在数据中心和 AWS 云之间配置 CloudBridge Connector

您可以在数据中心和 AWS 云之间配置 CloudBridge Connector 通道,以利用数据中心和 AWS 云的基础设施和计算功能。借助 AWS,您可以扩展网络,无需初始资本投资或维护扩展网络基础设施的成本。您可以根据需要向上或向下扩展基础设施。例如,当需求增加时,您可以租用更多的服务器功能。

要将数据中心连接到 AWS 云,您需要在位于数据中心的 Citrix ADC 设备与位于 AWS 云中的 Citrix ADC 虚拟设备 (VPX) 之间设置 CloudBridge Connector 通道。

作为数据中心与 Amazon AWS 云之间的 CloudBridge Connector 通道的示例,请考虑在数据中心 DC 中的 Citrix ADC 设备 NS_Appliance-DC 和 Citrix ADC 虚拟设备 (VPX) NS_VPX_Appliance-AWS 之间设置了 CloudBridge Connector 通道的示例。

本地化后的图片

NS_Appliance-DC 和 NS_VPX_Appliance-AWS 均在 L3 模式下运行。它们可以实现数据中心 DC 中的私有网络与 AWS 云之间的通信。NS_Appliance-DC 和 NS_VPX_Appliance-AWS 可通过 CloudBridge Connector 通道在数据中心 DC 中的客户端 CL1 与 AWS 云中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

注意

AWS 不支持 L2 模式,因此需要在两个端点上启用 L3 模式。

为了在 CL1 和 S1 之间进行正确通信,在 NS_Appliance-DC 和 NS_VPX_Appliance-AWS 上启用 L3 模式,路由将按如下方式进行更新:

  • CL1 有一条通往 NS_Appliance-DC 的路由,以到达 S1。
  • NS_Appliance-DC 有一条通往 NS_VPX_Appliance-AWS 的路由,以到达 S1。
  • S1 应该有一条通往 NS_VPX_应用程序 AWS 的路由以达到 CL1。
  • NS_VPX_Appliance-AWS 有一条通往 NS_Appliance-DC 的用于到达 CL1 的路由。

下表列出了数据中心 DC 中 Citrix ADC 设备 NS_Appliance-DC 上的设置。

实体 名称 详细信息
NSIP 地址   66.165.176.12
SNIP 地址   66.165.176.15
CloudBridge Connector 通道 CC_Tunnel_DC-AWS CloudBridge Connector 隧道的本地端点 IP 地址:66.165.176.15,CloudBridge Connector 隧道的远程端点 IP 地址:168.63.252.133,GRE 隧道详细信息-名称 = CC_Tunnel_DC-AWS

下表列出了 AWS 云上的 Citrix ADC VPX NS_VPX_Appliance-AWS上的设置。

实体 名称 详细信息
NSIP 地址   10.102.25.30
映射到 NSIP 地址的公共 EIP 地址   168.63.252.131
SNIP 地址   10.102.29.30
映射到 SNIP 地址的公共 EIP 地址   168.63.252.133
CloudBridge Connector 通道 CC_Tunnel_DC-AWS CloudBridge Connector 通道的本地端点 IP 地址:168.63.252.133,CloudBridge Connector 通道的远程端点 IP 地址:66.165.176.15; GRE 通道详细信息 名称 = CC_Tunnel_DC-AWS,IPsec 配置文件详细信息,名称 = CC_Tunnel_DC-AWS,加密算法 = AES,哈希算法 = HMAC SHA1

必备条件

在设置 CloudBridge Connector 通道之前,请验证以下任务是否已完成:

  1. 在 AWS 云上安装、配置和启动 Citrix ADC 虚拟设备 (VPX) 实例。有关在 AWS 上安装 Citrix ADC VPX 的说明,请参阅在 AWS 上部署 Citrix ADC VPX 实例

  2. 部署和配置 Citrix ADC 物理设备,或在数据中心的虚拟化平台上置备和配置 Citrix ADC 虚拟设备 (VPX)。

  3. 确保 CloudBridge Connector 通道端点 IP 地址可以互相访问。

Citrix ADC VPX 许可证

初始实例启动后,适用于 AWS 的 Citrix ADC VPX 需要许可证。如果您携带自己的许可证 (BYOL),请参阅 VPX 许可指南:http://support.citrix.com/article/CTX122426

您必须:

  1. 使用 MyCitrix 中的许可门户生成有效许可证。
  2. 将许可证上载到实例。

如果是付费市场实例,则无需安装许可证。相应的功能集和性能将自动激活。

配置步骤

要在位于数据中心的 Citrix ADC 设备与位于 AWS 云上的 Citrix ADC 虚拟设备 (VPX) 之间设置 CloudBridge Connector 通道,请使用 Citrix ADC 设备的 GUI。

使用 GUI 时,在 Citrix ADC 设备上创建的 CloudBridge Connector 通道配置会自动推送到 CloudBridge Connector 通道的其他端点或对等节点(AWS 上的 Citrix ADC VPX)。因此,您无需访问 AWS 上的 Citrix ADC VPX 的 GUI (GUI) 即可在其上创建相应的 CloudBridge Connector 通道配置。

两个对等级(位于数据中心的 Citrix ADC 设备和位于 AWS 云上的 Citrix ADC 虚拟设备 (VPX))上的 CloudBridge Connector 通道配置由以下实体组成:

  • IPsec 配置文件— IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和 PSK,供 CloudBridge Connector 通道的两个对等方使用。
  • GRE 通道— IP 通道指定本地 IP 地址(在本地对等方上配置的公共 SNIP 地址)、远程 IP 地址(在远程对等方上配置的公共 SNIP 地址)、用于设置 CloudBridge Connector 通道的协议 (GRE) 和 IPsec 配置文件实体。
  • 创建 PBR 规则并将 IP 通道与其关联 - PBR 实体指定一组条件和一个 IP 通道实体。源 IP 地址范围和目标 IP 范围是 PBR 实体的条件。您必须设置源 IP 地址范围和目标 IP 地址范围,以指定其流量要穿过 CloudBridge Connector 通道的子网。例如,假设请求数据包来自数据中心子网上的客户端,并且发往 AWS 云中子网上的服务器。如果此数据包与数据中心中 Citrix ADC 设备上 PBR 实体的源和目标 IP 地址范围匹配,则会通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

使用命令行界面创建 IPsec 配置文件

在命令提示窗口中,键入:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

使用命令行界面创建 IP 通道并将 IPsec 配置文件绑定到它

在命令提示窗口中,键入:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

使用命令行界面创建 PBR 规则并将 IPsec 通道绑定到该规则

在命令提示窗口中,键入:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

示例

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done

使用 GUI 在 Citrix ADC 设备中配置 CloudBridge Connector 通道

  1. 在 Web 浏览器的地址行中键入 Citrix ADC 设备的 NSIP 地址。

  2. 使用 Citrix ADC 设备的帐户凭据登录到该设备的 GUI。

  3. 导航到系统 > CloudBridge Connector

  4. 在右窗格的“入门”下,单击“创建/监控 CloudBridge”。

  5. 首次在设备上配置 CloudBridge Connector 通道时,将显示欢迎屏幕。

  6. 欢迎屏幕上,单击开始

本地化映像

注意

如果您已在 Citrix ADC 设备上配置了 CloudBridge Connector 通道,则不会显示欢迎屏幕,因此您不会单击“开始”。

  1. CloudBridge Connector 设置窗格中,单击 amazon web services

本地化后的图片

  1. Amazon 窗格中,提供您的 AWS 账户证书:AWS 访问密钥 ID 和 AWS 私有访问密钥。您可以从 AWS GUI 控制台获取这些访问密钥。单击继续

注意

之前,即使选择了另一个区域,安装向导也始终连接到同一个 AWS 区域。因此,将 CloudBridge Connector 通道配置为在用于故障的选定 AWS 区域上运行的 Citrix ADC VPX。这个问题现在已经得到修复。

  1. Citrix ADC 窗格中,选择在 AWS 上运行的 Citrix ADC 虚拟设备的 NSIP 地址。然后,提供 Citrix ADC 虚拟设备的帐户凭据。单击继续

  2. CloudBridge Connector 设置窗格中,设置以下参数:

    • CloudBridge Connector 名称 — 本地设备上的 CloudBridge Connector 配置的名称。必须以 ASCII 字母或下划线 (_) 开头,并且必须仅包含 ASCII 字母数字、下划线、井号 (#)、句点 (.)、空格、冒号 (:)、at (@)、equals (=) 和连字符 (-)。创建 CloudBridge Connector 配置后无法更改。
  3. 在“本地设置”下,设置以下参数:

    • 子网 IP— CloudBridge Connector 通道的本地端点的 IP 地址。必须是 SNIP 类型的公有 IP 地址。
  4. 在“远程设置”下,设置以下参数:

    • 子网 IP— AWS 端的 CloudBridge Connector 通道端点的 IP 地址。必须是 AWS 上 Citrix ADC VPX 实例上的 SNIP 类型的 IP 地址。

    • NAT— AWS 中映射到 AWS 上 Citrix ADC VPX 实例上配置的 SNIP 的公有 IP 地址 (EIP)。

  5. PBR 设置下,设置以下参数:

    • 操作— 等于 (=) 或不等于 (! =) 逻辑运算符。
    • 源 IP 低— 与传出 IPv4 数据包的源 IP 地址匹配的最低源 IP 地址。
    • 源 IP 高— 与传出 IPv4 数据包的源 IP 地址匹配的最高源 IP 地址。
    • 操作— 等于 (=) 或不等于 (! =) 逻辑运算符。
    • 目标 IP 低— 与传出 IPv4 数据包的目标 IP 地址匹配的最低目标 IP 地址。
    • 目标 IP 高— 与传出 IPv4 数据包的目标 IP 地址匹配的最高目标 IP 地址。
  6. (可选)在“安全设置”下,为 CloudBridge Connector 通道设置以下 IPsec 协议参数:

    • 加密算法— CloudBridge 通道中 IPsec 协议使用的加密算法。
    • 哈希算法— 由 CloudBridge 通道中的 IPsec 协议使用的哈希算法。
    • 密钥— 选择以下 IPsec 身份验证方法之一,供两个对等方使用以进行相互身份验证。
      • 自动生成密钥— 基于文本字符串(称为预共享密钥 (PSK))的身份验证,由本地设备自动生成。对等方的 PSK 密钥相互匹配以进行身份验证。
      • 特定密钥— 基于手动输入的 PSK 的身份验证。对等方的 PSK 相互匹配以进行身份验证。
        • 预共享安全密钥— 为基于预共享密钥的身份验证输入的文本字符串。
      • 上传证书— 基于数字证书的身份验证。
        • 公钥-本地数字证书,用于在建立 IPsec 安全关联之前对远程对等方进行身份验证。同一证书应该存在并为对等方中的对等公钥参数设置。
        • 私钥— 本地数字证书的私钥。
        • 对等公钥— 对等方的数字证书。用于在建立 IPsec 安全关联之前对本地终点进行身份验证。应该为对等方中的公钥参数存在并设置相同的证书。
  7. 单击完成

数据中心中 Citrix ADC 设备上的新 CloudBridge Connector 通道配置将显示在 GUI 的“主页”选项卡上。AWS 云中 Citrix ADC VPX 设备上相应的新 CloudBridge Connector 通道配置将显示在 GUI 上。CloudBridge Connector 通道的当前状态显示在已配置的 CloudBridge 窗格中。绿色圆点表示通道已向上。红点表示通道已关闭。

监视 CloudBridge Connector 通道

您可以使用 CloudBridge Connector 通道统计计数器监视 Citrix ADC 设备上的 CloudBridge Connector 通道的性能。有关在 Citrix ADC 设备上显示 CloudBridge Connector 通道统计信息的更多信息,请参阅监视 CloudBridge Connector 通道

在数据中心和 AWS 云之间配置 CloudBridge Connector