在数据中心和 Azure 云之间配置 CloudBridge Connector 通道

Citrix ADC 设备提供企业数据中心与 Microsoft 云托管提供商 Azure 之间的连接,使 Azure 成为企业网络的无缝扩展。Citrix ADC 对企业数据中心与 Azure 云之间的连接进行加密,以确保两者之间传输的所有数据都是安全的。

CloudBridge Connector 通道的工作原理

要将数据中心连接到 Azure 云,请在位于数据中心的 Citrix ADC 设备与驻留在 Azure 云中的 Gateway 之间设置 CloudBridge Connector 通道。数据中心和 Azure 云中的 Gateway 中的 Citrix ADC 设备是 CloudBridge Connector 通道的终点,称为 CloudBridge Connector 通道的对等点。

本地化后的图片

数据中心和 Azure 云之间的 CloudBridge Connector 通道在通道模式下使用开放标准 Internet 协议安全 (IPsec) 协议套件来保护 CloudBridge Connector 通道中的对等方之间的通信。在CloudBridge Connector 通道中,IPsec 确保:

  • 数据完整性
  • 数据源身份验证
  • 数据保密(加密)
  • 防止重播攻击

IPsec 使用通道模式,其中对完整的 IP 数据包进行加密,然后封装。加密使用封装安全有效负载 (ESP) 协议,该协议通过使用 HMAC 哈希函数确保数据包的完整性,并通过使用加密算法确保机密性。ESP 协议在加密有效负载并计算 HMAC 之后,生成 ESP 标头并将其插入加密的 IP 数据包之前。ESP 协议还生成 ESP 拖车,并将其插入到数据包的末尾。

然后,IPsec 协议通过在 ESP 标头之前添加 IP 标头来封装生成的数据包。在 IP 标头中,目标 IP 地址设置为 CloudBridge Connector 对等方的 IP 地址。

CloudBridge Connector 通道中的对等机使用 Internet 密钥交换版本 1 (IKEv1) 协议(IPsec 协议套件的一部分)协商安全通信,如下所示:

  1. 两个对等方使用预共享密钥身份验证相互进行身份验证,其中对等方交换称为预共享密钥 (PSK) 的文本字符串。预共享密钥相互匹配以进行身份验证。因此,要使身份验证成功,您必须在每个对等方上配置相同的预共享密钥。

  2. 然后,同行谈判达成协议:

    • 加密算法
    • 加密密钥,用于在一个对等方上加密数据并在另一个对等方上进行解密。

    安全协议、加密算法和加密密钥的协议称为安全关联 (SA)。SAS 是单向的(单纯)。例如,当在数据中心中的 Citrix ADC 设备与 Azure 云中的 Gateway 之间设置 CloudBridge Connector 通道时,数据中心设备和 Azure 网关都有两个 SAS。一个 SA 用于处理外包,另一个 SA 用于处理入站数据包。SAS 在指定的时间间隔(称为生命周期)后过期。

CloudBridge Connector 通道配置和数据流示例

作为 CloudBridge Connector 通道的示例,请考虑在数据中心中的 Citrix ADC 设备 CB_应用-1 与 Azure 云中的网关 Azure_Gateway-1 之间设置了一个 CloudBridge Connector 通道。

CB_Applance-1 还可以作为 L3 路由器,使数据中心的专用网络能够通过 CloudBridge Connector 通道连接到 Azure 云中的专用网络。作为路由器,CB_Applance-1 可以通过 CloudBridge Connector 通道在数据中心的客户端 CL1 与 Azure 云中的服务器 S1 之间进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 CB_Appliance-1 上,CloudBridge Connector 通道配置包括名为 CB_Azure_IPsec_Profile 的 IPsec 配置文件实体、名为 CB_Azure_Tunnel 的 CloudBridge Connector 通道实体和名为 CB_Azure_Pbr 的基于策略的路由 (PBR) 实体。

IPsec 配置文件实体 CB_Azure_IPsec_Profile 指定 IPsec 协议参数,如 IKE 版本、加密算法和哈希算法,供 CloudBridge Connector 通道中的 IPsec 协议使用。CB_Azure_IPsec_Profile 绑定到 IP 通道实体 CB_Azure_Tunnel。

CloudBridge Connector 通道实体 CB_Azure_Tunnel 指定本地 IP 地址(Citrix ADC 设备上配置的公有 IP (SNIP) 地址)、远程 IP 地址(Azure_Gateway-1 的 IP 地址)和用于设置 CloudBridge Connector 通道的协议 (IPsec)。CB_Azure_Tunnel 绑定到 PBR 实体 CB_Azure_Pbr。

PBR 实体 CB_Azure_Pbr 指定一组条件和一个 CloudBridge Connector 通道实体 (CB_Azure_Tunnel)。源 IP 地址范围和目标 IP 地址范围是 CB_Azure_Pbr 的条件。源 IP 地址范围和目标 IP 地址范围分别指定为数据中心中的子网和 Azure 云中的子网。来自数据中心子网中的客户端并且发送到 Azure 云上的子网中的服务器的任何请求数据包都与 CB_Azure_Pbr 中的条件匹配。然后,此数据包将被视为 CloudBridge 处理,并通过绑定到 PBR 实体的 CloudBridge Connector 通道 (CB_Azure_Tunnel) 发送。

在 Microsoft Azure 上,CloudBridge Connector 通道配置包括名为我的数据中心网络的本地网络实体、名为 Azure 网络的云桥通道的虚拟网络实体和名为 Azure_Gateway-1 的网关。

本地(Azure 的本地)网络实体 My-DataCenter-网络指定数据中心端 Citrix ADC 设备的 IP 地址,以及数据中心子网的流量要穿过 CloudBridge Connector 通道。虚拟网络实体 Azure 中的 Azure 网络云桥通道定义了一个名为 Aze-Subnet-1 的专用子网。子网的流量穿过 CloudBridge Connector 通道。在此子网中配置了服务器 S1。

本地网络实体我的数据中心网络与虚拟网络实体 Azure 网络为 CloudBridge 通道相关联。此关联定义 Azure 中 CloudBridge Connector 通道配置的远程和本地网络详细信息。网关 Azure_Gateway-1 是为此关联创建的,以成为CloudBridge Connector 通道 Azure 端的 CloudBridge 终点。

本地化后的图片

有关设置的更多信息,请参阅 CloudBridge Connector 通道设置 pdf。

CloudBridge Connector 通道配置需要考虑的事项

在数据中心的 Citrix ADC 设备与 Microsoft Azure 之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  1. Citrix ADC 设备必须具有面向公共的 IPv4 地址(类型 SNIP),才能用作 CloudBridge Connector 通道的通道端点地址。此外,Citrix ADC 设备不应位于 NAT 设备后面。
  2. Azure 支持CloudBridge Connector 通道的以下 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 Citrix ADC 时,必须指定相同的 IPsec 设置。
    • IKE 版本 = v1
    • 加密算法 = AES
    • 哈希算法 = HMAC SHA1
  3. 您必须在数据中心边缘配置防火墙以允许执行以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包
  4. IKE 重新密钥是在 CloudBridge Connector 通道端点之间重新协商新的加密密钥,以建立新的 SAS,不受支持。当安全关联 (SAS) 过期时,通道进入“关闭”状态。因此,您必须为 SAS 的生命周期设置一个非常大的值。
  5. 在 Citrix ADC 上指定通道配置之前,必须先配置 Microsoft Azure,因为在 Azure 中设置通道配置时,通道的 Azure 端(Gateway)的公有 IP 地址和 PSK 会自动生成。您需要此信息来指定 Citrix ADC 上的通道配置。

配置 CloudBridge Connector 通道

要在数据中心和 Azure 之间设置 CloudBridge Connector 通道,必须在数据中心安装 CloudBridge VPX/MPX,为CloudBridge Connector 通道配置 Microsoft Azure,然后在数据中心为 CloudBridge Connector 通道配置 Citrix ADC 设备。

在数据中心的 Citrix ADC 设备和 Microsoft Azure 之间配置 CloudBridge Connector 通道包括以下任务:

  1. 在数据中心中设置 Citrix ADC 设备。此任务涉及部署和配置 Citrix ADC 物理设备 (MPX),或在数据中心的虚拟化平台上置备和配置 Citrix ADC 虚拟设备 (VPX)。
  2. 为 CloudBridge Connector 通道配置 Microsoft Azure。此任务涉及在 Azure 中创建本地网络、虚拟网络和网关实体。本地网络实体指定数据中心端的 CloudBridge Connector 通道终点(Citrix ADC 设备)的 IP 地址,以及数据中心子网的流量要穿过 CloudBridge Connector 通道。虚拟网络定义 Azure 上的网络。创建虚拟网络包括定义一个子网,其流量将遍历要形成的 CloudBridge Connector 通道。然后将本地网络与虚拟网络关联。最后,您可以创建一个网关,该网关将成为 CloudBridge Connector 通道的 Azure 端。
  3. 在数据中心中为 CloudBridge Connector 通道配置 Citrix ADC 设备。此任务涉及在数据中心的 Citrix ADC 设备中创建 IPsec 配置文件、IP 通道实体和 PBR 实体。IPsec 配置文件实体指定要在 CloudBridge Connector 通道中使用的 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和 PSK。IP 通道指定 CloudBridge Connector 通道端点(数据中心和 Azure 中的网关中的 Citrix ADC 设备)的 IP 地址以及要在 CloudBridge Connector 通道中使用的协议。然后,您将 IPsec 配置文件实体与 IP 通道实体关联。PBR 实体指定数据中心和 Azure 云中的两个子网,这两个子网将通过 CloudBridge Connector 通道相互通信。然后,您将 IP 通道实体与 PBR 实体关联。

为 CloudBridge Connector 通道配置 Microsoft Azure

要在 Microsoft Azure 上创建 CloudBridge Connector 通道配置,请使用 Microsoft Windows Azure 管理门户,该门户是一个基于 Web 的图形界面,用于在 Microsoft Azure 上创建和管理资源。

在 Azure 云上开始云上的 CloudBridge Connector 通道配置之前,请确保:

  • 您有一个 Microsoft Azure 的用户帐户。
  • 您对 Microsoft Azure 有一个概念性的理解。
  • 您熟悉 Microsoft Windows Azure 管理门户。

要在数据中心和 Azure 云之间配置 CloudBridge Connector 通道,请使用 Microsoft Windows Azure 管理门户在 Microsoft Azure 上执行以下任务:

  • 创建本地网络实体。在 Windows Azure 中创建本地网络实体,用于指定数据中心的网络详细信息。本地网络实体指定数据中心端的 CloudBridge Connector 通道终点(Citrix ADC)以及数据中心子网的 IP 地址,其流量将穿过 CloudBridge Connector 通道。
  • 创建虚拟网络。在 Azure 上创建定义网络的虚拟网络实体。此任务包括定义私有地址空间,您可以在其中提供属于地址空间中指定范围的私有地址和子网。子网的流量将穿过 CloudBridge Connector 通道。然后,您将本地网络实体与虚拟网络实体关联。通过这种关联,Azure 可以为虚拟网络和数据中心网络之间的 CloudBridge Connector 通道创建配置。在 Azure 中为此虚拟网络创建的网关将成为CloudBridge Connector 通道 Azure 端的 CloudBridge 终点。然后,您可以为要创建的网关定义一个专用子网。此子网属于虚拟网络实体中地址空间中指定的范围。
  • 在 Windows Azure 中创建网关。创建一个网关,该网关成为CloudBridge Connector 通道 Azure 端的终点。Azure 从其公有 IP 地址池中向创建的网关分配 IP 地址。
  • 收集网关的公有 IP 地址和预共享密钥。对于 Azure 上的 CloudBridge Connector 通道配置,Azure 会自动生成 Gateway 的公有 IP 地址和预共享密钥 (PSK)。记下这些信息。在数据中心 Citrix ADC 上配置 CloudBridge Connector 通道时,您将需要使用它。

注意:

配置 Microsoft Azure 为 CloudBridge Connector 通道的过程可能会随着时间的推移而更改,具体取决于 Microsoft Azure 发布周期。有关最新过程,请参阅 Microsoft Azure 文档

在数据中心为 CloudBridge Connector 通道配置 Citrix ADC 设备

要在数据中心和 Azure 云之间配置 CloudBridge Connector 通道,请在数据中心的 Citrix ADC 上执行以下任务。您可以使用 Citrix ADC 命令行或 GUI:

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议参数,如 IKE 版本、加密算法、哈希算法和 PSK,以供 CloudBridge Connector 通道中的 IPsec 协议使用。
  • 使用 IPsec 协议创建 IP 通道并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(Citrix ADC 设备上配置的公共 SNIP 地址)、远程 IP 地址(Azure 中 Gateway 的公有 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将 IP 通道关联到该规则。PBR 实体指定一组条件和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 范围是 PBR 实体的条件。您必须设置源 IP 地址范围以指定其流量要遍历通道的数据中心子网,并设置目标 IP 地址范围以指定流量要遍历 CloudBridge Connector 通道的 Azure 子网。任何请求数据包来自数据中心子网中的客户端并且发往 Azure 云上子网中服务器的请求数据包都与 PBR 实体的源和目标 IP 范围相匹配。然后,此数据包将用于 CloudBridge Connector 通道处理,并通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

GUI 将所有这些任务合并到一个名为 CloudBridge Connector 向导的向导中。 要使用 Citrix ADC 命令行创建 IPsec 配置文件,请执行以下操作:

在命令提示窗口中,键入:

add ipsec profile <name> -psk <string> -ikeVersion v1

若要使用 Citrix ADC 命令行创建 IPsec 通道并将 IPsec 配置文件绑定到该通道,请执行以下操作:

在命令提示窗口中,键入:

add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>

使用 Citrix ADC 命令行创建 PBR 规则并将 IPsec 通道绑定到该规则

add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> ipTunnel <tunnelName> apply pbrs

示例配置

以下命令创建 Citrix ADC 设备 CB_Applane-1 中使用的所有设置“CloudBridge Connector 配置和数据流示例”。

> add ipsec profile CB_Azure_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0FOyDiLM  -ikeVersion v1 –lifetime 31536000
Done

>  add iptunnel CB_Azure_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName CB_Azure_IPSec_Profile
Done

> add pbr CB_Azure_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnelCB_Azure_Tunnel
Done

> apply pbrs
Done

使用 GUI 在 Citrix ADC 设备中配置 CloudBridge Connector 通道

  1. 使用 Web 浏览器访问 GUI 以连接到数据中心中 Citrix ADC 设备的 IP 地址。

  2. 导航到系统 > CloudBridge Connector

  3. 在右窗格的“入门”下,单击“创建/监控 CloudBridge”。

  4. 单击入门

    本地化后的图片

    注意:如果您已经在 Citrix ADC 设备上配置了任何 CloudBridge Connector 通道,则不会出现此屏幕,您将转到 CloudBridge Connector 设置窗格。

  5. 在 CloudBridge 设置窗格中,单击 Microsoft Windows Azure

    本地化后的图片

  6. 在 Azure 设置窗格的网关 IP 地址* 字段中,键入 Azure 网关的 IP 地址。然后在 Citrix ADC 设备和网关之间设置 CloudBridge Connector 通道。在子网(IP 范围)* 文本框中,指定子网范围(在 Azure 云中),其流量为遍历 CloudBridge Connector 通道。单击继续

    本地化后的图片

  7. 在 Citrix ADC 设置窗格中,从“本地子网 IP”下拉列表中,选择在 Citrix ADC 设备上配置的可公开访问的 SNIP 地址。在子网(IP 范围) 文本框中,指定本地子网范围,其流量为遍历 CloudBridge Connector 通道。单击继续

    本地化后的图片

  8. CloudBridge 设置窗格的 CloudBridge 名称文本框中,键入您要创建的 CloudBridge 的名称。

    本地化后的图片

  9. 从加密算法和哈希算法下拉列表中,分别选择 AES 和 HMAC_SHA1 算法。在“预共享安全密钥”文本框中,键入安全密钥。

  10. 单击完成

监视 CloudBridge Connector 通道

您可以查看统计信息,以监视数据中心中 Citrix ADC 设备与 Microsoft Azure 之间的 CloudBridge Connector 通道的性能。要查看 Citrix ADC 设备上的 CloudBridge Connector 通道统计信息,请使用 GUI 或 Citrix ADC 命令行。要在 Microsoft Azure 中查看 CloudBridge Connector 通道统计信息,请使用 Microsoft Windows Azure 管理门户。

在 Citrix ADC 设备中显示 CloudBridge Connector 通道统计信息

有关在 Citrix ADC 设备上显示 CloudBridge Connector 隧道统计信息的信息,请参阅监视 CloudBridge Connector 通道

在 Microsoft Azure 中显示 CloudBridge Connector 通道统计信息

下表列出了可用于监视 Microsoft Azure 中的 CloudBridge Connector 通道的统计计数器。

统计计数器 说明
DATA IN 自创建网关以来,Azure Gateway 通过 CloudBridge Connector 通道接收的总千字节数。
DATA OUT 自创建网关以来,Azure Gateway 通过 CloudBridge Connector 通道发送的总千字节数。

使用 Microsoft Windows Azure 管理门户显示 CloudBridge Connector 通道统计信息

  1. 使用您的 Microsoft Azure 帐户凭据登录 Windows Azure 管理门户

  2. 在左窗格中,单击 网络

  3. 在“虚拟网络”选项卡上的“名称”列中,选择与要显示其统计信息的 CloudBridge Connector 通道关联的虚拟网络实体。

    本地化后的图片

  4. 在虚拟网络的仪表板页面上,查看 CloudBridge Connector 通道的数据输入和数据输出计数器。

    本地化后的图片