ADC

データセンターと AWS クラウド間のCloudBridge Connector の設定

データセンターと AWS クラウドの間に CloudBridge Connector トンネルを設定して、データセンターと AWS クラウドのインフラストラクチャとコンピューティング機能を活用できます。AWS を使用すると、初期投資や拡張されたネットワークインフラストラクチャの維持費用をかけずに、ネットワークを拡張できます。インフラストラクチャは必要に応じてスケールアップまたはスケールダウンできます。たとえば、需要が増えたときには、より多くのサーバー機能をリースできます。

データセンターをAWSクラウドに接続するには、データセンターにあるNetScalerアプライアンスとAWSクラウドにあるNetScaler仮想アプライアンス(VPX)の間にCloudBridge Connector トンネルを設定します。

データセンターとAmazon AWSクラウド間のCloudBridge Connector トンネルの例として、データセンターDCのNetScalerアプライアンスNS_Appliance-DCとNetScaler仮想アプライアンス(VPX)NS_VPX_Appliance-AWSの間にCloudBridge Connectorトンネルが設定されている例を考えてみましょう。

ローカライズされた画像

NS_Appliance-DC と NS_VPX_Appliance-AWS はどちらも L3 モードで機能します。データセンター DC のプライベートネットワークと AWS クラウド間の通信を可能にします。NS_Appliance-DC と NS_VPX_Appliance-AWS は、CloudBridge Connector トンネルを介して、データセンター DC のクライアント CL1 と AWS クラウド内のサーバー S1 間の通信を可能にします。クライアント CL1 とサーバー S1 は、異なるプライベートネットワーク上にあります。

注記:

AWS は L2 モードをサポートしていないため、両方のエンドポイントで L3 モードのみを有効にする必要があります。

CL1とS1間の通信が正しく行われるように、NS_Appliance-DCとNS_VPX_Appliance-AWSではL3モードが有効になっており、ルートは次のように更新されます。

  • CL1 には、S1 に到達するための NS_Appliance-DC へのルートがあります。
  • NS_Appliance-DC には S1 に到達するための NS_VPX_Appliance-AWS へのルートがあります。
  • S1 には CL1 に到達するための NS_VPX_Appliance-AWS へのルートが必要です。
  • NS_VPX_Appliance-AWS には、CL1 に到達するための NS_Appliance-DC へのルートがあります。

次の表は、データセンターDCのNetScalerアプライアンスNS_Appliance-DCの設定を示しています。

エンティティ 名前 詳細
NSIP アドレス 66.165.176.12
SNIP アドレス 66.165.176.15
CloudBridge Connector トンネル CC_Tunnel_DC-AWS CloudBridge Connector トンネルのローカルエンドポイント IP アドレス:66.165.176.15、CloudBridge Connector トンネルのリモートエンドポイント IP アドレス:168.63.252.133、GRE トンネルの詳細-名前= CC_Tunnel_DC-AWS

次の表は、AWSクラウド上のNetScaler VPX NS_VPX_Appliance-AWSの設定を示しています。

エンティティ 名前 詳細
NSIPアドレス 10.102.25.30
NSIP アドレスにマップされたパブリック EIP アドレス 168.63.252.131
SNIP アドレス 10.102.29.30
SNIP アドレスにマップされたパブリック EIP アドレス 168.63.252.133
CloudBridge Connector トンネル CC_Tunnel_DC-AWS CloudBridge Connector トンネルのローカルエンドポイント IP アドレス:168.63.252.133、CloudBridge Connector トンネルのリモートエンドポイント IP アドレス:66.165.176.15; GRE トンネルの詳細名前= CC_Tunnel_DC-AWS、IPsec プロファイルの詳細、名前= CC_Tunnel_DC-AWS、暗号化アルゴリズム = AES、ハッシュアルゴリズム = HMAC SHA1

前提条件

CloudBridge Connector トンネルをセットアップする前に、次のタスクが完了していることを確認してください。

  1. AWSクラウド上でNetScaler ADC仮想アプライアンス(VPX)のインスタンスをインストール、設定、起動します。NetScaler VPXをAWSにインストールする手順については、「AWS でのNetScaler ADC VPXインスタンスのデプロイ」を参照してください。

  2. NetScaler ADC物理アプライアンスを展開して構成するか、またはデータセンター内の仮想化プラットフォームでNetScaler ADC仮想アプライアンス(VPX)をProvisioning して構成します。

  3. CloudBridge Connector のトンネルエンドポイントのIPアドレスが相互にアクセスできることを確認してください。

NetScaler VPX ライセンス

インスタンスの初期起動後、NetScaler VPX for AWSにはライセンスが必要です。独自のライセンス (BYOL) を持参する場合は、 http://support.citrix.com/article/CTX122426の VPX ライセンスガイドを参照してください。

次の操作を実行する必要があります。

  1. Citrix Webサイト内のライセンスポータルを使用して、有効なライセンスを生成します。
  2. ライセンスをインスタンスにアップロードします。

有料 マーケットプレイスインスタンスの場合は、ライセンスをインストールする必要はありません。該当する機能セットとパフォーマンスが自動的にアクティブ化されます。

構成の手順

データセンターにあるNetScalerアプライアンスとAWSクラウド上にあるNetScaler仮想アプライアンス(VPX)の間にCloudBridge Connectorトンネルを設定するには、NetScalerアプライアンスのGUIを使用します。

GUIを使用すると、NetScalerアプライアンスで作成されたCloudBridge Connector トンネル構成は、CloudBridge Connector トンネルの他のエンドポイントまたはピア(AWS上のNetScaler VPX)に自動的にプッシュされます。そのため、AWS上のNetScaler VPX GUI(GUI)にアクセスして、対応するCloudBridge Connector トンネル構成を作成する必要はありません。

両方のピア(データセンターにあるNetScalerアプライアンスとAWSクラウドにあるNetScaler仮想アプライアンス(VPX))のCloudBridge Connectorトンネル構成は、次のエンティティで構成されています。

  • IPsec プロファイル— IPsec プロファイルエンティティは、CloudBridge Connector トンネルの両方のピアの IPsec プロトコルが使用する IKE バージョン、暗号化アルゴリズム、ハッシュアルゴリズム、PSK などの IPsec プロトコルパラメータを指定します。
  • GRE トンネル— IP トンネルは、ローカル IP アドレス (ローカルピアに設定されたパブリック SNIP アドレス)、リモート IP アドレス (リモートピアに設定されたパブリック SNIP アドレス)、CloudBridge Connector トンネルのセットアップに使用されるプロトコル (GRE)、および IPsec プロファイルエンティティを指定します。
  • PBR ルールを作成し、それに IP トンネルを関連付けます。PBR エンティティは、条件セットと IP トンネルエンティティを指定します。送信元 IP アドレスの範囲と宛先 IP の範囲は、PBR エンティティの条件です。送信元 IP アドレス範囲と宛先 IP アドレス範囲を設定して、トラフィックが CloudBridge Connector トンネルを通過するサブネットを指定する必要があります。たとえば、データセンター内のサブネット上のクライアントから発信され、AWS クラウド内のサブネット上のサーバー宛てのリクエストパケットがあるとします。このパケットがデータセンターのNetScalerアプライアンス上のPBRエンティティの送信元および宛先IPアドレス範囲と一致する場合、PBRエンティティに関連付けられたCloudBridge Connector トンネルを介して送信されます。

コマンドラインインターフェイスを使用して IPSEC プロファイルを作成するには

コマンドプロンプトで入力します。

  • add ipsec profile <name> [-**ikeVersion** ( V1 | V2 )] [-**encAlgo** ( AES | 3DES ) ...] [-**hashAlgo** <hashAlgo> ...] [-**lifetime** <positive_integer>] (-**psk** | (-**publickey** <string> -**privatekey** <string> -**peerPublicKey** <string>)) [-**livenessCheckInterval** <positive_integer>] [-**replayWindowSize** <positive_integer>] [-**ikeRetryInterval** <positive_integer>] [-**retransmissiontime** <positive_integer>]
  • **show ipsec profile** <name>

コマンドラインインターフェイスを使用して IP トンネルを作成し、IPSEC プロファイルをそのトンネルにバインドするには

コマンドプロンプトで入力します。

  • add ipTunnel <name> <remote><remoteSubnetMask> <local> [-protocol <protocol>] [-ipsecProfileName <string>]
  • show ipTunnel <name>

コマンドラインインターフェイスを使用して PBR ルールを作成し、IPSEC トンネルをそのルールにバインドするには

コマンドプロンプトで入力します。

  • add ns pbr <pbr_name> ALLOW -srcIP = <local_subnet_range> -destIP = <remote_subnet_range> -ipTunnel <tunnel_name>
  • apply ns pbrs
  • show ns pbr <pbr_name>

    > add ipsec profile CC_Tunnel_DC-AWS -encAlgo AES -hashAlgo HMAC_SHA1

    Done
    > add ipTunnel CC_Tunnel_DC-AWS 168.63.252.133 255.255.255.0 66.165.176.15 –protocol GRE -ipsecProfileName CC_Tunnel_DC-AWS

    Done
    > add ns pbr PBR-DC-AWS ALLOW –srcIP 66.165.176.15 –destIP 168.63.252.133 ipTunnel CC_Tunnel_DC-AWS

    Done
    > apply ns pbrs

    Done
<!--NeedCopy-->

GUIを使用してNetScalerアプライアンスのCloudBridge Connector トンネルを構成するには

  1. Webブラウザーのアドレス行にNetScalerアプライアンスのNSIPアドレスを入力します。

  2. アプライアンスのアカウント認証情報を使用して、NetScalerアプライアンスのGUIにログオンします。

  3. [ システム ] > [ CloudBridgeConnector] に移動します。

  4. 右側のペインの「 はじめに」で、「CloudBridge の作成/監視」をクリックします。

  5. アプライアンスで CloudBridge Connector トンネルを初めて設定すると、 ウェルカム画面が表示されます

  6. ようこそ 」画面で、「 はじめに」をクリックします。

ローカライズされた画像

注記:

NetScalerアプライアンスですでにCloudBridge Connectorトンネルを構成している場合は、「ようこそ」画面は表示されないので、「はじめに」をクリックしないでください。

  1. CloudBridge Connector のセットアップペインでAmazon ウェブサービスをクリックします

ローカライズされた画像

  1. Amazon ペインで、AWS アカウントの認証情報 (AWS アクセスキー ID と AWS シークレットアクセスキー) を入力します。これらのアクセスキーは AWS GUI コンソールから取得できます。[続行] をクリックします。

以前は、別のリージョンを選択しても、セットアップウィザードは常に同じ AWS リージョンに接続していました。その結果、以前は、選択したAWSリージョンで実行されているNetScaler VPXへのCloudBridge Connector トンネルの設定が失敗していました。この問題は修正されました。

  1. NetScalerペインで 、AWS上で実行されているNetScaler仮想アプライアンスのNSIPアドレスを選択します。次に、NetScaler仮想アプライアンスのアカウント認証情報を入力します。[続行] をクリックします。

  2. CloudBridge Connector 設定ペインで 、次のパラメータを設定します。

    • CloudBridge Connector 名— ローカルアプライアンス上の CloudBridge Connector 設定の名前。ASCII アルファベット文字またはアンダースコア (_) 文字で始まり、ASCII 英数字、アンダースコア、ハッシュ (#)、ピリオド (.)、スペース、コロン (:)、アットマーク (@)、等号 (=)、およびハイフン (-) のみを含める必要があります。CloudBridge Connector の設定を作成した後は変更できません。
  3. ローカル設定」で、次のパラメータを設定します。

    • サブネット IP— CloudBridge Connector トンネルのローカルエンドポイントの IP アドレス。SNIP タイプのパブリック IP アドレスでなければなりません。
  4. リモート設定」で、次のパラメータを設定します。

    • サブネット IP— AWS 側の CloudBridge Connector トンネルエンドポイントの IP アドレス。AWS上のNetScaler VPXインスタンス上のSNIPタイプのIPアドレスである必要があります。

    • NAT—AWS上のNetScaler VPXインスタンスで構成されたSNIPにマップされているAWSのパブリックIPアドレス(EIP)。

  5. [ PBR設定]で、次のパラメータを設定します。

    • 操作— 等しい (=) または等しくない (!=) 論理演算子。
    • 送信元 IP Low:発信IPv4 パケットの送信元 IP アドレスと一致する最も低い送信元 IP アドレス。
    • 送信元 IP 高:発信 IPv4 パケットの送信元 IP アドレスと一致する最大の送信元 IP アドレス。
    • 操作— 等しい (=) または等しくない (!=) 論理演算子。
    • 宛先 IP Low:発信IPv4 パケットの宛先 IP アドレスと一致する最も低い宛先 IP アドレス。
    • 宛先 IP 高:発信 IPv4 パケットの宛先 IP アドレスと一致する最大の宛先 IP アドレス。
  6. (オプション) [ セキュリティ設定]で、CloudBridge Connector トンネルの次の IPsec プロトコルパラメータを設定します。

    • 暗号化アルゴリズム— CloudBridge トンネルの IPsec プロトコルで使用される暗号化アルゴリズム。
    • ハッシュアルゴリズム— CloudBridge トンネルの IPsec プロトコルで使用されるハッシュアルゴリズム。
    • キー— 次の IPsec 認証方法のいずれかを選択して、2 つのピアが相互認証に使用します。
      • 自動生成キー— ローカルアプライアンスによって自動的に生成される事前共有キー (PSK) と呼ばれるテキスト文字列に基づく認証。ピアの PSK キーは相互に照合されて認証されます。
      • 特定キー:手動で入力した PSK に基づく認証。ピアの PSK は相互に照合されて認証されます。
        • 事前共有セキュリティキー— 事前共有キーベースの認証用に入力されるテキスト文字列。
      • 証明書のアップロード— デジタル証明書に基づく認証。
        • 公開鍵:IPsec セキュリティアソシエーションを確立する前に、ローカルピアをリモートピアに対して認証するために使用するローカルデジタル証明書。同じ証明書が存在し、ピアのピア公開鍵パラメータに設定されている必要があります。
        • 秘密鍵— ローカルデジタル証明書の秘密鍵。
        • ピア公開鍵:ピアのデジタル証明書。IPsec セキュリティアソシエーションを確立する前に、ローカルエンドポイントへのピアを認証するために使用されます。ピアの Public key パラメータにも同じ証明書が存在し、設定されている必要があります。
  7. [完了] をクリックします。

データセンターのNetScalerアプライアンス上の新しいCloudBridge Connector トンネル構成は、GUIの [ホーム] タブに表示されます。AWSクラウドのNetScaler VPXアプライアンス上の対応する新しいCloudBridge Connectorトンネル構成がGUIに表示されます。CloudBridge Connector トンネルの現在のステータスは、設定済みのCloudBridge ペインに表示されます。緑色のドットは、トンネルがアップしていることを示します。赤い点は、トンネルがダウンしていることを示します。

CloudBridge Connector トンネルの監視

CloudBridge Connectorのトンネル統計カウンタを使用して、NetScaler ADCアプライアンス上のCloudBridge Connectorトンネルのパフォーマンスを監視できます。NetScalerアプライアンスでのCloudBridge Connector のトンネル統計の表示について詳しくは、「 CloudBridge Connector トンネルの監視」を参照してください。

データセンターと AWS クラウド間のCloudBridge Connector の設定