ADC

在数据中心和 Azure 云之间配置 CloudBridge Connector 通道

NetScaler 设备提供企业数据中心与 Microsoft 云托管提供商 Azure 之间的连接,使 Azure 成为企业网络的无缝扩展。NetScaler 对企业数据中心和 Azure 云之间的连接进行加密,因此两者之间传输的所有数据都是安全的。

CloudBridge Connector 通道的工作原理

要将数据中心连接到 Azure 云,您需要在位于数据中心的 NetScaler 设备和驻留在 Azure 云中的网关之间建立一个 CloudBridge Connector 通道。数据中心中的 NetScaler 设备和 Azure 云中的网关是 CloudBridge Connector通道的端点,被称为 CloudBCloudBridge Connector 通道的对等体。

本地化后的图片

数据中心与 Azure 云之间的 CloudBridge Connector 通道在通道模式下使用开放标准的互联网协议安全 (IPsec) 协议套件来保护 CloudBridge Connector 通道中对等方之间的通信。在 CloudBridge Connector 通道中,IPsec 确保:

  • 数据完整性
  • 数据来源认证
  • 数据机密性(加密)
  • 防范重放攻击

IPsec 使用通道模式,在此模式下,对完整的 IP 数据包进行加密然后封装。加密使用封装安全有效载荷 (ESP) 协议,该协议使用 HMAC 哈希函数确保数据包的完整性,并使用加密算法确保机密性。ESP 协议在加密有效负载并计算 HMAC 后,生成 ESP 标头并将其插入到加密的 IP 数据包之前。ESP 协议还会生成 ESP 预告片并将其插入数据包的末尾。

然后,IPsec 协议通过在 ESP 标头之前添加 IP 标头来封装生成的数据包。在 IP 标头中,目标 IP 地址设置为 CloudBridge Connecter 对等体的 IP 地址。

CloudBridge Connector 通道中的对等方使用互联网密钥交换版本 1 (IKEv1) 协议(IPsec 协议套件的一部分)来协商安全通信,如下所示:

  1. 两个对等方使用预共享密钥身份验证相互进行身份验证,其中对等方交换一个称为预共享密钥 (PSK) 的文本字符串。预共享密钥相互匹配以进行身份验证。因此,要成功进行身份验证,必须在每个对等体上配置相同的预共享密钥。

  2. 然后,同行进行谈判,就以下问题达成协议:

    • 一种加密算法
    • 加密密钥,用于对一个对等体上的数据进行加密并在另一个对等体上对其进行解密。

    这个关于安全协议、加密算法和加密密钥的协议称为安全协会 (SA)。SA 是单向的(单纯形)。例如,在数据中心中的 NetScaler 设备和 Azure 云中的网关之间建立 CloudBridge Connector 通道时,数据中心设备和 Azure 网关都有两个 SA。一个 SA 用于处理出站数据包,另一个 SA 用于处理入站数据包。SA 会在指定的时间间隔后过期,这称为生命周期。

CloudBridge Connector 通道配置和数据流示例

举例说明 CloudBridge Connector 通道,举一个例子,其中在数据中心的 NetScaler 设备 CB_Appliance-1 与 Azure 云中的网关 Azure_Gateway-1 之间建立了 CloudBridge Connector通道。

CB_Appliance-1 还可用作 L3 路由器,它使数据中心中的专用网络能够通过 CloudBCloudBridge Connector 通道到达 Azure 云中的专用网络。作为路由器,cb_Appliance-1 支持数据中心中的客户端 CL1 与 Azure 云中的服务器 S1 通过 CloudBridge Connector 通道进行通信。客户端 CL1 和服务器 S1 位于不同的专用网络上。

在 CB_Appliance-1 上,CloudBridge Connector 通道配置包括名为 cb_azure_ipsec_Profile 的 IPsec 配置文件实体、名为 CB_Azure_Tunnel 的 CloudBridge Connector 通道实体和名为 CB_Azure_Pbr 的基于策略的路由 (PBR) 实体。

IPsec 配置文件实体 CB_Azure_IPSec_Profile 指定了 IPsec 协议在 CloudBridge Connector 通道中使用的 IPsec 协议参数,例如 IKE 版本、加密算法和哈希算法。B_Azure_IPSec_Profile 绑定到 IP 通道实体 CB_Azure_Tunnel。

CloudBridge Connector 通道实体 CB_Azure_Tunnel 指定了本地 IP 地址(在 NetScaler 设备上配置的公共 IP (SNIP) 地址)、远程 IP 地址(Azure_Gateway-1 的 IP 地址)和用于设置 CloudBridge Connector 通道的协议 (IPsec)。cb_azure_Tunnel 绑定到 PBR 实体 cb_azure_PBR。

PBR 实体 CB_Azure_Pbr 指定了一组条件和一个 CloudBridge Connector 通道实体 (CB_Azure_Tunnel)。源 IP 地址范围和目标 IP 地址范围是 cb_azure_PBR 的条件。源 IP 地址范围和目标 IP 地址范围分别指定为数据中心中的子网和 Azure 云中的子网。任何来自数据中心子网中的客户端并发往 Azure 云子网中服务器的请求数据包都符合 CB_Azure_Pbr 中的条件。然后考虑将该数据包交给 CloudBridge 处理,并通过绑定到 PBR 实体的 CloudBridge Connector通道 (CB_Azure_Tunnel) 发送。

在 Microsoft Azure 上,CloudBridge Connector 通道配置包括一个名为 My-Datacenter-Network 的本地网络实体、一个名为 Azure-Network-for-CloudBridge-Tunnel 的虚拟网络实体和一个名为 Azure_Gateway-

本地(本地到 Azure)网络实体 My-Datacenter-Network 指定数据中心端 NetScaler 设备的 IP 地址,以及其流量通过 CloudBridge Connector 通道的数据中心子网。虚拟网络实体 Azure-Network-for-CloudBridge-Tunnel 在 Azure 中定义了一个名为 Azure-Subnet-1 子网的流量穿过 CloudBridge Connector 通道。服务器 S1 在此子网中配置。

本地网络实体 My-Datacenter-Network 与虚拟网络实体 Azure-Network-for-CloudBridge 通道相关联。此关联定义了 Azure 中 CloudBridge Connector 通道配置的远程和本地网络详细信息。Gateway Azure_Gateway-1 是为这个关联而创建的,目的是成为 CloudBridge Connector 通道的 Azure 端点的 CloudBridge 端点

本地化后的图片

有关设置的更多信息,请参阅 CloudBridge Connector 通道设置 pdf。

CloudBridge Connector 通道配置需要考虑的事项

在数据中心的 NetScaler 设备和 Microsoft Azure 之间配置 CloudBridge Connector 通道之前,请考虑以下几点:

  1. NetScaler 设备必须具有面向公众的 IPv4 地址(SNIP 类型)才能用作 CloudBridge Connector 通道的通道端点地址。此外,NetScaler 设备不应位于 NAT 设备后面。
  2. Azure 支持以下 CloudBridge Connector 通道的 IPsec 设置。因此,在为 CloudBridge Connector 通道配置 NetScaler 时,必须指定相同的 IPsec 设置。
    • IKE 版本 = v1
    • 加密算法 = AES
    • 哈希算法 = HMAC SHA1
  3. 您必须在数据中心边缘配置防火墙以允许以下操作。
    • 端口 500 的任何 UDP 数据包
    • 端口 4500 的任何 UDP 数据包
    • 任何 ESP(IP 协议编号 50)数据包
  4. 不支持 IKE 重新密钥,即在 CloudBridge Connector 通道端点之间重新协商新的加密密钥以建立新的 SA。当安全关联 (SA) 到期时,通道进入关闭状态。因此,必须为 SA 的生命周期设置一个非常大的值。
  5. 在在 NetScaler 上指定通道配置之前,必须先配置 Microsoft Azure,因为通道的 Azure 端(网关)的公有 IP 地址和 PSK 是在您在 Azure 中设置通道配置时自动生成的。您需要这些信息来在 NetScaler 上指定通道配置。

配置CloudBridge Connector 通道

要在数据中心和 Azure 之间设置 CloudBridge Connector 通道,您必须在数据中心安装 CloudBridge VPX/MPX,为 CloudBridge Connector 通道配置 Microsoft Azure,然后在数据中心为 CloudBridge Connector 通道配置 NetScaler 设备。

在数据中心的 NetScaler 设备和 Microsoft Azure 之间配置 CloudBridge Connector 通道包括以下任务:

  1. 在数据中心设置 NetScaler 设备。此任务涉及部署和配置 NetScaler 物理设备 (MPX),或者在数据中心的虚拟化平台上预置和配置 NetScaler 虚拟设备 (VPX)。
  2. 为CloudBridge Connector 通道配置 Microsoft Azure。此任务涉及在 Azure 中创建本地网络、虚拟网络和网关实体。本地网络实体指定数据中心端 CloudBridge Connector 通道端点(NetScaler 设备)的 IP 地址,以及其流量将通过 CloudBridge Connector通道的数据中心子网。虚拟网络在 Azure 上定义网络。创建虚拟网络包括定义一个子网,其流量将通过待形成的 CloudBridge Connector 通道。然后,将本地网络与虚拟网络相关联。最后,您创建一个网关,该网关成为 CloudBridge Connector 通道的 Azure 端点。
  3. 在数据中心为 CloudBridge Connector 通道配置 NetScaler 设备。此任务涉及在数据中心的 NetScaler 设备中创建 IPsec 配置文件、IP 通道实体和 PBR 实体。IPsec 配置文件实体指定要在 CloudBridge Connector 通道中使用的 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 PSK。IP 通道既指定了 CloudBridge Connector 通道端点(数据中心中的 NetScaler 设备和 Azure 中的网关)的 IP 地址,也指定 CloudBridge Connector 通道中使用的协议。然后,将 IPsec 配置文件实体与 IP 通道实体相关联。PBR 实体指定数据中心和 Azure 云中的两个子网,这两个子网将通过 CloudBridge Connector 通道相互通信。然后,您将 IP 通道实体与 PBR 实体相关联。

为CloudBridge Connector 通道配置 Microsoft Azure

要在 Microsoft Azure 上创建 CloudBridge Connector 通道配置,请使用 Microsoft Windows Azure 管理门户,这是一个基于 Web 的图形界面,用于在 Microsoft Azure 上创建和管理资源。

在 Azure 云上开始配置 CloudBridge Connector 通道之前,请确保:

  • 您有一个 Microsoft Azure 的用户帐户。
  • 您对 Microsoft Azure 有概念性的了解。
  • 您熟悉 Microsoft Windows Azure 管理门户。

要在数据中心和 Azure 云之间配置 CloudBridge Connector 通道,请使用 Microsoft Windows Azure 管理门户在 Microsoft Azure 上执行以下任务:

  • 创建本地网络实体。在 Windows Azure 中创建本地网络实体以指定数据中心的网络详细信息。本地网络实体指定数据中心侧的 CloudBridge Connector 通道端点(NetScaler)的 IP 地址,以及其流量将通过 CloudBridge Connector通道的数据中心子网的 IP 地址。
  • 创建虚拟网络。在 Azure 上创建定义网络的虚拟网络实体。此任务包括定义私有地址空间,在其中提供一系列属于地址空间中指定范围的私有地址和子网。子网的流量将通过 CloudBridge Connector 通道。然后,将本地网络实体与虚拟网络实体相关联。这种关联允许 Azure 为虚拟网络和数据中心网络之间的 CloudBridge Connector 通道创建配置。在 Azure 中为该虚拟网络创建的网关(待创建)将是 CloudBridge Connector通道的 Azure 端点的 CloudBridge 端点。然后,您为要创建的网关定义私有子网。此子网属于虚拟网络实体地址空间中指定的范围。
  • Windows Azure 中创建网关。创建一个网关,该网关成为 CloudBridge Connector 通道的 Azure 端点。Azure 从其公有 IP 地址池中为创建的网关分配 IP 地址。
  • 收集网关的公有 IP 地址和预共享密钥。对于 Azure 上的 CloudBridge Connector 通道配置,网关的公有 IP 地址和预共享密钥 (PSK) 由 Azure 自动生成。记下这些信息。您需要它在数据中心的 NetScaler 上配置 CloudBridge Connector 通道。

注意:

配置 Microsoft Azure 为 CloudBridge Connector 通道的过程可能会随着时间的推移而更改,具体取决于 Microsoft Azure 发布周期。有关最新过程,请参阅 Microsoft Azure 文档

在数据中心为 CloudBridge Connector 通道配置 NetScaler 设备

要在数据中心和 Azure 云之间配置 CloudBridge Connector 通道,请在数据中心的 NetScaler 上执行以下任务。您可以使用 NetScaler 命令行或 GUI:

  • 创建 IPsec 配置文件。IPsec 配置文件实体指定 IPsec 协议在 CloudBridge Connector 通道中使用的 IPsec 协议参数,例如 IKE 版本、加密算法、哈希算法和 PSK。
  • 使用 IPsec 协议创建 IP 通道并将 IPsec 配置文件与其关联。IP 通道指定本地 IP 地址(在 NetScaler 设备上配置的公共 SNIP 地址)、远程 IP 地址(Azure 中网关的公有 IP 地址)、用于设置 CloudBridge Connector 通道的协议 (IPsec) 和 IPsec 配置文件实体。创建的 IP 通道实体也称为 CloudBridge Connector 通道实体。
  • 创建 PBR 规则并将 IP 通道与其关联。PBR 实体指定了一组条件和一个 IP 通道(CloudBridge Connector 通道)实体。源 IP 地址范围和目标 IP 范围是 PBR 实体的条件。必须设置源 IP 地址范围以指定其流量将通过通道的数据中心子网,并设置目标 IP 地址范围以指定其流量将通过 CloudBridge Connector 通道的 Azure 子网。任何来自数据中心子网中的客户端、发往 Azure 云子网中服务器的请求数据包都与 PBR 实体的源和目标 IP 范围相匹配。然后,该数据包会被考虑用于 CloudBridge Connector 通道处理,并通过与 PBR 实体关联的 CloudBridge Connector 通道发送。

GUI 将所有这些任务合并到一个名为 CloudBridge Connector 向导的向导中。 要使用 NetScaler 命令行创建 IPSEC 配置文件,请执行以下操作:

在命令提示窗口中,键入:

add ipsec profile <name> -psk <string> -ikeVersion v1

要使用 NetScaler 命令行创建 IPSEC 通道并将 IPSEC 配置文件绑定到该通道,请执行以下操作:

在命令提示窗口中,键入:

add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName <string>

使用 NetScaler 命令行创建 PBR 规则并将 IPSEC 通道绑定到该规则

add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> ipTunnel <tunnelName> apply pbrs

示例配置

以下命令创建“CloudBridge Connector配置和数据流示例”中使用的 NetScaler 设备 CB_Appliance-1 的所有设置。

> add ipsec profile CB_Azure_IPSec_Profile -psk  DkiMgMdcbqvYREEuIvxsbKkW0FOyDiLM  -ikeVersion v1 –lifetime 31536000
Done

>  add iptunnel CB_Azure_Tunnel 168.63.252.133 255.255.255.255 66.165.176.15 –protocol IPSEC –ipsecProfileName CB_Azure_IPSec_Profile
Done

> add pbr CB_Azure_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnelCB_Azure_Tunnel
Done

> apply pbrs
Done
<!--NeedCopy-->

使用 GUI 在 NetScaler 设备中配置 CloudBridge Connector通道

  1. 使用网络浏览器连接到数据中心中 NetScaler 设备的 IP 地址来访问 GUI。

  2. 导航到 系统 > CloudBridge Connector

  3. 在右侧窗格的“入门”下,单击“创建/监视 CloudBridge”。

  4. 单击入门

    本地化后的图片

    注意:如果您已经在 NetScaler 设备上配置了任何 CloudBridge Connector 通道,则不会出现此屏幕,您将进入 CloudBridge Connector 设置窗格。

  5. 在 CloudBridge 安装面板中,单击 Microsoft Windows Azure

    本地化后的图片

  6. 在 Azure 设置窗格的“网关 IP 地址”字段中,键入 Azure 网关的 IP 地址。然后在 NetScaler 设备和网关之间建立 CloudBridge Connector 通道。在 子网(IP 范围) 文本框中,指定子网范围(在 Azure 云中),其流量将通过 CloudBridge Connector 通道。单击继续

    本地化后的图片

  7. 在 NetScaler 设置窗格中,从“本地子网 IP”下拉列表中,选择在 NetScaler 设备上配置的可公开访问的 SNIP 地址。在 子网(IP 范围) 文本框中,指定本地子网范围,其流量将通过 CloudBridge Connector 通道。单击继续

    本地化后的图片

  8. CloudBridge 设置 窗格的 CloudBridge 名称文本框中,键入要创建的 CloudBridge 的名称。

    本地化后的图片

  9. 从加密算法和哈希算法下拉列表中,分别选择 AES 和 HMAC_SHA1 算法。在“预共享安全密钥”文本框中,键入安全密钥。

  10. 单击 Done(完成)。

监视CloudBridge Connector 通道

您可以查看用于监视数据中心内的 NetScaler 设备与 Microsoft Azure 之间的 CloudBridge Connector 通道性能的统计数据。要在 NetScaler 设备上查看 CloudBridge Connector 通道统计信息,请使用 GUI 或 NetScaler 命令行。要在 Microsoft Azure 中查看 CloudBridge Connector 通道统计数据,请使用 Microsoft Windows

在 NetScaler 设备中显示 CloudBridge Connector 通道统计信息

有关在 NetScaler 设备上显示 CloudBridge Connector 通道统计信息的信息,请参阅 监视 CloudBridge Connector 通道

在 Microsoft Azure 中显示 CloudBridge Connector 通道统计信息

下表列出了可用于监视 Microsoft Azure 中的 CloudBridge Connector 通道的统计计数器。

统计计数器 说明
DATA IN 自网关创建以来,Azure 网关通过 CloudBridge Connector 通道接收的总千字节数。
DATA OUT 自网关创建以来,Azure 网关通过 CloudBridge Connector 通道发送的总千字节数。

使用 Microsoft Windows Azure 管理门户显示 CloudBridge Connector 通道统计信息

  1. 使用您的 Microsoft Azure 帐户凭据登录 Windows Azure 管理门户

  2. 在左窗格中,单击 网络

  3. 虚拟网络 选项卡的名称列中,选择与要显示其统计信息的 CloudBridge Connector 通道关联的虚拟网络实体。

    本地化后的图片

  4. 在虚拟网络的 控制面板 页面上,查看 CloudBridge Connector 通道的数据输入和数据输出计数器。

    本地化后的图片

在数据中心和 Azure 云之间配置 CloudBridge Connector 通道