entidad Nombre Detalles
La dirección NSIP   66.165.176.12
Dirección SNIP   66.165.176.15
Túnel del conector CloudBridge CC_Tunnel_DC-AWS Dirección IP del extremo local del túnel del conector de CloudBridge: 66.165.176.15, Dirección IP del extremo remoto del túnel del conector de CloudBridge: 168.63.252.133, Detalles del túnel GRE - Nombre= CC_Tunnel_DC-AWS

En la siguiente tabla se enumeran las configuraciones de Citrix ADC VPX NS_VPX_Appliance-AWS en la nube de AWS.

Entidad Nombre Detalles
Dirección NSIP   10.102.25.30
Dirección EIP pública asignada a la dirección NSIP   168.63.252.131
Dirección SNIP   10.102.29.30
Dirección EIP pública asignada a la dirección SNIP   168.63.252.133
Túnel del conector CloudBridge CC_Tunnel_DC-AWS Dirección IP del extremo local del túnel del conector de CloudBridge:168.63.252.133, Dirección IP del extremo remoto del túnel del conector de CloudBridge: 66.165.176.15; Detalles del túnel GRE Nombre= CC_Tunnel_DC-AWS, Detalles del perfil de IPSec, Nombre= CC_Tunnel_DC-AWS, algoritmo de cifrado = AES, algoritmo de hash = HMAC SHA1

Requisitos previos

Antes de configurar un túnel de CloudBridge Connector, compruebe que se han completado las siguientes tareas:

  1. Instale, configure e inicie una instancia de Citrix ADC Virtual Appliance (VPX) en la nube de AWS. Para obtener instrucciones sobre cómo instalar Citrix ADC VPX en AWS, consulte Implementar una instancia de Citrix ADC VPX en AWS.

  2. Implementar y configurar un dispositivo físico Citrix ADC, o Provisioning y configurar un dispositivo virtual Citrix ADC (VPX) en una plataforma de virtualización en el centro de datos.

  3. Asegúrese de que las direcciones IP de punto final del túnel CloudBridge Connector sean accesibles entre sí.

Licencia Citrix ADC VPX

Después del lanzamiento inicial de la instancia, Citrix ADC VPX for AWS requiere una licencia. Si va a traer su propia licencia (BYOL), consulte la Guía de licencias de VPX en: http://support.citrix.com/article/CTX122426.

Es necesario que:

  1. Utilice el portal de licencias dentro de MyCitrix para generar una licencia válida.
  2. Cargue la licencia en la instancia.

Si se trata de una instancia de mercado de pago, no es necesario instalar licencia. El conjunto de funciones y el rendimiento correctos se activarán automáticamente.

Pasos de configuración

Para configurar un túnel de CloudBridge Connector entre un dispositivo Citrix ADC que reside en un centro de datos y un dispositivo virtual Citrix ADC (VPX) que reside en la nube de AWS, utilice la GUI del dispositivo Citrix ADC.

Cuando se utiliza la GUI, la configuración del túnel de CloudBridge Connector creada en el dispositivo Citrix ADC se envía automáticamente al otro punto final o par (Citrix ADC VPX en AWS) del túnel de CloudBridge Connector. Por lo tanto, no es necesario acceder a la GUI (GUI) de Citrix ADC VPX en AWS para crear la configuración de túnel de CloudBridge Connector correspondiente en él.

La configuración del túnel de CloudBridge Connector en ambos pares (el dispositivo Citrix ADC que reside en el centro de datos y el dispositivo virtual Citrix ADC (VPX) que reside en la nube de AWS) consta de las siguientes entidades:

  • Perfil IPSec: una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo hash y PSK, que utilizará el protocolo IPSec en ambos pares del túnel de CloudBridge Connector.
  • Túnel GRE: un túnel IP especifica una dirección IP local (una dirección SNIP pública configurada en el par local), una dirección IP remota (una dirección SNIP pública configurada en el par remoto), un protocolo (GRE) utilizado para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec.
  • Cree una regla PBR y asocie el túnel IP a ella: una entidad PBR especifica un conjunto de condiciones y una entidad de túnel IP. El intervalo de direcciones IP de origen y el intervalo IP de destino son las condiciones para la entidad PBR. Debe establecer el intervalo de direcciones IP de origen y el intervalo de direcciones IP de destino para especificar la subred cuyo tráfico va a atravesar el túnel del conector de CloudBridge. Por ejemplo, considere un paquete de solicitud que se origina en un cliente de la subred del centro de datos y está destinado a un servidor de la subred en la nube de AWS. Si este paquete coincide con el intervalo de direcciones IP de origen y destino de la entidad PBR en el dispositivo Citrix ADC en el centro de datos, se envía a través del túnel CloudBridge Connector asociado a la entidad PBR.

Para crear un perfil IPSEC mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

Para crear un túnel IP y enlazar el perfil IPSEC mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Para crear una regla PBR y enlazar el túnel IPSEC con ella mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Ejemplo

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done

Para configurar un túnel de CloudBridge Connector en un dispositivo Citrix ADC mediante la interfaz gráfica de usuario

  1. Escriba la dirección NSIP de un dispositivo Citrix ADC en la línea de direcciones de un explorador web.

  2. Inicie sesión en la GUI del dispositivo Citrix ADC mediante las credenciales de cuenta del dispositivo.

  3. Vaya a Sistema > Conector de CloudBridge.

  4. En el panel derecho, en Introducción, haga clic en Crear/Supervisar CloudBridge.

  5. La primera vez que configure un túnel de CloudBridge Connector en el dispositivo, aparece una pantalla de bienvenida.

  6. En la pantalla de bienvenida, haga clic en Introducción.

Imagen localizada

Nota:

Si ya tiene configurado un túnel de CloudBridge Connector en el dispositivo Citrix ADC, la pantalla de bienvenida no aparece, por lo que no hace clic en Comenzar.

  1. En el panel Configuración de CloudBridge Connector, haga clic en amazon web services

Imagen localizada

  1. En el panel Amazon, proporcione las credenciales de su cuenta de AWS: ID de clave de acceso de AWS y clave de acceso secreta de AWS. Puede obtener estas claves de acceso desde la consola GUI de AWS. Haga clic en Continuar.

Nota

Anteriormente, el asistente de configuración siempre se conecta a la misma región de AWS incluso cuando se selecciona otra región. Como resultado, la configuración del túnel de CloudBridge Connector en un Citrix ADC VPX que se ejecuta en la región de AWS seleccionada solía fallar. Este problema se ha solucionado ahora.

  1. En el panel Citrix ADC, seleccione la dirección NSIP del dispositivo virtual Citrix ADC que se ejecuta en AWS. A continuación, proporcione las credenciales de su cuenta para el dispositivo virtual Citrix ADC. Haga clic en Continuar.

  2. En el panel Configuración del conector de CloudBridge, establezca el siguiente parámetro:

    • CloudBridge Connector Name: nombre para la configuración de CloudBridge Connector en el dispositivo local. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar después de crear la configuración de CloudBridge Connector.
  3. En Configuración local, establezca el siguiente parámetro:

    • IP de subred: dirección IP del extremo local del túnel de CloudBridge Connector. Debe ser una dirección IP pública del tipo SNIP.
  4. En Configuración remota, establezca el siguiente parámetro:

    • IP de subred: dirección IP del punto final del túnel de CloudBridge Connector en el lado de AWS. Debe ser una dirección IP del tipo SNIP en la instancia de Citrix ADC VPX en AWS.

    • NAT: Dirección IP pública (EIP) en AWS que se asigna al SNIP configurado en la instancia de Citrix ADC VPX en AWS.

  5. En Configuración PBR, establezca los siguientes parámetros:

    • Operación: el igual (=) o no es igual a (! =) operador lógico.
    • IP de origen bajo: la dirección IP de origen más baja para que coincida con la dirección IP de origen de un paquete IPv4 saliente.
    • IP de origen alto: la dirección IP de origen más alta que debe coincidir con la dirección IP de origen de un paquete IPv4 saliente.
    • Operación: el igual (=) o no es igual a (! =) operador lógico.
    • DirecciónIP de destino baja: la dirección IP de destino más baja para que coincida con la dirección IP de destino de un paquete IPv4 saliente.
    • DirecciónIP de destino alta: la dirección IP de destino más alta que debe coincidir con la dirección IP de destino de un paquete IPv4 saliente.
  6. (Opcional) En Configuración de seguridad, establezca los siguientes parámetros de protocolo IPSec para el túnel de CloudBridge Connector:

    • Algoritmode cifrado: Algoritmo de cifrado que utilizará el protocolo IPSec en el túnel de CloudBridge.
    • Algoritmo hash: Algoritmo hash que utilizará el protocolo IPSec en el túnel CloudBridge.
    • Clave: seleccione uno de los siguientes métodos de autenticación IPSec que los dos pares utilizarán para autenticarse mutuamente.
      • Generación automática de clave: autenticación basada en una cadena de texto, denominada clave previamente compartida (PSK), generada automáticamente por el dispositivo local. Las claves PSK de los pares se comparan entre sí para la autenticación.
      • Clave específica: autenticación basada en un PSK introducido manualmente. Los PSK de los pares se comparan entre sí para la autenticación.
        • Clave de seguridad precompartida: la cadena de texto introducida para la autenticación basada en claves previamente compartidas.
      • Cargar certificados: autenticación basada en certificados digitales.
        • Clave pública: certificado digital local que se utilizará para autenticar el peer local al peer remoto antes de establecer asociaciones de seguridad IPSec. El mismo certificado debe estar presente y configurado para el parámetro Peer Public Key en el peer.
        • Clave privada: clave privada del certificado digital local.
        • Clave pública del mismo nivel: certificado digital del mismo nivel. Se utiliza para autenticar el par en el punto final local antes de establecer asociaciones de seguridad IPSec. El mismo certificado debe estar presente y configurado para el parámetro de clave pública en el par.
  7. Haga clic en Done.

La nueva configuración del túnel de CloudBridge Connector en el dispositivo Citrix ADC en el centro de datos aparece en la ficha Inicio de la GUI. La nueva configuración de túnel de CloudBridge Connector correspondiente en el dispositivo Citrix ADC VPX en la nube de AWS aparece en la GUI. El estado actual del túnel del conector de CloudBridge se indica en el panel Configurado de CloudBridge. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo Citrix ADC mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas del túnel de CloudBridge Connector en un dispositivo Citrix ADC, consulte Supervisión de túneles de conectores de CloudBridge.

Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS