Citrix ADC

2 つのデータセンター間の CloudBridge Connectorトンネルの設定

2 つの異なるデータセンター間で CloudBridge Connector トンネルを構成して、再構成せずにネットワークを拡張し、2 つのデータセンターの機能を活用できます。地理的に分離された 2 つのデータセンター間の CloudBridge Connector トンネルにより、冗長性を実装し、セットアップを障害から守ることができます。CloudBridge Connector トンネルは、データセンター全体でインフラストラクチャとリソースの最適な利用を実現します。2 つのデータセンターで利用可能なアプリケーションは、ユーザーに対してローカルとして表示されます。

データセンターを別のデータセンターに接続するには、あるデータセンターの Citrix ADC アプライアンスと、他のデータセンターの Citrix ADC アプライアンスとの間に CloudBridge Connector トンネルを設定します。

データセンター間のCloudBridge Connectorトンネルの図のように、データセンターDC1のCitrix ADCアプライアンスのNS_アプライアンス-1とデータセンターDC2のCitrix ADCアプライアンスのNS_アプライアンス-2の間にCloudBridge Connectorトンネルが設定されている例を考えてみます。

ローカライズされた画像

NS_アプライアンス-1およびNS_アプライアンス-2は、L2およびL3モードで機能します。これにより、データセンター DC1 と DC2 のプライベートネットワーク間の通信が可能になります。L3 モードでは、NS_アプライアンス 1 と NS_アプライアンス 2 は、データセンター DC1 のクライアント CL1 とデータセンター DC2 のサーバー S1 との間の通信を CloudBridge Connectorのトンネルを介して有効にします。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

クライアント CL1 とサーバ S1 は異なるプライベートネットワーク上にあるため、NS_Appliance-1 と NS_Appliance-2 で L3 モードが有効になり、ルートは次のように更新されます。

  • CL1 には、S1 に到達するための NS_アプライアンス 1 へのルートがあります。
  • NS_アプライアンス-1には、S1に到達するためのNS_アプライアンス-2へのルートがあります。
  • S1 には、CL1 に到達するための NS_アプライアンス 2 へのルートがあります。
  • NS_アプライアンス 2 には、CL1 に到達するための NS_アプライアンス 1 へのルートがあります。

次の表に、データセンターDC1のCitrix ADCアプライアンスNS_アプライアンス-1の設定を示します。

次の表に、データセンターDC2のCitrix ADCアプライアンスNS_アプライアンス2の設定を示します。

エンティティ 名前 詳細
NSIPアドレス   198.51.100.12
SNIPアドレス   198.51.100.15
CloudBridge Connector tunnel Cloud_Connector_DC1-DC2 1. CloudBridge Connectorトンネルのローカルエンドポイント IP アドレス:198.51.100.15, 2. CloudBridge Connectorトンネルのリモートエンドポイント IP アドレス:203.0.113.133。GRE トンネル詳細名 = クラウド接続_DC1-DC2、IPSec プロファイルの詳細名 = クラウド接続_DC1-DC2、暗号化アルゴリズム = AES、ハッシュアルゴリズム = HMAC SHA1

CloudBridge Connectorトンネルを設定する際に考慮すべきポイント

CloudBridge Connectorトンネルを設定する前に、次のタスクが完了していることを確認します。

  1. 2つのデータセンターそれぞれにCitrix ADCアプライアンスを展開してセットアップします。
  2. CloudBridge Connector トンネルのエンドポイントの IP アドレスが相互にアクセス可能であることを確認します。

設定手順

あるデータセンターにあるCitrix ADCアプライアンスと、他のデータセンターにある別のCitrix ADCアプライアンスとの間にCloudBridge Connectorトンネルを設定するには、いずれかのCitrix ADCアプライアンスのGUIまたはコマンドラインインターフェイスを使用します。

GUIを使用すると、最初のCitrix ADCアプライアンスで作成されたCloudBridge Connectorトンネル構成が、CloudBridge Connectorトンネルのもう一方のエンドポイント(もう一方のCitrix ADCアプライアンス)に自動的にプッシュされます。したがって、対応するCloudBridge Connectorトンネル構成を作成するために、他のCitrix ADCアプライアンスのGUIにアクセスする必要はありません。

各Citrix ADCアプライアンスのCloudBridge Connectorトンネル構成は、次のエンティティで構成されています。

  • IPSec プロファイル:IPSec プロファイルエンティティは、CloudBridge Connectorトンネル内の IPSec プロトコルで使用される、IKE バージョン、暗号化アルゴリズム、ハッシュアルゴリズム、PSK などの IPSec プロトコルパラメータを指定します。
  • GRE トンネル:IP トンネルは、ローカル IP アドレス(ローカル Citrix ADC アプライアンスで設定されたパブリック SNIP アドレス)、リモート IP アドレス(リモート Citrix ADC アプライアンスで設定されたパブリック SNIP アドレス)、CloudBridge Connector トンネルのセットアップに使用するプロトコル(GRE)、および IPSec を指定します。縦断図形。
  • PBR ルールを作成し、IP トンネルを関連付ける:PBR エンティティは、一連の条件と IP トンネルエンティティを指定します。送信元 IP アドレスの範囲と宛先 IP の範囲は、PBR エンティティの条件です。トラフィックが CloudBridge Connector トンネルを通過するサブネットを指定するには、送信元 IP アドレスの範囲と宛先 IP アドレスの範囲を設定する必要があります。たとえば、最初のデータセンターのサブネット上のクライアントから発信され、2 番目のデータセンターのサブネット上のサーバーを宛先とする要求パケットがあるとします。このパケットが、最初のデータセンター内の Citrix ADC アプライアンス上の PBR エンティティの送信元および宛先 IP アドレス範囲と一致する場合、そのパケットは PBR エンティティに関連付けられた CloudBridge Connector トンネルを介して送信されます。

コマンドラインインターフェイスを使用して IPSEC プロファイルを作成するには

コマンドプロンプトで、次のように入力します。

  • add ipsec profile <name> [-ikeVersion ( V1 | V2 )] [-encAlgo ( AES | 3DES ) ...] [-hashAlgo <hashAlgo\> ...] [-lifetime <positive_integer>] (-psk | (-publickey<string> -privatekey <string>-peerPublicKey <string>))[-livenessCheckInterval <positive_intege>][-replayWindowSize \<positive_integer>] [-ikeRetryInterval <positive_integer>] [-retransmissiontime <positive_integer>]

  • show ipsec profile <name>

コマンドラインインターフェイスを使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには

コマンドプロンプトで、次のように入力します。

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

コマンドラインインターフェイスを使用して PBR ルールを作成し、IPSEC トンネルをバインドするには

コマンドプロンプトで、次のように入力します。

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

 add ipsec profile Cloud_Connector_DC1-DC2  -encAlgo AES -hashAlgo HMAC_SHA1
    Done
    > add ipTunnel Cloud_Connector_DC1-DC2 203.0.113.133 255.255.255.255 198.51.100.15 -protocol GRE -ipsecProfileName Cloud_Connector_DC1-DC2

    Done
    > add ns pbr PBR-DC1-DC2 ALLOW -srcIP 198.51.100.15 -destIP 203.0.113.133 ipTunnel Cloud_Connector_DC1-DC2

    Done
    > apply ns pbrs

    Done

GUIを使用してCitrix ADCアプライアンスでCloudBridge Connectorトンネルを構成するには

  1. Webブラウザのアドレス行に、Citrix ADCアプライアンスのNSIPアドレスを入力します。

  2. アプライアンスのアカウント認証情報を使用して、Citrix ADCアプライアンスのGUIにログオンします。

  3. [システム] > [CloudBridge Connector] に移動します。

  4. 右側のペインの [はじめに] で、[CloudBridge の作成/監視] をクリックします。

    アプライアンスで CloudBridge Connectorトンネルを初めて設定すると、 ようこそ 画面が表示されます。

  5. ようこそ 画面で、[は じめに] をクリックします。

ローカライズされた画像

Citrix ADCアプライアンスでCloudBridge Connectorトンネルをすでに構成している場合は、ようこそ画面が表示されないため、[開始]をクリックしないでください。

  1. CloudBridge Connectorのセットアップ ペインで、 [Citrix ADC] をクリックします。

ローカライズされた画像

  1. Citrix ADCペインで、リモートCitrix ADCアプライアンスのアカウント資格情報を入力します。[続行] をクリックします。

  2. CloudBridge Connector設定 ペインで、次のパラメータを設定します。

    • CloudBridge Connector名— ローカルアプライアンス上の CloudBridge Connector設定の名前。ASCII アルファベットまたはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等しい (=)、およびハイフン (-) 文字のみを含める必要があります。CloudBridge Connectorの設定が作成された後は変更できません。
  3. [ローカル設定] で、次のパラメータを設定します。

    • サブネット IP:CloudBridge Connectorトンネルのローカルエンドポイントの IP アドレス。
  4. [リモート設定] で、次のパラメータを設定します。

    • サブネット IP:CloudBridge Connectorトンネルのピアエンドポイントの IP アドレス。
  5. [PBR 設定] で、次のパラメータを設定します。

    • 演算:等しい(=)または等しくない(! =) 論理演算子。
    • 送信元 IP 低 :発信 IPv4 パケットの送信元 IP アドレスと照合する最小の送信元 IP アドレス。
    • 送信元 IP High:発信 IPv4 パケットの送信元 IP アドレスと照合する最大送信元 IP アドレス。
    • 演算:等しい(=)または等しくない(! =) 論理演算子。
    • 宛先 IP Low*:発信 IPv4 パケットの宛先 IP アドレスと照合する最小の宛先 IP アドレス。
    • 宛先 IP 高:発信 IPv4 パケットの宛先 IP アドレスと照合する最大の宛先 IP アドレス。
  6. (オプション)[セキュリティ設定]で、CloudBridge Connectorトンネルに次の IPSec プロトコルパラメータを設定します。

    • 暗号化アルゴリズム:CloudBridge トンネル内の IPSec プロトコルで使用される暗号化アルゴリズム。
    • ハッシュアルゴリズム:CloudBridge トンネル内の IPSec プロトコルで使用されるハッシュアルゴリズム。
    • [Key]:相互認証に 2 つのピアが使用する次の IPSec 認証方式のいずれかを選択します。
      • キーの自動生成:ローカルアプライアンスによって自動的に生成される PSK(事前共有キー)と呼ばれるテキスト文字列に基づく認証。ピアの PSK キーは、認証のために相互に照合されます。
      • 特定のキー:手動で入力した PSK に基づく認証。ピアの PSK は、認証のために相互に照合されます。
        • 事前共有セキュリティキー:事前共有キーベースの認証用に入力されたテキストストリング。
      • 証明書のアップロード:デジタル証明書に基づく認証。
        • 公開キー:IPSec セキュリティアソシエーションを確立する前に、ローカルの Citrix ADC アプライアンスをピアに対して認証するために使用するローカルデジタル証明書。同じ証明書が存在し、ピアの Peer Public Key パラメータに設定する必要があります。
        • 秘密キー:ローカルデジタル証明書の秘密キー。
        • ピア公開キー:ピアのデジタル証明書。IPSec セキュリティアソシエーションを確立する前に、ローカルエンドポイントに対してピアを認証するために使用されます。同じ証明書が存在し、ピアの Public key パラメータに設定する必要があります。
  7. [完了] をクリックします。

両方のCitrix ADCアプライアンスの新しいCloudBridge Connectorトンネル構成が、それぞれのGUIの[ホーム]タブに表示されます。CloudBridge Connectorトンネルの現在のステータスは、[設定済み CloudBridge Connector] ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。

CloudBridge Connectorトンネルのモニタリング

CloudBridge Connectorのトンネル統計カウンタを使用して、Citrix ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。Citrix ADCアプライアンスでのCloudBridge Connectorトンネルの統計情報の表示の詳細については、「CloudBridge Connectorトンネルのモニタリング」を参照してください。

2 つのデータセンター間の CloudBridge Connectorトンネルの設定