ADC

Configuration du CloudBridge Connector entre le centre de données et le cloud AWS

Vous pouvez configurer un tunnel CloudBridge Connector entre un centre de données et le cloud AWS afin de tirer parti de l’infrastructure et des capacités informatiques du centre de données et du cloud AWS. Avec AWS, vous pouvez étendre votre réseau sans investissement initial ni coûts de maintenance de l’infrastructure réseau étendue. Vous pouvez faire évoluer votre infrastructure vers le haut ou vers le bas, selon vos besoins. Par exemple, vous pouvez louer davantage de fonctionnalités de serveur lorsque la demande augmente.

Pour connecter un centre de données au cloud AWS, vous configurez un tunnel CloudBridge Connector entre une appliance NetScaler résidant dans le centre de données et une appliance virtuelle NetScaler (VPX) résidant dans le cloud AWS.

Pour illustrer un tunnel CloudBridge Connector entre un centre de données et le cloud Amazon AWS, prenons un exemple dans lequel un tunnel CloudBridge Connector est configuré entre l’appliance NetScaler NS_Appliance-DC, dans le centre de données DC, et l’appliance virtuelle NetScaler (VPX) NS_VPX_Appliance-AWS.

Image localisée

NS_Appliance-DC et NS_VPX_Appliance-AWS fonctionnent tous deux en mode L3. Ils permettent la communication entre les réseaux privés du centre de données DC et le cloud AWS. NS_Appliance-DC et NS_VPX_Appliance-AWS permettent la communication entre le client CL1 dans le centre de données DC et le serveur S1 dans le cloud AWS via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Remarque :

AWS ne prend pas en charge le mode L2, il est donc nécessaire que seul le mode L3 soit activé sur les deux points de terminaison.

Pour une communication correcte entre CL1 et S1, le mode L3 est activé sur NS_Appliance-DC et NS_VPX_Appliance-AWS et les itinéraires sont mis à jour comme tels :

  • Les CL1 disposent d’une route vers NS_Appliance-DC pour atteindre S1.
  • NS_Appliance-DC dispose d’une route vers NS_VPX_Appliance-AWS pour atteindre S1.
  • S1 doit disposer d’une route vers NS_VPX_Appliance-AWS pour atteindre CL1.
  • NS_VPX_Appliance-AWS dispose d’une route vers NS_Appliance-DC pour atteindre la CL1.

Le tableau suivant répertorie les paramètres de l’appliance NetScaler NS_Appliance-DC dans le centre de données DC.

Entité Nom Détails
L’adresse NSIP 66.165.176.12
Adresse SNIP 66.165.176,15
Tunnel CloudBridge Connector CC_Tunnel_DC-AWS Adresse IP du point de terminaison local du tunnel CloudBridge Connector : 66.165.176.15, adresse IP du point de terminaison distant du tunnel CloudBridge Connector : 168.63.252.133, détails du tunnel GRE : Name= CC_Tunnel_DC-AWS

Le tableau suivant répertorie les paramètres de NetScaler VPX NS_VPX_Appliance-AWS sur le cloud AWS.

Entité Nom Détails
Adresse NSIP 10.102.25.30
Adresse EIP publique mappée à l’adresse NSIP 168.63.252.131
Adresse SNIP 10.102.29.30
Adresse EIP publique mappée à l’adresse SNIP 168.63.252.133
Tunnel CloudBridge Connector CC_Tunnel_DC-AWS Adresse IP du point de terminaison local du tunnel CloudBridge Connector : 168.63.252.133, adresse IP du point de terminaison distant du tunnel CloudBridge Connector : 66.165.176.15 ; nom des détails du tunnel GRE = CC_Tunnel_DC-AWS, détails du profil IPsec, nom = CC_Tunnel_DC-AWS, algorithme de chiffrement = AES, algorithme de hachage = HMAC SHA1

Composants requis

Avant de configurer un tunnel CloudBridge Connector, vérifiez que les tâches suivantes ont été effectuées :

  1. Installez, configurez et lancez une instance de l’appliance virtuelle NetScaler (VPX) sur le cloud AWS. Pour obtenir des instructions sur l’installation de NetScaler VPX sur AWS, consultez Déployer une instance NetScalerVPX sur AWS.

  2. Déployez et configurez une appliance physique NetScaler, ou provisionnez et configurez une appliance virtuelle NetScaler (VPX) sur une plate-forme de virtualisation dans le centre de données.

  3. Assurez-vous que les adresses IP des points de terminaison du tunnel CloudBridge Connector sont accessibles les unes aux autres.

Licence NetScaler VPX

Après le lancement initial de l’instance, NetScaler VPX pour AWS nécessite une licence. Si vous apportez votre propre licence (BYOL), consultez le Guide de licences VPX à l’ adresse suivante : http://support.citrix.com/article/CTX122426.

Vous devez :

  1. Utilisez le portail de licences du site Web Citrix pour générer une licence valide.
  2. Télécharger la licence sur l’instance.

S’il s’agit d’une instance de marketplace payante, vous n’avez pas besoin d’installer une licence. L’ensemble de fonctionnalités et les performances appropriés s’activeront automatiquement.

Étapes de configuration

Pour configurer un tunnel CloudBridge Connector entre une appliance NetScaler résidant dans un centre de données et une appliance virtuelle NetScaler (VPX) résidant sur le cloud AWS, utilisez l’interface graphique de l’appliance NetScaler.

Lorsque vous utilisez l’interface graphique, la configuration du tunnel CloudBridge Connector créée sur l’appliance NetScaler est automatiquement transmise à l’autre point de terminaison ou homologue (le NetScaler VPX sur AWS) du tunnel CloudBridge Connector. Par conséquent, vous n’avez pas besoin d’accéder à l’interface graphique (GUI) du NetScaler VPX sur AWS pour y créer la configuration de tunnel CloudBridge Connector correspondante.

La configuration du tunnel CloudBridge Connector sur les deux homologues (l’appliance NetScaler qui réside dans le centre de données et l’appliance virtuelle NetScaler (VPX) qui réside sur le cloud AWS) comprend les entités suivantes :

  • Profil IPsec : une entité de profil IPsec spécifie les paramètres du protocole IPsec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et le PSK, à utiliser par le protocole IPsec dans les deux homologues du tunnel CloudBridge Connector.
  • Tunnel GRE—Un tunnel IP spécifie une adresse IP locale (une adresse SNIP publique configurée sur l’homologue local), une adresse IP distante (une adresse SNIP publique configurée sur l’homologue distant), le protocole (GRE) utilisé pour configurer le tunnel CloudBridge Connector et une entité de profil IPsec.
  • Créez une règle PBR et associez-y le tunnel IP : une entité PBR spécifie un ensemble de conditions et une entité de tunnel IP. La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Vous devez définir la plage d’adresses IP source et la plage d’adresses IP de destination pour spécifier le sous-réseau dont le trafic doit traverser le tunnel CloudBridge Connector. Par exemple, considérez un paquet de requête qui provient d’un client sur le sous-réseau du centre de données et qui est destiné à un serveur sur le sous-réseau dans le cloud AWS. Si ce paquet correspond à la plage d’adresses IP source et de destination de l’entité PBR sur l’appliance NetScaler du centre de données, il est envoyé via le tunnel CloudBridge Connector associé à l’entité PBR.

Pour créer un profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface de ligne de commande

À l’invite de commande, tapez :

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

Exemple

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

Pour configurer un tunnel CloudBridge Connector dans une appliance NetScaler à l’aide de l’interface graphique

  1. Tapez l’adresse NSIP d’une appliance NetScaler dans la ligne d’adresse d’un navigateur Web.

  2. Connectez-vous à l’interface graphique de l’appliance NetScaler à l’aide des informations d’identification de votre compte pour l’appliance.

  3. Accédez à Système > CloudBridge Connector.

  4. Dans le volet droit, sous Mise en route, cliquez sur Créer/Surveiller CloudBridge.

  5. La première fois que vous configurez un tunnel CloudBridge Connector sur l’appliance, un écran de bienvenue s’affiche.

  6. Sur l’écran de bienvenue, cliquez sur Commencer.

image localisée

Remarque :

Si un tunnel CloudBridge Connector est déjà configuré sur l’appliance NetScaler, l’écran de bienvenue ne s’affiche pas. Vous ne devez donc pas cliquer sur Commencer.

  1. Dans le volet de configuration du CloudBridge Connector, cliquez sur Amazon Web Services

Image localisée

  1. Dans le volet Amazon, saisissez les informations d’identification de votre compte AWS : ID de clé d’accès AWS et clé d’accès secrète AWS. Vous pouvez obtenir ces clés d’accès à partir de la console AWS GUI. Cliquez sur Continuer.

Remarque

Auparavant, l’assistant de configuration se connectait toujours à la même région AWS même lorsqu’une autre région était sélectionnée. Par conséquent, la configuration du tunnel CloudBridge Connector vers un NetScaler VPX s’exécutant sur la région AWS sélectionnée échouait auparavant. Ce problème est désormais résolu.

  1. Dans le volet NetScaler, sélectionnez l’adresse NSIP de l’appliance virtuelle NetScaler exécutée sur AWS. Fournissez ensuite les informations d’identification de votre compte pour l’appliance virtuelle NetScaler. Cliquez sur Continuer.

  2. Dans le volet Paramètres du CloudBridge Connector, définissez le paramètre suivant :

    • Nomdu CloudBridge Connector : nomde la configuration du CloudBridge Connector sur l’appliance locale. Doit commencer par un caractère alphabétique ASCII ou un trait de soulignement (_) et ne doit contenir que des caractères alphanumériques ASCII, un trait de soulignement, un hachage (#), un point (.), un espace, deux points (:), à (@), égal (=) et un trait d’union (-). Ne peut pas être modifié après la création de la configuration du CloudBridge Connector.
  3. Sous Paramètres locaux, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point de terminaison local du tunnel CloudBridge Connector. Il doit s’agir d’une adresse IP publique de type SNIP.
  4. Sous Réglage à distance, définissez le paramètre suivant :

    • IP du sous-réseau : adresse IP du point de terminaison du tunnel CloudBridge Connector côté AWS. Il doit s’agir d’une adresse IP de type SNIP sur l’instance NetScaler VPX sur AWS.

    • NAT : adresse IP publique (EIP) dans AWS mappée au SNIP configuré sur l’instance NetScaler VPX sur AWS.

  5. Sous Réglage PBR, définissez les paramètres suivants :

    • Opération—La valeur est égale à (=) ou n’est pas égale à (! =) opérateur logique.
    • IP source faible : adresse IP source la plus faible à comparer à l’adresse IP source d’un paquet IPv4 sortant.
    • IP source élevée : adresse IP source la plus élevée à comparer à l’adresse IP source d’un paquet IPv4 sortant.
    • Opération—La valeur est égale à (=) ou n’est pas égale à (! =) opérateur logique.
    • IP de destination Low—Adresse IP de destination la plus faible à comparer à l’adresse IP de destination d’un paquet IPv4 sortant.
    • AdresseIP de destination élevée—Adresse IP de destination la plus élevée à comparer à l’adresse IP de destination d’un paquet IPv4 sortant.
  6. (Facultatif) Dans Paramètres de sécurité, définissez les paramètres de protocole IPsec suivants pour le tunnel CloudBridge Connector :

    • Algorithmede chiffrement : algorithme de chiffrement à utiliser par le protocole IPsec dans le tunnel CloudBridge.
    • Algorithmede hachage : algorithme de hachage à utiliser par le protocole IPsec dans le tunnel CloudBridge.
    • Clé : sélectionnez l’une des méthodes d’authentification IPsec suivantes à utiliser par les deux homologues pour s’authentifier mutuellement.
      • Clé générée automatiquement : authentification basée sur une chaîne de texte, appelée clé pré-partagée (PSK), générée automatiquement par l’appliance locale. Les clés PSK des homologues sont comparées les unes aux autres à des fins d’authentification.
      • Clé spécifique : authentification basée sur une PSK saisie manuellement. Les PSK des homologues sont comparés les uns aux autres à des fins d’authentification.
        • Clé de sécurité pré-partagée : chaîne de texte saisie pour l’authentification basée sur une clé pré-partagée.
      • Télécharger des certificats : authentification basée sur des certificats numériques.
        • Clé publique : certificat numérique local à utiliser pour authentifier l’homologue local auprès de l’homologue distant avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre Peer Public Key dans l’homologue.
        • Clé privée : clé privée du certificat numérique local.
        • Clé publique homologue : certificat numérique du pair. Utilisé pour authentifier l’homologue auprès du point de terminaison local avant d’établir des associations de sécurité IPsec. Le même certificat doit être présent et défini pour le paramètre de clé publique dans l’homologue.
  7. Cliquez sur Terminé.

La nouvelle configuration du tunnel CloudBridge Connector sur l’appliance NetScaler du centre de données apparaît dans l’onglet Accueil de l’interface graphique. La nouvelle configuration du tunnel CloudBridge Connector correspondante sur l’appliance NetScaler VPX dans le cloud AWS apparaît sur l’interface graphique. L’état actuel du tunnel du connecteur CloudBridge est indiqué dans le volet CloudBridge configuré. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance NetScaler à l’aide des compteurs statistiques des tunnels CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques des tunnels CloudBridge Connector sur une appliance NetScaler, consultez la section Surveillance des tunnels CloudBridgeConnector.

Configuration du CloudBridge Connector entre le centre de données et le cloud AWS