Configuration de CloudBridge Connector entre le centre de données et le cloud AWS

Vous pouvez configurer un tunnel CloudBridge Connector entre un centre de données et le cloud AWS pour tirer parti de l’infrastructure et des capacités informatiques du centre de données et du cloud AWS. Avec AWS, vous pouvez étendre votre réseau sans investissement initial ni coût de maintenance de l’infrastructure réseau étendue. Vous pouvez faire évoluer votre infrastructure vers le haut ou vers le bas, selon vos besoins. Par exemple, vous pouvez louer davantage de fonctionnalités serveur lorsque la demande augmente.

Pour connecter un centre de données au cloud AWS, vous configurez un tunnel CloudBridge Connector entre une appliance Citrix ADC résidant dans le centre de données et une appliance virtuelle Citrix ADC (VPX) résidant dans le cloud AWS.

À titre d’illustration d’un tunnel CloudBridge Connector entre un centre de données et un nuage Amazon AWS, considérez un exemple dans lequel un tunnel CloudBridge Connector est configuré entre l’appliance Citrix ADC NS_Appliance-DC, dans le centre de données DC, et l’appliance virtuelle Citrix ADC (VPX) NS_VPX_Appliance-AWS.

image localisée

NS_Appliance-DC et NS_VPX_Appliance-AWS fonctionnent en mode L3. Ils permettent la communication entre les réseaux privés dans le centre de données DC et le cloud AWS. NS_Appliance-DC et NS_VPX_Appliance-AWS permettent la communication entre le client CL1 dans le centre de données DC et le serveur S1 dans le cloud AWS via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Remarque :

AWS ne prend pas en charge le mode L2, il est donc nécessaire que le mode L3 soit activé sur les deux points de terminaison.

Pour une communication correcte entre CL1 et S1, le mode L3 est activé sur NS_Appliance-DC et NS_VPX_Appliance-AWS et les routes sont mises à jour comme telles :

  • CL1 ont une route vers NS_Appliance-DC pour atteindre S1.
  • NS_Appliance-DC ont une route vers NS_VPX_Appliance-AWS pour atteindre S1.
  • S1 doit avoir une route vers NS_VPX_Appliance-AWS pour atteindre CL1.
  • NS_VPX_Appliance-AWS a une route vers NS_Appliance-DC pour atteindre CL1.

Le tableau suivant répertorie les paramètres de l’appliance Citrix ADC NS_Appliance-DC dans le contrôleur de domaine du centre de données.

Entité Nom Détails
Adresse NSIP   66.165.176.12
Adresse SNIP   66.165.176.15
Tunnel CloudBridge Connector CC_Tunnel_DC-AWS Adresse IP du point de terminaison local du tunnel CloudBridge Connector : 66.165.176.15, Adresse IP du point de terminaison distant du tunnel CloudBridge Connector : 168.63.252.133, Détails du tunnel GRE - Name= CC_Tunnel_DC-AWS

Le tableau suivant répertorie les paramètres sur Citrix ADC VPX NS_VPX_Appliance-AWS sur le cloud AWS.

Entité Nom Détails
Adresse du NSIP   10.102.25.30
Adresse EIP publique mappée à l’adresse NSIP   168.63.252.131
Adresse SNIP   10.102.29.30
Adresse EIP publique mappée à l’adresse SNIP   168.63.252.133
Tunnel CloudBridge Connector CC_Tunnel_DC-AWS Adresse IP du point de terminaison local du tunnel CloudBridge Connector :168.63.252.133, Adresse IP du point de terminaison distant du tunnel CloudBridge Connector : 66.165.176.15 ; Détails du tunnel GRE Nom = CC_Tunnel_DC-AWS, Détails du profil IPsec, Name= CC_Tunnel_DC-AWS, Algorithm= AES, HMAC SHA1

Conditions préalables

Avant de configurer un tunnel CloudBridge Connector, vérifiez que les tâches suivantes ont été effectuées :

  1. Installez, configurez et lancez une instance de Citrix ADC Virtual Appliance (VPX) sur le cloud AWS. Pour obtenir des instructions sur l’installation de Citrix ADC VPX sur AWS, reportez-vous à la section Déployer une instance de Citrix ADC VPX sur AWS.

  2. Déployez et configurez une appliance physique Citrix ADC ou Provisioning ez et configurez une appliance virtuelle Citrix ADC (VPX) sur une plate-forme de virtualisation du centre de données.

  3. Assurez-vous que les adresses IP du point d’extrémité du tunnel CloudBridge Connector sont accessibles les unes aux autres.

Licence Citrix ADC VPX

Après le lancement de l’instance initiale, Citrix ADC VPX pour AWS nécessite une licence. Si vous apportez votre propre licence (BYOL), consultez le Guide de licences VPX à l’adresse suivante :http://support.citrix.com/article/CTX122426.

Vous devez :

  1. Utilisez le portail de licences dans MyCitrix pour générer une licence valide.
  2. Téléchargez la licence sur l’instance.

S’il s’agit d’une instance de marketplace payante, vous n’avez pas besoin d’installer une licence. Le jeu de fonctionnalités et les performances corrects s’activent automatiquement.

Étapes de configuration

Pour configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC résidant dans un centre de données et une appliance virtuelle Citrix ADC (VPX) résidant dans le cloud AWS, utilisez l’interface graphique de l’appliance Citrix ADC.

Lorsque vous utilisez l’interface graphique, la configuration du tunnel CloudBridge Connector créée sur l’appliance Citrix ADC est automatiquement poussée vers l’autre point de terminaison ou homologue (Citrix ADC VPX sur AWS) du tunnel CloudBridge Connector. Par conséquent, vous n’avez pas besoin d’accéder à l’interface graphique (GUI) du Citrix ADC VPX sur AWS pour créer la configuration de tunnel correspondante de CloudBridge Connector sur elle.

La configuration du tunnel CloudBridge Connector sur les deux homologues (l’appliance Citrix ADC qui réside dans le centre de données et l’appliance virtuelle Citrix ADC (VPX) qui réside dans le cloud AWS) se compose des entités suivantes :

  • Profil IPsec—Une entité de profil IPsec spécifie les paramètres du protocole IPSec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et PSK, à utiliser par le protocole IPSec dans les deux homologues du tunnel CloudBridge Connector.
  • Tunnel GRE—Un tunnel IP spécifie une adresse IP locale (une adresse SNIP publique configurée sur l’homologue local), une adresse IP distante (une adresse SNIP publique configurée sur l’homologue distant), un protocole (GRE) utilisé pour configurer le tunnel CloudBridge Connector et une entité de profil IPSec.
  • Créez une règle PBR et associez-lui le tunnel IP : une entité PBR spécifie un ensemble de conditions et une entité de tunnel IP. La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Vous devez définir la plage d’adresses IP source et la plage d’adresses IP de destination pour spécifier le sous-réseau dont le trafic doit traverser le tunnel CloudBridge Connector. Par exemple, considérez un paquet de requête qui provient d’un client sur le sous-réseau du centre de données et qui est destiné à un serveur sur le sous-réseau dans le cloud AWS. Si ce paquet correspond à la plage d’adresses IP source et de destination de l’entité PBR sur l’appliance Citrix ADC dans le centre de données, il est envoyé à travers le tunnel CloudBridge Connector associé à l’entité PBR.

Pour créer un profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Exemple

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done

Pour configurer un tunnel CloudBridge Connector dans une appliance Citrix ADC à l’aide de l’interface graphique graphique

  1. Tapez l’adresse NSIP d’une appliance Citrix ADC dans la ligne d’adresse d’un navigateur Web.

  2. Connectez-vous à l’interface graphique de l’appliance Citrix ADC à l’aide de vos informations d’identification de compte pour l’appliance.

  3. Accédez à Système > CloudBridge Connector.

  4. Dans le volet droit, sous Mise en route, cliquez sur Créer/surveiller CloudBridge.

  5. La première fois que vous configurez un tunnel CloudBridge Connector sur l’appliance, un écran de bienvenue s’affiche.

  6. Dans l’écran de bienvenue, cliquez sur Démarrer.

image localizd

Remarque :

Si vous avez déjà un tunnel CloudBridge Connector configuré sur l’appliance Citrix ADC, l’écran d’accueil n’apparaît pas. Vous ne cliquez donc pas sur Démarrer.

  1. Dans le volet Configuration de CloudBridge Connector, cliquez sur Amazon Web services

image localisée

  1. Dans le volet Amazon, indiquez vos informations d’identification de compte AWS : ID de clé d’accès AWS et clé d’accès secrète AWS. Vous pouvez obtenir ces clés d’accès à partir de la console AWS GUI. Cliquez sur Continue.

Remarque

Auparavant, l’assistant d’installation se connecte toujours à la même région AWS, même si une autre région est sélectionnée. Par conséquent, la configuration du tunnel CloudBridge Connector vers un Citrix ADC VPX exécuté sur la région AWS sélectionnée échouait. Ce problème a été résolu maintenant.

  1. Dans le volet Citrix ADC, sélectionnez l’adresse NSIP de l’appliance virtuelle Citrix ADC exécutée sur AWS. Ensuite, fournissez vos informations d’identification de compte pour l’appliance virtuelle Citrix ADC. Cliquez sur Continue.

  2. Dans le volet Paramètres de CloudBridge Connector, définissez le paramètre suivant :

    • Nom du CloudBridge Connector : nom de la configuration du CloudBridge Connector sur l’appliance locale. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points (:), arobase (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois la configuration CloudBridge Connector créée.
  3. Sous Paramètres locaux, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point de terminaison local du tunnel CloudBridge Connector. Doit être une adresse IP publique de type SNIP.
  4. Sous Paramètres à distance, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point d’extrémité du tunnel CloudBridge Connector côté AWS. Doit être une adresse IP de type SNIP sur l’instance Citrix ADC VPX sur AWS.

    • NAT—Adresse IP publique (EIP) dans AWS qui est mappée au SNIP configuré sur l’instance Citrix ADC VPX sur AWS.

  5. Sous Paramètres PBR, définissezles paramètres suivants :

    • Opération : opérateur logique égal à (=) ou non égal à (!=).
    • Source IP Low—Adresse IP source la plus basse à correspondre à l’adresse IP source d’un paquet IPv4 sortant.
    • Source IP High—Adresse IP source la plus élevée à correspondre à l’adresse IP source d’un paquet IPv4 sortant.
    • Opération : opérateur logique égal à (=) ou non égal à (!=).
    • IP de destination Low—Adresse IP de destination la plus basse à correspondre à l’adresse IP de destination d’un paquet IPv4 sortant.
    • AdresseIP de destination élevée : adresse IP de destination la plus élevée à correspondre à l’adresse IP de destination d’un paquet IPv4 sortant.
  6. (Facultatif) Sous Paramètres de sécurité, définissez les paramètres de protocole IPSec suivants pour le tunnel CloudBridge Connector :

    • Algorithmede chiffrement : algorithme de chiffrement à utiliser par le protocole IPSec dans le tunnel CloudBridge.
    • Algorithme de hachage : algorithmede hachage à utiliser par le protocole IPSec dans le tunnel CloudBridge.
    • Clé : sélectionnez l’une des méthodes d’authentification IPsec suivantes à utiliser par les deux homologues pour s’authentifier mutuellement.
      • Génération automatique de la clé : authentification basée sur une chaîne de texte appelée clé pré-partagée (PSK), générée automatiquement par l’appliance locale. Les clés PSK des pairs sont comparées les unes aux autres pour l’authentification.
      • Clé spécifique—Authentification basée sur un PSK entré manuellement. Les PSK des pairs sont comparés les uns aux autres pour l’authentification.
        • Clé de sécurité pré-partagée—Chaîne de texte entrée pour l’authentification basée sur une clé pré-partagée.
      • Charger les certificats—Authentification basée sur les certificats numériques.
        • Clé publique : certificat numérique local à utiliser pour authentifier l’homologue local auprès de l’homologue distant avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre Peer Public Key dans l’homologue.
        • Clé privée :cléprivée du certificat numérique local.
        • Clé publique homologue— Certificat numérique de l’homologue. Utilisé pour authentifier l’homologue sur le point final local avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre de clé publique dans l’homologue.
  7. Cliquez sur Terminé.

La nouvelle configuration du tunnel CloudBridge Connector sur l’appliance Citrix ADC dans le centre de données apparaît sous l’onglet Accueil de l’interface graphique. La nouvelle configuration de tunnel CloudBridge Connector correspondante sur l’appliance Citrix ADC VPX dans le cloud AWS apparaît sur l’interface graphique. L’état actuel du tunnel de connecteur CloudBridge est indiqué dans le volet CloudBridge configuré. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance Citrix ADC à l’aide des compteurs statistiques de tunnel CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques de tunnel CloudBridge Connector sur une appliance Citrix ADC, reportez-vous à la section Surveillance des tunnels CloudBridge Connector.

Configuration de CloudBridge Connector entre le centre de données et le cloud AWS