Configuration d’un tunnel CloudBridge Connector entre deux centres de données

Vous pouvez configurer un tunnel CloudBridge Connector entre deux centres de données différents pour étendre votre réseau sans le reconfigurer et tirer parti des capacités des deux centres de données. Un tunnel CloudBridge Connector entre les deux centres de données séparés géographiquement vous permet d’implémenter la redondance et de protéger votre configuration contre les défaillances. Le tunnel CloudBridge Connector permet d’optimiser l’utilisation de l’infrastructure et des ressources entre les centres de données. Les applications disponibles dans les deux centres de données apparaissent comme locales pour l’utilisateur.

Pour connecter un centre de données à un autre centre de données, vous configurez un tunnel CloudBridge Connector entre une appliance Citrix ADC dans un centre de données et une appliance Citrix ADC dans l’autre centre de données.

À titre d’illustration du tunnel CloudBridge Connector entre les centres de données, considérez un exemple dans lequel un tunnel CloudBridge Connector est configuré entre l’appliance Citrix ADC NS_Appliance-1 dans le centre de données DC1 et l’appliance Citrix ADC NS_Appliance-2 dans le centre de données DC2.

image localisée

Les deux fonctions NS_Appliance-1 et NS_Appliance-2 en mode L2 et L3. Ils permettent la communication entre les réseaux privés dans les centres de données DC1 et DC2. En mode L3, NS_Appliance-1 et NS_Appliance-2 permettent la communication entre le client CL1 dans le datacenter DC1 et le serveur S1 dans le datacenter DC2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Comme le client CL1 et le serveur S1 se trouvent sur des réseaux privés différents, le mode L3 est activé sur NS_Appliance-1 et NS_Appliance-2, et les routes sont mises à jour comme suit :

  • CL1 a une route vers NS_Appliance-1 pour atteindre S1.
  • NS_Appliance-1 a une route vers NS_Appliance-2 pour atteindre S1.
  • S1 a une route vers NS_Appliance-2 pour atteindre CL1.
  • NS_Appliance-2 a une route vers NS_Appliance-1 pour atteindre CL1.

Le tableau suivant répertorie les paramètres de l’appliance Citrix ADC NS_Appliance-1 dans le centre de données DC1.

Le tableau suivant répertorie les paramètres de l’appliance Citrix ADC NS_Appliance-2 dans le centre de données DC2.

Entité Nom Détails
Adresse NSIP   198.51.100.12
Adresse SNIP   198.51.100.15
Tunnel CloudBridge Connector Cloud_Connector_DC1-DC2 1. Adresse IP du point de terminaison local du tunnel CloudBridge Connector : 198.51.100.15, 2. Adresse IP du point de terminaison distant du tunnel CloudBridge Connector : 203.0.113.133. Détails du tunnel GRE Nom = Cloud_Connector_DC1-DC2, Détails du profil IPsec Nom = Cloud_Connector_DC1-DC2, Algorithme de chiffrement = AES, Algorithme de hachage = HMAC SHA1

Points à prendre en considération pour la configuration du tunnel CloudBridge Connector

Avant de configurer un tunnel CloudBridge Connector, vérifiez que les tâches suivantes ont été effectuées :

  1. Déployez et configurez une appliance Citrix ADC dans chacun des deux centres de données.
  2. Assurez-vous que les adresses IP du point d’extrémité du tunnel CloudBridge Connector sont accessibles les unes aux autres.

Procédure de configuration

Pour configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC résidant dans un centre de données et une autre appliance Citrix ADC résidant dans l’autre centre de données, utilisez l’interface graphique ou l’interface de ligne de commande de l’une des appliances Citrix ADC.

Lorsque vous utilisez l’interface graphique, la configuration du tunnel CloudBridge Connector créée sur la première appliance Citrix ADC est automatiquement poussée vers l’autre point de terminaison (l’autre appliance Citrix ADC) du tunnel CloudBridge Connector. Par conséquent, vous n’avez pas besoin d’accéder à l’interface graphique de l’autre appliance Citrix ADC pour créer la configuration de tunnel correspondante du connecteur CloudBridge.

La configuration du tunnel CloudBridge Connector sur chacune des appliances Citrix ADC se compose des entités suivantes :

  • Profil IPsec—Une entité de profil IPsec spécifie les paramètres du protocole IPSec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et PSK, à utiliser par le protocole IPSec dans le tunnel CloudBridge Connector.
  • Tunnel GRE—Un tunnel IP spécifie l’adresse IP locale (une adresse SNIP publique configurée sur l’appliance Citrix ADC locale), l’adresse IP distante (une adresse SNIP publique configurée sur l’appliance Citrix ADC distante), le protocole (GRE) utilisé pour configurer le tunnel CloudBridge Connector et un protocole IPsec entité de profil.
  • Créez une règle PBR et associez-lui le tunnel IP : une entité PBR spécifie un ensemble de conditions et une entité de tunnel IP. La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Vous devez définir la plage d’adresses IP source et la plage d’adresses IP de destination pour spécifier le sous-réseau dont le trafic doit traverser le tunnel CloudBridge Connector. Par exemple, considérez un paquet de requête qui provient d’un client sur le sous-réseau dans le premier centre de données et qui est destiné à un serveur sur le sous-réseau dans le second centre de données. Si ce paquet correspond à la plage d’adresses IP source et de destination de l’entité PBR sur l’appliance Citrix ADC dans le premier centre de données, il est envoyé à travers le tunnel CloudBridge Connector associé à l’entité PBR.

Pour créer un profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commandes, tapez :

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Exemple

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done

Pour configurer un tunnel CloudBridge Connector dans une appliance Citrix ADC à l’aide de l’interface graphique graphique

  1. Tapez l’adresse NSIP d’une appliance Citrix ADC dans la ligne d’adresse d’un navigateur Web.

  2. Connectez-vous à l’interface graphique de l’appliance Citrix ADC à l’aide de vos informations d’identification de compte pour l’appliance.

  3. Accédez à Système > CloudBridge Connector.

  4. Dans le volet droit, sous Mise en route, cliquez sur Créer/surveiller CloudBridge.

    La première fois que vous configurez un tunnel CloudBridge Connector sur l’appliance, un écran de bienvenue s’affiche.

  5. Dans l’écran de bienvenue, cliquez sur Démarrer.

image localisée

Remarque :

Si vous avez déjà un tunnel CloudBridge Connector configuré sur l’appliance Citrix ADC, l’écran d’accueil n’apparaît pas. Vous ne cliquez donc pas sur Démarrer.

  1. Dans le volet Configuration du connecteur CloudBridge, cliquez sur Citrix ADC.

image localisée

  1. Dans le volet Citrix ADC, fournissez les informations d’identification de votre compte pour l’appliance Citrix ADC distante. Cliquez sur Continue.

  2. Dans le volet Paramètres de CloudBridge Connector, définissez le paramètre suivant :

    • Nom du CloudBridge Connector : nom de la configuration du CloudBridge Connector sur l’appliance locale. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_), et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), deux points (:), arobase (@), égal à (=) et un trait d’union (-). Impossible de modifier une fois la configuration CloudBridge Connector créée.
  3. Sous Paramètres locaux, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point de terminaison local du tunnel CloudBridge Connector.
  4. Sous Paramètres à distance, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point de terminaison homologue du tunnel CloudBridge Connector.
  5. Sous Paramètres PBR, définissez les paramètres suivants :

    • Opération : opérateur logique égal à (=) ou non égal à (!=).
    • Source IP Low —Adresse IP source la plus basse à correspondre à l’adresse IP source d’un paquet IPv4 sortant.
    • Source IP High—Adresse IP source la plus élevée à correspondre à l’adresse IP source d’un paquet IPv4 sortant.
    • Opération : opérateur logique égal à (=) ou non égal à (!=).
    • IP de destination Low* : adresse IP de destination la plus basse à correspondre à l’adresse IP de destination d’un paquet IPv4 sortant.
    • AdresseIP de destination élevée : adresse IP de destination la plus élevée à correspondre à l’adresse IP de destination d’un paquet IPv4 sortant.
  6. (Facultatif) Sous Paramètres de sécurité, définissez les paramètres de protocole IPSec suivants pour le tunnel CloudBridge Connector :

    • Algorithmede chiffrement : algorithme de chiffrement à utiliser par le protocole IPSec dans le tunnel CloudBridge.
    • Algorithme de hachage : algorithmede hachage à utiliser par le protocole IPSec dans le tunnel CloudBridge.
    • Key—Sélectionnez l’une des méthodes d’authentification IPsec suivantes à utiliser par les deux homologues pour s’authentifier mutuellement.
      • Auto Generate Key—Authentification basée sur une chaîne de texte appelée clé pré-partagée (PSK), générée automatiquement par l’appliance locale. Les clés PSK des pairs sont comparées les unes aux autres pour l’authentification.
      • Clé spécifique—Authentification basée sur un PSK entré manuellement. Les PSK des pairs sont comparés les uns aux autres pour l’authentification.
        • Clé de sécurité pré-partagée (Pre Shared Security Key) : chaîne de texte entrée pour l’authentification basée sur une clé pré-partagée.
      • Charger les certificats—Authentification basée sur les certificats numériques.
        • Clé publique : certificat numérique local à utiliser pour authentifier l’appliance Citrix ADC locale auprès de l’homologue avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre Peer Public Key dans l’homologue.
        • Clé privée :cléprivée du certificat numérique local.
        • Clé publique homologue— Certificat numérique de l’homologue. Utilisé pour authentifier l’homologue sur le point final local avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre de clé publique dans l’homologue.
  7. Cliquez sur Terminé.

La nouvelle configuration du tunnel CloudBridge Connector sur les deux appliances Citrix ADC apparaît sous l’onglet Accueil de l’interface graphique correspondante. L’état actuel du tunnel de connecteur CloudBridge est indiqué dans le volet Connecteurs CloudBridge configurés. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance Citrix ADC à l’aide des compteurs statistiques de tunnel CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques de tunnel CloudBridge Connector sur une appliance Citrix ADC, reportez-vous à la section Surveillance des tunnels CloudBridge Connector.