Integrando Cato con Azure vWAN

Este artículo proporciona información sobre Azure vWAN y cómo integrar recursos virtuales de Azure y topología con su cuenta de Cato usando Terraform.

Nota

Nota: Los problemas relacionados con la integración de vWAN y API están sujetos a las pautas descritas en la Política de Soporte para la API de Cato.

¿Qué es Azure Virtual WAN?

Azure Virtual WAN (vWAN) es un servicio de redes unificado que combina varias características de redes, seguridad y enrutamiento en una única interfaz operativa. Admite la conectividad de sucursales a través de SD-WAN o VPN, conexiones VPN de sitio a sitio y de usuario remoto, conectividad privada mediante ExpressRoute, y conectividad intra-nube para redes virtuales. Utilizando una arquitectura de concentrador y radio, permite capacidades de red de tránsito global con las regiones de Azure actuando como concentradores interconectados, facilitando una conectividad sin interrupciones de cualquier a cualquier. Este diseño simplifica la gestión de redes y mejora el rendimiento y la escalabilidad para entornos distribuidos.

Resumen Arquitectónico

Cato utiliza IPsec para conectar su entorno de Azure vWAN a la Nube de Cato y luego Terraform puede integrar automáticamente Azure vWAN con su cuenta.

vWAN_Diagram.png

En la configuración de ejemplo anterior, el Cato Cloud utiliza dos conexiones IPsec para cada uno de los centros de Azure. Esto proporciona redundancia en caso de que una de las conexiones no esté disponible, para que aún pueda acceder a sus activos en Azure.

Estos son los componentes en la configuración de ejemplo anterior:

  • vWAN: El recurso Virtual WAN (vWAN) es una superposición virtual de la red de Azure, que comprende múltiples recursos. Incluye enlaces a todos los hubs dentro del vWAN. Cada recurso de vWAN está aislado y no puede compartir un hub común. Además, los hubs dentro de diferentes vWANs no se comunican entre sí.

  • Hub: Un hub virtual es una red virtual (VNet) administrada por Microsoft que contiene varios puntos finales de servicio para habilitar la conectividad desde su red local (sitio de VPN). Cuando crea un hub WAN virtual desde el portal, se genera una VNet y una puerta de enlace VPN. Cada región de Azure puede tener solo un hub.

  • Conexión hub-a-hub: En un Virtual WAN, todos los hubs están interconectados. Esto significa que un sitio, un usuario remoto, o activos detrás de un VNet conectado a un hub local pueden comunicarse con otro sitio o VNet a través de la arquitectura de malla completa de los hubs conectados.

  • Sitios: Un sitio puede ser la sede/el centro de datos o una sucursal como en el diagrama anterior, o puede ser una entidad virtual ubicada dentro del Azure vWAN. Los sitios se conectan al Cato Cloud a través de varios tipos de conexión admitidos por Cato, por ejemplo, sockets.

  • Conexión IPsec: Se utiliza para conectar el Azure vWAN a su cuenta en Cato.

Prerrequisitos

  • La información en este artículo se basa en la suposición de que ya ha creado un Virtual WAN y centros virtuales en el Portal de Azure. Para más información sobre la creación de los recursos necesarios en Azure:

  • Terraform ya está configurado para tener acceso a su entorno de Azure. Para obtener más información, consulte la documentación de Terraform.

Usando Terraform para Crear la Integración

Cato Networks utiliza Terraform para crear los recursos necesarios para integrarse con Azure vWAN, incluyendo:

  • Creando la conexión de puerta de enlace VPN en su cuenta de Azure

  • Creación de un sitio en su cuenta Cato. Necesitas crear un sitio separado para cada Azure Hub al que quieras conectar

  • Creando las conexiones primarias y secundarias IPsec (a diferentes PoPs) entre el nuevo sitio y el Hub de Azure

  • Definición y configuración de los pares BGP en el nuevo sitio

Recuperando el Módulo de Terraform

El módulo de Cato para integrarse con Azure vWAN está disponible en el registro de Terraform de Cato en: https://registry.terraform.io/modules/catonetworks/azure-vwan/cato/latest

Descargue el módulo relevante y asegúrese de tener los siguientes archivos:

  • main.tf incluye las llamadas API que ejecuta Terraform, por ejemplo, conectando a los proveedores, asociando direcciones IP asignadas con el sitio, y más

  • variables.tf todos los parámetros para los recursos de Azure y Cato, por ejemplo, el token API de Cato, el ID de cuenta de Cato, el nombre del sitio IPsec, y más

  • version.tf especifica los proveedores requeridos para tanto Azure como Cato, y sus respectivas versiones

Modificando el Archivo variables.tf

El archivo variables.tf contiene todos los parámetros que necesitará para obtener información de sus cuentas de Azure y Cato, así como los parámetros que necesita proporcionar para crear los recursos que necesitará en su cuenta.

Para modificar el archivo variables.tf:

  1. Abra el archivo en un editor de texto.

  2. Proporcione la información requerida como se indica en la tabla a continuación.

  3. Guarde el archivo.

Parámetro

Descripción

cato_baseurl

La ubicación de la API de Cato

El valor predeterminado es: https://api.catonetworks.com/api/v1/graphql2

azure_subscription_id

La suscripción de Azure con la que está integrando. Este valor se puede encontrar en su cuenta de Azure bajo Inicio > Suscripciones.

azure_vwan_hub_id

El Hub de Azure al que desea que se conecte el sitio IPsec de Cato. El ID del Hub se puede encontrar en su cuenta de Azure bajo Inicio > vWANs > <Nombre vWan> > Hubs. Haga clic en Vista JSON y copie el contenido del campo id.

cato_token

El token de API de Cato

cato_account_id

El ID asociado con su cuenta de Cato Networks. Esto se encuentra en la CMA bajo Administración > Información General.

site_name

El nombre del sitio IPsec que está creando en el CMA

cato_site_address_cidrs

Los rangos locales de los sitios en CMA con los que Azure se comunicará

Si tiene múltiples rangos, ingréselos como una lista separada por comas en formato CIDR

connection_bandwidth

Defina cuánta ancho de banda asignar para la conexión VPN de Azure (en Mbps)

vpn_site_primary_link_name

El nombre de la conexión principal IPsec entre el sitio en el CMA y Azure, como aparecerá en Azure

vpn_site_secondary_link_name

El nombre de la conexión secundaria IPsec entre el sitio en el CMA y Azure, como aparecerá en Azure

site_description

Una descripción del sitio IPsec en el CMA

site_location

Ingrese los parámetros de ubicación para el sitio IPsec en la CMA. Esto incluye la siguiente información:

  • Ciudad

  • Código de País

  • Código del Estado

  • Zona Horaria

cato_primary_public_ip

IP pública principal de Cato (ya asignada a su cuenta, disponible en Red > Asignaciones de IP)

cato_secondary_public_ip

IP pública secundaria de Cato (ya asignada a su cuenta, disponible en Red > Asignaciones de IP)

bgp_enabled

Determina si BGP debe ser habilitado para el sitio IPsec. Cato recomienda que habilite emparejamiento BGP

cato_asn

El ASN de Cato

cato_primary_peering_address

La dirección de emparejamiento principal de Cato

cato_secondary_peering_address

La dirección de emparejamiento secundaria de Cato

vpn_gateway_connection_name

En Azure, el nombre de la conexión de la puerta de enlace VPN

vpn_gateway_name

En Azure, el nombre de la puerta de enlace VPN

vpn_site_name

El nombre del sitio IPsec de Cato tal como aparece en Azure

Ejecutando el Módulo de Terraform

Una vez que configure el archivo variables.tf y realice las modificaciones que desee en main.tf, puede ejecutar el módulo Terraform.

Nota

Nota:

  • El módulo toma aproximadamente 30 minutos para completar

  • Si necesita ejecutar el módulo más de una vez para crear sitios adicionales, espere hasta que la primera ejecución del módulo se complete antes de iniciar otro

Para ejecutar el módulo Terraform:

  1. Navegue hasta la carpeta en la que se encuentran todos los archivos Terraform.

  2. Ejecute el siguiente comando: terraform apply

  3. Terraform le presentará una solicitud de confirmación explicando que se van a crear 4 recursos. Apruebe la solicitud para comenzar el proceso.

Se crean los siguientes recursos:

  • Conexión de gateway VPN de Azure

  • Sitio IPsec de Cato

  • Conexiones primarias y secundarias IPsec entre el nuevo sitio y el Hub de Azure

  • Pares BGP en el nuevo sitio

Verificar la Integración

Una vez que el módulo Terraform se haya completado, puede verificar que la integración fue exitosa.

Para verificar que la integración fue exitosa:

  1. En el CMA, navegue a Red > Sitios y busque el sitio IPsec que ha definido.

  2. Haga clic en el sitio y navegue a Configuración del Sitio > IPsec.

  3. En las secciones Primario y Secundario, debería ver las nuevas conexiones que se han creado.

    • Verifique los valores de las IPs privadas y el Identificador de Autenticación

    Si el Estado de las conexiones sigue siendo Desconectado, espere unos minutos y actualice la página.

  4. Acceda a Configuración del Sitio > BGP.

  5. Verifique que los pares BGP fueron creados, y haga clic en Mostrar Estado BGP para verificar que hay una conexión.

    Si el Estado de las conexiones sigue siendo Desconectado, espere unos minutos y actualice la página.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios