ADC

Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS

Puede configurar un túnel de CloudBridge Connector entre un centro de datos y la nube de AWS para aprovechar la infraestructura y las capacidades informáticas del centro de datos y la nube de AWS. Con AWS, puede ampliar su red sin una inversión inicial de capital ni el coste de mantenimiento de la infraestructura de red ampliada. Puede escalar su infraestructura hacia arriba o hacia abajo, según sea necesario. Por ejemplo, puede arrendar más capacidades de servidor cuando la demanda aumente.

Para conectar un centro de datos a la nube de AWS, debe configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler que reside en el centro de datos y un dispositivo virtual NetScaler (VPX) que reside en la nube de AWS.

Como ilustración de un túnel de CloudBridge Connector entre un centro de datos y la nube de Amazon AWS, considere un ejemplo en el que se configura un túnel de CloudBridge Connector entre el dispositivo NetScaler NS_Appliance-DC, en el centro de datos DC, y el dispositivo virtual NetScaler (VPX) NS_VPX_Appliance-AWS.

Imagen traducida

Tanto NS_Appliance-DC como NS_VPX_Appliance-AWS funcionan en modo L3. Permiten la comunicación entre las redes privadas del centro de datos DC y la nube de AWS. NS_Appliance-DC y NS_VPX_Appliance-AWS permiten la comunicación entre el cliente CL1 del centro de datos DC y el servidor S1 de la nube de AWS a través del túnel CloudBridge Connector. El cliente CL1 y el servidor S1 están en diferentes redes privadas.

Nota:

AWS no admite el modo L2, por lo que es necesario tener habilitado solo el modo L3 en ambos extremos.

Para una comunicación adecuada entre CL1 y S1, el modo L3 está habilitado en NS_Appliance-DC y NS_VPX_Appliance-AWS y las rutas se actualizan de la siguiente manera:

  • CL1 tiene una ruta a NS_Appliance-DC para llegar a S1.
  • NS_Appliance-dc tiene una ruta a NS_VPX_Appliance-AWS para llegar al S1.
  • El S1 debe tener una ruta a NS_VPX_Appliance-AWS para llegar a la CL1.
  • NS_VPX_Appliance-AWS tiene una ruta a NS_Appliance-DC para llegar a CL1.

La siguiente tabla muestra la configuración del dispositivo NetScaler NS_Appliance-DC en el centro de datos DC.

Entidad Name Detalles
La dirección NSIP 66.165.176.12
Dirección SNIP 66.165.176.15
Túnel CloudBridge Connector CC_Tunnel_DC-AWS Dirección IP de punto final local del túnel de CloudBridge Connector: 66.165.176.15, dirección IP de punto final remoto del túnel de CloudBridge Connector: 168.63.252.133, detalles del túnel GRE: Name= CC_Tunnel_DC-AWS

La siguiente tabla muestra la configuración de NetScaler VPX NS_VPX_Appliance-AWS en la nube de AWS.

Entidad Name Detalles
Dirección NSIP 10.102.25.30
Dirección EIP pública asignada a la dirección NSIP 168.63.252.131
Dirección SNIP 10.102.29.30
Dirección EIP pública asignada a la dirección SNIP 168.63.252.133
Túnel CloudBridge Connector CC_Tunnel_DC-AWS Dirección IP de punto final local del túnel de CloudBridge Connector: 168.63.252.133, dirección IP de punto final remoto del túnel de CloudBridge Connector: 66.165.176.15; detalles del túnel GRE Nombre = CC_Tunnel_DC-AWS, detalles del perfil IPSec, nombre= CC_Tunnel_DC-AWS, algoritmo de cifrado = AES, algoritmo de hash = HMAC SHA1

Requisitos previos

Antes de configurar un túnel de CloudBridge Connector, compruebe que se hayan completado las siguientes tareas:

  1. Instale, configure e inicie una instancia de NetScaler Virtual Appliance (VPX) en la nube de AWS. Para obtener instrucciones sobre la instalación de NetScaler VPX en AWS, consulte Implementación de una instancia NetScaler VPX en AWS.

  2. Implementar y configurar un dispositivo físico NetScaler, o Provisioning y configurar un dispositivo virtual NetScaler (VPX) en una plataforma de virtualización en el centro de datos.

  3. Asegúrese de que las direcciones IP de los extremos del túnel de CloudBridge Connector estén accesibles entre sí.

Licencia de NetScaler VPX

Después del lanzamiento inicial de la instancia, NetScaler VPX for AWS requiere una licencia. Si va a traer su propia licencia (BYOL), consulte la Guía de licencias de VPX en: http://support.citrix.com/article/CTX122426.

Es necesario que:

  1. Utilice el portal de licencias del sitio web de Citrix para generar una licencia válida.
  2. Cargue la licencia en la instancia.

Si se trata de una instancia de mercado de pago, no es necesario instalar licencia. El conjunto de funciones y el rendimiento correctos se activarán automáticamente.

Pasos de configuración

Para configurar un túnel de CloudBridge Connector entre un dispositivo NetScaler que reside en un centro de datos y un dispositivo virtual NetScaler (VPX) que reside en la nube de AWS, utilice la GUI del dispositivo NetScaler.

Al utilizar la GUI, la configuración del túnel de CloudBridge Connector creada en el dispositivo NetScaler se envía automáticamente al otro punto final o par (el NetScaler VPX en AWS) del túnel de CloudBridge Connector. Por lo tanto, no tiene que acceder a la GUI (GUI) del NetScaler VPX en AWS para crear la configuración de túnel de CloudBridge Connector correspondiente en él.

La configuración del túnel de CloudBridge Connector en ambos pares (el dispositivo NetScaler que reside en el centro de datos y el dispositivo virtual NetScaler (VPX) que reside en la nube de AWS) consta de las siguientes entidades:

  • Perfil IPSec: una entidad de perfil IPSec especifica los parámetros del protocolo IPSec, como la versión IKE, el algoritmo de cifrado, el algoritmo de hash y el PSK, que utilizará el protocolo IPSec en los dos pares del túnel CloudBridge Connector.
  • Túnel GRE: un túnel IP especifica una dirección IP local (una dirección SNIP pública configurada en el par local), una dirección IP remota (una dirección SNIP pública configurada en el par remoto), el protocolo (GRE) que se utiliza para configurar el túnel CloudBridge Connector y una entidad de perfil IPSec.
  • Cree una regla PBR y asocie el túnel IP a ella: una entidad PBR especifica un conjunto de condiciones y una entidad de túnel IP. El intervalo de direcciones IP de origen y el intervalo IP de destino son las condiciones para la entidad PBR. Debe configurar el rango de direcciones IP de origen y el rango de direcciones IP de destino para especificar la subred cuyo tráfico atravesará el túnel de CloudBridge Connector. Por ejemplo, considere un paquete de solicitud que se origina en un cliente de la subred del centro de datos y está destinado a un servidor de la subred en la nube de AWS. Si este paquete coincide con el rango de direcciones IP de origen y destino de la entidad PBR del dispositivo NetScaler del centro de datos, se envía a través del túnel de CloudBridge Connector asociado a la entidad PBR.

Para crear un perfil IPSEC mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

Para crear un túnel IP y vincular el perfil IPSEC a él mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Para crear una regla PBR y vincular el túnel IPSEC a ella mediante la interfaz de línea de comandos

En el símbolo del sistema, escriba:

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Ejemplo

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

Para configurar un túnel de CloudBridge Connector en un dispositivo NetScaler mediante la interfaz gráfica de usuario

  1. Escriba la dirección NSIP de un dispositivo NetScaler en la línea de direcciones de un navegador web.

  2. Inicie sesión en la GUI del dispositivo NetScaler con las credenciales de su cuenta para el dispositivo.

  3. Vaya a Sistema > CloudBridge Connector.

  4. En el panel derecho, en Introducción, haga clic en Crear/monitorearCloudBridge.

  5. La primera vez que configure un túnel de CloudBridge Connector en el dispositivo, aparecerá una pantalla de bienvenida .

  6. En la pantalla de bienvenida, haz clic en Comenzar.

imagen localizada

Nota:

Si ya tiene un túnel de CloudBridge Connector configurado en el dispositivo NetScaler, la pantalla de bienvenida no aparece, por lo que no debe hacer clic en Comenzar.

  1. En el panel de configuración de CloudBridge Connector, haga clic en amazon web services

Imagen traducida

  1. En el panel de Amazon, proporcione las credenciales de su cuenta de AWS: ID de clave de acceso de AWS y clave de acceso secreta de AWS. Puede obtener estas claves de acceso desde la consola GUI de AWS. Haga clic en Continuar.

Nota

Anteriormente, el asistente de configuración siempre se conectaba a la misma región de AWS, incluso cuando se seleccionaba otra región. Como resultado, solía fallar la configuración del túnel de CloudBridge Connector para un NetScaler VPX que se ejecutaba en la región de AWS seleccionada. Este problema ya se ha solucionado.

  1. En el panel NetScaler, seleccione la dirección NSIP del dispositivo virtual NetScaler que se ejecuta en AWS. A continuación, proporcione las credenciales de su cuenta para el dispositivo virtual NetScaler. Haga clic en Continuar.

  2. En el panel de configuración CloudBridge Connector, defina el siguiente parámetro:

    • Nombre del conector de CloudBridge: nombre de la configuración de CloudBridge Connector en el dispositivo local. Debe comenzar con un carácter alfabético ASCII o de subrayado (_) y debe contener solo caracteres alfanuméricos ASCII, guión bajo, hash (#), punto (.), espacio, dos puntos (:), en (@), igual (=) y guión (-). No se puede cambiar una vez creada la configuración de CloudBridge Connector.
  3. En Configuración local, defina el siguiente parámetro:

    • IP desubred: dirección IPdel punto final local del túnel de CloudBridge Connector. Debe ser una dirección IP pública de tipo SNIP.
  4. En Configuración remota, defina el siguiente parámetro:

    • IP desubred: dirección IPdel punto final del túnel de CloudBridge Connector en el lado de AWS. Debe ser una dirección IP de tipo SNIP en la instancia de NetScaler VPX en AWS.

    • NAT: dirección IP pública (EIP) de AWS que se asigna al SNIP configurado en la instancia de NetScaler VPX en AWS.

  5. En Configuración PBR, defina los siguientes parámetros:

    • Operación—O es igual a (=) o no es igual a (! =) operador lógico.
    • IP de origen baja: dirección IP de origen más baja que coincide con la dirección IP de origen de un paquete IPv4 saliente.
    • IP de origen alta: dirección IP de origen más alta que coincide con la dirección IP de origen de un paquete IPv4 saliente.
    • Operación—O es igual a (=) o no es igual a (! =) operador lógico.
    • IP de destino baja: la dirección IP de destino más baja que coincide con la dirección IP de destino de un paquete IPv4 saliente.
    • IP de destino alta: dirección IP de destino más alta que coincide con la dirección IP de destino de un paquete IPv4 saliente.
  6. (Opcional) En Configuración de seguridad, defina los siguientes parámetros del protocolo IPSec para el túnel CloudBridge Connector:

    • Algoritmode cifrado: algoritmo de cifrado que utilizará el protocolo IPSec en el túnel de CloudBridge.
    • Algoritmode hash: algoritmo de hash que utilizará el protocolo IPSec en el túnel de CloudBridge.
    • Clave: seleccione uno de los siguientes métodos de autenticación IPSec para que los dos pares lo utilicen para autenticarse mutuamente.
      • Generación automática de clave: autenticación basada en una cadena de texto, denominada clave precompartida (PSK), generada automáticamente por el dispositivo local. Las claves PSK de los pares se comparan entre sí para la autenticación.
      • Clave específica: autenticación basada en un PSK introducido manualmente. Los PSK de los pares se comparan entre sí para la autenticación.
        • Clave de seguridad previamente compartida: la cadena de texto ingresada para la autenticación basada en claves previamente compartidas.
      • Cargar certificados: autenticación basada en certificados digitales.
        • Clave pública: un certificado digital local que se utiliza para autenticar el par local ante el par remoto antes de establecer asociaciones de seguridad de IPSec. El mismo certificado debe estar presente y estar configurado para el parámetro Peer Public Key en el par.
        • Clave privada: clave privada del certificado digital local.
        • Clave pública del par: certificado digital del par. Se utiliza para autenticar el par en el punto final local antes de establecer asociaciones de seguridad de IPSec. El mismo certificado debe estar presente y configurado para el parámetro de clave pública en el par.
  7. Haga clic en Listo.

La nueva configuración del túnel de CloudBridge Connector en el dispositivo NetScaler del centro de datos aparece en la ficha Inicio de la GUI. La nueva configuración del túnel de CloudBridge Connector correspondiente en el dispositivo NetScaler VPX de la nube de AWS aparece en la GUI. El estado actual del túnel de conectores de CloudBridge se indica en el panel CloudBridge configurado. Un punto verde indica que el túnel está arriba. Un punto rojo indica que el túnel está caído.

Supervisión del túnel de CloudBridge Connector

Puede supervisar el rendimiento de los túneles de CloudBridge Connector en un dispositivo NetScaler mediante contadores estadísticos del túnel de CloudBridge Connector. Para obtener más información sobre cómo mostrar las estadísticas de los túneles de CloudBridge Connector en un dispositivo NetScaler, consulte Monitorización de los túneles de CloudBridge Connector.

Configuración de CloudBridge Connector entre el centro de datos y la nube de AWS