ADC

Konfiguration des CloudBridge Connector zwischen Rechenzentrum und AWS-Cloud

Sie können einen CloudBridge Connector-Tunnel zwischen einem Rechenzentrum und der AWS-Cloud konfigurieren, um die Infrastruktur und die Rechenkapazitäten des Rechenzentrums und der AWS-Cloud zu nutzen. Mit AWS können Sie Ihr Netzwerk ohne Anfangsinvestitionen oder die Kosten für die Wartung der erweiterten Netzwerkinfrastruktur erweitern. Sie können Ihre Infrastruktur nach Bedarf nach oben oder unten skalieren. Sie können beispielsweise mehr Serverkapazitäten leasen, wenn die Nachfrage steigt.

Um ein Rechenzentrum mit der AWS-Cloud zu verbinden, richten Sie einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance, die sich im Rechenzentrum befindet, und einer virtuellen NetScaler-Appliance (VPX) in der AWS-Cloud ein.

Stellen Sie sich zur Veranschaulichung eines CloudBridge Connector-Tunnels zwischen einem Rechenzentrum und der Amazon AWS-Cloud ein Beispiel vor, in dem ein CloudBridge Connector-Tunnel zwischen der NetScaler-Appliance NS_Appliance-DC im Rechenzentrums-DC und der virtuellen NetScaler-Appliance (VPX) NS_VPX_Appliance-AWS eingerichtet wird.

lokalisiertes Bild

Sowohl NS_Appliance-DC als auch NS_VPX_Appliance-AWS funktionieren im L3-Modus. Sie ermöglichen die Kommunikation zwischen privaten Netzwerken im Rechenzentrum DC und der AWS-Cloud. NS_Appliance-DC und NS_VPX_Appliance-AWS ermöglichen die Kommunikation zwischen Client CL1 im Rechenzentrum und Server S1 in der AWS-Cloud über den CloudBridge Connector-Tunnel. Client CL1 und Server S1 sind in verschiedenen privaten Netzwerken.

Hinweis:

AWS unterstützt den L2-Modus nicht, daher muss auf beiden Endpunkten nur der L3-Modus aktiviert sein.

Für eine korrekte Kommunikation zwischen CL1 und S1 ist der L3-Modus auf NS_Appliance-DC und NS_VPX_Appliance-AWS aktiviert und die Routen werden wie folgt aktualisiert:

  • CL1 hat eine Route zu NS_Appliance-DC, um S1 zu erreichen.
  • NS_Appliance-DC haben eine Route zu NS_VPX_Appliance-AWS, um S1 zu erreichen.
  • S1 sollte eine Route zu NS_VPX_Appliance-AWS haben, um CL1 zu erreichen.
  • NS_VPX_Appliance-AWS haben eine Route zu NS_Appliance-DC, um CL1 zu erreichen.

In der folgenden Tabelle sind die Einstellungen der NetScaler-Appliance NS_Appliance-DC im Rechenzentrums-DC aufgeführt.

Entität Name Details
Die NSIP-Adresse 66.165.176.12
SNIP-Adresse 66.165.176.15
CloudBridge Connector-Tunnel CC_Tunnel_DC-AWS Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 66.165.176.15, Remote-Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 168.63.252.133, GRE-Tunneldetails — Name= cc_Tunnel_DC-AWS

In der folgenden Tabelle sind die Einstellungen für NetScaler VPX NS_VPX_Appliance-AWS in der AWS-Cloud aufgeführt.

Entität Name Details
NSIP-Adresse 10.102.25.30
Öffentliche EIP-Adresse, die der NSIP-Adresse zugeordnet ist 168.63.252.131
SNIP-Adresse 10.102.29.30
Öffentliche EIP-Adresse, die der SNIP-Adresse zugeordnet ist 168.63.252.133
CloudBridge Connector-Tunnel CC_Tunnel_DC-AWS Lokale Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 168.63.252.133, Remote-Endpunkt-IP-Adresse des CloudBridge Connector-Tunnels: 66.165.176.15; GRE-Tunneldetails Name= cc_Tunnel_DC-AWS, IPSec-Profildetails, Name= cc_Tunnel_DC-AWS, Verschlüsselungsalgorithm= AES, Hash-Algorithmus = HMAC SHA1

Voraussetzungen

Stellen Sie vor der Einrichtung eines CloudBridge Connector-Tunnels sicher, dass die folgenden Aufgaben abgeschlossen wurden:

  1. Installieren, konfigurieren und starten Sie eine Instanz der NetScaler Virtual Appliance (VPX) in der AWS-Cloud. Anweisungen zur Installation von NetScaler VPX in AWS finden Sie unter Bereitstellen einer NetScaler VPX-Instanz auf AWS.

  2. Provisioning und Konfigurieren einer physischen NetScaler Appliance oder Bereitstellen und Konfigurieren einer virtuellen NetScaler Appliance (VPX) auf einer Virtualisierungsplattform im Rechenzentrum.

  3. Stellen Sie sicher, dass die IP-Adressen der CloudBridge Connector-Tunnelendpunkte für einander zugänglich sind.

NetScaler VPX-Lizenz

Nach dem erstmaligen Instanzstart benötigt NetScaler VPX for AWS eine Lizenz. Wenn Sie Ihre eigene Lizenz (BYOL) mitbringen, lesen Sie den VPX Licensing Guide unter: http://support.citrix.com/article/CTX122426.

Sie müssen:

  1. Verwenden Sie das Lizenzportal auf der Citrix Website, um eine gültige Lizenz zu generieren.
  2. Laden Sie die Lizenz auf die Instanz hoch.

Wenn es sich um eine kostenpflichtige Marketplace-Instanz handelt, müssen Sie keine Lizenz installieren. Der richtige Funktionsumfang und die richtige Leistung werden automatisch aktiviert.

Konfigurationsschritte

Verwenden Sie die GUI der NetScaler-Appliance, um einen CloudBridge Connector-Tunnel zwischen einer NetScaler-Appliance, die sich in einem Rechenzentrum befindet, und einer virtuellen NetScaler-Appliance (VPX) in der AWS-Cloud einzurichten.

Wenn Sie die GUI verwenden, wird die auf der NetScaler-Appliance erstellte CloudBridge Connector-Tunnelkonfiguration automatisch an den anderen Endpunkt oder Peer (den NetScaler VPX auf AWS) des CloudBridge Connector-Tunnels übertragen. Daher müssen Sie nicht auf die GUI (GUI) des NetScaler VPX auf AWS zugreifen, um die entsprechende CloudBridge Connector-Tunnelkonfiguration darauf zu erstellen.

Die CloudBridge Connector-Tunnelkonfiguration auf beiden Peers (die NetScaler-Appliance, die sich im Rechenzentrum befindet, und die virtuelle NetScaler-Appliance (VPX), die sich in der AWS-Cloud befindet) besteht aus den folgenden Entitäten:

  • IPSec-Profil— Eine IPSec-Profilentität gibt die IPSec-Protokollparameter wie IKE-Version, Verschlüsselungsalgorithmus, Hash-Algorithmus und PSK an, die vom IPSec-Protokoll in beiden Peers des CloudBridge Connector-Tunnels verwendet werden sollen.
  • GRE-Tunnel— Ein IP-Tunnel spezifiziert eine lokale IP-Adresse (eine öffentliche SNIP-Adresse, die auf dem lokalen Peer konfiguriert ist), eine Remote-IP-Adresse (eine auf dem Remote-Peer konfigurierte öffentliche SNIP-Adresse), ein Protokoll (GRE), das zur Einrichtung des CloudBridge Connector-Tunnels verwendet wird, und eine IPSec-Profilentität.
  • Erstellen Sie eine PBR-Regel und verknüpfen Sie den IP-Tunnel damit— Eine PBR-Entität spezifiziert eine Reihe von Bedingungen und eine IP-Tunnelentität. Der Quell-IP-Adressbereich und der Ziel-IP-Bereich sind die Bedingungen für die PBR-Entität. Sie müssen den Quell-IP-Adressbereich und den Ziel-IP-Adressbereich festlegen, um das Subnetz anzugeben, dessen Datenverkehr den CloudBridge Connector-Tunnel durchqueren soll. Betrachten Sie beispielsweise ein Anforderungspaket, das von einem Client im Subnetz im Rechenzentrum stammt und für einen Server im Subnetz in der AWS-Cloud bestimmt ist. Wenn dieses Paket mit dem Quell- und Ziel-IP-Adressbereich der PBR-Entität auf der NetScaler-Appliance im Rechenzentrum übereinstimmt, wird es über den CloudBridge Connector-Tunnel gesendet, der der PBR-Entität zugeordnet ist.

So erstellen Sie ein IPSEC-Profil mithilfe der Befehlszeilenschnittstelle

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

Um einen IP-Tunnel zu erstellen und das IPSEC-Profil mithilfe der Befehlszeilenschnittstelle daran zu binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Um eine PBR-Regel zu erstellen und den IPSEC-Tunnel mithilfe der Befehlszeilenschnittstelle daran zu binden

Geben Sie an der Eingabeaufforderung Folgendes ein:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Beispiel

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

So konfigurieren Sie einen CloudBridge Connector-Tunnel in einer NetScaler-Appliance mithilfe der GUI

  1. Geben Sie die NSIP-Adresse einer NetScaler-Appliance in die Adresszeile eines Webbrowsers ein.

  2. Melden Sie sich an der GUI der NetScaler-Appliance an, indem Sie Ihre Kontoanmeldeinformationen für die Appliance verwenden.

  3. Navigieren Sie zu System > CloudBridge Connector.

  4. Klicken Sie im rechten Bereich unter Erste Schritteauf CloudBridge erstellen/überwachen.

  5. Wenn Sie zum ersten Mal einen CloudBridge Connector-Tunnel auf der Appliance konfigurieren, wird ein Willkommensbildschirm angezeigt.

  6. Klicken Sie auf dem Willkommensbildschirm auf Get Started.

lokalisiertes Bild

Hinweis:

Wenn Sie bereits einen CloudBridge Connector-Tunnel auf der NetScaler-Appliance konfiguriert haben, wird der Willkommensbildschirm nicht angezeigt, sodass Sie nicht auf Get Started klicken.

  1. Klicken Sie im Bereich CloudBridge Connector Setup auf Amazon Web Services

lokalisiertes Bild

  1. Geben Sie im Amazon-Bereich Ihre AWS-Kontoanmeldeinformationen ein: AWS Access Key ID und AWS Secret Access Key. Sie können diese Zugriffsschlüssel von der AWS-GUI-Konsole abrufen. Klicken Sie auf Weiter.

Hinweis

Bisher stellte der Setup-Assistent immer eine Verbindung zu derselben AWS-Region her, auch wenn eine andere Region ausgewählt wurde. Infolgedessen schlug die Konfiguration des CloudBridge Connector-Tunnels zu einem NetScaler VPX, der in der ausgewählten AWS-Region ausgeführt wurde, früher fehl. Dieses Problem wurde jetzt behoben.

  1. Wählen Sie im NetScaler-Bereich die NSIP-Adresse der virtuellen NetScaler-Appliance aus, die auf AWS ausgeführt wird. Geben Sie dann Ihre Kontoanmeldeinformationen für die virtuelle NetScaler-Appliance ein. Klicken Sie auf Weiter.

  2. Stellen Sie im Bereich CloudBridge Connector-Einstellungen den folgenden Parameter ein:

    • CloudBridge Connector-Name— Name für die CloudBridge Connector-Konfiguration auf der lokalen Appliance. Muss mit einem ASCII-Zeichen oder einem Unterstrich (_) beginnen und darf nur alphanumerische ASCII-Zeichen, Unterstriche, Hash (#), Punkt (.), Leerzeichen, Doppelpunkt (:), at (@), gleich (=) und Bindestrich (-) enthalten. Kann nicht geändert werden, nachdem die CloudBridge Connector-Konfiguration erstellt wurde.
  3. Stellen Sie unter Lokale Einstellungden folgenden Parameter ein:

    • Subnetz-IP — IP-Adressedes lokalen Endpunkts des CloudBridge Connector-Tunnels. Muss eine öffentliche IP-Adresse vom Typ SNIP sein.
  4. Stellen Sie unter Remote Settingden folgenden Parameter ein:

    • Subnetz-IP — IP-Adressedes CloudBridge Connector-Tunnelendpunkts auf der AWS-Seite. Muss eine IP-Adresse vom Typ SNIP auf der NetScaler VPX-Instance auf AWS sein.

    • NAT— Öffentliche IP-Adresse (EIP) in AWS, die dem auf der NetScaler VPX-Instance in AWS konfigurierten SNIP zugeordnet ist.

  5. Stellen Sie unter PBR-Einstellung die folgenden Parameter ein:

    • Operation— Entweder ist gleich (=) oder ist nicht gleich (! =) logischer Operator.
    • Source IP Low — NiedrigsteQuell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden kann.
    • Source IP High— Die höchste Quell-IP-Adresse, die mit der Quell-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden soll.
    • Operation— Entweder ist gleich (=) oder ist nicht gleich (! =) logischer Operator.
    • Ziel-IP Low — NiedrigsteZiel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden kann.
    • Ziel-IP High— Die höchste Ziel-IP-Adresse, die mit der Ziel-IP-Adresse eines ausgehenden IPv4-Pakets verglichen werden soll.
  6. (Optional) Stellen Sie unter Sicherheitseinstellungendie folgenden IPSec-Protokollparameter für den CloudBridge Connector-Tunnel ein:

    • Verschlüsselungsalgorithmus— Verschlüsselungsalgorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Hash-Algorithmus— Hash-Algorithmus, der vom IPSec-Protokoll im CloudBridge-Tunnel verwendet wird.
    • Schlüssel— Wählen Sie eine der folgenden IPSec-Authentifizierungsmethoden aus, die von den beiden Peers verwendet werden sollen, um sich gegenseitig zu authentifizieren.
      • Automatisch generierter Schlüssel— Die Authentifizierung basiert auf einer Textzeichenfolge, einem sogenannten Pre-Shared Key (PSK), der automatisch von der lokalen Appliance generiert wird. Die PSK-Schlüssel der Peers werden zur Authentifizierung miteinander abgeglichen.
      • Spezifischer Schlüssel— Authentifizierung auf der Grundlage einer manuell eingegebenen PSK. Die PSKs der Peers werden zur Authentifizierung miteinander verglichen.
        • Pre Shared Security Key— Die Textzeichenfolge, die für die auf Pre-Shared Keys basierende Authentifizierung eingegeben wurde.
      • Zertifikate hochladen— Authentifizierung auf der Grundlage digitaler Zertifikate.
        • Öffentlicher Schlüssel— Ein lokales digitales Zertifikat, das verwendet wird, um den lokalen Peer gegenüber dem Remote-Peer zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Dasselbe Zertifikat sollte vorhanden und für den Peer Public Key-Parameter im Peer festgelegt sein.
        • Privater Schlüssel— Privater Schlüssel des lokalen digitalen Zertifikats.
        • Peer Public Key— Digitales Zertifikat des Peers. Wird verwendet, um den Peer zum lokalen Endpunkt zu authentifizieren, bevor IPSec-Sicherheitszuordnungen eingerichtet werden. Dasselbe Zertifikat sollte vorhanden und für den Public-Key-Parameter im Peer festgelegt sein.
  7. Klicken Sie auf Fertig.

Die neue CloudBridge Connector-Tunnelkonfiguration auf der NetScaler-Appliance im Rechenzentrum wird auf der Registerkarte Home der GUI angezeigt. Die entsprechende neue CloudBridge Connector-Tunnelkonfiguration auf der NetScaler VPX-Appliance in der AWS-Cloud wird auf der GUI angezeigt. Der aktuelle Status des CloudBridge-Connector-Tunnels wird im Bereich Configured CloudBridge angezeigt. Ein grüner Punkt zeigt an, dass der Tunnel oben ist. Ein roter Punkt zeigt an, dass der Tunnel heruntergefahren ist.

Überwachung des CloudBridge Connector-Tunnels

Sie können die Leistung von CloudBridge Connector-Tunneln auf einer NetScaler Appliance mithilfe von CloudBridge Connector-Tunnelstatistikindikatoren überwachen. Weitere Informationen zur Anzeige von CloudBridge Connector-Tunnelstatistiken auf einer NetScaler-Appliance finden Sie unter Überwachung von CloudBridgeConnector-Tunneln.

Konfiguration des CloudBridge Connector zwischen Rechenzentrum und AWS-Cloud