ADC

在数据中心和 AWS 云之间配置 CloudBridge Connector

您可以在数据中心和 AWS 云之间配置 CloudBridge Connector 通道,以利用数据中心和 AWS 云的基础设施和计算能力。使用 AWS,您无需初始资本投资或维护扩展网络基础设施的成本即可扩展网络。您可以根据需要向上或向下扩展基础架构。例如,当需求增加时,您可以租用更多的服务器功能。

要将数据中心连接到 AWS 云,您需要在位于数据中心的 NetScaler 设备和位于 AWS 云中的 NetScaler 虚拟设备 (VPX) 之间建立一个 CloudBCloudBridge Connector 通道。

举例说明数据中心和亚马逊 AWS 云之间的 CloudBridge Connector 通道,举一个例子,其中在数据中心 DC 的 NetScaler 设备 NS_Appliance-DC 和 NetScaler 虚拟设备 (VPX) NS_VPX_Appliance-AWS 之间建立了 CloudBridge Connector 通道。

本地化后的图片

ns_Appliance-DC 和 ns_vpx_Appliance-AWS 都在 L3 模式下运行。它们支持数据中心 DC 和 AWS 云中的专用网络之间的通信。ns_Appliance-DC 和 ns_vpx_Appliance-AWS 允许数据中心 DC 中的客户端 CL1 与 AWS 云中的服务器 S1 通过 CloudBridge Connector 通道进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

注意

AWS 不支持 L2 模式,因此只需要在两个终端节点上启用 L3 模式。

为了在 CL1 和 S1 之间进行正常通信,在 ns_Appliance-DC 和 ns_vpx_Appliance-AWS 上启用 L3 模式,路由更新如下:

  • CL1 有一条通往 ns_Appliance-DC 的路由,可以到达 S1。
  • ns_Appliance-DC 有一条通往 ns_vpx_Appliance-AWS 的路由,可以到达 S1。
  • S1 应该有一条通往 ns_vpx_Appliance-AWS 的路由,然后才能到达 CL1。
  • ns_vpx_Appliance-AWS 有一条通往 ns_Appliance-DC 的路由,可以到达 CL1。

下表列出了数据中心 DC 中 NetScaler 设备 ns_Appliance-DC 的设置。

实体 名称 详细信息
NSIP 地址 66.165.176.12
截取地址 66.165.176.15
CloudBridge Connector 通道 CC_Tunnel_DC-AWS CloudBridge Connector 通道的本地端点 IP 地址:66.165.176.15,CloudBridge Connector 通道的远程端点 IP 地址:168.63.252.133,GRE 通道详细信息 - 名称=CC_Tunnel_DC-AWS

下表列出了 AWS 云上 NetScaler VPX ns_vpx_Appliance-AWS 上的设置。

实体 名称 详细信息
NSIP 地址 10.102.25.30
映射到 NSIP 地址的公有 EIP 地址 168.63.252.131
截取地址 10.102.29.30
映射到 SNIP 地址的公有 EIP 地址 168.63.252.133
CloudBridge Connector 通道 CC_Tunnel_DC-AWS CloudBridge Connector 通道的本地端点 IP 地址:168.63.252.133,CloudBridge Connector 通道的远程端点 IP 地址:66.165.176.15; GRE 通道详细信息 名称= CC_Tunnel_DC-AWS,IPSec 配置文件详细信息,名称= CC_Tunnel_DC-AWS,加密算法= AES,哈希算法= HMAC SHA1

必备条件

在设置 CloudBridge Connector 通道之前,请验证以下任务是否已完成:

  1. 在 AWS 云上安装、配置和启动 NetScaler 虚拟设备 (VPX) 实例。有关在 AWS 上安装 NetScaler VPX 的说明,请参阅在 AWS 上部署 NetScaler VPX 实例

  2. 部署和配置 NetScaler 物理设备,或在数据中心的虚拟化平台上置备和配置 NetScaler 虚拟设备 (VPX)。

  3. 确保 CloudBridge Connector 通道端点 IP 地址可以相互访问。

NetScaler VPX 许可证

初始实例启动后,适用于 AWS 的 NetScaler VPX 需要许可证。如果您携带自己的许可证(BYOL),请参阅 VPX 许可指南: http://support.citrix.com/article/CTX122426

您必须:

  1. 使用 Citrix Web 站点中的许可门户生成有效许可证。
  2. 将许可证上载到实例。

如果这是付费商城实例,则无需安装许可证。相应的功能集和性能将自动激活。

配置步骤

要在位于数据中心中的 NetScaler 设备和位于 AWS 云上的 NetScaler 虚拟设备 (VPX) 之间建立 CloudBCloudBridge Connector 通道,请使用 NetScaler 设备的 GUI。

当您使用 GUI 时,在 NetScaler 设备上创建的 CloudBridge Connector 通道配置会自动推送到 CloudBCloudBridge Connector 通道的另一个端点或对等节点(AWS 上的 NetScaler VPX)。因此,您无需访问 AWS 上 NetScaler VPX 的 GUI (GUI) 即可在其上创建相应的 CloudBridge Connector 通道配置。

两个对等体(位于数据中心的 NetScaler 设备和位于 AWS 云上的 NetScaler 虚拟设备 (VPX))上的 CloudBCloudBridge Connector 通道配置由以下实体组成:

  • IPsec 配置文件— IPsec 配置文件实体指定 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 PSK,将由 IPsec 协议在 CloudBridge Connector 通道的两个对等体中使用。
  • GRE 通道— IP 通道指定本地 IP 地址(在本地对等体上配置的公共 SNIP 地址)、远程 IP 地址(在远程对等体上配置的公共 SNIP 地址)、用于设置 CloudBridge Connector 通道的协议 (GRE) 和 IPsec 配置文件实体。
  • 创建 PBR 规则并将 IP 通道与之关联— PBR 实体指定一组条件和一个 IP 通道实体。源 IP 地址范围和目标 IP 范围是 PBR 实体的条件。必须设置源 IP 地址范围和目标 IP 地址范围,以指定其流量通过 CloudBridge Connector通道的子网。例如,假设请求数据包来自数据中心子网上的客户端,并且发往 AWS 云中子网上的服务器。如果此数据包与数据中心内 NetScaler 设备上 PBR 实体的源和目标 IP 地址范围相匹配,则通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

使用命令行界面创建 IPSEC 配置文件

在命令提示符下,键入:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

使用命令行界面创建 IP 通道并将 IPSEC 配置文件绑定到该通道

在命令提示符下,键入:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

使用命令行界面创建 PBR 规则并将 IPSEC 通道绑定到该规则

在命令提示符下,键入:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

示例

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

使用 GUI 在 NetScaler 设备中配置 CloudBridge Connector通道

  1. 在网络浏览器的地址行中键入 NetScaler 设备的 NSIP 地址。

  2. 使用您的设备帐户凭据登录 NetScaler 设备的 GUI。

  3. 导航到 系统 > CloudBridge Connector

  4. 在右侧窗格的“入门”下,单击“创建/监视 CloudBridge”。

  5. 首次在设备上配置 CloudBridge Connector 通道时,会出现 欢迎 屏幕。

  6. 在“欢迎”屏幕上,单击“开始”。

本地化图像

注意

如果您已经在 NetScaler 设备上配置了 CloudBridge Connector 通道,则不会出现“欢迎”屏幕,因此您无需单击“开始”。

  1. CloudBridge Connector 设置 窗格中,单击 亚马逊网络服务

本地化后的图片

  1. 亚马逊 窗格中,提供您的 AWS 帐户证书:AWS 访问密钥 ID 和 AWS 私有访问密钥。您可以从 AWS GUI 控制台获取这些访问密钥。单击继续

注意

早些时候,即使选择了另一个区域,安装向导也始终连接到同一 AWS 区域。因此,将 CloudBridge Connector 通道配置到在选定 AWS 区域上运行的 NetScaler VPX 曾经会失败。此问题现已修复。

  1. NetScaler 窗格中,选择在 AWS 上运行的 NetScaler 虚拟设备的 NSIP 地址。然后,提供您的 NetScaler 虚拟设备的帐户凭证。单击继续

  2. CloudBridge Connector 设置 窗格中,设置以下参数:

    • CloudBridge Connector 名称—本地设备上 CloudBridge Connector 配置的名称。必须以 ASCII 字母或下划线 (_) 字符开头,并且必须仅包含 ASCII 字母数字、下划线、哈希 (#)、句点 (.)、空格、冒号 (:)、at (@)、等于 (=) 和连字符 (-)。创建 CloudBridge Connector 配置后无法更改。
  3. 在“本地设置”下,设置以下参数:

    • 子网 IP—CloudBridge Connector 通道的本地端点的 IP 地址。必须是类型为 SNIP 的公有 IP 地址。
  4. 在“远程设置”下,设置以下参数:

    • 子网 IP— AWS 端 CloudBridge Connector 通道端点的 IP 地址。必须是 AWS 上的 NetScaler VPX 实例上类型的 IP 地址。

    • NAT —AWS 中的公有 IP 地址 (EIP),该地址映射到 AWS 上的 NetScaler VPX 实例上配置的 SNIP。

  5. PBR 设置下,设置以下参数:

    • 操作—要么等于 (=) 要么不等于 (!=) 逻辑运算符。
    • 源 IP 低—与传出 IPv4 数据包的源 IP 地址相匹配的最低源 IP 地址。
    • 源 IP 高-与传出 IPv4 数据包的源 IP 地址相匹配的最大源 IP 地址。
    • 操作—要么等于 (=) 要么不等于 (!=) 逻辑运算符。
    • 目标 IP 低—与传出 IPv4 数据包的目标 IP 地址相匹配的最低目标 IP 地址。
    • 目标 IP 高-与传出 IPv4 数据包的目标 IP 地址相匹配的最大目标 IP 地址。
  6. (可选)在“安全设置”下,为 CloudBridge Connector 通道设置以下 IPsec 协议参数:

    • 加密算法—由 CloudBridge 通道中的 IPsec 协议使用的加密算法。
    • 哈希算法—在 CloudBridge 通道中 IPsec 协议使用的哈希算法。
    • 密钥— 选择以下 IPsec 身份验证方法之一,供两个对等方进行相互身份验证。
      • 自动生成密钥— 基于本地设备自动生成的文本字符串(称为预共享密钥 (PSK))进行身份验证。对等方的 PSK 密钥相互匹配以进行身份验证。
      • 特定密钥—基于手动输入的 PSK 的身份验证。对等方的 PSK 相互匹配以进行身份验证。
        • 预共享安全密钥-为基于预共享密钥的身份验证输入的文本字符串。
      • 上载证书—基于数字证书的身份验证。
        • 公钥—在建立 IPsec 安全关联之前,用于对本地对等体与远程对等体进行身份验证的本地数字证书。对等体中的对等公钥参数应存在和设置相同的证书。
        • 私钥—本地数字证书的私钥。
        • 对等公钥—对等方的数字证书。用于在建立 IPsec 安全关联之前对等方与本地端点进行身份验证。对等体中的公钥参数应存在和设置相同的证书。
  7. 单击 Done(完成)。

数据中心 NetScaler 设备上的新 CloudBridge Connector 通道配置显示在 GUI 的“主页”选项卡上。AWS 云中 NetScaler VPX 设备上相应的新 CloudBridge Connector通道配置显示在 GUI 上。CloudBridge Connector通道的当前状态显示在“已配置 CloudBridge”窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 NetScaler 设备上的 CloudBridge Connector 通道的性能。有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计数据的更多信息,请参阅监视 CloudBridge Connector 通道

在数据中心和 AWS 云之间配置 CloudBridge Connector